Работаете ИТ-директором?

  • Что такое GDPR?
    Что такое GDPR?

    Общий регламент по защите данных (GDPR) — это европейский регламент о конфиденциальности, вступивший в силу 25 мая 2018 года. GDPR, который заменяет Директиву ЕС о защите данных, направлен на консолидацию правил защиты данных в Европейском союзе (ЕС) путем принятия единого закона о защите данных, действующего во всех государствах-членах. Независимо от того, где находится ваша фирма, закон распространяется на европейские компании и любой бизнес, который нацелен на граждан Европы или собирает, использует или обрабатывает личные данные граждан ЕС. На практике это означает, что GDPR будет применяться к большинству предприятий, которые обрабатывают персональные данные граждан ЕС, независимо от того, где они базируются или где осуществляются их операции по обработке.

  • Что такое персональные данные?
    Что такое персональные данные?

    Определение персональных данных в GDPR включает в себя то, что мы обычно считаем информацией, позволяющей установить личность (PII) — имена, номера паспортов, даты рождения и т. д., — а также данные, которые могут быть рассмотрены как не PII, например, адреса электронной почты или идентификаторы устройств. Полный список того, что GDPR считает персональными данными, см. в статье 4(1) GDPR. Подмножество данных, известное как «особые категории персональных данных», также включено в определение персональных данных. GDPR определяет специальные категории персональных данных как совокупность данных, включающих расовую и этническую принадлежность, религию, политические взгляды, информацию о состоянии здоровья и т. д.

  • Кого затрагивает GDPR?
    Кого затрагивает GDPR?

    GDPR имеет широкий географический охват. Это относится не только ко всем предприятиям в ЕС, которые обрабатывают персональные данные, но и к любой организации, не находящейся в ЕС, которая обрабатывает персональные данные лиц из ЕС.
    В этот список входят также те предприятия, которые
    а) предлагают товары или услуги без требования оплаты
    б) производят любую деятельность в пределах ЕС
    GDPR стремится защищать персональные данные на всех этапах обработки данных и проводит различие между контролерами данных и обработчиками данных, каждый из которых имеет свои обязательства.

  • Каковы требования GDPR?
    Каковы требования GDPR?

    Согласно GDPR, компании должны принимать соответствующие меры по защите данных, чтобы защитить конфиденциальность данных потребителей (защитить данные от потери или раскрытия). Наиболее важные принципы и требования, регулирующие управление персональными данными, обобщены в статье 5 GDPR:
    • Собранные личные данные должны обрабатываться честным, законным и прозрачным образом. Их не следует использовать в неожиданных целях и неожиданными способами.
    • Личные данные следует собирать только для определенных целей. Их нельзя использовать каким-либо образом, несовместимым с этими целями. При сборе личных данных компании должны объяснять, зачем они им нужны.
    • Персональные данные должны быть актуальными и точными. Сбор данных следует проводить только до тех пор, пока это необходимо для достижения цели.
    • Граждане Европейского Союза имеют право просматривать свои «личные данные». Они также могут запросить копию, обновить, стереть, ограничить или передать их другой организации без ограничений.
    • Личные данные должны обрабатываться таким образом, чтобы обеспечить их безопасность. Сюда входят меры защиты от незаконной обработки, а также от потери, уничтожения или повреждения в результате несчастных случаев.
    • Персональные данные не должны храниться дольше, чем это необходимо. Они должны храниться только в течение срока достижения цели, для которой он обрабатывается.

  • GDPR и Twake
    GDPR и Twake

    Twake нацелен на защиту личных данных и конфиденциальность в Интернете. Мы приветствуем недавнее правило ЕС, которое усиливает и унифицирует гарантии для лиц, находящихся под его эгидой. Мы тщательно изучили юридические и технические стороны GDPR, чтобы обеспечить соответствие ему, и внесли все необходимые обновления в наши продукты, услуги и документацию. Клиенты Twake получают лучший контроль над своими данными. Мы также предоставляем посетителям нашего веб-сайта инструменты, необходимые им для защиты их информации. Twake на 100% соответствует требованиям GDPR.

  • Что делает Twake, чтобы соответствовать требованиям GDPR?
    Что делает Twake, чтобы соответствовать требованиям GDPR?

    • Мы провели аудит безопасности, чтобы убедиться, что наша политика и меры безопасности соответствуют GDPR.
    • GDPR регулируется организационной политикой Twake, включая политику безопасности и конфиденциальности данных. Вся наша команда понимает важность высоких стандартов безопасности данных и конфиденциальности по всем направлениям. Это непрерывный процесс, который мы считаем критически важным для успеха нашего проекта.
    • Мы провели оценку воздействия на защиту данных, чтобы выявить и свести к минимуму любые риски, связанные с нашей деятельностью по обработке данных.
    • Мы храним все наши данные на серверах OVH Cloud, расположенных во Франции.
    • Мы позаботились о том, чтобы наша Политика конфиденциальности отражала приверженность Twake и Linagora GDPR, была прозрачной в отношении того, как мы используем персональные данные, и информировала людей о том, как реализовать свои права субъекта данных.
    • Мы устанавливаем и создаем операционные процедуры, необходимые для поддержки прав человека на доступ, просмотр и удаление любых его данных, которые мы храним.
    • Как обработчик и контролер персональных данных, мы ведем точные записи о нашей деятельности по обработке данных.
    • Уведомления о файлах cookie могут быть адаптированы для удовлетворения юридических потребностей каждой страны или региона.
    • Мы принимаем строгие меры для защиты ваших личных и профессиональных данных. Пароли хэшируются с использованием PBKDF2, а ваши данные шифруются перед отправкой в ​​базу (шифрование при хранении). Для связи мы используем шифрование TLS (шифрование при передаче).
    • Обеспечение безопасности данных — это скорее долгосрочное обязательство, чем разовый проект. В постоянно меняющемся ландшафте регулирования и реальных рисков Twake по-прежнему привержен безопасности и конфиденциальности данных, и мы обеспечим защиту данных наших клиентов.

  • Как Twake может помочь вашей компании соответствовать
    требованиям GDPR?
    Как Twake может помочь вашей компании соответствовать
    требованиям GDPR?

    Мы стараемся, чтобы наши продукты и услуги позволяли клиентам соблюдать требования GDPR. В том числе, мы:
    • продолжаем улучшать функции безопасности в наших продуктах, а также структуру безопасности нашей компании и инфраструктуры (см. предыдущий раздел).
    • убеждаемся в том, что договоры с нашими клиентами помогают им соблюдать стандарты GDPR в отношении назначения обработчиков данных, а также в том, что наши собственные договоры с обработчиками данных соответствуют требованиям GDPR.
    • постоянно изучаем рекомендации по соблюдению требований GDPR в целом и по мере необходимости изменяем нашу стратегию.

Контрольный список соответствия GDPR для безопасности при работе с облаком

gdpr-compliance-picture

GDPR требует от компаний защищать личные данные клиентов и сотрудников на всех этапах жизненного цикла обработки данных.

Выполнять это обязательство со временем становится все труднее, поскольку все больше фирм внедряют и используют облачные решения для связи и совместной работы. Согласно недавно проведенному опросу, 60% предприятий планируют в ближайшие два года полностью отказаться от локальных решений в пользу облачных SaaS-инфраструктур.

Малые предприятия также переходят к облачному хранению данных: прогнозировалось, что в 2017 году среднее количество облачных приложений для малого и среднего бизнеса составит 7. Выбор облачных сервисов, которые помогают предприятиям обеспечивать и поддерживать соответствие GDPR - непростая задача.

При поиске поставщика услуг компании должны учитывать различные технологические и юридические факторы.

Наш "контрольный список" напомнит вам о 5 самых важных вещах.

1. Какие технологии шифрования использует провайдер?

Хотя в GDPR конкретно не упоминаются методы шифрования, способ хранения ключей шифрования имеет решающее значение для определения того, возможна ли повторная идентификация людей из утекшего зашифрованного материала. Благодаря шифрованию при передаче и хранении информации Twake обеспечивает максимальную безопасность личных данных своих пользователей. Мы также включили сквозное шифрование в нашу краткосрочную дорожную карту, чтобы обеспечить полную безопасность для наших пользователей и их личных данных.

2. Какие еще варианты безопасности и контроля предоставляет поставщик услуг?

Помимо надежного шифрования, поставщик должен принять дополнительные меры предосторожности для защиты данных своих пользователей. В первую очередь следует серьезно относиться к безопасности аккаунта. Это включает в себя безопасное управление аутентификацией пользователей, в идеальном варианте - с использованием подходов с нулевым разглашением. Когда речь заходит о том, как поставщик услуг обращается с вашим паролем, существует много уровней безопасности. Метод «нулевого разглашения обеспечивает максимальный уровень безопасности пароля: ваш провайдер не знает пароль. В этом случае ваш пароль не будет скомпрометирован, если поставщик услуг будет взломан, или если произойдет утечка информации от сотрудников. Согласно опросам, ошибки сотрудников или их злой умысел составляют основную часть утечек данных. Эти случаи могут включать потерю или кражу рабочих устройств, а также преднамеренную передачу данных персоналом. Чтобы снизить шанс таких инцидентов, убедитесь, что у вашего провайдера есть надежные возможности контроля и управления данными. Вам следует обратить внимание на следующие функции: Управление разрешениями, в том числе возможность устанавливать уровни доступа к личным и другим конфиденциальным данным, а также возможность отслеживать действия сотрудников, связанные с управлением файлами, например, тех, кто открывал или удалял файлы (журнал регистрации событий), а также возможность создавать и отслеживать внутренние действия по безопасности данных, а также параметры резервного копирования, такие как восстановление удаленных файлов и инструменты управления устройствами.

3. Сообщает ли поставщик, где хранятся данные и как они защищены?

В соответствии с GDPR, личные данные должны обрабатываться законно, справедливо и прозрачно. Это утверждение верно как для компаний, которые управляют персональными данными (контроллеры данных), так и для облачных сервисов, которые они используют (обработчики данных). Контроллер данных должен гарантировать, что сторонние службы, которые он использует, соответствуют этим правилам, поскольку в соответствии с принципом подотчетности они несут основную ответственность и обязательства по защите данных. Контролер должен быть в состоянии продемонстрировать, что все принципы, регулирующие обработку персональных данных, были соблюдены. Такие аспекты, требования по хранению персональных данных пользователей в государстве их гражданства, также имеют решающее значение. Хотя GDPR не указывает, должны ли данные храниться в ЕС, если ваш поставщик хранит информацию в центрах обработки данных ЕС, соблюдение GDPR будет проще. Когда провайдер использует центры обработки данных или вспомогательные процессоры третьих стран, требуются дополнительные гарантии, чтобы доказать, что ваши данные защищены в соответствии с такими же высокими стандартами, что и в ЕС.

4. Выпускает ли компания юридически обязывающие документы о защите данных?

GDPR оптимизирует законодательство о защите данных во всех государствах-членах ЕС, чтобы предоставить резидентам ЕС больший контроль над конфиденциальностью своих данных. Это означает, что все предприятия, которые обрабатывают личные данные граждан ЕС, должны следовать его строгим правилам. Если вы ищете поставщика облачных решений, расположенного в ЕС (Twake находится во Франции, как и наши серверы), вам необходимы доказательства того, что компания начала готовить свои системы управления данными к GDPR. Это включает, среди прочего, предоставление соответствующей документации по защите данных, такой как четкая и простая для понимания Политика конфиденциальности и Условия использования, а также Соглашение об обработке данных, которое бизнес-клиенты могут подписать. Если облачный провайдер не находится в ЕС, вам нужно будет потратить время на поиск дополнительных доказательств. Выясните, находится ли компания в стране, принявшей постановление Европейской комиссии о достаточности защиты данных. Компания также может предоставлять другие приемлемые договорные гарантии, которые устанавливают, что она имеет такой же высокий уровень защиты, как и компании ЕС (например, Стандартные договорные положения, принятые Европейской комиссией, или Обязательные корпоративные правила (ОКП), утвержденные способом, указанным в Статье 47 Общего регламента по защите данных.

5. Как компания показывает соблюдение вышеупомянутых процедур?

Постановление GDPR является революционным, потому что оно использует основанный на рисках и продуманный подход к защите данных и конфиденциальности. Компании должны анализировать риски, связанные с управлением личными данными, и принимать необходимые технические и организационные меры для их снижения. Компании также должны быть в состоянии продемонстрировать, что они приняли необходимые меры предосторожности в отношении существующих угроз. Это относися к любому облачному провайдеру, которого вы рассматриваете. Несмотря на то, что GDPR - новое постановление, вы можете запросить дополнительные соглашения о защите данных.

Доступен на любых платформах

logo-chrome logo-safari logo-edge logo-firefox

В браузере

logo-apple logo-windows logo-linux

Настольное приложение

logo-app-store logo-google-play

В разработке

Если у вас есть вопросы, пожалуйста, свяжитесь с нами в Telegram

telegram logo
logo Linagora

Twake является разработкой компании LINAGORA

Узнать больше icon-arrow-right

arrow up to top

UP