Στο πλαίσιο του νέου Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) που τίθεται σε ισχύ στις 25 Μαΐου 2018, στο Papaki έχουμε ξεκινήσει εδώ και πάνω από ένα χρόνο να λαμβάνουμε μια σειρά από μέτρα ασφαλείας. Στόχος μας είναι να είμαστε συμβατοί με το νέο κανονισμό αλλά, πρωτίστως, να ενισχύσουμε ακόμα περισσότερο την προστασία στα προσωπικά δεδομένα των πελατών μας.
Στο blog post αυτό θα σου παρουσιάσω τις ενέργειες που έχουμε ήδη ολοκληρώσει. Θα ακολουθήσει μια σειρά από αντίστοιχα post με τις ενέργειες που θα ολοκληρώνουμε σταδιακά. Εάν θέλεις να μάθεις περισσότερα για τον GDPR, τις υποχρεώσεις σου ως επιχείρηση αλλά και τα δικαιώματα σου ως φυσικό πρόσωπο, μπορείς να διαβάσεις το πρόσφατο post μας με τις βασικές πληροφορίες για τον GDPR.
1. Νέοι συνεργάτες για την ασφάλεια και την προστασία δεδομένων
Λέγονται Head of Security & Engineering και Data Protection Officer! Για εμάς, Αντώνης και Λευτέρης. Και οι δύο ήρθαν στην ομάδα μας, ήδη, από την ανακοίνωση της εφαρμογής του νέου Κανονισμού. Μας βοηθάνε να λάβουμε τα απαραίτητα μέτρα ώστε να είμαστε συμβατοί με το GDPR, αλλά και μελλοντικές νομοθεσίες που θα αφορούν στην ασφάλεια πληροφοριών και την προστασία δεδομένων.
2. Μετάβαση σε νέα εφαρμογή αποθήκευσης κωδικών
Η χρήση password managers είναι αναπόσπαστο κομμάτι της δουλειάς μας εδώ και χρόνια. Πλέον, όμως, έχουμε μεταφερθεί σε μια από τις πιο ασφαλείς εφαρμογές. Η εφαρμογή αυτή κάνει τα πράγματα λίγο διαφορετικά. Συγκεκριμένα, όλοι οι κωδικοί προστατεύονται μαθηματικά με τη χρήση κρυπτογραφίας και όχι με τη χρήση κώδικα από κάποια online σελίδα, η οποία θα μπορούσε να δεχθεί επίθεση. Έτσι, ακόμα και αν κάποιος καταφέρει να πάρει ένα αρχείο κωδικών, δεν θα μπορέσει να το αποκρυπτογραφήσει, αφού δεν θα γνωρίζει τον κύριο κωδικό που έχει ορίσει ο κάτοχος του λογαριασμού.
3. Εσωτερικά σεμινάρια για το GDPR
Όλοι οι εργαζόμενοι της εταιρίας, είτε έρχονται σε άμεση επαφή με τα προσωπικά δεδομένα των πελατών είτε όχι, παρακολούθησαν υποχρεωτικά εκπαιδευτικά σεμινάρια σχετικά με την ασφάλεια των πληροφοριών αλλά και τον GDPR.
4. Ανανέωση πολιτικών και διαδικασιών
Επανεξετάζουμε και ανανεώνουμε τις πολιτικές που έχουμε θεσπίσει, αλλά και τις διαδικασίες που ακολουθούμε για να τις εφαρμόσουμε πρακτικά με βάση το ISO27001:2013. Η πρόσβαση στα συστήματά μας έχει πλέον περιοριστεί μόνο σε όσους τεχνικούς είναι απολύτως απαραίτητο να την έχουν. Επιπλέον, έχουμε εγκαταστήσει όλοι μας 2 Factor Authentication στις εφαρμογές που χρησιμοποιούμε και έχει αναβαθμιστεί η πολιτική χρήσης του Internet εντός του δικτύου μας.
Παράλληλα, βελτιώθηκαν οι διαδικασίες για vulnerability management, διαχείριση κινδύνου, disaster recovery και business continuity. Μέσα από εσωτερικό έλεγχο που ήδη διεξάγουμε, θα προκύψουν και άλλες απαραίτητες μικροβελτιώσεις, τις οποίες θα εφαρμόσουμε και θα επικοινωνήσουμε σε επόμενο ενημερωτικό post, για να είσαι πλήρως ενημερωμένος!
Πολλά από τα πράγματα που έγιναν για να μπορέσουμε να παρέχουμε αυτά τα επίπεδα ασφάλειας και ιδιωτικότητας, αποφασίσαμε να τα γνωστοποιήσουμε σε μελλοντικά post. Όσα εργαλεία και διαδικασίες δημιουργήσαμε για αυτόν τον σκοπό στοχεύουμε, ή ήδη έχουμε ξεκινήσει, να τα παρέχουμε ως Open Source σε όλον τον κόσμο!
Μπες στη συζήτηση