Aman untuk mengatakan bahwa Anda selalu belajar dalam peran Anda sebagai administrator database. Ada banyak hal yang harus Anda perhatikan dalam hal pemantauan server SQL, tentu saja, tetapi sekarang Anda juga memiliki Peraturan Perlindungan Data Umum (GDPR) yang perlu dikhawatirkan juga.
Mempelajari semua yang Anda bisa tentang kepatuhan GDPR sangat penting untuk perusahaan Anda dan databasenya. Penuh dengan hukum, GDPR membuat satu hal menjadi jelas:bahwa Anda, sebagai DBA, bertanggung jawab atas akses dan perlindungan informasi apa pun baik di pusat data Anda sendiri atau di dalam layanan cloud Anda. Mari kita lihat lebih dekat.
Apa itu GDPR?
GDPR adalah undang-undang privasi Eropa yang mulai berlaku pada 25 Mei 2018. Tujuan dasarnya adalah melindungi hak privasi individu sambil menetapkan persyaratan privasi global terkait cara data pribadi dikelola dan dilindungi.
Meskipun undang-undang tersebut bertujuan untuk melindungi warga negara Uni Eropa, perusahaan mana pun yang memiliki warga negara Uni Eropa di database mereka harus mematuhi persyaratan GDPR. Data pribadi mencakup tanggal lahir, detail kartu kredit, alamat email, alamat IP, foto, nomor identifikasi nasional, dan banyak lagi.
Sebagai DBA, Anda tidak hanya perlu memastikan bahwa data pribadi dilindungi dari akses yang melanggar hukum, tetapi juga bahwa pengguna dapat mengakses dan memperoleh salinan data pribadinya.
Tidak mematuhi peraturan GDPR memiliki konsekuensi berat; organisasi didenda hingga 4% dari pendapatan global mereka atau hingga 20 juta pound, sehingga sangat penting bagi perusahaan untuk segera mengambil tindakan dan mematuhi sepenuhnya pada saat persyaratan GDPR berlaku penuh.
Jadi, apa selanjutnya untuk pemantauan server SQL?
Sekarang setelah tenggat waktu 25 Mei telah berlalu, Anda diharapkan telah menyelesaikan penilaian risiko. Misalnya, apakah informasi apa pun yang Anda simpan melibatkan perusahaan dan individu UE, atau apakah itu akan terjadi di masa mendatang?
Jika jawabannya ya, maka Anda harus mempertimbangkan berbagai pertanyaan, termasuk di mana Anda menyimpan informasi pribadi, untuk apa informasi tersebut digunakan, apakah Anda menjelaskan kepada pengguna bahwa Anda menyimpan informasi tersebut, berapa lama Anda menyimpannya , siapa yang memiliki akses ke sana, dll.
Idealnya, Anda cukup mencari semua data di server SQL Anda untuk mencari nama kolom seperti "SSN" atau "Tanggal Lahir," tetapi kolom sering diberi label dengan nama yang tidak jelas dan samar. Itu berarti Anda mungkin harus menghabiskan waktu secara manual menyelidiki setiap tabel. Menentukan siapa yang memiliki akses ke data juga mungkin sulit ditentukan.
Jika Anda menginginkan penilaian umum tentang kesiapan GDPR organisasi Anda, survei ini dapat membantu.
Memilah-milah informasi (gunung)
Sayangnya, mempelajari semua yang perlu diketahui tentang kepatuhan GDPR membutuhkan berjam-jam membaca dan meneliti. Ada 99 artikel dan 11 bab di situs web informasi GDPR, yang mungkin membutuhkan waktu berhari-hari bagi Anda untuk meneliti secara keseluruhan.
Karena itu, berikut adalah beberapa artikel yang mungkin paling relevan bagi Anda sebagai DBA tentang pemantauan server SQL:
Pasal 25
Pasal 25 membahas perlindungan data berdasarkan desain dan default, yaitu, mengontrol siapa yang memiliki akses ke data pribadi dan bagaimana informasi tersebut disimpan, diproses, dan diakses.
- Privasi data menurut desain berarti bahwa tindakan organisasi dan teknis yang sesuai untuk memastikan keamanan dan privasi data pribadi disematkan ke dalam siklus hidup lengkap produk, layanan, aplikasi, serta bisnis dan teknis organisasi Prosedur. Tindakan teknis dapat mencakup, namun tidak terbatas pada, nama samaran dan minimalisasi data.
- Privasi data secara default berarti bahwa (a) hanya data pribadi yang diperlukan yang dikumpulkan, disimpan, atau diproses dan (b) data pribadi tidak dapat diakses oleh banyak orang.
Pasal 25 juga menetapkan bahwa sertifikasi yang disetujui, sebagaimana ditentukan dalam Pasal 42, dapat digunakan untuk menunjukkan kepatuhan terhadap privasi berdasarkan desain dan persyaratan privasi secara default.
Pasal 30
Artikel ini membahas audit yang tepat dari semua catatan dan data pribadi. Persyaratan untuk Pasal 30 kemungkinan besar berlaku untuk sebagian besar perusahaan karena penerapan pasal tersebut secara luas. Perusahaan yang bersiap untuk mematuhi Pasal 30 harus melihat bagaimana data bergerak melalui setiap proses bisnisnya, bukan hanya tempat data berada. Dengan kata lain, “ikuti data”.
Pasal 30 mengharuskan perusahaan untuk menghasilkan “catatan aktivitas pemrosesan”, yang akan memungkinkan regulator untuk melihat bahwa perusahaan mematuhi GDPR.
Pasal 32
Pasal 32 mencakup persyaratan bahwa data dienkripsi. Ini mengharuskan DBA untuk menerapkan langkah-langkah teknis dan organisasional yang memastikan tingkat keamanan data yang sesuai dengan tingkat risiko yang ditimbulkan oleh pemrosesan data pribadi.
Tindakan keamanan data setidaknya harus memungkinkan:
- Menyamarkan atau mengenkripsi data pribadi.
- Menjaga kerahasiaan, integritas, ketersediaan, akses, dan ketahanan sistem dan layanan pemrosesan.
- Memulihkan ketersediaan dan akses ke data pribadi, jika terjadi pelanggaran keamanan fisik atau teknis.
- Menguji dan mengevaluasi efektivitas langkah-langkah teknis dan organisasi.
Pasal 35
Artikel ini menguraikan dokumentasi yang tepat dari semua metodologi perlindungan data dan kebutuhan serta dampaknya. Semua organisasi diwajibkan untuk menganalisis risiko mereka dan menunjukkan kepatuhan mereka terhadap GDPR.
Ini menetapkan bahwa Penilaian Dampak Perlindungan Data (DPIA) harus dilakukan jika pemrosesan data cenderung menimbulkan risiko tinggi. DPIA adalah latihan yang memungkinkan bisnis untuk memeriksa risiko yang mungkin terkait dengan pemrosesan data dan cara untuk meninjau prosedur mereka dengan mempertimbangkan kepatuhan GDPR.
Artikel tersebut juga menyerukan otoritas pengawas untuk membuat dan mempublikasikan daftar kegiatan pemrosesan data mereka sendiri yang akan membutuhkan DPIA.
Mempersiapkan kepatuhan GDPR bukanlah tugas yang mudah. Jika Anda belum melakukannya, manfaatkan semua informasi dan penelitian yang tersedia untuk membantu Anda menjadi patuh secepat mungkin.
Ambil tindakan lebih lanjut untuk meningkatkan pemantauan SQL Server Anda. Mulailah memeriksa database Anda di masa mendatang dengan panduan gratis kami.