PR články

7 kroků, jak přežít GDPR: Rozlišujte, jak jsou údaje citlivé a kdo k nim může (3)

Ve třetím díle seriálu o GDPR se budeme věnovat dalšímu kroku, který se týká správy dat. Vysvětlíme si, jak nejlépe označit různé typy osobních údajů podle stupňů jejich citlivosti, tak aby jejich zabezpečení bylo co nejefektivnější. Jinými slovy, pustíme se do kategorizace dat.

Z předchozích dílů víme, jaká osobní data v organizaci zpracováváme , a také jsme si ověřili, zda data zpracováváme legálně, účelně a zda všechny osobní údaje, které v naší organizaci uchováváme, skutečně potřebujeme.

Nyní potřebujeme data laicky řečeno zaškatulkovat či kategorizovat. Jednodušeji se kategorizace dat samozřejmě provádí ve strukturovaných formátech, což jsou obvykle databáze. V SQL databázích můžeme využít rozšířené štítky a textové popisy polí k označení osobních údajů a podle nich potom vynutit silnější způsoby řízení přístupů a šifrování.

stroj SPR.jpg
Kdo kam smí? Kategorizujte přístup k citlivým datům.

Nastavovat přístupová práva lze přímo pro jednotlivé tabulky nebo sloupce v databázích, případně můžeme pracovat s vlastnostmi dynamického maskování (Dynamic Data Masking). Tím podpoříme princip minimalizace zpracování. Ne všichni naši zaměstnanci potřebují ke své práci "vidět" všechny osobní údaje zaměstnanců či zákazníků.

Komu dát jaká práva?

Cloudová databáze Azure SQL Database navíc dokáže automaticky vyhodnocovat potenciálně citlivé osobní údaje a sama může navrhnout zapojení funkce dynamického maskování. Neumožní tedy data "vynést ven" bez zvláštního autorizačního procesu. Pro přístup k údajům s vyšším rizikem je dále vhodné omezit práva na základě takzvané "row-level security", tedy autorizace přístupu na úrovni pouze určitých řádků v databázi.

Dalším opatřením při řízení přístupu může být SQL Database Firewall. Ten kontroluje například IP adresy klientů a procesů, které žádají o přístup k datům. Tento nástroj odmítne přístup, pokud žádosti nepřicházejí z předem vymezených IP adres. Opatření posílí principy ochrany „by design and by default“, které jsou zakotveny v GDPR.

Jak ochočit nestrukturovaná data

O něco více práce nám dá kategorizace nestrukturovaných dat, což jsou obvykle emaily a různé textové dokumenty. Největší pomoc zde nabízí například cloudová služba Azure Information Protection (AIP), která pomůže oštítkovat jednotlivé druhy dokumentů nebo emailů z hlediska výskytu a citlivosti osobních údajů. V nejvyšší variantě Office 365 E5 lze tento proces i automatizovat s využitím strojového učení. AIP zároveň umožní sledovat, odkud se geograficky přistupuje na chráněné dokumenty nebo emaily, což je důležité pro mapování toků osobních údajů a rozhodování o úrovni opatření.

Podle štítků lze pak opět vymezit přístup jen pro určité okruhy osob a vynutit určitý způsob dodatečné ochrany, například šifrování. Na tyto štítky mohou reagovat i systémy proti únikům informací (DLP), které tyto typy dokumentů nepustí ven z organizace. Konkrétně Office 365 DLP má k dispozici více než 80 předdefinovaných šablon textů a čísel, umí tedy rozpoznat rodná čísla, kreditní a debetní karty či čísla IBAN, a další šablony lze libovolně vytvořit. Tato funkce je k dispozici pro emaily i dokumenty uložené v SharePoint Online či OneDrive for Business.

Office 365 Data Governance umožňuje nastavit zejména retenční firemní politiky. Jde o pravidla důležitá pro skartaci dokumentů na základě časového omezení souhlasu se zpracováním. Funkce Advanced Data Governance může tato nastavení urychlit díky strojovému učení.

Pro strukturovaná i nestrukturovaná data lze využít nejmodernější cloudové nástroje Azure Data Factory a Azure HDInsight, které dokážou sledovat a vyhodnocovat obsah toků dat za pomoci strojového učení. Dají se "natrénovat" na klíčové výrazy, které mají hledat, a jejich výskyt pak mohou logovat a graficky vizualizovat formou dashboardu.

Vymezení přístupů systémových správců, auditorů a editorů lze ve všech variantách provést pomocí Azure Role-Based Access Control (RBAC) na principu separace rolí.

Vývoj jde stále kupředu

Existuje řada dalších řešení, která dokážou vaše data zaškatulkovat podle výše zmíněných vlastností. Stále se navíc objevují a zkoumají další možnosti automatické identifikace, kategorizace a ochrany citlivých osobních údajů, sledování jejich změn a užití.

S každým novým produktem přicházejí další systémová opatření a doporučení s pomocí strojového učení a umělé inteligence. Tato opatření se mimochodem objeví i v další části seriálu, která se bude věnovat samotné ochraně dat.

Pokud jste přeskočili první dva kroky, zamiřte SEM a SEM.

Podrobný návod, jak využít cloud k zajištění souladu s GDPR, najdete ZDE.

Autor článku: Zdeněk Jiříček, ředitel pro technologické standardy, Microsoft Česko a Slovensko

Další článek: Google má v Indii novou platební aplikaci Tez, která posílá peníze skrze zvuk

Témata článku: