È sicuro dire che stai sempre imparando nel tuo ruolo di amministratore di database. C'è molto da fare quando si tratta di monitoraggio del server SQL, di sicuro, ma ora hai anche il regolamento generale sulla protezione dei dati (GDPR) di cui preoccuparti.
Imparare tutto ciò che puoi sulla conformità al GDPR è fondamentale per la tua azienda e i suoi database. Pieno di legalese, il GDPR chiarisce una cosa:che tu, come DBA, sei responsabile dell'accesso e della protezione di qualsiasi informazione sia in sede nel tuo data center che all'interno dei tuoi servizi cloud. Diamo un'occhiata più da vicino.
Cos'è il GDPR?
Il GDPR è una legge europea sulla privacy entrata in vigore il 25 maggio 2018. Il suo scopo fondamentale è proteggere i diritti alla privacy delle persone, stabilendo al contempo requisiti di privacy globali in merito alla modalità di gestione e protezione dei dati personali.
Sebbene sia una legge volta a proteggere i cittadini dell'Unione Europea, qualsiasi azienda che abbia un cittadino dell'UE nel proprio database deve rispettare i requisiti del GDPR. I dati personali includono date di nascita, dettagli della carta di credito, indirizzi e-mail, indirizzi IP, fotografie, numeri di identificazione nazionale e altro ancora.
In qualità di DBA, non solo devi garantire che i dati personali siano protetti da accessi illeciti, ma anche che un utente possa accedere e ottenere una copia dei propri dati personali.
Il mancato rispetto delle normative GDPR comporta pesanti conseguenze; le organizzazioni vengono multate fino al 4% delle loro entrate globali o fino a 20 milioni di sterline, il che rende fondamentale per le aziende agire immediatamente ed essere pienamente conformi prima che i requisiti GDPR entreranno in vigore.
Quindi, quali sono le prospettive per il monitoraggio del server SQL?
Ora che la scadenza del 25 maggio è scaduta, si spera che tu abbia completato una valutazione del rischio. Ad esempio, qualcuna delle informazioni che memorizzi coinvolge aziende e individui dell'UE o lo farà in futuro?
Se la risposta è sì, allora devi considerare una serie di domande, tra cui dove memorizzi le informazioni personali, per cosa vengono utilizzate le informazioni, se chiarisci agli utenti che stai archiviando le informazioni, per quanto tempo le conservi , chi vi ha accesso, ecc.
Idealmente, potresti semplicemente cercare tutti i dati sul tuo server SQL per cercare nomi di colonna come "SSN" o "Data di nascita", ma le colonne sono spesso etichettate con nomi oscuri e criptici. Ciò significa che potresti dover dedicare del tempo a esaminare manualmente ogni singola tabella. Anche determinare chi ha accesso ai dati può essere difficile da determinare.
Se desideri una valutazione generale della preparazione al GDPR della tua organizzazione, questo sondaggio può aiutarti.
Sfogliare la (montagna di) informazioni
Sfortunatamente, imparare tutto ciò che c'è da sapere sulla conformità al GDPR richiede ore di lettura e ricerca. Ci sono 99 articoli e 11 capitoli sul sito Web di informazioni sul GDPR, che potrebbero richiedere giorni per la ricerca nella sua interezza.
Detto questo, ecco alcuni articoli che potrebbero riguardarti maggiormente come DBA per quanto riguarda il monitoraggio del server SQL:
Articolo 25
L'articolo 25 riguarda la protezione dei dati fin dalla progettazione e per impostazione predefinita, vale a dire il controllo di chi ha accesso ai dati personali e come le informazioni vengono archiviate, elaborate e accessibili.
- La privacy dei dati in base alla progettazione significa che le misure organizzative e tecniche appropriate per garantire la sicurezza e la privacy dei dati personali sono integrate nel ciclo di vita completo dei prodotti, dei servizi, delle applicazioni e delle attività commerciali e tecniche di un'organizzazione procedure. Le misure tecniche possono includere, a titolo esemplificativo, la pseudonimizzazione e la minimizzazione dei dati.
- La privacy dei dati per impostazione predefinita significa che (a) vengono raccolti, archiviati o elaborati solo i dati personali necessari e (b) i dati personali non sono accessibili a un numero indefinito di persone.
L'articolo 25 specifica inoltre che una certificazione approvata, come specificato nell'articolo 42, può essere utilizzata per dimostrare la conformità ai requisiti di privacy by design e privacy by default.
Articolo 30
Questo articolo affronta il corretto controllo di tutti i record e dei dati personali. È probabile che i requisiti dell'articolo 30 si applichino alla maggior parte delle società a causa dell'ampia applicabilità dell'articolo. Le aziende che si preparano a conformarsi all'articolo 30 dovrebbero esaminare come i dati si muovono attraverso ciascuno dei propri processi aziendali, non solo dove risiedono i dati. In altre parole, "segui i dati".
L'articolo 30 richiede alle aziende di produrre "record delle attività di trattamento", che consentiranno alle autorità di regolamentazione di vedere che le aziende aderiscono al GDPR.
Articolo 32
L'articolo 32 copre il requisito della crittografia dei dati. Richiede che i DBA implementino misure tecniche e organizzative che garantiscano un livello di sicurezza dei dati adeguato al livello di rischio presentato dal trattamento dei dati personali.
Le misure di sicurezza dei dati dovrebbero, come minimo, consentire:
- Pseudonimizzare o crittografare i dati personali.
- Mantenere la riservatezza, l'integrità, la disponibilità, l'accesso e la resilienza continui dei sistemi e dei servizi di elaborazione.
- Ripristino della disponibilità e dell'accesso ai dati personali, in caso di violazione della sicurezza fisica o tecnica.
- Testare e valutare l'efficacia delle misure tecniche e organizzative.
Articolo 35
Questo articolo delinea la corretta documentazione di tutta la metodologia di protezione dei dati, la loro necessità e il loro impatto. Tutte le organizzazioni sono tenute ad analizzare i propri rischi e dimostrare la propria conformità al GDPR.
Stabilisce che una valutazione dell'impatto sulla protezione dei dati (DPIA) dovrebbe essere effettuata se è probabile che il trattamento dei dati crei un rischio elevato. Una DPIA è un esercizio che consente a un'azienda di esaminare il rischio che può essere associato al trattamento dei dati e un modo per rivedere le proprie procedure tenendo presente la conformità al GDPR.
L'articolo chiede inoltre alle autorità di controllo di creare e pubblicare i propri elenchi di attività di trattamento dei dati che richiederanno DPIA.
Prepararsi alla conformità al GDPR non è un compito facile. Se non l'hai già fatto, sfrutta tutte le informazioni e le ricerche disponibili per aiutarti a diventare conforme il più rapidamente possibile.
Intraprendi ulteriori azioni per migliorare il monitoraggio di SQL Server. Inizia a rendere i tuoi database a prova di futuro con la nostra guida gratuita.