GDPR
vs
C.I.A.
Confidentiality – Integrity – Availability
Εμπιστευτικότητα – Ακεραιότητα- Διαθεσιμότητα
Tα βασικά χαρακτηριστικά της GDRP
- Διαχείριση της Πληροφορίας των Προσωπικών Δεδομένων
Ο Κανονισμός Ρυθμίζει:
- Τα προσωπικά τους δεδομένα
- Την επεξεργασία των προσωπικών τους δεδομένων
- Την ελεύθερη και ανεμπόδιστη κυκλοφορία και μεταβίβαση των προσωπικών τους δεδομένων εντός των ορίων της Ευρωπαϊκής Ένωσης.
- Τις διαδικασίες διαβίβασης προσωπικών δεδομένων εκτός Ευρωπαϊκής Ένωσης
Ο Κανονισμός Υποχρεώνει σε περίπτωση κλοπής της πληροφορίας
- Αναγγελία – Ενημέρωσης Αρχών Εντός 72 ωρών.
- Υποχρέωση Ενημέρωσης Πελατών που υπέστησαν Ζημιά.
Η αρχή μπορεί να επιβάλει πρόστιμα
- Διοικητικά Πρόστιμα.
- Πρόστιμα έως το 4% του Ετήσιου Παγκόσμιου Τζίρου, με max 20.000.000,00 €, & όποιο από τα δύο είναι μεγαλύτερο
Μαθήματα από WANNACRYPT & NOTPEYA
- I.o.T Το Διαδίκτυο των Πραγμάτων, ή Internet of Things, αφορά, τα καταναλωτικά προϊόντα, τα μέσα μεταφοράς, βιομηχανικά και βοηθητικά εξαρτήματα, οι αισθητήρες και άλλα καθημερινά αντικείμενα συνδέονται μεταξύ τους μέσω του διαδικτύου. Όλοι συνδέονται με όλους.
- Όταν σε μια εταιρία ανακαλυφθεί μια εισβολή η λογική πρώτη αντίδραση είναι να κλείσει το σύστημα για να περιοριστεί η απειλή και να ανιχνευτεί η τρύπα . Αυτό όμως έχει άμεση επίδραση στην λειτουργία της επιχείρησης. Παράλληλα αυξάνεται και η πίεση από τους μετόχους προκειμένου να επαναλειτουργήσει.
- Οι χάκερς σε μια εταιρία όταν κάνουν επίθεση επιτίθονται σε περισσότερες από μια μηχανές.
- CXO fraud or Business E mail compromise. Αντιγραφή email που χρησιμοποιούνται για πληρωμές και μεταφορές χρημάτων.
«G.D.P.R.» & Ασφάλιση «Cyber Privacy Insurance»
Το βασικό χαρακτηριστικό της Ασφάλισης με αφορμή την GDRP
- Προσφέρει Υπηρεσίες για την αντιμετώπιση της κρίσης
- Πληρώνει ποινές
- Πληρώνει λύτρα (ransomeware)
H Ασφάλιση «Cyber Insurance» αποτελεί μια Προστασία, η οποία καλύπτει σε μεγάλο βαθμό τις υποχρεώσεις της «G.D.P.R.» . Λειτουργεί ως ένα μέτρο το οποίο πήρε η επιχείρηση προκειμένου να θωρακιστεί στα πλαίσια της συμμόρφωσης με την παραπάνω οδηγία. Κυρίως όμως διασφαλίζει την οικονομική ευρωστία της επιχείρησης αφού καλύπτει τις ακόλουθες περιπτώσεις.
Τα κύρια στοιχεία «Cyber Privacy Insurance»
- Αστική Ευθύνη έναντι τρίτων, οι οποίοι υπέστησαν ζημιά λόγω απώλειας των προσωπικών τους δεδομένων από την εταιρία στην οποία τα είχαν δώσει
- Έξοδα και Υπηρεσίες διαχείρισης περιστατικών παραβίασης συστημάτων και απώλειας εμπιστευτικών πληροφοριών
- Διακοπή Εργασιών: Κάλυψη για απώλεια εσόδων λόγω διακοπής της επιχειρηματικής δραστηριότητας από περιστατικά παραβίασης συστημάτων και απώλειας εμπιστευτικών πληροφοριών
- Κυβερνοεκβιασμό: Κάλυψη για διαχείριση περιστατικών εκβιασμού από απειλές που μπορεί να βλάψουν ένα δίκτυο ή να οδηγήσουν σε διαρροή εμπιστευτικών πληροφοριών
- Διοικητικά Πρόστιμα: Που τυχόν επιβληθούν, από αρμόδιες αρχές για περιστατικά Data Breach
Τι δεν αντικαθιστά ένα ασφαλιστικό πρόγραμμα σχετικό με την GDPR
- Τον ΙΤ
- Τον Νομικό Σύμβουλο
- Τον GDPO Manager
ΣΤΟΙΧΕΙΑ & ΕΝΔΕΙΚΤΙΚΕΣ ΕΝΕΡΓΕΙΕΣ ΠΡΟΣΑΡΜΟΓΗΣ ΣΤΙΣ ΟΔΗΓΙΕΣ ΤΟΥ GDPR ΑΠΟ ΤΙΣ ΕΤΑΙΡΕΙΕΣ
ΔΙΑΔΙΚΑΣΙΕΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ
- Να υπάρχει γραπτά η πολιτική προστασίας Προσωπικών ∆εδομένων και Εμπιστευτικών Εταιρικών Πληροφοριών που εφαρμόζεται στην Εταιρία
- Να είναι ενημερωμένοι οι εργαζόμενοι για την πολιτική Προστασίας Προσωπικών ∆εδοµένων που πρέπει να ακολουθείται και τις αλλαγές της
- Να επιθεωρείται τακτικά η πολιτική Προστασίας Προσωπικών ∆εδοµένων
- Η πολιτική για την Προστασία Προσωπικών ∆εδοµένων και Εμπιστευτικών Εταιρικών Πληροφοριών να είναι σύμφωνη µε τη νομοθεσία και τις ελάχιστες απαιτήσεις που υπαγορεύει ο κλάδος στον οποίο δραστηριοποιείται η Εταιρία
- Αν υπάρχει θυγατρική της Εταιρίας στις Η.Π.Α. να είναι σύμφωνη µε το “Safe Harbor Program” που εφαρμόζεται ανάμεσα στις Η.Π.Α και την Ε.Ε.
- Να υπάρχει στην Εταιρία «Υπεύθυνος Κανονιστικής Συµµόρφωσης» (Chief Compliance Officer),
«Υπεύθυνος Προστασίας ∆εδοµένων» και/ή Σύμβουλος για θέματα Προστασίας Προσωπικών
∆εδοµένων
ΠΡΟΣΒΑΣΗ & ΑΝΑΚΤΗΣΗ ΔΕΔΟΜΕΝΩΝ
- Να χρησιμοποιεί η Εταιρία firewalls για να αποτρέψει τη µη εξουσιοδοτημένη πρόσβαση από εξωτερικούς χρήστες στα εσωτερικά της δίκτυα
- Να χρησιμοποιεί η εταιρία προγράµµατα “anti-virus” σε όλους τους επιτραπέζιους υπολογιστές, στο σύστημα ηλεκτρονικής αλληλογραφίας και στα σημαντικά συστήματα της για να προστατευθεί από ιούς, “worms’, “spyware” και άλλο κακόβουλο λογισμικό
- Να έχει η Εταιρία διαδικασίες για να εντοπίζει και να ανιχνεύει αδυναμίες στην ασφάλεια των δικτύων της
- Να ελέγχει η εταιρία το δίκτυο και τα υπολογιστικά της συστήματα για παραβιάσεις στην ασφάλεια των Προσωπικών ∆εδοµένων
- Να έχει η Εταιρία μέτρα προστασίας του ηλεκτρονικού εξοπλισμού και των έντυπων αρχείων της από κλοπές
- Όταν συλλέγει ή αποθηκεύει η Εταιρία αριθμούς πιστωτικών καρτών ή άλλα ευαίσθητα προσωπικά δεδομένα
Στις Πιστωτικές Κάρτες, ακολουθείται το PCI (Payment Card Industry Data Security Standards); - Στα άλλα ευαίσθητα Προσωπικά ∆εδοµένα είναι η πρόσβαση να είναι περιορισμένη
- Να χρησιμοποιεί η Εταιρία μεθόδους κρυπτογράφησης για την προστασία των ευαίσθητων Προσωπικών
∆εδοµένων, συµπεριλαµβανοµένων δεδομένων σε φορητά μέσα (π.χ. φορητούς υπολογιστές, DVDs,
δίσκους, USB κλπ) - Να διατηρεί η Εταιρία διαδικασίες backup και ανάκτησης δεδοµένων για όλα :
– τα σημαντικά εταιρικά συστήματα
– προσωπικά δεδομένα και περιουσιακά στοιχεία - Να ζητάει η Εταιρία συστάσεις για όλους τους υπαλλήλους και τους ανεξάρτητους συμβούλους της
- Να απαιτεί η Εταιρία από απομακρυσμένους χρήστες να ταυτοποιούνται πριν τους επιτραπεί να εισβάλλουν σε εσωτερικά δίκτυα και συστήματα
ΑΝΑΘΕΣΗ ΕΡΓΑΣΙΩΝ (OUTSOURCING)
- Όταν η εταιρία αναθέτει σε εξωτερικούς συνεργάτες(outsourcing) τη διαχείριση οποιαδήποτε τμήματος του δικτύου της, των συστημάτων και των λειτουργιών φύλαξης των πληροφοριών της ή όταν αναθέτει σε εξωτερικούς συνεργάτες οποιαδήποτε συλλογή και επεξεργασία δεδομένων θα πρέπει να από τους εξωτερικούς συνεργάτες(Outsourcers ) να έχουν τη δική τους ασφάλιση για την προστασία Προσωπικών ∆εδοµένων
- Η Εταιρία θα έχει την δυνατότητα να απαιτήσει αποζημίωση από τους εξωτερικούς συνεργάτες (Outsourcers) για οποιαδήποτε ευθύνη τους αναλογεί
- Η Εταιρία θα πρέπει να απαιτεί όλοι οι εξωτερικοί συνεργάτες (Outsourcers) να είναι σύμφωνοι µε την πολιτική της για την Προστασία Προσωπικών ∆εδοµένων
Πρότυπα και πιστοποιήσεις που βοηθούν στην συμμόρφωση με την GDRP
- ISO 27001: Το Βασικό Διεθνές Πρότυπο για την Ασφάλεια Πληροφοριών
- ISO 27011: Οδηγία για την Ασφάλεια των Δεδομένων στους Τηλεπικοινωνιακούς Οργανισμούς
- ISO 27015: Οδηγία για την Ασφάλεια Δεδομένων στις Οικονομικές Υπηρεσίες
- ISO 27017: Οδηγία για την Ασφάλεια των Δεδομένων στην Παροχή Υπηρεσιών μέσω Cloud
- ISO 27018: Οδηγία για την Προστασία των Προσωπικών Δεδομένων στο Cloud
- ISO 27799: Οδηγία για την Ασφάλεια των Δεδομένων Υγείας
- ISO 22301: Το Διεθνές Πρότυπο για την Επιχειρησιακή Συνέχεια
- PCI:Το Διεθνές Πρότυπο για τις Επιχειρήσεις οι οποίες Διαχειρίζονται Δεδομένα Καρτών Πληρωμών
ΕΥΡΩΠΑΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ 2016/679
25/05/2018
Cybersecurity is a shared responsibility