Proč začít brát ochranu dat vážně a jak vám s tím může ESET pomoci?

PRŮVODCE GDPR (PDF)
Co je GDPR?

Vyhovuje vaše firma nařízení GDPR?

V květnu 2018 vejde v platnost nové nařízení o ochraně a regulaci dat, neboli General Data Protection Regulation (GDPR).

Pokud zpracováváte osobní data (např. zákazníků) je velmi pravděpodobné, že se vás nové nařízení bude dotýkat. Zpracováním osobních dat nařízení rozumí jakékoliv operace nebo soubor operací s osobními údaji, které jsou prováděny s pomocí či bez pomoci automatizovaných procesů.

Tato stránka vám pomůže GDPR pochopit, identifikovat požadavky a nalézt řešení. Regulace a ochrana dat se týká každé organizace a firmy v Evropské unii, která používá osobní data. Stejně tak se dotkne každé firmy, která v EU podniká. V mimořádných případech mohou dosáhnout až 20 milionů euro (540 milionů korun) či 4 procenta z obratu firmy..

calendar due date GDPR

Stáhněte si průvodce zdarma a získávejte aktuality o GDPR

Společně s odborníky na právo jsme připravili dokument, který vám poskytne základní informace o chystaném nařízení.

guide general data protection regulation

Online compliance check

Does your organization comply with the regulation?

Jak postupovat, krok za krokem

Důsledky GDPR jsou velmi komplexní, proto jsme rozdělili proces do tří skupin, dále rozdělených do podrobnějších oblastí. Pro více informací klikněte na oblast, která vás zajímá.

+Obecně

Některé ze zásad nařízení GDPR navazují na stávající směrnici o ochraně údajů. Jmenovitě je o zákonnost a transparentnost, omezení účelu, minimalizaci dat, kvalitu dat, bezpečnost, integritu a důvěrnost.

Nařízení GDPR zavádí nový princip odpovědnosti a to tím, že kontroloři dat jsou zodpovědní za dodržování nařízení. Novinkami jsou:

Zákonnost, spravedlivost a průhlednost – Osobní data musí být zpracována transparentním způsobem ve vztahu k datům subjektu.

Omezení účelu – Archivace osobních údajů, které jsou ve veřejném zájmu, nebudou považovány za neslučitelné s původním účelem zpracování.

Ukládání dat – Osobní data musí být ve formě, která neumožňuje identifikaci dané osoby (subjektu) po dobu ne delší než je nezbytné pro účely zpracování.

Odpovědnost – Kontroloři dat jsou zodpovědní (a musí být schopni dokázat), že dodržují všechny zásady nařízení.

+Požadavky na organizační strukturu

Až začne nařízení platit, bude nutné implementovat mechanismy, které zajistí snížení rizika úniku dat, a zároveň bude firma muset dokázat, že nařízení dodržuje. Mezi taková opatření řadíme například posouzení dopadů ochrany osobních údajů, audity, přehled politik, záznamy aktivity nebo zaměstnání pověřence pro ochranu dat (Data Protection Officer).

GDPR zavádí povinnost pro některé organizace vytvořit pozici pověřence pro ochranu dat. Může jít o interního zaměstnance nebo externího konzultanta.

Pokud jste marketér s velkou databází zákazníků, je pravděpodobně, že pověřence budete potřebovat. Autority pro ochranu dat by vám měly poradit, jaké požadavky by pověřenec měl splňovat.

DPO bude zodpovědný za dodržování nařízení GDPR ve vaší organizaci, měl by poradit, v jakých případech by mělo k ochraně dat dojít a zároveň bude hlavním kontaktem pro kontrolní orgány.

Organizacím, které působí v různých zemích EU, nařízení umožňuje, aby spolupracovaly pouze s jednou autoritou pro ochranu dat. Ačkoli pravidla pro výběr dané autority jsou v některých případech velmi komplexní.

+Procesy, procedury a politiky

Nařízení GDPR definuje únik dat jako „narušení bezpečnosti, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně či neoprávněnému vyzrazení nebo zpřístupnění osobních údajů“.

Jde o rozšíření předchozí definice a nebere v úvahu fakt, zda únik vede k poškození konkrétních osob. Pokud dojde k úniku dat. Musíte informovat autoritu pro ochranu dat co nejdříve, ne však později než 72 hodin po zjištění úniku.

Pokud jste však implementovali odpovídající technické a organizační mechanismy pro ochranu dat, například šifrování, nemusíte informovat jednotlivé osoby.

Nové nařízení přináší řadu povinností pro zpracovatele dat, který musí být schopen doložit fakt, že nařízení GDPR dodržuje. Může jít například o vhodné technické opatření (šifrování dat) nebo organizační opatření (interní bezpečnostní politiky).

Posouzení dopadů na ochranu údajů, také známé jako posouzení dopadu na soukromí (PIA), má za cíl identifikovat a minimalizovat rizika při nedodržení směrnice.

Pokud vaše firma působí mezinárodně mimo EU, pak budou pravidla a procesy pro přenos dat mimo EU významným parametrem hodnocení. Sankce za nedodržení nebo přenos dat mimo země Evropské unie, které nemají adekvátní regulaci ochrany dat, budou daleko citelnější.

+Povědomí o zabezpečení dat

Už s předstihem byste měli zaměstnancům vysvětlit, jak se zavedení nařízení dotkne jejich práce. Zároveň byste měli začít s kontrolou stávajících procesů.

+Odpovědnost

Je nutné, abyste byli kdykoli schopni prokázat na vyžádání, že ve vaší firmě existují jasná pravidla, která splňují nové nařízení.

+Únik dat

Na potenciální únik dat musíte být připraveni. To zahrnuje zavedení jasných politik a procedur pro prevenci úniku dat i pro případ, kdy k úniku dojde.

Neohlášení úniku dat může mát za následek finanční pokutu, vedle pokuty za únik dat samotný.

+Zajištění práv zákazníků

Nařízení GDPR posiluje práva osob / zákazníků, které jste schopni jednoznačně identifikovat, ať už přímo nebo nepřímo.

Jedním z hlavních cílů nového nařízení je posílení práv zákazníků. Pokud dojde ze strany zákazníka k požadavku například na informaci, jak s jeho citlivými informacemi daná firma zachází, musí mu být vyhověno. Tento proces musí firma provést bezplatně a v lhůtě jednoho měsíce (nyní je to 40 dnů).

Jakmile bude nařízení v platnosti, pak má zákazník právo podat požadavek na smazání veškerých osobních informací, které daná firma má k dispozici.

Pokud firma poskytuje osobní informace třetí straně, musí zařídit vymazání dat i tam.

Nařízení GDPR přináší zcela novou definici přenositelnosti dat. Nově vyžaduje, aby byly informace poskytovány ve strukturované, běžně používané a strojově čitelné formě.

Tato povinnost se však týká pouze osobních dat zpracovaných automaticky.

Zákazník má nově právo zabránit resp. vyslovit nesouhlas s tím, aby jeho osobní data byla zpracována pro účely přímého marketingu, včetně profilování.

Jakmile k zákazu doje, firma musí všechny osobní informace přesunout do odpovídající databáze.

Firmy mají zároveň o této možnosti povinnost informovat zákazníky samostatným způsobem např. speciálním e-mailem).

+Komunikace soukromých informací (souhlas)

Je velmi pravděpodobné, že firmy budou muset zkontrolovat celý proces, jakým získávají souhlas osob se zpracováním údajů. Proces musí být nově vyvážený, tzn. že souhlas musí být stejně jednoduché odvolat, jako udělit. A musí jít o jednoznačně pozitivní souhlas. Nejde tedy podmínit souhlas například předem zaškrtnutým polem (checkbox) nebo neaktivitou zákazníka.

GDPR nařízení pravděpodobně zvýší počet aktivit, které firmy vyvíjejí směrem k zákazníkům ve smyslu podání informace o právním základu zpracování jejich osobních dat, informace, jak dlouho data uchovávají a také o možnosti stěžovat si odpovědné instituci, pokud si myslí, že se s jejich osobními informacemi zachází špatně. Definováni je i forma, kterou zákazník dostane výše popsané informace. Musí to být podáno stručně a ve srozumitelném jazyce.

+Bezpečnost dat (integrita a důvěrnost)

Tato část GDPR nařízení je podobná současné právní úpravě. Firma musí zajistit, aby se s osobními daty zacházelo způsobem, který zajišťuje jejich bezpečnost, včetně ochrany před neautorizovaným nebo nezákonným procesem, pro případ ztráty, zničení a poškození.

Nařízení doporučuje bezpečnostní opatření, které mohou firmy implementovat. Jde o pseudonymizaci a šifrování osobních dat.

+Dokumentace dat a audit

Firmy by měly dokumentovat, jaká data uchovávají, odkud pochází a s kým je sdílí.

Pokud firmy pracují s nepřesnými daty a poskytují je dalším organizacím, nařízení GDPR vyžaduje, aby firma zjištěné nepřesnosti předala i dané organizaci. Takový proces může vyžadovat informační audit napříč firmou nebo v jejích konkrétních částech.

Jakmile nařízení vstoupí v platnost, firmy by měly prozkoumat, jak zpracovávají osobní data, na jakém právním základě a dané procesy zdokumentovat.

Toto je nezbytné, jelikož se práva zákazníků s GDPR mění. Příkladem může být právo na vymazání osobních data, i když souhlasili s jejich zpracováním.

Informace na této stránce nepředstavují právní názor a uživatelé by neměli spoléhat na její přesnost při důležitých rozhodnutích. Společnost ESET nebude zodpovědná za důsledky takových rozhodnutí. Pomoc vždy hledejte u nezávislé právní autority.

Join our GDPR webinar

Talk to our experts about how the new General Data Protection Regulation will affect your business. ESET is hosting webinars to explain the issues around the GDPR. These webinars are free to attend: just sign up below and we’ll invite you to the next event.

Šifrování dat jako řešení

Co je šifrování?

Šifrování je proces kódování informace, který brání neautorizovaným stranám danou informaci přečíst.
Síla šifrování se nejčastěji vyjadřuje délkou klíče (v bitech) a použitým šifrovacím algoritmem.

Délka klíče a síla šifrování

Nejjednodušším způsobem jak prolomit šifrování je vyzkoušení všech možných klíčů. To označujeme jako „brute force“ útok, nicméně delší šifrovací klíče dělají z takového útoku velmi neefektivní způsob.

Prolomit 128-bitový AES klíč by zhruba 7 miliardám lidí na planetě trvalo při jedné miliardě zkontrolovaných klíčů za sekundu, okolo 1.5 triliónu let.

Proto se útočníci většinou nesnaží o reverzní inženýrství algoritmu nebo klíče. Místo toho hledají zranitelnosti v použitém šifrovacím softwaru, nebo se pokusí infikovat přímo cílový počítač škodlivým kódem, který může klíč nebo heslo zachytit a odeslat útočníkovi.

Minimalizovat rizika můžete použitím ověřeného šifrovacího produktu a instalací vždy aktualizovaného antivirového řešení na koncových stanicích.

Jak to funguje?

Šifrování se obvykle aplikuje dvěma způsoby:

Šifrování úložiště   je nejčastější způsob. Dojde k zašifrování celého disku nebo zařízení.

Pokud je k dispozici klíč, pak je šifrované úložiště čitelné pro všechny uživatele a aplikace. Šifrování dat probíhá automaticky při přesunutí souborů do složky.

Šifrování obsahu zpravidla probíhá na úrovni aplikací. Nejčastěji je šifrování obsahu používáno pro šifrování e-mailů, kde formát zprávy zůstává neporušen, ale obsah i s přílohami je zašifrován.

Obdobně, individuální soubory mohou být šifrovány jako obsah a přenášeny či převedeny bezpečně.

eset data encryption example

Co by měl šifrovací software umět?

Délka klíče i velké množství funkcí jsou důležité parametry pro výběr produktu. Neméně důležité však také je, zda je jeho používání intuitivní a snadné. Ať už z pohledu samotných koncových uživatelů nebo administrátorů.

FIPS – 140

Je obecně přijímanou nezávislou validací. Pokud ji produkt obsahuje, pak je ve většině situací už více zabezpečený než požaduje GDPR nařízení.

Jednoduché používání

V reálném použití budou šifrovat a dešifrovat soubory běžní uživatelé. Proto je velmi důležité, aby byli schopni šifrovací software použít, takže by měl mít jednoduché a intuitivní uživatelské prostředí.

Vzdálená správa klíčů, nastavení a politik

Šifrování by mělo být pro určený obsah automatické, aby uživatelé nemuseli sami určovat, jaké soubory a e-maily šifrovat či nikoli.
Vzdálená správa šifrovacích klíčů, funkcí a bezpečnostních politik minimalizuje interakci běžného uživatele, který je většinou největším bezpečnostním rizikem, na minimum.

Správa šifrovacích klíčů

Jednou z největších výzev je způsob, jakým způsobem mají uživatelé sdílet šifrované informace. Existují dvě tradiční metody:

Sdílená hesla, které ale mají několik nevýhod. Když jsou snadno zapamatovatelná, pak jsou často málo bezpečná. Naopak velmi bezpečná hesla pak je téměř nemožné si pamatovat a často končí napsané na papíře nad monitorem.

Šifrování veřejného klíče funguje velmi dobře v menších pracovních skupinách, kde jsou členové trvale, nebo se mění jen velmi málo. Stává se ale problematickým v dynamických skupinách, jejíž členové se velmi často mění.

Používání centrálně spravovaných a sdílených šifrovacích klíčů předchází všem výše popsaným problémům. Navíc je celý koncept dobře pochopitelný i pro běžného uživatele (analogie se zamykáním bytu nebo auta atd.). V kombinaci kvalitním systémem vzdálené správy jde o optimální vyvážení bezpečnosti a praktičnosti.

Vyzkoušejte šifrovací software DESlock zdarma

Stačí pouze vyplnit dotazník níže. My vám pošleme zkušební verzi ESET řešení šifrování.

Jak vám ESET může pomoci?

Naše řešení:
DESlock šifrování od ESETu

Šifrování citlivých dat pomůže být v souladu s nařízením GDPR. Naše řešení je bezpečné, lze ho snadno implementovat do stávajících systémů a umožňuje šifrovat pevné disky, výměnná média, soubory i složky.

DESlock od ESETu je šifrovací aplikace pro firmy všech velikostí. Implementace do firemního prostředí je díky optimalizovanému nastavení velmi rychlá a snadná.

Data jsou kritickou částí každé organizace, která mohou být mimo firemní strukturu vystavena potenciálnímu riziku zneužití. Silné šifrování pevných disků a výměnných médií chrání cenná firemní data v situacích, dojde například k odcizení nebo ztracení notebooku. Šifrování souborů, složek a e-mailů umožňuje bezpečnou spolupráci napříč pracovními skupinami i mimo firemní síť. DESlock Enterprise Server uplatňuje bezpečnostní politiky na všech pracovních stanicích.

Co nabízí DESlock šifrování?

Intuitivní a zároveň silné šifrování pro firmy všech velikostí bezpečně šifruje soubory na pevných discích, přenosných zařízeních i informace zaslané e-mailem.

Certifikace FIPS 140-2. Ověřené přes 256 bitové AES šifrování pro zajištění bezpečnosti.

Vzdálenou správu šifrovacích klíčů a nastavení bezpečnostních pravidel na koncových stanicích.

Podpora Micorsoft Windows 10, 8.1, 8 včetně UEFI a GPT atd.

Algoritmy a standardy AES 256 bit, AES 128 bit, SHA 256 bit, SHA1 160 bit, RSA 1024 bit, Triple DES 112 bit, Blowfish 128 bit.

Funkce DESlock+ Pro

Šifrování disku
Zašifrování určených disků a oddílů. Transparentní (pre-boot) zabezpečení s použitím 256 bit AES šifrování a certifikací dle FIPS 140-2

Šifrování výměnných médií
Šifrování nezabírá místo na disku. K dispozici je plná kapacita média. Kompatibilita se všemi USB disky, CD a DVD médii.

Šifrování e-mailů
Transparentní šifrování zpráv pomocí dedikovaného pluginu. Zprávu může přečíst pouze příjemce se stejným klíčem.

Virtuální disky a archivy
Umožňuje vytvořit bezpečné oddíly na disku nebo jiné lokalitě.

Šifrování souborů a složek
Šifrování vybraných souborů a složek. Všechny soubory jsou zašifrovány okamžitě.

Šifrování textu
Šifruje celé nebo vybrané části textového okna – webové prohlížeče, databáze nebo web-maily.

Vzdálená správa
Správa všech uživatelů a stanic se standardním připojením k internetu. Všechny příkazy, aktualizace, požadavky a odpovědi probíhají přes DESlock Enterprise Proxy.

DESlock+ Go přenosné šifrování
Mobilní aplikace spuštěná přímo z USB zařízení pro použití na nelicencovaných systémech.

Vyzkoušejte šifrovací software DESlock zdarma

Stačí pouze vyplnit dotazník níže. My vám pošleme zkušební verzi ESET řešení šifrování.

Používáme cookies, abyste si z našich stránek odnesli co nejlepší možnou zkušenost. Více informací

OK