Es seguro decir que siempre está aprendiendo en su papel como administrador de la base de datos. Hay mucho en su plato cuando se trata de la supervisión del servidor SQL, sin duda, pero ahora también tiene que preocuparse por el Reglamento General de Protección de Datos (GDPR).
Aprender todo lo que pueda sobre el cumplimiento de GDPR es crucial para su empresa y sus bases de datos. Repleto de jerga legal, el RGPD deja una cosa en claro:que usted, como DBA, es responsable del acceso y la protección de cualquier información, ya sea en las instalaciones de su propio centro de datos o dentro de sus servicios en la nube. Echemos un vistazo más de cerca.
¿Qué es el RGPD?
El RGPD es una ley de privacidad europea que entró en vigor el 25 de mayo de 2018. Su propósito fundamental es proteger los derechos de privacidad de las personas al tiempo que establece requisitos de privacidad globales con respecto a cómo se gestionan y protegen los datos personales.
Si bien es una ley destinada a proteger a los ciudadanos de la Unión Europea, cualquier empresa que tenga un ciudadano de la UE en su base de datos debe cumplir con los requisitos de GDPR. Los datos personales incluyen fechas de nacimiento, detalles de tarjetas de crédito, direcciones de correo electrónico, direcciones IP, fotografías, números de identificación nacional y más.
Como DBA, no solo debe asegurarse de que los datos personales estén protegidos contra el acceso ilegal, sino también de que un usuario pueda acceder y obtener una copia de sus datos personales.
No cumplir con las regulaciones de GDPR tiene graves consecuencias; las organizaciones reciben multas de hasta el 4 % de sus ingresos globales o hasta 20 millones de libras, por lo que es vital que las empresas tomen medidas de inmediato y cumplan plenamente para cuando los requisitos del RGPD entren en vigor.
Entonces, ¿qué sigue para el monitoreo del servidor SQL?
Ahora que ha pasado la fecha límite del 25 de mayo, es de esperar que haya completado una evaluación de riesgos. Por ejemplo, ¿parte de la información que está almacenando involucra a empresas e individuos de la UE, o lo hará en el futuro?
Si la respuesta es afirmativa, entonces debe considerar una variedad de preguntas, incluido dónde almacena la información personal, para qué se usa la información, si deja en claro a los usuarios que está almacenando la información, cuánto tiempo la mantiene. , quién tiene acceso a él, etc.
Idealmente, podría simplemente buscar todos los datos en su servidor SQL para buscar nombres de columnas como "SSN" o "Fecha de nacimiento", pero las columnas a menudo están etiquetadas con nombres oscuros y crípticos. Eso significa que es posible que deba dedicar tiempo a investigar manualmente cada tabla. También puede ser difícil determinar quién tiene acceso a los datos.
Si desea una evaluación general de la preparación para el RGPD de su organización, esta encuesta puede ayudar.
Examinando la (montaña de) información
Desafortunadamente, aprender todo lo que hay que saber sobre el cumplimiento de GDPR requiere horas de lectura e investigación. Hay 99 artículos y 11 capítulos en el sitio web de información de GDPR, que puede llevarle días investigar en su totalidad.
Dicho esto, aquí hay algunos artículos que pueden ser de su interés como DBA con respecto a la supervisión del servidor SQL:
Artículo 25
El artículo 25 aborda la protección de datos por diseño y por defecto, es decir, controlar quién tiene acceso a los datos personales y cómo se almacena, procesa y accede a la información.
- Privacidad de datos por diseño significa que las medidas organizativas y técnicas apropiadas para garantizar la seguridad y privacidad de los datos personales están integradas en el ciclo de vida completo de los productos, servicios, aplicaciones y negocios y técnicos de una organización. procedimientos. Las medidas técnicas pueden incluir, entre otras, seudonimización y minimización de datos.
- La privacidad de datos por defecto significa que (a) solo se recopilan, almacenan o procesan los datos personales necesarios y (b) los datos personales no son accesibles a un número indefinido de personas.
El artículo 25 también especifica que una certificación aprobada, como se especifica en el artículo 42, puede usarse para demostrar el cumplimiento de los requisitos de privacidad desde el diseño y privacidad por defecto.
Artículo 30
Este artículo aborda la auditoría adecuada de todos los registros y datos personales. Es probable que los requisitos del artículo 30 se apliquen a la mayoría de las empresas debido a la amplia aplicabilidad del artículo. Las empresas que se preparan para cumplir con el Artículo 30 deben observar cómo se mueven los datos a través de cada uno de sus procesos comerciales, no solo dónde residen los datos. En otras palabras, "siga los datos".
El artículo 30 requiere que las empresas produzcan "registros de actividades de procesamiento", lo que permitirá a los reguladores ver que las empresas se adhieren al RGPD.
Artículo 32
El artículo 32 cubre el requisito de que los datos estén encriptados. Requiere que los DBA implementen medidas técnicas y organizativas que garanticen un nivel de seguridad de datos adecuado para el nivel de riesgo que presenta el procesamiento de datos personales.
Las medidas de seguridad de datos deben permitir, como mínimo:
- Seudonimizar o cifrar datos personales.
- Mantener la confidencialidad, integridad, disponibilidad, acceso y resiliencia constantes de los sistemas y servicios de procesamiento.
- Restaurar la disponibilidad y el acceso a los datos personales, en caso de una violación de la seguridad física o técnica.
- Probar y evaluar la eficacia de las medidas técnicas y organizativas.
Artículo 35
Este artículo describe la documentación adecuada de toda la metodología de protección de datos y su necesidad e impacto. Todas las organizaciones deben analizar su riesgo y demostrar su cumplimiento con GDPR.
Estipula que se debe llevar a cabo una Evaluación de impacto de protección de datos (DPIA) si es probable que el procesamiento de datos cree un alto riesgo. Una DPIA es un ejercicio que permite a una empresa examinar el riesgo que puede estar asociado con el procesamiento de datos y una forma de revisar sus procedimientos teniendo en cuenta el cumplimiento de GDPR.
El artículo también pide a las autoridades de control que creen y publiquen sus propias listas de actividades de procesamiento de datos que requerirán DPIA.
Prepararse para el cumplimiento de GDPR no es tarea fácil. Si aún no lo ha hecho, aproveche toda la información y la investigación disponibles para ayudarlo a cumplir con las normas lo más rápido posible.
Tome más medidas para mejorar la supervisión de SQL Server. Comience a preparar sus bases de datos para el futuro con nuestra guía gratuita.
