Có thể nói rằng bạn luôn học hỏi trong vai trò là quản trị viên cơ sở dữ liệu của mình. Chắc chắn có rất nhiều điều bạn cần quan tâm khi nói đến giám sát máy chủ SQL, nhưng giờ đây bạn cũng phải lo lắng về Quy định chung về bảo vệ dữ liệu (GDPR).
Tìm hiểu mọi thứ bạn có thể về việc tuân thủ GDPR là rất quan trọng đối với công ty của bạn và cơ sở dữ liệu của nó. Được đóng gói bằng các hợp pháp, GDPR thực hiện một điều rõ ràng:rằng bạn, với tư cách là DBA, chịu trách nhiệm về việc truy cập và bảo vệ bất kỳ thông tin nào cho dù tại cơ sở trong trung tâm dữ liệu của riêng bạn hay trong các dịch vụ đám mây của bạn. Hãy xem xét kỹ hơn.
GDPR là gì?
GDPR là luật về quyền riêng tư của Châu Âu có hiệu lực vào ngày 25 tháng 5 năm 2018. Mục đích cơ bản của nó là bảo vệ quyền riêng tư của các cá nhân trong khi thiết lập các yêu cầu về quyền riêng tư toàn cầu về cách dữ liệu cá nhân được quản lý và bảo vệ.
Mặc dù đó là luật nhằm bảo vệ công dân của Liên minh Châu Âu, nhưng bất kỳ công ty nào có công dân Liên minh Châu Âu trong cơ sở dữ liệu của họ đều phải tuân thủ các yêu cầu của GDPR. Dữ liệu cá nhân bao gồm ngày sinh, chi tiết thẻ tín dụng, địa chỉ email, địa chỉ IP, ảnh, số nhận dạng quốc gia, v.v.
Là một DBA, bạn không chỉ cần đảm bảo rằng dữ liệu cá nhân được bảo vệ khỏi sự truy cập bất hợp pháp mà còn là người dùng có thể truy cập và lấy bản sao dữ liệu cá nhân của họ.
Không tuân thủ các quy định GDPR đi kèm với những hậu quả nặng nề; các tổ chức bị phạt tới 4% doanh thu toàn cầu của họ hoặc lên đến 20 triệu bảng Anh, điều quan trọng là các công ty phải hành động ngay lập tức và tuân thủ đầy đủ vào thời điểm các yêu cầu GDPR có hiệu lực.
Vì vậy, điều gì tiếp theo cho việc giám sát máy chủ SQL?
Giờ đây, thời hạn 25 tháng 5 đã qua, hy vọng bạn đã hoàn thành việc đánh giá rủi ro. Ví dụ:bất kỳ thông tin nào bạn đang lưu trữ có liên quan đến các công ty và cá nhân của Liên minh Châu Âu hay sẽ có trong tương lai?
Nếu câu trả lời là có, thì bạn phải xem xét nhiều câu hỏi khác nhau, bao gồm nơi bạn lưu trữ thông tin cá nhân, thông tin được sử dụng để làm gì, bạn có nói rõ với người dùng rằng bạn đang lưu trữ thông tin hay không, bạn duy trì thông tin đó trong bao lâu. , ai có quyền truy cập vào nó, v.v.
Lý tưởng nhất là bạn có thể đơn giản tìm kiếm tất cả dữ liệu trên máy chủ SQL của mình để tìm kiếm các tên cột như “SSN” hoặc “Ngày sinh”, nhưng các cột thường được gắn nhãn bằng những cái tên khó hiểu, khó hiểu. Điều đó có nghĩa là bạn có thể phải dành thời gian điều tra thủ công từng bảng. Việc xác định ai có quyền truy cập vào dữ liệu cũng có thể khó xác định.
Nếu bạn muốn đánh giá chung về mức độ sẵn sàng cho GDPR của tổ chức mình, thì cuộc khảo sát này có thể hữu ích.
Lọc qua (núi) thông tin
Thật không may, việc học mọi thứ cần biết về tuân thủ GDPR đòi hỏi hàng giờ đọc và nghiên cứu. Có 99 bài báo và 11 chương trên trang web thông tin GDPR, bạn có thể mất nhiều ngày để nghiên cứu toàn bộ.
Điều đó nói rằng, đây là một số bài viết có thể liên quan nhiều nhất đến bạn với tư cách là một DBA liên quan đến giám sát máy chủ SQL:
Điều 25
Điều 25 đề cập đến việc bảo vệ dữ liệu theo thiết kế và mặc định, tức là kiểm soát ai có quyền truy cập vào dữ liệu cá nhân và cách thông tin được lưu trữ, xử lý và truy cập.
- Bảo mật dữ liệu theo thiết kế có nghĩa là các biện pháp tổ chức và kỹ thuật phù hợp để đảm bảo quyền riêng tư và bảo mật dữ liệu cá nhân được nhúng vào vòng đời hoàn chỉnh của các sản phẩm, dịch vụ, ứng dụng và kinh doanh và kỹ thuật của một tổ chức các thủ tục. Các biện pháp kỹ thuật có thể bao gồm nhưng không giới hạn ở bút danh và thu nhỏ dữ liệu.
- Bảo mật dữ liệu theo mặc định có nghĩa là (a) chỉ dữ liệu cá nhân cần thiết mới được thu thập, lưu trữ hoặc xử lý và (b) dữ liệu cá nhân không giới hạn đối với một số người có thể truy cập được.
Điều 25 cũng chỉ rõ rằng chứng nhận đã được phê duyệt, như quy định trong Điều 42, có thể được sử dụng để chứng minh sự tuân thủ về quyền riêng tư theo thiết kế và quyền riêng tư theo yêu cầu mặc định.
Điều 30
Bài viết này đề cập đến việc kiểm tra thích hợp tất cả các hồ sơ và dữ liệu cá nhân. Các yêu cầu đối với Điều 30 có thể áp dụng cho hầu hết các công ty vì khả năng áp dụng rộng rãi của điều này. Các công ty chuẩn bị tuân thủ Điều 30 nên xem xét cách dữ liệu di chuyển qua từng quy trình kinh doanh của họ, không chỉ nơi dữ liệu cư trú. Nói cách khác, “theo dõi dữ liệu.”
Điều 30 yêu cầu các công ty xuất trình “hồ sơ về các hoạt động xử lý”, điều này sẽ cho phép các cơ quan quản lý thấy rằng các công ty đang tuân thủ GDPR.
Điều 32
Điều 32 đề cập đến yêu cầu dữ liệu được mã hóa. Nó yêu cầu các DBA thực hiện các biện pháp kỹ thuật và tổ chức để đảm bảo mức độ bảo mật dữ liệu phù hợp với mức độ rủi ro do xử lý dữ liệu cá nhân.
Các biện pháp bảo mật dữ liệu ở mức tối thiểu phải cho phép:
- Giả danh hoặc mã hóa dữ liệu cá nhân.
- Duy trì liên tục tính bảo mật, tính toàn vẹn, tính khả dụng, quyền truy cập và khả năng phục hồi của các hệ thống và dịch vụ xử lý.
- Khôi phục tính khả dụng và quyền truy cập vào dữ liệu cá nhân, trong trường hợp có vi phạm bảo mật vật lý hoặc kỹ thuật.
- Kiểm tra và đánh giá hiệu quả của các biện pháp kỹ thuật và tổ chức.
Điều 35
Bài viết này phác thảo tài liệu thích hợp về tất cả các phương pháp bảo vệ dữ liệu cũng như nhu cầu và tác động của chúng. Tất cả các tổ chức được yêu cầu phân tích rủi ro của họ và chứng minh sự tuân thủ của họ với GDPR.
Nó quy định rằng phải thực hiện Đánh giá tác động bảo vệ dữ liệu (DPIA) nếu việc xử lý dữ liệu có khả năng tạo ra rủi ro cao. DPIA là một bài tập cho phép một doanh nghiệp kiểm tra rủi ro có thể liên quan đến việc xử lý dữ liệu và một cách để xem xét các thủ tục của họ có lưu ý đến việc tuân thủ GDPR hay không.
Bài báo cũng kêu gọi các cơ quan giám sát tạo và công bố danh sách các hoạt động xử lý dữ liệu của riêng họ sẽ yêu cầu DPIA.
Chuẩn bị sẵn sàng cho việc tuân thủ GDPR không phải là nhiệm vụ dễ dàng. Nếu bạn chưa làm như vậy, hãy tận dụng tất cả thông tin và nghiên cứu có sẵn để giúp bạn tuân thủ nhanh nhất có thể.
Thực hiện thêm hành động để cải thiện việc giám sát SQL Server của bạn. Bắt đầu kiểm chứng cơ sở dữ liệu của bạn trong tương lai với hướng dẫn miễn phí của chúng tôi.
