RODO i dostęp SSH: przewodnik zgodności, którego potrzebuje twój zespół

RODO to nie tylko bannery cookie

Gdy większość zespołów myśli o RODO, myśli o formularzach zgody i politykach prywatności. Ale artykuł 32 RODO wymaga „odpowiednich środków technicznych i organizacyjnych" zapewniających bezpieczeństwo danych osobowych. Obejmuje to sposób, w jaki twój zespół uzyskuje dostęp do serwerów przetwarzających te dane.

Na co patrzą regulatorzy

Rezydencja danych

Jeśli twoje narzędzie do zarządzania dostępem SSH przesyła dane połączeń przez serwery amerykańskie, masz problem z transferem danych. Po wyroku Schrems II transfer danych osobowych do US wymaga dodatkowych zabezpieczeń, których większość narzędzi SSH nie zapewnia.

Rozwiązanie: używaj narzędzi, które trzymają wszystkie dane w granicach UE. Infrastruktura SecurSSH jest hostowana wyłącznie w UE.

Kontrole dostępu

Regulatorzy chcą widzieć, że dostęp do systemów przetwarzających dane osobowe jest ograniczony do upoważnionego personelu. „Każdy ma klucz SSH" tego wymogu nie spełnia.

Rozwiązanie: wdroż kontrolę dostępu opartą na rolach. Określ, kto może uzyskać dostęp do których serwerów i wymuszaj to centralnie.

Ślady audytowe

Artykuł 5(2) wymaga możliwości wykazania zgodności. Jeśli regulator pyta „kto przez ostatnie 6 miesięcy uzyskał dostęp do bazy klientów?", potrzebujesz odpowiedzi w minutach, nie tygodniach.

Rozwiązanie: kompletne, przeszukiwalne dzienniki audytu z sygnaturą czasową, identyfikacją użytkownika i szczegółami serwera. Eksportowalne na potrzeby przeglądów zgodności.

Umowy o powierzeniu przetwarzania

Jeśli używasz zewnętrznego narzędzia do dostępu SSH, potrzebujesz DPA. Wiele narzędzi SSH jej nie oferuje, lub ich DPA nie pokrywa danych, które faktycznie przetwarzają.

Rozwiązanie: upewnij się, że twój dostawca dostępu SSH oferuje DPA zgodną z RODO obejmującą metadane połączeń, dzienniki audytu i materiał kluczy.

Sedno

Zgodność z RODO dla dostępu SSH nie jest opcjonalna dla europejskich zespołów. Dobra wiadomość: naprawa tego jest prosta przy odpowiednim narzędziu. SecurSSH został zaprojektowany od podstaw pod europejskie wymogi zgodności.