Choose language:
Pratite nas:

GDPR profesionalne usluge

GDPR uredba propisuje niz organizacijskih i tehničkih mjera koje kompanije moraju ispuniti kako bi se osigurala primjerena zaštita osobnih podataka koji se pohranjuju i obrađuju na informacijskom sustavu. S druge strane, kao što je to često slučaj s regulatornim i zakonodavnim okvirima, uredba jasno ne propisuje na koji način je pojedine zahtjeve potrebno ispuniti.


Nedostatak jasnih smjernica u smislu definicije mjera koje je potrebno implementirati s ciljem postizanje GDPR usklađenosti za kompanije predstavlja ozbiljan izazov, a ovaj problem dodatno je izrađen u segmentu tehničkih mjera. Kompanijama je ostavljeno da same procjene razinu rizika uslijed izloženosti osobnih podataka različitim tipovima zloupotreba i neovlaštenim aktivnostima te da u skladu s time odaberu i implementiraju mjere koje smatraju adekvatnim.

Iako se GDPR uredba na prvom mjestu bavi privatnošću i zaštitom osobnih podataka, dio uredbe značajno se oslanja na aspekte informacijske sigurnosti, odnosno aspekte zaštite osobnih podataka od neovlaštenih aktivnosti i zloupotreba.

Primjer jednog od osnovnih zahtjeva GDPR-a koji se bavi privatnošću iz perspektive informacijske sigurnosti je članak 32 (Article 32) citiran u nastavku, iako postoji i niz drugih dijelova uredbe koji se bave istom ili sličnom tematikom.

  1. Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate:

    • the pseudonymisation and encryption of personal data;
    • the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;

    • the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident;

    • a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing.

  2. In assessing the appropriate level of security account shall be taken in particular of the risks that are presented by processing, in particular from accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to personal data transmitted, stored or otherwise processed.


Upravo je ovo područje u kojem INFIGO IS svojim znanjem i višegodišnjim iskustvom u području zaštite informacijskih sustava, kako iz organizacijske tako i tehničke perspektive, klijentima pomaže da svoje informacijske sustave usklade s GDPR zahtjevima.

Dodatnu vrijednost našim uslugama daje i bogato iskustvo u području usklađivanja informacijskih sustava s različitim regulatornim okvirima i standardima, odnosno definiranju postupaka koji će omogućiti kvalitetno usklađivanje informacijskog sustava u skladu s poslovnim ciljevima kompanije, ali i raspoloživim budžetima.

U području GDPR savjetovanja, INFIGO IS klijentima nudi usluge opisane u nastavku.

Planiranje i izrada dokumentacije informacijskog sustava potrebe za postizanje GDPR usklađenosti
Osim uspostave odgovarajućih procesa u organizaciji i implementacije odgovarajućih tehničkih mjera, GDPR usklađivanje zahtjeva i izradu odgovarajuće dokumentacije informacijskog sustava. Cilj ovakve dokumentacije je definirati okvire i pravila vezana uz način prikupljanja i obrade osobnih podataka, ali i mehanizme i pravila za sigurnosnu zaštitu osobnih podataka. Kroz uspostavu odgovarajuće dokumentacije, organizacija postavlja osnovne temelje za postizanje GDPR usklađenosti te potvrđuje svoju inicijativu i fokusiranost na aspekte privatnosti i zaštite osobnih podataka. Prilikom izrade dokumentacije INFIGO IS vodi brigu da ista bude adekvatna, potpuna i u praksi primjenjiva te da je usklađena s postojećim organizacijskim okvirima.
 
Procjena izloženosti ključnih poslovnih aplikacija i servisa rizicima vezanim uz narušavanje privatnosti (eng. Privacy Impact Assessment)
Za sve sustave i aplikacije koji pohranjuju i/ili obrađuju osobne podatke, a izloženi su povećanim rizicima narušavanja privatnosti, GDPR uredba zahtjeva provođenje dubinske analize utjecaja na privatnost (Privacy Impact Assessment). Cilj ove analize je da organizacije pravovremeno identificiraju i evaluiraju sve rizike koju mogu narušiti privatnost osobnih podataka te da se u skladu s provedenom analizom donesu mjere za umanjivanje rizika.
 
Planiranje, dizajn i implementacija sigurnosnih kontrola koje za cilj imaju podizanje razine sigurnosti informacijskog sustava i postizanje GDPR usklađenosti

Kao kompanija s višegodišnjim iskustvom u podruju zaštite informacijskih sustava od neovlaštenih aktivnosti i  zloupotreba, INFIGO IS klijentima nudi stručnu pomoć pri planiranju, dizajnu i implementaciji kontrola koje za cilj imaju zaštitu osobnih podataka od internih i vanjskih prijetnji te postizanje GDPR usklađenosti. Posebno iskustvo i ekspertizu INFIGO IS posjeduje u sljedećim domenama:

  • Implementacija sustava za sprječavanje curenja poslovnih informacija (Digital Guardian DLP)
  • Implementacija sustava za upravljanje log zapisima i sigurnosnim događajima ( Splunk SIEM)
  • Implementacija sustava za otkrivanje i provjeru ranjivosti informacijskih sustava (Qualys Vulnerability Management)
  • Implementacija sustava za otkrivanje, klasifikaciju i zaštitu osobnih podataka u bazama podataka, cloudu, datotečnim sustavima i sl. (IBM Guardium)
 
Provođenje sigurnosnih ispitivanja s ciljem uočavanja sigurnosnih propusta i nedostataka u dijelovima informacijskog sustava koji pohranjuju osobne podatke
Planiranje i provođenje ciljanih ispitivanja sigurnosti (penetracijskih testova) kompanijama pomaže da proaktivno i u kontroliranim uvjetima identificiraju sigurnosne nedostatke i propuste koje napadači mogu iskoristiti za neovlašteni pristup sustavu i krađu osobnih podataka. Pravovremenim otkrivanjem i uklanjanjem ranjivosti u informacijskom sustavu, kompanije umanjuju rizike od kazni uzrokovanih krađom osobnih podataka koje organizacija pohranjuje na svojem informacijskom sustavu.
 
Analiza postupaka prikupljanja i obrade osobnih podataka s ciljem uočavanja GDPR nesukladnosti
Načini na koji kompanija prikuplja i obrađuje osobne podatke svojih korisnika te kako ih dijeli s trećim stranama jedno je od posebno kritičnih dijelova GDPR uredbe. Detaljna analiza navedenih aktivnosti te evaluacija njihove usklađenosti s GDPR zahtjevima, organizacijama omogućuje da proaktivno identificiraju potencijalne nedostatke te da implementiraju potrebna unaprjeđenja. Pritom, posebna se pažnja posvećuje načinima prikupljanja korisničkih privola te korištenju osobnih podataka u okviru različitih poslovnih procesa unutar kompanije.  Identificirane nesukladnosti se dokumentiraju te se planiraju unaprjeđenja za postizanje dodatne usklađenosti.