Actualizat în 3 Feb, 2020.

Prelucrarea datelor cu caracter personal a câștigat bătălia cu ”hârtia”. Sistemul electronic și-a dovedit eficiența atât în materie de accesibilitate, acuratețe, fluidizarea muncii cât și din punctul de vedere al securității. Totuși, este de reținut că o breșă de securitate la un sistem care conține o întreagă bază de date, este semnificativ mai mare decât pierderea unui contract sau a unui concediu medical.

Suntem la zi cu conformarea la gdpr a sistemelor de operare?

În România, cifrele prezentate de Microsoft Office arată așa la începutul anului 2020:

conformare la gdpr, windows

conformare la gdpr, windows

În acest articol vom discuta despre sistemele de operare Microsoft și conformarea lor la GDPR.

Pornind de la site-ul oficial Microsoft singurele sisteme de operare conforme cu GDPR sunt Windows 10 (versiunea 1703 sau mai noi) și Windows Server 2016 (sau mai noi).

Nu se face nici o referire la produsele care au ajuns la sfârșitul suportului („end of life”). Ne referim aici la sisteme de operare care sunt încă extrem de des folosite: Windows XP, Windows Vista, Windows 7, Windows 8, Windows Server 2003 sau Windows Server 2008.

Actulizarea sistemelor de operare

Cea mai bună recomandare tehnică care poate fi făcută este upgrade-ul sistemelor de operare desktop la Windows 10 și a sistemelor de operare server la Windows Server 2016.

Acest upgrade de sisteme de operare implică costuri legate de licențele software, hardware mai nou și posibile probleme de compatibilitate cu anumite aplicații software folosite în producție (de exemplu case de marcat sau bancomate).

Acolo unde upgrade-ul de sistem de operare nu este o opțiune datorită incompatibilităților cu aplicații software sugestia noastră este de a securiza aceste sisteme de operare prin:

  • Virtualizare – dacă este posibil
  • Software antivirus care este actualizat și încă compatibil cu acel sistem de operare
  • Software anti malware compatibil cu acel sistem de operare

Aceste măsuri ar trebui combinate cu alte practici necesare pentru a securiza întreaga rețea:

  • Politica de parole complexe care expiră periodic
  • Limitarea numărului de aplicații instalate doar la cele necesare pentru procesele de producție
  • Back-up periodic
  • Filtrarea traficului Internet (inclusiv DNS) la nivel de gateway

Este necesar și printr-un proces de instruirea a utilizatorilor. Sugestia noastră este ca procesul de instruire să fie constant și să existe dovezi legate de desfășurarea acestuia (de exemplu procese verbale).

Practic procesul de conformare GDPR pentru un sistem de operare care nu mai este actualizat („end of life”) se face prin documentarea măsurilor tehnice și organizatorice întreprinse în vederea asigurării unui nivel de securitate corespunzător.

Un exemplu concret în acest sens este o aplicație de licențiere software care funcționează cu o cheie hardware pe o mașină cu Windows 7 Enterprise. Cheia hardware funcționează doar pentru aceea mașină si producătorul aplicației nu mai oferă suport in pentru acest produs. Totuși produsul este folosit periodic și înlocuirea lui nu este posibilă într-un interval mai scurt de 1 an.

Întreprinderea de măsuri tehnice:

  • Update la sistemul de operare – care a avut „end of life” în 14 Ianuarie 2020
  • Dezinstalarea tuturor aplicațiilor – exceptând aplicația de licențiere software
  • Backup full
  • Instalarea de antivirus actualizat

Întreprinderea de măsuri organizatorice:

  • Procedura de folosire a computerului respectiv

Astfel, chiar dacă se folosește un sistem de operare care nu este conform GDPR, acesta poate fi folosit punctual în continuare fără riscuri.

În exemplu de mai sus putem menționa minimizarea riscului printr-o utilizare restrânsă, într-un mediu controlat.

Pentru sistemele care sunt folosite intensiv (zilnic, 24/7) procesul este unul mai complex și partea de măsuri tehnice și organizatorice trebuie elaborată pentru a reduce riscurile.

Datele cu caracter personal sunt cel mai prețios bun de care dispunem. Protejarea lor trebuie să fie prioritatea numărul 1.

Investiția într-un sistem de operare de ultima generație, folosirea metodelor de protejare anti virus și elaborarea de proceduri sunt investiții care ne scutesc de amenzi și breșe de securitate.