roman.fulop@nethemba.com
pavol.luptak@nethemba.com
Doteraz sa za osobný údaj pokladal:
Titul, meno, priezvisko, adresa trvalého alebo prechodného pobytu, dátum narodenia, e-mail, telefónne číslo
GDPR pokladá za osobné údaje tiež:
Online identifikátory osôb (napríklad IP adresa, cookies, identifikátory mobilných zariadení) – ak sa napr. IP adresa dá použiť na zistenie, kde sa jednotlivec nachádza, ide o osobné údaje.
Biometrické údaje (hlas, fotografia, odtlačok prsta..)
Lokalizačné údaje – klasifikujú sa ako osobné, pretože sa dajú použiť na identifikáciu toho, kde jednotlivec žije, kde pracuje.
Spracovanie osobných údajov, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách,
Spracovanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby,
Údajov týkajúcich sa zdravia alebo
Údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.
Krajina úložiska (mimo EÚ to môže byť vážny problém s výnimkou pár krajín, ktoré dostatočne dbajú o ochranu osobných udajov, viac informácií na https://ec.europa.eu/info/law/law-topic/data-protection_en)
Verejný cloud (Amazon, Microsoft Azure, Google, ...) alebo tradičný server housing alebo lokálne úložiško v sídle firmy?
SQL relačná databáza alebo noSQL alebo verejný/privátny blockchain? (uchovávanie osobných šifrovaných dát v blockchaine môže byť problém, lebo podľa GDPR nie je možné vynútiť "právo na zabudnutie")
Šifrovanie je možné realizovať na viacerých úrovniach:
Na úrovni súborového systému (Microsoft Bitlocker, LUKS/dmrypt, ...)
Na úrovni databázy (nie všetky databázové systémy podporujú šifrovanie)
Na úrovni samotnej aplikácie
Odporúčame kombináciu viacerých.
Dôležitá otázka:
Kde bezpečne uložiť šifrovacie kľúče?
Zbierať veľké množstvo osobných dát je častokrát úplne zbytočné:
Slovenské železnice vs. Regiojet:
GDPR odporúča explicitne realizovať anonymizáciu alebo pseudonymizáciu osobných údajov - bohužiaľ toto je často v konflikte s inými zákonmi (ako "protiteroristická legislatíva" alebo AML/KYC, ktoré anonymitu zakazuje):
Cieľom štandardného penetračného testu je odhaliť čo najväčšie množstvo čo najviac kritických zraniteľností vo webovej aplikácii alebo webovom serveri behom 3 dní ako aj odhaliť spôsob ich využitia a prípadnú možnosť získania privilegovaného prístupu.
Cieľom detailného bezpečnostné auditu webovej aplikácie a webového serveru je čo najdôkladnejšie a najdetailnejšie otestovať webovú aplikáciu a webový server (všetky formuláre, všetky druhy známych zraniteľností). Test zahrňuje:
Analýza zdrojového kódu na potenciálne bezpečnostné zraniteľnosti v rôznych jazykoch: