Στις 25 Μαΐου 2018 τίθεται σε ισχύ ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) και η εταιρία μας έχει ξεκινήσει εδώ και πάνω από έναν χρόνο να λαμβάνει τα απαραίτητα μέτρα ασφαλείας, τόσο για να είμαστε συμβατοί με τον νέο κανονισμό, αλλά κυρίως για να ενισχύσουμε ακόμα περισσότερο την προστασία στα προσωπικά δεδομένα των πελατών μας.
Παρακάτω, θα σου παρουσιάσω τις πρώτες ολοκληρωμένες ενέργειες που έχουν γίνει από την πλευρά μας, ενώ θα ακολουθήσουν και άλλα αντίστοιχα blog posts, με όλα όσα θα ολοκληρώνουμε από εδώ και πέρα. Μπορείς να δεις τα απαραίτητα βήματα που πρέπει να ακολουθήσει και η δική σου επιχείρηση εδώ.
1. Νέοι συνεργάτες για την ασφάλεια και την προστασία δεδομένων
Ήδη από την ανακοίνωση του νέου Κανονισμού, στην ομάδα μας ήρθαν δύο νέοι συνεργάτες για να αναλάβουν αποκλειστικά τις ενέργειες ασφάλειας και προστασίας των δεδομένων. Ο Αντώνης (Head of Security & Engineering) και ο Λευτέρης (Data Protection Officer) είναι στην ουσία οι δύο άνθρωποι που φροντίζουν να ακολουθήσουμε τα σωστά βήματα ώστε να είμαστε έτοιμοι όταν το GDPR θα τεθεί σε ισχύ, να παραμείνουμε σε συμμόρφωση με τον συγκεκριμένο Κανονισμό, αλλά και μελλοντικές νομοθεσίες που θα αφορούν στην ασφάλεια πληροφοριών και την προστασία δεδομένων.
2. Μετάβαση σε νέα εφαρμογή αποθήκευσης κωδικών
Εδώ και χρόνια χρησιμοποιούμε password manager για την αποθήκευση των κωδικών μας, αλλά τους τελευταίους μήνες έχουμε μεταφερθεί σε μια από τις πλέον ασφαλείς εφαρμογές που λειτουργεί κάπως διαφορετικά: στη νέα εφαρμογή που χρησιμοποιούμε, όλοι οι κωδικοί προστατεύονται μαθηματικά, με την χρήση κρυπτογραφίας και όχι με την χρήση κώδικα από κάποια online σελίδα, η οποία θα μπορούσε να δεχθεί επίθεση. Αυτό σημαίνει ότι ακόμα και αν κάποιος καταφέρει να πάρει ένα αρχείο κωδικών, δεν θα μπορέσει να το αποκρυπτογραφήσει, καθώς δεν θα γνωρίζει τον κύριο κωδικό που έχει θέσει ο κάτοχος του λογαριασμού.
Η συγκεκριμένη μετάβαση ήταν πολύ σημαντική τόσο για εμάς, όσο και για τους πελάτες μας, αφού κάποιοι από τους παραπάνω κωδικούς δύνανται να “ξεκλειδώσουν” προσωπικά δεδομένα. Παρόλο που η προστασία των δεδομένων ήταν ήδη ισχυρή, με τη νέα εφαρμογή, οι κωδικοί μας φυλάσσονται πλέον σε ένα απαράβατο φρούριο!
3. Εσωτερικά σεμινάρια για την ασφάλεια πληροφοριών και το GDPR
Η αφορμή για την εσωτερική μας εκπαίδευση και εξέλιξη μπορεί να ήταν το GDPR, όμως τα εσωτερικά σεμινάρια που ξεκινήσαμε να παρακολουθούμε από το περασμένο φθινόπωρο, είχαν στόχο μια ολιστική προσέγγιση του θέματος της ασφάλειας. Έτσι, ξεκινήσαμε πρώτα μια βασική εκπαίδευση πάνω στην ασφάλεια πληροφοριών και έπειτα προχωρήσαμε στα επιμέρους σημεία που αφορούν στο GDPR.
Αξίζει να σημειωθεί ότι τα σεμινάρια ήταν υποχρεωτικά για όλους μέσα στην εταιρία, ανεξάρτητα αν έρχονται σε άμεση επαφή με τα προσωπικά δεδομένα των πελατών. Η γνώση πάνω σε ένα τόσο κρίσιμο θέμα, είναι σημαντική για όλα τα τμήματα.
4. Ανανέωση πολιτικών και διαδικασιών
Μπήκαμε σε μια φάση επανεξέτασης και ανανέωσης των πολιτικών που έχουμε θεσπίσει, αλλά και των διαδικασιών που ακολουθούμε για να τις εφαρμόσουμε πρακτικά, με βάση το ISO27001:2013. Περιορίστηκε η πρόσβαση στα συστήματά μας και πλέον έχει δοθεί μόνο στους τεχνικούς που είναι απολύτως απαραίτητο να την έχουν, έχουμε εγκαταστήσει όλοι 2 Factor Authentication στις εφαρμογές που χρησιμοποιούμε και έχει αναβαθμιστεί η πολιτική σχετικά με την χρήση του Internet εντός του δικτύου μας.
Παράλληλα, βελτιώθηκαν οι διαδικασίες για vulnerability management, διαχείριση κινδύνου, disaster recovery και business continuity. Μέσα από τον εσωτερικό έλεγχο που ήδη διεξάγει ο Data Protection Officer μας, σίγουρα θα προκύψουν και άλλες απαραίτητες μικροβελτιώσεις τις οποίες θα εφαρμόσουμε και θα επικοινωνήσουμε σε ένα επόμενο ενημερωτικό blog post, για να είναι όλοι οι αναγνώστες και οι πελάτες μας ενήμεροι! Εν τω μεταξύ, μπορείς να ενημερωθείς σχετικά με τα δικαιώματα που έχεις πάνω στα προσωπικά σου δεδομένα, σαν πολίτης της Ευρωπαϊκής Ένωσης.
Πολλά από τα πράγματα που έγιναν για να μπορέσουμε να παρέχουμε αυτά τα επίπεδα ασφάλειας και ιδιωτικότητας, θα ακολουθήσουν σε μελλοντικά blog posts. Τα εργαλεία και τις διαδικασίες που δημιουργήσαμε για αυτόν τον σκοπό στοχεύουμε να τα παρέχουμε ως open source σε όλον τον κόσμο.
Μπες στη συζήτηση