GDPR și accesul SSH: ghidul de conformitate de care echipa voastră are nevoie

GDPR nu se limitează la bannerele de cookies

Când majoritatea echipelor se gândesc la GDPR, se gândesc la formularele de consimțământ și la politicile de confidențialitate. Dar articolul 32 din GDPR cere „măsuri tehnice și organizatorice adecvate" pentru a asigura securitatea datelor cu caracter personal. Aceasta include modul în care echipa voastră accesează serverele care prelucrează aceste date.

La ce se uită autoritățile de reglementare

Rezidența datelor

Dacă instrumentul vostru de gestionare a accesului SSH face să tranziteze datele de conexiune prin servere americane, aveți o problemă de transfer de date. După Schrems II, transferul de date cu caracter personal către US necesită garanții suplimentare pe care majoritatea instrumentelor SSH nu le oferă.

Soluția: folosiți instrumente care păstrează toate datele în interiorul granițelor EU. Infrastructura SecurSSH este găzduită exclusiv în EU.

Controale de acces

Autoritățile de reglementare doresc să vadă că accesul la sistemele care prelucrează date cu caracter personal este restricționat la personalul autorizat. „Toată lumea are cheia SSH" nu respectă această cerință.

Soluția: implementați un control de acces bazat pe roluri. Definiți cine poate accesa ce servere și impuneți acest lucru centralizat.

Piste de audit

Articolul 5(2) cere posibilitatea de a demonstra conformitatea. Dacă o autoritate de reglementare întreabă „cine a accesat baza de date a clienților în ultimele 6 luni?", trebuie să existe un răspuns în minute, nu în săptămâni.

Soluția: jurnale de audit complete, căutabile, cu marcaj de timp, identificare a utilizatorului și detalii ale serverului. Exportabile pentru revizuirile de conformitate.

Acorduri de prelucrare a datelor

Dacă folosiți un instrument terț pentru accesul SSH, aveți nevoie de un DPA. Multe instrumente SSH nu oferă unul, sau DPA-ul lor nu acoperă datele specifice pe care le prelucrează.

Soluția: asigurați-vă că furnizorul vostru de acces SSH oferă un DPA conform GDPR care acoperă metadatele de conexiune, jurnalele de audit și materialul de chei.

Esențialul

Conformitatea GDPR pentru accesul SSH nu este opțională pentru echipele europene. Vestea bună este că remedierea este simplă cu instrumentul potrivit. SecurSSH a fost conceput de la început pentru cerințele de conformitate europene.