Глоссарий
Что такое GDPR — правила защиты данных ЕС и обязанность уведомлять об утечке
GDPR (Общий регламент ЕС по защите данных) защищает персональные данные людей в ЕС. На кого распространяется, что требует — минимизация данных, согласие, уведомление об утечке — и защитная основа: собирайте и храните только нужное.
GDPR — закон о персональных данных, о котором нужно знать, если вы обслуживаете пользователей из ЕС. Вот его суть и защитные основы в технических/операционных терминах — без шагов атаки.
Что он требует
Помимо юридических деталей, сосредоточьтесь на операционных опорах, которые действительно работают как защита.
Не собирайте и не храните (минимизация данных)
Собирайте и храните только минимум персональных данных, нужных для вашей цели. Данные, которых у вас нет, не утекут — самая сильная защита. Удаляйте их, когда они больше не нужны.
Защищайте (шифрование, контроль доступа)
Шифруйте персональные данные и сужайте круг до «только тех, кому можно касаться» через авторизацию. Держите секреты за пределами публичной поверхности (→ не держите секреты в публичных каталогах).
Обнаруживайте и сообщайте (правило 72 часов)
Быстро обнаруживайте утечку и держите журналы для отслеживания её последствий. Будьте готовы уведомить надзорный орган в течение ~72 часов. Без обнаружения вы не выполните эту обязанность.
«Нас это не касается» — небезопасное допущение
GDPR может применяться независимо от местонахождения бизнеса, если он предлагает товары/услуги людям в ЕС или отслеживает их поведение. Если вы обслуживаете пользователей из ЕС или обрабатываете их персональные данные, «мы не компания из ЕС» не делает это неактуальным. Практичное начало — инвентаризация того, какие персональные данные вы храните и зачем.
Взгляд этого сайта: соответствие и защита указывают в одну сторону
Требования GDPR указывают в ту же сторону, что и защита, о которой говорит этот сайт: минимизируйте персональные данные, шифруйте их, сужайте круг через авторизацию и умейте обнаружить и зафиксировать утечку. Это нужно не только для закона — это базовый способ иметь меньше инцидентов. Относиться к регулированию как к «повторной проверке своей защиты», а не как к «лишней нагрузке», — реалистичная позиция для небольшого проекта.
Читать дальше
- Основы: аутентификация vs авторизация (сужение данных до владельца) · минимальный чек-лист безопасности
- Глоссарий: криптография с открытым ключом · PCI DSS (ещё один стандарт для чувствительных данных)
- Связанное: OWASP Top 10 · история безопасности (хронология)
Источник
- Европейская комиссия — GDPR (официально): commission.europa.eu
FAQ
QРаспространяется ли GDPR на бизнес за пределами ЕС?
Может распространяться. GDPR может применяться независимо от местонахождения бизнеса, если он предлагает товары или услуги людям в ЕС или отслеживает их поведение. Если вы обслуживаете пользователей из ЕС или обрабатываете их персональные данные, вы можете попадать в область применения — «мы не компания из ЕС» автоматически не означает «нас это не касается».
QВ чём технические основы GDPR?
В общих чертах: (1) получите законное основание (например, согласие) и укажите чёткую цель; (2) собирайте и храните только минимально необходимые данные (минимизация данных); (3) защищайте персональные данные шифрованием и контролем доступа; (4) умейте выполнять запросы на доступ/удаление; (5) умейте быстро обнаружить утечку и уведомить надзорный орган, как правило, в течение 72 часов.
QЧто делать при утечке?
По GDPR вы, как правило, обязаны уведомить надзорный орган в течение 72 часов с момента, как узнали об утечке персональных данных (иногда и затронутых людей). Именно поэтому нужно уметь быстро обнаружить инцидент и иметь журналы, чтобы отследить его масштаб. Без обнаружения и записей вы не сможете выполнить даже обязанность по уведомлению.