Jeśli chcesz zaprojektować aplikację w duchu privacy by design, stosuj się do 7 zasad stworzonych przez Ann Cavoukian, Information & Privacy Commissioner z Ontario i weź sobie do serca jej słowa: „Prywatność musi być czymś, o czym inżynier lub twórca instynktownie myśli podczas pisania kodu lub opracowywania nowego produktu. Poszanowanie prywatności należy uważać za integralną część procesu innowacji”.
Pamiętaj, że funkcjonalność i czas wdrożenia aplikacji nie mogą być priorytetem kosztem bezpieczeństwa danych. A działania w zakresie ochrony danych w aplikacji nie mogą być sprowadzone do testów bezpieczeństwa przed ich produkcyjnym wdrożeniem.
Privacy by design nie ma na celu eliminacji podatności, ale ich przewidywanie i zapobieganie. Pamiętaj, że koszt naprawy błędu jest większy w każdej kolejnej fazie tworzenia aplikacji. Dostosowanie aplikacji do RODO w fazie eksploatacji będzie droższe i dużo bardziej skomplikowane niż na etapie testowania czy użytkowania.
Włącz RODO w cały cykl życia aplikacji, począwszy od określenia wymagań, poprzez projektowanie, kodowanie (z użyciem biblioteki bezpiecznych kodów), testowanie (testy bezpieczeństwa, testy penetracyjne, testy funkcjonalne), wydanie i utrzymanie systemu, w tym regularne testowanie i aktualizowanie, aż po wycofanie z eksploatacji. Wymagania RODO nie powinny funkcjonować oddzielnie, włącz je w standardowe wymagania bezpieczeństwa aplikacji. Ułatwi Ci to stosowanie odpowiednich metodyk, jak np. Microsoft Security Development Lifecycle czy OWASP SAMM (Security Assurance Maturity Model). A jeśli działasz w Scrumie, nie zapomnij dodać RODO epics i stories do backlogu i rozliczać je w każdym sprincie.
Pamiętaj też, że oprogramowanie powinno być tak zaprojektowane i udokumentowane, aby Twój klient mógł demonstrować, w jaki sposób zostały wdrożone wymogi RODO. Przygotuj dokumentację wykazującą, że oprogramowanie zostało opracowane przy użyciu metod zapewniających privacy by design z zamodelowanym przepływem danych, opisem algorytmów decyzyjnych czy raportów z audytów bezpieczeństwa.
I najważniejsze – przewagę na rynku zyskają producenci potrafiący przekonać klienta, że dbają o bezpieczeństwo w całym cyklu tworzenia, wdrażania i użytkowania rozwiązań.
My także możemy pomóc
- Jeśli jesteś twórcą oprogramowania, chętnie wesprzemy Cię we wdrażaniu privacy by design w Twoich rozwiązaniach
- Jeśli potrzebujesz stworzyć lub zmodyfikować oprogramowanie, które już posiadasz, zgodnie z privacy by design, chętnie wskażemy, co powinieneś zastosować
- Jeśli chcesz sprawdzić, czy używane przez Ciebie systemy i oprogramowanie są zgodne z RODO, zrobimy audyt IT pod kątem RODO
- Jeśli chcesz sprawdzić swoje aplikacje pod kątem poufności i integralności, przeprowadzimy testy bezpieczeństwa, testy penetracyjne
Więcej informacji można znaleźć na naszej stronie internetowej.
Natalia Zacharewicz – Inspektor Ochrony Danych w Onwelo. Zajmuje się audytami w zakresie ochrony danych osobowych, w tym audytami zgodności systemów i aplikacji z RODO oraz wdrożeniami systemów ochrony danych osobowych i informacji niejawnych. Prywatnie fanka dobrych reportaży i wędrówek krajoznawczych.
