Sqlserver
 sql >> Base de données >  >> RDS >> Sqlserver

Conformité GDPR et votre serveur SQL

Il est sûr de dire que vous apprenez toujours dans votre rôle d'administrateur de base de données. Vous avez beaucoup à faire en ce qui concerne la surveillance des serveurs SQL, bien sûr, mais maintenant vous devez également vous soucier du Règlement général sur la protection des données (RGPD).

Apprendre tout ce que vous pouvez sur la conformité GDPR est crucial pour votre entreprise et ses bases de données. Rempli de jargon juridique, le RGPD précise une chose :vous, en tant que DBA, êtes responsable de l'accès et de la protection de toute information, qu'elle soit sur site dans votre propre centre de données ou au sein de vos services cloud. Examinons de plus près.

Qu'est-ce que le RGPD ?

Le RGPD est une loi européenne sur la protection de la vie privée qui est entrée en vigueur le 25 mai 2018. Son objectif fondamental est de protéger les droits à la vie privée des individus tout en établissant des exigences mondiales en matière de confidentialité concernant la manière dont les données personnelles sont gérées et protégées.

Bien qu'il s'agisse d'une loi visant à protéger les citoyens de l'Union européenne, toute entreprise qui a un citoyen de l'UE dans sa base de données doit se conformer aux exigences du RGPD. Les données personnelles comprennent les dates de naissance, les détails de la carte de crédit, les adresses e-mail, les adresses IP, les photographies, les numéros d'identification nationaux, etc.

En tant que DBA, vous devez non seulement vous assurer que les données personnelles sont protégées contre tout accès illégal, mais également qu'un utilisateur peut accéder à ses données personnelles et en obtenir une copie.

Le non-respect des réglementations GDPR a de lourdes conséquences ; les entreprises se voient infliger des amendes pouvant aller jusqu'à 4 % de leur chiffre d'affaires mondial ou jusqu'à 20 millions de livres sterling. Il est donc vital pour les entreprises d'agir immédiatement et d'être en pleine conformité au moment où les exigences du RGPD seront pleinement en vigueur.

Alors, quelle est la prochaine étape pour la surveillance des serveurs SQL ?

Maintenant que la date limite du 25 mai est passée, vous aurez, espérons-le, terminé une évaluation des risques. Par exemple, certaines des informations que vous stockez impliquent-elles des entreprises et des particuliers de l'UE, ou le feront-elles à l'avenir ?

Si la réponse est oui, alors vous devez considérer une variété de questions, y compris où vous stockez des informations personnelles, à quoi servent les informations, si vous indiquez clairement aux utilisateurs que vous stockez les informations, combien de temps vous les conservez , qui y a accès, etc.

Idéalement, vous pouvez simplement rechercher toutes les données sur votre serveur SQL pour rechercher des noms de colonne tels que "SSN" ou "Date de naissance", mais les colonnes sont souvent étiquetées avec des noms obscurs et cryptés. Cela signifie que vous devrez peut-être passer du temps à enquêter manuellement sur chaque table. Il peut également être difficile de déterminer qui a accès aux données.

Si vous souhaitez une évaluation générale de la préparation de votre organisation au RGPD, cette enquête peut vous aider.

Passer au crible la (montagne d') informations

Malheureusement, apprendre tout ce qu'il y a à savoir sur la conformité au RGPD nécessite des heures de lecture et de recherche. Il y a 99 articles et 11 chapitres sur le site Web d'information GDPR, ce qui peut vous prendre des jours pour effectuer une recherche dans son intégralité.

Cela dit, voici quelques articles qui pourraient vous concerner le plus en tant que DBA concernant la surveillance des serveurs SQL :

Article 25

L'article 25 traite de la protection des données par conception et par défaut, c'est-à-dire contrôler qui a accès aux données personnelles et comment les informations sont stockées, traitées et consultées.

  • La confidentialité des données dès la conception signifie que des mesures organisationnelles et techniques appropriées pour garantir la sécurité et la confidentialité des données personnelles sont intégrées dans le cycle de vie complet des produits, services, applications et activités commerciales et techniques d'une organisation. procédures. Les mesures techniques peuvent inclure, mais sans s'y limiter, la pseudonymisation et la minimisation des données.
  • La confidentialité des données par défaut signifie que (a) seules les données personnelles nécessaires sont collectées, stockées ou traitées et (b) les données personnelles ne sont pas accessibles à un nombre indéfini de personnes.

L'article 25 précise également qu'une certification approuvée, telle que spécifiée à l'article 42, peut être utilisée pour démontrer la conformité aux exigences de confidentialité dès la conception et de confidentialité par défaut.

Article 30

Cet article traite de la vérification appropriée de tous les enregistrements et données personnelles. Les exigences de l'article 30 sont susceptibles de s'appliquer à la plupart des entreprises en raison de la large applicabilité de l'article. Les entreprises qui se préparent à se conformer à l'article 30 devraient examiner comment les données se déplacent dans chacun de leurs processus commerciaux, et pas seulement où les données résident. En d'autres termes, "suivez les données".

L'article 30 oblige les entreprises à produire des « registres des activités de traitement », ce qui permettra aux régulateurs de voir que les entreprises adhèrent au RGPD.

Article 32

L'article 32 couvre l'exigence de cryptage des données. Elle exige des DBA qu'ils mettent en œuvre des mesures techniques et organisationnelles garantissant un niveau de sécurité des données adapté au niveau de risque présenté par le traitement des données personnelles.

Les mesures de sécurité des données doivent, au minimum, permettre :

  • Pseudonymisation ou cryptage des données personnelles.
  • Maintenir la confidentialité, l'intégrité, la disponibilité, l'accès et la résilience des systèmes et services de traitement.
  • Rétablir la disponibilité et l'accès aux données personnelles, en cas de faille de sécurité physique ou technique.
  • Tester et évaluer l'efficacité des mesures techniques et organisationnelles.

Article 35

Cet article décrit la documentation appropriée de toute la méthodologie de protection des données, ainsi que leur besoin et leur impact. Toutes les organisations sont tenues d'analyser leurs risques et de démontrer leur conformité au RGPD.

Il stipule qu'une analyse d'impact sur la protection des données (DPIA) doit être effectuée si le traitement des données est susceptible de créer un risque élevé. Une DPIA est un exercice qui permet à une entreprise d'examiner le risque pouvant être associé au traitement des données et un moyen de revoir ses procédures en gardant à l'esprit la conformité au RGPD.

L'article appelle également les autorités de contrôle à créer et publier leurs propres listes d'activités de traitement de données qui nécessiteront des DPIA.

Se préparer à la conformité au RGPD n'est pas une tâche facile. Si vous ne l'avez pas déjà fait, profitez de toutes les informations et recherches disponibles pour vous aider à vous mettre en conformité le plus rapidement possible.

Prenez des mesures supplémentaires pour améliorer votre surveillance SQL Server. Commencez à pérenniser vos bases de données grâce à notre guide gratuit.