GDPR.
Ogólne rozporządzenie o ochronie danych
    sp6ryd pisze:

    Jeśli masz na myśli chmurę to w modelu SaaS on będzie jednak przetwarzał. Można to nawet zgeneralizować dla PaaS i IaaS bo samo przechowywanie jest również przetwarzaniem. No chyba że zaszyfrowałeś a klucze prywatne są tylko u Ciebie to wtedy te dane nie są danymi osobowymi.

    @EI2KK
    to do tego mega systemu zadałbym następujące pytania:
    - w których systemach zastosowano pseudonimizację jako mechanizm ochrony DO ?
    - jaki jest wymiar ryzyka dla DO w danym systemie ?
    - dla których systemów przeprowadzono analizę DPIA ?
    - w których systemach mamy zaimplementowane mechanizmy pozwalające na "realizowanie praw osób których dane dotyczą"
    - w których systemach mamy zaimplementowane oznaczanie czasu/zdarzenia po którym DO należy usunąć ?
    - dane których systemów potrafimy selektywnie usuwać z backupów czy logów systemowych ?
    - które dane osobowe przetwarzamy poza EU i w jakich przypadkach (czy serwisant bazy danych pracujący przez VPN z terenu USA przetwarza DO poza terenem EU ? a prezes firmy w podróży służbowej ? - uwaga na interpretację prawnika)
    - co do których systemów powinniśmy zaplanować weryfikację umów serwisowych ?
    ...
    ...
    wesoły



Tak, z tym że podejcie jest troche odwrotne.. nie "w których systemach", bo to już wynik końcowy, czyli zestawienia...

Struktura jest taka, że np. dla kazdej aplikacji zaczyna się od ustalenia 4 osób określonych w którymś ISO: Owner, RSM, kontakt, i chyba BISO.. nie zawracam sobie głowy pamiętaniem takich rzeczy, dostaje requirements, implementuje, kiedy po testach wchodzi do produkcji to 'zapominam'. Drugi krok, to wprowadzenie do systemu szeregu danych przez Owner.. jest zestaw wizards które ktoś 'wypełnia', system robi walidacje czy nie podał głupot itd itp.. dla przykładu, sama sekcja PII/PHI, liczy już około 100 pytań/parametrów. Raz do roku system wymusza audyt wewnętrzny. No i oczywiście mnóstwo raportów dostępnych dla upoważnionych osób oraz zapis wszystkich zmian jake dokonują użytkownicy + automatyczne wyliczanie różnych wskaźników jak Risk Tier, Risk Profile.... Wspomniałeś o umowach serwisowych... tu mamy chyba ponad 20 parametrów, powiązanie z komponentami (np .NET nie jest integralną częścią aplikacji, ale jest to core component za którego odpowiada ktoś inny). Itd itp.... w zasadzie od strony GDPR jesteśmy gotowi, kończe tylko sekcje danych związaną z SDLC.


  PRZEJDŹ NA FORUM