7 kroků, jak přežít GDPR: Rozlišujte, jak jsou údaje citlivé a kdo k nim může (3)

Ve třetím díle seriálu o GDPR se budeme věnovat dalšímu kroku, který se týká správy dat. Vysvětlíme si, jak nejlépe označit různé typy osobních údajů podle stupňů jejich citlivosti, tak aby jejich zabezpečení bylo co nejefektivnější. Jinými slovy, pustíme se do kategorizace dat.
7 kroků, jak přežít GDPR: Rozlišujte, jak jsou údaje citlivé a kdo k nim může (3)

Z předchozích dílů víme, jaká osobní data v organizaci zpracováváme , a také jsme si ověřili, zda data zpracováváme legálně, účelně a zda všechny osobní údaje, které v naší organizaci uchováváme, skutečně potřebujeme.

Nyní potřebujeme data laicky řečeno zaškatulkovat či kategorizovat. Jednodušeji se kategorizace dat samozřejmě provádí ve strukturovaných formátech, což jsou obvykle databáze. V SQL databázích můžeme využít rozšířené štítky a textové popisy polí k označení osobních údajů a podle nich potom vynutit silnější způsoby řízení přístupů a šifrování.

Klepněte pro větší obrázek
Kdo kam smí? Kategorizujte přístup k citlivým datům.

Nastavovat přístupová práva lze přímo pro jednotlivé tabulky nebo sloupce v databázích, případně můžeme pracovat s vlastnostmi dynamického maskování (Dynamic Data Masking). Tím podpoříme princip minimalizace zpracování. Ne všichni naši zaměstnanci potřebují ke své práci "vidět" všechny osobní údaje zaměstnanců či zákazníků.

Komu dát jaká práva?

Cloudová databáze Azure SQL Database navíc dokáže automaticky vyhodnocovat potenciálně citlivé osobní údaje a sama může navrhnout zapojení funkce dynamického maskování. Neumožní tedy data "vynést ven" bez zvláštního autorizačního procesu. Pro přístup k údajům s vyšším rizikem je dále vhodné omezit práva na základě takzvané "row-level security", tedy autorizace přístupu na úrovni pouze určitých řádků v databázi.

Dalším opatřením při řízení přístupu může být SQL Database Firewall. Ten kontroluje například IP adresy klientů a procesů, které žádají o přístup k datům. Tento nástroj odmítne přístup, pokud žádosti nepřicházejí z předem vymezených IP adres. Opatření posílí principy ochrany „by design and by default“, které jsou zakotveny v GDPR.

Jak ochočit nestrukturovaná data

O něco více práce nám dá kategorizace nestrukturovaných dat, což jsou obvykle emaily a různé textové dokumenty. Největší pomoc zde nabízí například cloudová služba Azure Information Protection (AIP), která pomůže oštítkovat jednotlivé druhy dokumentů nebo emailů z hlediska výskytu a citlivosti osobních údajů. V nejvyšší variantě Office 365 E5 lze tento proces i automatizovat s využitím strojového učení. AIP zároveň umožní sledovat, odkud se geograficky přistupuje na chráněné dokumenty nebo emaily, což je důležité pro mapování toků osobních údajů a rozhodování o úrovni opatření.

Podle štítků lze pak opět vymezit přístup jen pro určité okruhy osob a vynutit určitý způsob dodatečné ochrany, například šifrování. Na tyto štítky mohou reagovat i systémy proti únikům informací (DLP), které tyto typy dokumentů nepustí ven z organizace. Konkrétně Office 365 DLP má k dispozici více než 80 předdefinovaných šablon textů a čísel, umí tedy rozpoznat rodná čísla, kreditní a debetní karty či čísla IBAN, a další šablony lze libovolně vytvořit. Tato funkce je k dispozici pro emaily i dokumenty uložené v SharePoint Online či OneDrive for Business.

Office 365 Data Governance umožňuje nastavit zejména retenční firemní politiky. Jde o pravidla důležitá pro skartaci dokumentů na základě časového omezení souhlasu se zpracováním. Funkce Advanced Data Governance může tato nastavení urychlit díky strojovému učení.

Pro strukturovaná i nestrukturovaná data lze využít nejmodernější cloudové nástroje Azure Data Factory a Azure HDInsight, které dokážou sledovat a vyhodnocovat obsah toků dat za pomoci strojového učení. Dají se "natrénovat" na klíčové výrazy, které mají hledat, a jejich výskyt pak mohou logovat a graficky vizualizovat formou dashboardu.

Vymezení přístupů systémových správců, auditorů a editorů lze ve všech variantách provést pomocí Azure Role-Based Access Control (RBAC) na principu separace rolí.

Vývoj jde stále kupředu

Existuje řada dalších řešení, která dokážou vaše data zaškatulkovat podle výše zmíněných vlastností. Stále se navíc objevují a zkoumají další možnosti automatické identifikace, kategorizace a ochrany citlivých osobních údajů, sledování jejich změn a užití.

S každým novým produktem přicházejí další systémová opatření a doporučení s pomocí strojového učení a umělé inteligence. Tato opatření se mimochodem objeví i v další části seriálu, která se bude věnovat samotné ochraně dat.

Pokud jste přeskočili první dva kroky, zamiřte SEM a SEM.

Podrobný návod, jak využít cloud k zajištění souladu s GDPR, najdete ZDE.

Autor článku: Zdeněk Jiříček, ředitel pro technologické standardy, Microsoft Česko a Slovensko

Další článek: Google má v Indii novou platební aplikaci Tez, která posílá peníze skrze zvuk


Určitě si přečtěte

Biblická potopa Česka: Jak bychom dopadli, kdyby nás zatopil oceán

Biblická potopa Česka: Jak bychom dopadli, kdyby nás zatopil oceán

** Představte si biblickou potopu ** Nejprve zaniknou Děčín a Břeclav, pak i Brno a Praha ** Hlavním městem se stane Jihlava a zbytky Čechů přežijí na Kvildě

Jakub Čížek | 91

Pojďme programovat elektroniku: Postavíme bezpečnostní systém za 30 Kč

Pojďme programovat elektroniku: Postavíme bezpečnostní systém za 30 Kč

** Před pár týdny jste si mohli v akci koupit Wi-Fi desku za jeden dolar ** Nám už TTGO T-Display dorazila do redakce ** Připojíme k ní jazýčkový kontakt a vyrobíme bezpečnostní systém

Jakub Čížek | 30

Google Coral: Raspberry Pi s čipem, který zpracuje 4 biliony operací za sekundu

Google Coral: Raspberry Pi s čipem, který zpracuje 4 biliony operací za sekundu

** Je to velké jako Raspberry Pi ** Ale je to až o několik řádů rychlejší ** Dorazil nám exotický Google Coral s akcelerátorem Edge TPU

Jakub Čížek | 18

Bývalý zaměstnanec Nokie vysvětluje, proč telefony s Windows Phone neuspěly

Bývalý zaměstnanec Nokie vysvětluje, proč telefony s Windows Phone neuspěly

** Za neúspěchem Microsoftu v mobilech stojí i Windows 8 ** Microsoft pozdě naskočil do rozjetého vlaku ** Uživatelé neměli zásadní důvody, proč přejít

Karel Kilián | 133

13 praktických tipů a triků pro Mapy.cz, které možná neznáte

13 praktických tipů a triků pro Mapy.cz, které možná neznáte

** Mapy.cz neslouží jen k zobrazení podkladů a plánování tras ** Nabízejí celou řadu dalších praktických funkcí a možností ** Vybrali jsme třináct tipů a triků, o kterých možná (ne)víte

Karel Kilián | 30

Nové iPhony, hodinky a další novinky Applu: Zase bude za co utrácet

Nové iPhony, hodinky a další novinky Applu: Zase bude za co utrácet

Dnes proběhla další velká prezentační akce Applu, na které došlo k odhalení nových iPhonů a dalších novinek. Událost jsme sledovali online, a tak se můžete podívat na chronologický zápis těch nejdůležitějších informací.

David Polesný | 136



Aktuální číslo časopisu Computer

Speciál o přechodu na DVB-T2

Velký test herních myší

Super fotky i z levného mobilu

Jak snadno upravit PDF