Jak zapanować nad zgodnością z RODO?

Jeśli chcesz zaprojektować aplikację w duchu privacy by design, stosuj się do 7 zasad stworzonych przez Ann Cavoukian, Information & Privacy Commissioner z Ontario i weź sobie do serca jej słowa: „Prywatność musi być czymś,  o czym inżynier lub twórca instynktownie myśli podczas pisania kodu lub opracowywania nowego produktu. Poszanowanie prywatności należy uważać za integralną część procesu innowacji”.

Pamiętaj, że funkcjonalność i czas wdrożenia aplikacji nie mogą być priorytetem kosztem bezpieczeństwa danych. A działania w zakresie ochrony danych w aplikacji nie mogą być sprowadzone do testów bezpieczeństwa przed ich produkcyjnym wdrożeniem.

Privacy by design nie ma na celu eliminacji podatności, ale ich przewidywanie i zapobieganie. Pamiętaj, że koszt naprawy błędu jest większy w każdej kolejnej fazie tworzenia aplikacji. Dostosowanie aplikacji do RODO w fazie eksploatacji będzie droższe i dużo bardziej skomplikowane niż na etapie testowania czy użytkowania.

Włącz RODO w cały cykl życia aplikacji, począwszy od określenia wymagań, poprzez projektowanie, kodowanie (z użyciem biblioteki bezpiecznych kodów), testowanie (testy bezpieczeństwa, testy penetracyjne, testy funkcjonalne), wydanie i utrzymanie systemu, w tym regularne testowanie i aktualizowanie, aż po wycofanie z eksploatacji. Wymagania RODO nie powinny funkcjonować oddzielnie, włącz je w standardowe wymagania bezpieczeństwa aplikacji. Ułatwi Ci to stosowanie odpowiednich metodyk, jak np. Microsoft Security Development Lifecycle czy OWASP SAMM (Security Assurance Maturity Model). A jeśli działasz w Scrumie, nie zapomnij dodać RODO epics i stories do backlogu i rozliczać je w każdym sprincie.

Pamiętaj też, że oprogramowanie powinno być tak zaprojektowane i udokumentowane, aby Twój klient mógł demonstrować, w jaki sposób zostały wdrożone wymogi RODO. Przygotuj dokumentację wykazującą, że oprogramowanie zostało opracowane przy użyciu metod zapewniających privacy by design z zamodelowanym przepływem danych, opisem algorytmów decyzyjnych czy raportów z audytów bezpieczeństwa.

I najważniejsze – przewagę na rynku zyskają producenci potrafiący przekonać klienta, że dbają o bezpieczeństwo w całym cyklu tworzenia, wdrażania i użytkowania rozwiązań.

My także możemy pomóc

  • Jeśli jesteś twórcą oprogramowania, chętnie wesprzemy Cię we wdrażaniu privacy by design w Twoich rozwiązaniach
  • Jeśli potrzebujesz stworzyć lub zmodyfikować oprogramowanie, które już posiadasz, zgodnie z privacy by design, chętnie wskażemy, co powinieneś zastosować
  • Jeśli chcesz sprawdzić, czy używane przez Ciebie systemy i oprogramowanie  są zgodne z RODO, zrobimy audyt IT pod kątem RODO
  • Jeśli chcesz sprawdzić swoje aplikacje pod kątem poufności i integralności, przeprowadzimy testy bezpieczeństwa, testy penetracyjne

Więcej informacji można znaleźć na naszej stronie internetowej.

Natalia Zacharewicz – Inspektor Ochrony Danych w Onwelo. Zajmuje się audytami w zakresie ochrony danych osobowych, w tym audytami zgodności systemów i aplikacji z RODO oraz wdrożeniami systemów ochrony danych osobowych i informacji niejawnych. Prywatnie fanka dobrych reportaży i wędrówek krajoznawczych.

Zostaw komentarz

Polecamy

Wychwycić najsłabsze ogniwa, czyli czym są testy penetracyjne

Wychwycić najsłabsze ogniwa, czyli czym są testy penetracyjne

Czym są testy penetracyjne? Jaki jest poziom świadomości zagrożenia cyberprzestępczością wśród organizacji? Przed jakimi niebezpieczeństwami pentesty mogą uchronić firmy, szczególnie w okresie wzmożonej aktywności grup hakerskich, jakim jest pandemia? O tych tematach rozmawialiśmy z Filipem z zespołu Cyber Security w Onwelo.

#Udostępnij

strzałka przewiń do góry strony