Vamos continuar nossa jornada, que foi iniciada nas duas publicações anteriores. Na primeira publicação, apresentamos um panorama geral da jornada da Veeam rumo à conformidade com GDPR e compartilhamos as 5 lições que aprendemos. Na segunda publicação, nós detalhamos o primeiro desses cinco princípios.
- Tenha conhecimento de seus dados
- Gerencie seus dados
- Proteja seus dados
- Documentação e conformidade
- Melhoria constante
Agora, vamos dar uma analisada no segundo princípio: Gerencie seus dados.
Se você concluiu as tarefas do primeiro princípio e identificou as informações de identificação pessoal (PII) que possui e onde elas residem, agora você pode começar a estabelecer regras e procedimentos para o acesso e uso desses dados PII.
As principais perguntas aqui são:
- Quem tem acesso a essa informação (e sabe quando estão sendo acessadas)?
- Por que eles acessam essa informação?
- Com qual finalidade?
Através desse processo, nós aprendemos que existem muitos departamentos distintos dentro de sua organização, cada um processando e gerenciando dados PII por motivos específicos. Isso inclui os departamentos de marketing, vendas e recursos humanos. Sendo que um dos departamentos mais cruciais entre esses é o de recursos humanos. Alguns dos dados que o RH possui ou obtém de seus funcionários não são considerados apenas dados PII, mas dados confidenciais PII. Isso acarreta medidas e proteções rigorosas de segurança. Nós aprendemos que o RH precisa receber atenção especial em relação ao gerenciamento de dados.
Gerenciar nossos dados é algo que não fazemos de forma totalmente interna. A Veeam se associou a fornecedores terceirizados para gerenciar esses dados específicos. Certifique-se de analisar a conformidade com GDPR dessas empresas terceirizadas ao estabelecer uma parceria com eles, e também de estar ciente de que isso ainda precisa fazer parte dos seus processos e fluxos de trabalho. Você se torna responsável pelos dados, estejam eles em posse de fornecedores terceirizados ou não.
Quem, o que e por quê?
Não é surpresa que, depois de compreender e classificar a dimensão total de seus dados organizacionais, muitas empresas percebem que o acesso a esses dados não é gerenciado cuidadosamente. Se você está usando os modelos que fornecemos em nosso white paper, também já deve ter descoberto por que eles acessam as informações e o que fazem com elas (o propósito). Agora é o momento de criar esses fluxos de trabalho e procedimentos, e garantir que as pessoas só tenham acesso aos dados quando forem necessários para concluir suas funções na empresa.
Analise também seus acordos de divulgação aderidos e revise-os quando necessário. Agora o GDPR força você a relatar exatamente o que está coletando, o propósito dos dados e onde serão utilizados, e finalmente, por quanto tempo você os armazenará. Além disso, implemente o procedimento para permitir respostas às solicitações de pessoas que querem saber o que você está armazenando, bem como a possibilidade de alterações ou exclusões de seus dados.
Por último, mas não menos importante, você deve verificar as Listas de Controle de Acesso das equipes internas. Não é raro que a equipe interna de TI tenha acesso a todos os dados. Documente esse acesso e garanta que ocorram auditorias quando a TI precisar desse acesso para poder realizar seu trabalho.
Conclusão
Após ter o conhecimento do que seus dados são e onde eles estão, você precisa entender os motivos de serem usados e quem possui acesso a eles. Use soluções técnicas e faça parcerias com fornecedores terceirizados, para saber como eles lidam com a conformidade. Lembre-se de que você continua sendo o responsável pelos dados. Adapte soluções onde você pode identificar locais e adicione identificações para dados PII e PII confidenciais. Crie relatórios para ter o controle de quando alguém acessou os dados. Planeje-se para a restauração de dados. (Saber quem tem acesso a seus dados de produção não é o suficiente, quando os operadores de restauração podem recuperar tudo que quiserem). E por último, como muitas “ameaças” acontecem dentro da empresa, certifique-se de que você tem uma boa proteção física para sua infraestrutura.