Bilişim sektörü, 25 Mayıs’ta yürürlüğe girecek olan Genel Veri Koruma Yönetmeliği (GDPR) isimli yeni AB gizlilik yasasını mutlaka daha iyi anlamalı ve özümsemeli. Citrix, buna yardımı olacak bazı bilgiler ve tüyolar veriyor. Sistemlerin güvenliğini sağlamak, tüm GDPR uyum projelerinin önemli bir parçası olacak. Şirketler erişim ve kimlik doğrulamanın iyi bir şekilde kontrol edildiğinden, verilerin güvenli bir şekilde depolanıp taşındığından, yeterli veri akışı ve akış kaydına sahip olduklarından emin olmalı.
Güncel McKinsey & Company raporuna göre, küresel veri akışları 2005-2014 arasında 45 kat büyüdü ve GSYİH büyümesi üzerinde aynı döneme ait fiziksel mal satışlarından daha büyük bir etkiye sahip oldu. 2020’ye kadar bağlı cihazların sayısının 50 milyara ulaşması bekleniyor. Her zamankinden daha fazla veri oluşturuyor ve paylaşıyoruz. Veri hacmi, büyüme hızı ve kişisel bilgilerimizi paylaştığımız üçüncü şahısların sayısı da doğal olarak git gide artıyor. Privacy Rights Clearinghouse‘a göre, 2005’ten bu yana kamuyla paylaşılan 8 binden fazla veri ihlali gerçekleşti ve bu da 10 milyardan fazla kaydın ifşa edilmesiyle sonuçlandı.
İşte tam da bu nedenlerden ötürü Avrupa Birliği, Genel Veri Koruma Yönetmeliği’ni (GDPR) mecliste kabul etti. GDPR, “Privacy by Design” kavramı (veri işleyen sistemleri tasarlarken gizliliğe önem verme) ve kişisel bilgilerin korunması için gereken önemli teknik ve kurumsal güvenlik denetimlerinin uygulanması da dahil olmak üzere, operasyonel denetim ve izlenebilirlik ilkelerini esas alıyor. GDPR 1995’te yürürlüğe giren AB Veri Koruma Direktifinin yerini alacak.
GDPR’nin İzlenebilirlik İlkesi
PwC tarafından 2017’de yapılan bir ankete göre, şirketlerin yüzde 77’si GDPR hazırlık ve uyum çabalarına 1 milyon dolar veya daha fazla kaynak ayırmayı planlıyor. Bunlardan yüzde 68’i, GDPR yükümlülüklerini yerine getirmek için 1 milyon ile 10 milyon dolar arasında yatırım yapacaklarını; yüzde 9’u ise 10 milyon doların üzerinde harcama yapmayı beklediklerini söylüyor. AB’de iş yapan ve AB kaynaklı kişisel bilgileri işleyen firmaların GDPR standartlarını karşıladıklarından emin olmak için birkaç adımı tamamlamaları gerekecek. Bunlardan bazıları şöyle:
• Yetkisi olmayan kişilerin varsayılan hesap veya parola gibi bilgileri kullanarak veriye erişimlerini sınırlamak gibi “akıllı güvenlik” adımlarını uygulamak.
• Kişisel verilere erişimi olan üçüncü şahısların temel veri işleme gerekliliklerini yerine getirdiğinden emin olmak. Bu gerekliliklerin alt işlemcilere de uygulandığından, güvenlik kontrollerinin yapıldığından ve veri işleme anlaşmalarının GDPR gerekliliklerini yansıttığından emin olmak.
• Ürünlerin ve sistemlerin nasıl çalıştığını, verilerin nerede depolandığını, işlendiğini ve nereye (şirket dışı ve/veya bölge dışı) aktarıldığını anlamak.
• Bilinen güvenlik açıklarını zamanında kapatmak da dahil olmak üzere sistemleri kullanım ömürleri süresince izlemek ve denetlemek. Sistemlerin güvenliğini sağlamak tüm GDPR uyum projelerinin önemli bir parçası olacak.
Şirketler erişim ve kimlik doğrulamanın iyi bir şekilde kontrol edildiğinden, verilerin güvenli bir şekilde depolanıp taşındığından, yeterli veri akışı ve akış kaydına sahip olduklarından emin olmalı. Şirketler ayrıca, topladıkları verilerin nasıl kullanıldığını, nerelere transfer edildiğini ve nerelerde depolandığına da dikkat etmeli. Şirketler veri yaşam döngüsünü değerlendirirken satıcıların verileri doğru bir şekilde güvenceye aldıklarından ve uygun erişim, kullanım ve depolama hizmeti sağladıklarından emin olmak için üçüncü taraf sağlayıcılarla yaptıkları sözleşmeleri gözden geçirmeli.
Citrix GDPR için hazırlanıyor
Citrix geçtiğimiz yılı GDPR’ye hazırlanmakla geçirdi. Diğerlerinin yanı sıra, adil bilgi uygulamalarına ve güçlü güvenlik kontrollerine odaklanarak ürünlerine ve iç sistemlere derinlemesine baktı. Tüm Citrix hizmetleri için kapsamlı güvenlik standartları geliştirildi ve bunlar kullanıma sunuldu. AB veri işleme ve transferleri hakkında ek koşullara ihtiyaç duyan müşteriler için AB Standart Sözleşme Hükümlerini içeren bir veri koruma eki hazırlandı.