Criptarea este una dintre măsurile pe care trebuie să le pună în aplicare orice organizație care prelucrează date cu caracter personal, iar acest articol îți va explica ce este criptarea, tipurile de criptare și cum trebuie implementată criptarea.
Când spun că relația dintre criptare și GDPR este una deschisă, am în vedere faptul că deși introducerea criptării este necesară, ea nu este suficientă pentru a asigura conformitatea la GDPR, deoarece organizația trebuie să pună în practică și alte măsuri tehnice și organizatorice adecvate. De exemplu, organizația ar trebui să introducă și pseudonimizarea datelor. Când spun că relația dintre criptare și GDPR este una complicată am în vedere faptul că introducerea criptării trebuie realizată în urma unei evaluări de risc adecvate pentru a descoperi care categori de date cu caracter personal necesită o criptare mai puternică și care este cea mai bună soluție de criptare pe care și-o poate permite o organizație la momentul T. Totodată, între criptare și GDPR este o relație pe termen lung, așadar măsurile implementate ar trebui reevaluate și îmbunătățite constant.
Prin urmare, ce vreau să spun, pe scurt, este că dacă ai criptat datele nu înseamnă că respecți automat GDPR, dar dacă nu ai criptat deloc datele există un risc mare să încalci GDPR.
În concluzie, trebuie să criptăm.
Și totuși… ce este criptarea?
- Criptarea este o funcție matematică care codifică datele astfel încât numai utilizatorii autorizați să le poată accesa.
- Este o modalitate de a proteja datele cu caracter personal împotriva prelucrării neautorizate sau ilegale ale acestora, precum și o modalitate prin care puteți demonstra conformitatea cu principiul securității.
- Criptarea protejează informațiile stocate pe dispozitivele mobile și statice și în transmisie și există o serie de opțiuni diferite de criptare disponibile.
- Ar trebui să luați în considerare criptarea împreună cu alte măsuri tehnice și organizatorice, ținând seama de beneficiile și riscurile pe care le poate oferi.
- Ar trebui să aveți o politică care să guverneze utilizarea criptării, inclusiv formarea corespunzătoare a personalului.
- De asemenea, trebuie să fiți la curent cu orice orientări specifice sectorului care vi se aplică, deoarece acestea pot prevedea obligativitatea utilizării criptării.
Criptarea și stocarea datelor
- Criptarea datelor în timpul stocării asigură o protecție eficientă împotriva prelucrării neautorizate sau ilegale.
- Cele mai moderne sisteme de operare au încorporată o criptare completă a discului. De asemenea, puteți cripta fișiere individuale sau crea containere criptate.
- Unele aplicații și baze de date pot fi configurate pentru a stoca date în formă criptată.
- Stocarea datelor criptate prezintă în continuare riscuri reziduale. Va trebui să le abordați în funcție de context, de exemplu prin intermediul unei politici de securitate.
Criptarea și transferul de date
- Criptarea datelor cu caracter personal în timpul transferului asigură o protecție eficientă împotriva interceptării de către un terț.
- Trebuie să utilizați canale de comunicații criptate atunci când se transmit date cu caracter personal printr-o rețea nesigură.
- Puteți cripta datele înainte de a le transmite pe un canal nesigur și asigurați-vă că acestea sunt în continuare protejate. Cu toate acestea, un canal securizat oferă garanția că conținutul nu poate fi înțeles dacă este interceptat. Fără metode de criptare suplimentare, cum ar fi criptarea datelor în sine înainte de transmitere, datele vor fi criptate numai în timpul tranzitului.
- Transferul de date criptate încă prezintă riscuri reziduale. Va trebui să le abordați în funcție de context, cum ar fi prin intermediul unor politici organizatorice.
Câte tipuri de criptare există?
- Cele două tipuri de criptare utilizate în prezent la scară largă sunt criptarea simetrică și asimetrică.
- În cazul criptării simetrice, aceeași cheie este folosită pentru criptare și decriptare. În schimb, în cazul criptării asimetrice, sunt utilizate chei diferite pentru criptare și decriptare.
- Când se utilizează criptarea simetrică, este esențial să vă asigurați că cheia este transferată în siguranță, de exemplu prin intermediul unui canal de comunicare diferit.
- Tehnica hashing-ului criptografic este uneori asimilată cu criptarea, dar este important să se înțeleagă că criptarea și hashing-ul nu sunt concepte identice și sunt utilizate în scopuri diferite.
Cum ar trebui să implementăm criptarea?
- Când implementați criptarea, este important să luați în considerare patru lucruri: alegerea algoritmului corect, alegerea dimensiunii corecte a cheii, alegerea software-ului corect și păstrarea cheii în siguranță.
- În timp, se pot descoperi vulnerabilități în algoritmii de criptare care îi pot face în cele din urmă nesiguri. Ar trebui să evaluați periodic dacă metoda dumneavoastră de criptare rămâne adecvată.
- Este important să se asigure că dimensiunea cheii este suficient de mare pentru a proteja împotriva unui atac de-a lungul duratei de viață a datelor. Prin urmare, ar trebui să evaluați dacă dimensiunile cheii dumneavoastră rămân adecvate.
- Software-ul de criptare pe care îl utilizați este, de asemenea, esențial. Trebuie să vă asigurați că orice soluție pe care o implementați respectă standardele actuale, cum ar fi FIPS 140-2 și FIPS 197.
- De asemenea, trebuie să vă asigurați că păstrați cheile în siguranță și că aveți procese în funcțiune pentru a genera chei noi atunci când este necesar.
Sursa: ICO
