Context

Noul Regulament UE 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date, denumit GENERAL DATA PROTECTION REGULATION (GDPR) înlocuiește Data Protection Directive 95/46, începând din data de 25 Mai 2018. GDPR se aplică în fiecare stat membru și va duce la un grad mai mare de armonizare a protecției și circulației datelor între țările din Uniunea Europeană. Deși multe companii au adoptat deja anumite procese și proceduri referitoare la protecția datelor, în concordanță cu Directiva 95/46, GDPR conține un număr suplimentar de obligații (pentru operatori) și drepturi noi pentru persoanele vizate și amenință cu aplicarea de amenzi și penalități semnificative în cazurile de neconformitate. Dintre obligațiile noi impuse de GDPR asupra operatorilor de date cu caracter personal precizăm:
  • pseudonimizarea și criptarea datelor personale
  • notificarea către Autoritatea de Supraveghere a breșelor de securitate în 72 ore
  • desemnarea unui responsabil pentru protectia datelor (DPO)
  • managementul consimțământului de prelucrare a datelor cu carcater personal
Nerespectarea GDPR de către o companie, organizație sau instituție duce la SANCȚIUNI SEVERE, de până la 20mil. EUR sau până la 4% din cifra de afaceri la nivel global. Conform recomandării 39 a GDPR „Datele cu caracter personal ar trebui prelucrate intr-un mod care sa asigure in mod adecvat securitatea şi confidentialitatea acestora, inclusiv in scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizata a datelor cu caracter personal şi a echipamentului utilizat pentru prelucrare „ Din data de 25 mai 2018 se vor produce schimbări importante în legislația europeană pentru protecția datelor cu caracter personal, odată cu intrarea în vigoare a Regulamentului UE 679/2016, cunoscut și sub numele de General Data Protection Regulation (GDPR). Neconformitatea cu acest regulament la data intrării în vigoare poate avea un impact major asupra activității unui operator sau procesator de date, atât din punct de vedere financiar – prin amenzile mari, de până la 20mil. EUR sau 4% din cifra de afaceri, dar și din punct de vedere al impactului reputațional – în cazul eventualelor breșe de securitate. GDPR se aplică direct în fiecare stat membru al Uniunii Europene și va duce la un grad mai mare de armonizare a protecției și circulației datelor între țările membre UE. Fie că vorbim despre prelucrarea datelor angajaților , a datelor clienților în scopuri de marketing sau a datelor sensibile ale unor clienți (date legate de sănătate, biometrice etc),  GDPR vine la pachet cu obligații sporite pentru orice organizație. Acesta se va aplica indiferent de locul unde aceasta își are sediul, dacă gestionează datele cu caracter personal ale cetățenilor din Uniunea Europeană. Prin urmare, toate tipurile de entități, parte din sectorul public, privat sau non-profit, trebuie să cunoască și să înțeleagă modul în care intrarea în vigoare a GDPR le va afecta activitatea și să-și adapteze modul și instrumentele de lucru la noile cerințe până la 25 mai 2018. Venim în întâmpinarea clienților și partenerilor noștri cu servicii de evaluare a gradului de conformare cu cerințele noului Regulament GDPR. În urma acestei evaluări se vor identifica vulnerabilitățile proceselor interne care pot duce la neconformare. Aceasta evaluare include de fapt o verificare a modului în care organizația poate răspunde unor cerințe noi ale regulamentului, precum portabilitatea datelor, notificarea autorităților sau implementarea protecției datelor („privacy by design and privacy by default) încă din faza de proiect a unui proces, sistem sau serviciu. Practic, la finalul evaluării conformității cu GDPR, se va trasa o harta a punctelor critice din cadrul măsurilor tehnice și organizatorice și un plan de remediere a acestor vulnerabilități, astfel încât riscul organizației să fie redus la un nivel acceptabil. De asemenea, putem completa aceste măsuri, prin oferirea de soluții în vederea realizării unui nivel optim de securitate informatică ce acoperă și asigură în mod adecvat, cele trei obiective fundamentale dintr-o organizație: confidențialitate, integritate și disponibilitate, către toate nivelele: procese, proceduri, aplicații, sisteme, rețea și infrastructură.

Servicii oferite
Realizam servicii de evaluare a securității informației pentru datele cu caracter personal, conform Regulamentului UE 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Serviciile de evaluare a securității informației pentru datele cu caracter personal vor fi prestate pe parcursul a maxim 30 zile calendaristice în conformitate cu etapele și livrabilele urmatoare:
Etapa Livrabil
Identificare procese de business ce implica activitati de prelucrare a datelor cu caracter personal Documentare proces de business
Identificarea scopului prelucrarii datelor personale pentru fiecare process de business Descriere scop si proces prelucrare a datelor cu caracter personal
Identificarea categoriilor de date personale prelucrate in cadrul proceselor de business Documentare categorii de date, accesul la date si perioada de retentie
Analiza de impact pentru fiecare categorie de date per process de business Document analiza impact
Identificarea serviciilor IT care sustin procesele de business si a sistemelor informatice aferente Document arhitectura
Identificarea masurilor de securitate implementate in cadrul sistemelor informatice Documentare masuri de securitate implementate
Identificarea vulnerabilitatilor in cadrul sistemului informatic (teste de securitate din extern si intern) Raport testare securitatea informatiei
Identificarea fluxului de informatii in cadrul si intre sistemele informatice Diagrama fluxuri de date
Modelare amenintari. Identificare amenintari in ceea ce priveste datele cu caracter personal. Lista amenintari
Analiza de risc privind datele cu caracter personal Registru riscuri
Identificare masuri pentru reducerea nivelului de risc Plan de masuri
DESCRIEREA SERVICIILOR Va propunem urmatoarele etape in verificarea conformitatii cu GDPR:
  • ETAPA 1 - Identificarea elementelor de procesare a datelor cu caracter personal (Information Gathering)
  • ETAPA 2 - Evaluare Nivel de conformitate si Analiza de risc (Readiness Assessment)
  • ETAPA 3 - Elaborare plan de masuri (Remediation Plan).
Obtinerea informatiilor prin intermediul etapei „Information Gathering” si a „Readiness Assessment” este vitala pentru a evalua starea actuala in ceea ce priveste cerintele GDPR, inclusiv pregatirea unei imagini de ansamblu (la nivel inalt) a activitatilor cheie de procesare a datelor cu caracter personal si a unui plan de remediere, pentru a elimina deficientele identificate intre starea actuala de conformitate si cerintele viitoare ale regulamentului.

ETAPA 1 - IDENTIFICAREA ELEMENTELOR DE PROCESARE A DATELOR CU CARACTER PERSONAL Scopul etapei de „Information Gathering” este de a oferi o viziune mai completa asupra activitatilor de prelucrare a datelor cu caracter personal in cadrul operatorului de date (companiei) pentru a se conforma obligatiei referitoare la registrul de activitati de prelucrare a datelor. Aceasta obligatie din regulamentul GDPR impune operatorului de date (organizatiei) a tina o evidenta a activitatilor interne de prelucrare a datelor, mai exact: tipul de date procesare, scopurile pentru care sunt utilizate datele, categoriile de persoane vizate de prelucrare, si eventualele transferuri de date transfrontaliere. In cadrul acestei etape, vor fi identificate si documentate urmatoarele aspecte:
  • Procesele de business ce implica activitati de prelucrare a datelor cu caracter personal
  • Scopul prelucrarii datelor personale pentru fiecare process de business
  • Categoriile de date personale prelucrate in cadrul proceselor de business
  • Serviciile si sistemele informatice utilizate in activitatile de prelucrare
  • Fluxurile de date pe tot ciclul lor de viata, incepand cu faza de colectare, pana in faza de arhivare/stergere/distrugere
  • Modalitati de transferuri de date cu caracter personal către terțe entități sau persoane și procedurile aplicate la efectuarea acestor transferuri;
  • Masurile de securitate existente in cadrul proceselor de business, precum si rezistenta acestora la atacurile informatice
  • Procedurile interne existente privind prelucrarea datelor cu caracter personal (din punct de vedere IT si Securitatea Informatiei)

ETAPA 2 - EVALUARE NIVEL CONFORMITATE SI ANALIZA DE RISC Scopul etapei de EVALUARE NIVEL CONFORMITATE SI ANALIZA DE RISCeste acela de a oferi un cadru prin care operatorul de date poate fi evaluat cu privire la obligatiile si cerintele din regulamentul GDPR. Informatiile obtinute in etapa aceasta vor permite operatului sa identifice eventualele probleme de conformitate si, daca este necesar, sa intreprinda si sa prioritizeze actiunile necesare pentru a remedia astfel de deficiente. Analiza din etapa aceasta contine o serie de declaratii de control grupate in categorii si subcategorii de cerinte din sfera regulamentului de protectia datelor. O declaratie de control reprezinta o declaratie care descrie un proces, o activitate de business sau un concept care exista in cadrul activitatii operatului de date. Declaratiile de control sunt derivate din obligatiile si cerintele mentionate in cadrul regulamentului GDPR. Astfel, vor fi identificate controalele existente cu privire la cerintele GDPR pe fiecare arie tematica a regulamentului, precum si eficacitatea acestor controale la momentul actual, dar si in raport cu activitatile viitoare preconizate. Se va efectua o analiza de risc privind riscurile la adresa protectiei informatiilor cu caracter personal.

ETAPA 3 - ELABORARE PLAN DE MASURI In cadrul ultimei etape se va realiza un plan de conformitate GDPR in functie de punctele critice identificate in etapa anterioara si de riscurile acestora, a unui plan de masuri de conformitate care sa reduca nivelul de risc la un nivel acceptabil pentru operator. Planul de masuri se va axa pe urmatoarele aspecte:
  • Guvernanta protectiei datelor cu caracter personal
  • Inventarierea datelor cu caracter personal si mecanismele de transfer
  • Politica interna de protectie a datelor cu caracter personal
  • Protectia datelor personale in cadrul operatiunilor de procesare
  • Programul de instruire si constientizare a angajatilor
  • Managementul riscului privind securitatea informatiilor
  • Managementul riscului privind entitatile externe (transfer de informatii)
  • Notificarea persoanelor privind prelucrarea datelor cu caracter personal
  • Procesul de raspuns la solicitarile persoanelor fizice
  • Implementarea conceptului “Privacy by Design” in cazul unor noi prelucrari de date
  • Managementul incidentelor privind protectia datelor personale
  • Monitorizarea accesului la informatii si a atacurilor cibernetice

De ce suntem partenerul potrivit si ce ne diferentiza?
Clientii nostri beneficiaza de experienta vasta a unor profesionisti in domeniul securitatii informației. Acoperirea nevoii de securitate a companiilor este unicul scop al activitatii companiei noastre si este domniul in care avem experienta dovedita si dobandita in companii pentru care securitatea inseamna business-ul in sine (sectorul bancar ar fi un exemplu). Ne-am specializat in identificarea vulnerabilitatilor, in reducerea riscurilor si in creerea programelor de securitate care sa asigure pe termen lung conditiile de care compania are nevoie pentru a se dezvolta.   Echipa noastra este formata de experti in securitatea informatiilor, fapt care imprima exigenta in privinta calitatii serviciilor livrate. Actionam in domeniul securitatii cibernetice urmand tactici si proceduri specifice. Ne organizam ca o unitate de elita in apararea cibernetica si suntem ghidati de: respect si loialitate, etica si responsabilitate, puterea echipei (includem aici si parteneriatele).
Clientii nostri beneficiaza de expetiza in domeniul securitatii cibernetice. Avem know how certificat in ceea ce priveste tehnica de atac si de aparare in domeniul cibernetic si expertiza in ceea ce priveste:
  • Analiza amenintarilor si a vulnerabilitatilor existente/potentiale
  • Evaluarea riscurilor si al impactului de business
  • Consultanta in vederea asigurarii confidentialitatii, integritatii si disponibilitatii informatiilor
  • Implementarea solutiilor necesare in vederea realizarii unui nivel optim de securitate, care sa mentina un business sanatos pe termen lung.

Asigurăm pentru serviciile de evaluare securitatea informatiei pentru datele cu caracter personal următoarele roluri/experți: Arhitect solutii securitate
  • TOGAF 9.1 - The Open Group Architecture Framework
  • ISACA Cobit Foundation
  • ITIL Foundation
  • Diploma de risk management PMI RMP
  • PMP - Project Management Professional
  • AGILE PM - Project Management Foundation & Practitioner
Expert Senior Testare securitatea Informatiei
  • CEH - Certified Ethical Hacker (EC-COUNCIL)
  • ECSA - EC Council Certified Security Analyst
  • LPT - Licensed Penetration Tester (EC-COUNCIL)
  • OSCP - Offensive Security Certified Professional (Offensive Security)
  • OSWP – Offensive Security Wireless Professional
  • RHCE - Red Hat Certified Engineer
Expert Senior Securitatea Informatiei
  • CIPT - Certified Information Privacy Technologist
  • CISSP – Certified Information Systems Security Professional (ISC2)
  • CISA - Certified Information Systems Auditor (ISACA)
  • CSSLP – Certified Secure Software Lifecycle Professional (ISC2)
  • CISM - Certified Information Security Manager (ISACA)