Ce măsuri trebuie să ia companiile pentru a proteja datele clienţilor?

Autor: Bogdan Angheluţă Postat la 30 noiembrie 2016 501 afişări

Ce măsuri trebuie să ia companiile pentru a proteja datele clienţilor?

Multe companii trebuie pur şi simplu obligate să ia măsuri pentru a se proteja. Dovadă şi legea care impune camere video sau agenţi de pază la casele de schimb valutar. Pe acelaşi principiu, Comisia Europeană a decis că toate instituţiile care procesează date personale trebuie să şi aibă grijă de acestea. pentru acelea care nu vor reuşi, oficialii europeni au pregătit o serie de amenzi usturătoare. Ce impact vor avea noile reglementări asupra companiilor din România şi cum ar trebui acestea să-şi securizeze datele?

Pentru a răspunde ameninţărilor la adresa securităţii cetăţenilor şi companiilor UE, Comisia Europeană a prezentat în 2012 un pachet de acte legislative privind reforma normelor UE în materie de protecţie a datelor, destinat să adapteze Europa la era digitală. Pachetul de reformă a fost adoptat de Parlamentul European la 14 aprilie 2016 şi cuprinde două instrumente: Regulamentul general privind protecţia datelor (GDPR) şi Directiva privind protecţia datelor pentru sectoarele poliţiei şi justiţiei penale. Regulamentul general privind protecţia datelor (GDPR) adoptat de Comisia Europeană va intra în vigoare din 25 mai 2018 şi ar trebui să pună capăt fragmentării actuale a normelor UE în materie de protecţie a datelor. În acelaşi timp, pachetul de reformă va crea cadrul implementării unor politici de securitate care să protejeze datele sensibile şi care sunt conforme cu GDPR.

Noua legislaţie le va permite cetăţenilor să exercite un control sporit asupra datelor lor cu caracter personal. Potrivit unui sondaj Eurobarometru, două treimi dintre europeni (67%) au declarat că sunt îngrijoraţi în legătură cu faptul că nu deţin controlul deplin asupra informaţiilor pe care le furnizează online.

„Noile directive, care au fost aprobate de Consiliul European la începutul acestui an, reglementează termenul de date personale gestionate de anumite companii. Vorbim de organizaţii din domeniul medical, energetic şi nu numai. Sunt multe organizaţii cărora noi le oferim datele personale până la un nivel destul de avansat, iar noile directive reglementează partea asta. De asemenea, sunt specificate şi amenzi pentru companiile care pierd aceste date, iar datele devin publice”, explică Gabriel Gîdea, director de dezvoltare la Kingston Technology România şi Bulgaria, companie cu activitate în domeniul producţiei şi comercializării de produse pentru stocare, de pildă stickuri USM sau harduri externe. După cum explică managerul companiei Kingston, directiva europeană prevede şi un cuantum maxim de amenzi: 4% din cifra de afaceri globală sau 20 de milioane de euro.

Ideea acestei directive, spune Gîdea, a plecat de la legile care erau implementate în anumite ţări din Europa de mai mult timp. „Ştiu sigur că în Marea Britanie există o astfel de lege care are cinci sau şase ani; în alte ţări nu există însă reglementări de genul ăsta. În Regatul Unit a fost chiar un exemplu în acest sens: un angajat al unei firme de pensii private a pierdut un stick de memorie care avea datele a 40.000 de clienţi. Cineva a găsit stickul, datele au ajuns publice, iar autorităţile s-au sesizat. A urmat apoi un proces soldat cu o amendă de 5 milioane de lire sterline; se întâmpla acum trei ani.”

Părerea sa este că implementarea unor măsuri de securitate trebuie să se producă de sus în jos: în primul rând, tot managementul trebuie să fie la zi cu prevederile acestei directive şi să stabilească politici de securitate şi de gestionare şi transfer al datelor în interiorul companiei, să stabilească cine are acces la ce date şi să informeze apoi toţi angajaţii. „Momentan, cred că sunt protejate doar acele companii în care protecţia este obligatorie. Nu neapărat din punctul de vedere al directivei europene, cât mai ales din punctul de vedere al sensibilităţii datelor. Vorbim despre companii care utilizează deja stickuri cu criptare, pentru că ori au secrete industriale, ori informaţii de altă natură care nu trebuie să ajungă publice; nu vorbim neapărat de date personale ale clienţilor”, spune Gîdea.

Mai mult de jumătate (54%) dintre companii nu au un angajat sau un departament care să se ocupe de tehnologiile emergente şi de impactul acestora, arată studiul Global Information Security Survey 2015, realizat de EY despre securitatea cibernetică. Studiul arată că majoritatea companiilor nu sunt mulţumite de felul în care sunt protejate de atacurile cibernetice. 88% dintre respondenţi cred că securitatea informaţională nu satisface pe deplin nevoile organizaţiilor pentru care lucrează, în vreme ce 36% dintre ei spun că e foarte puţin probabil să detecteze un atac cibernetic sofisticat.

Din punctul de vedere al transferului de date pe mediu extern, companiile au două modalităţi de a se proteja: una ar fi să blocheze toate porturile USB din firmă, şi în momentul acela totul se transferă prin cloud sau pe serverul companiei, a doua ar fi să folosească stickuri criptate. „Sunt domenii – şi vor exista mereu – unde cloudul nu este suficient; va trebui să tranferi informaţia, la un moment dat, pe un mediu extern. Şi, sigur, criptarea e cea mai sigură metodă de protecţie în acest caz, pentru că vorbim de flexibilitatea pe care ţi-o dă folosirea unui stick de memorie criptat”, crede Gabriel Gîdea.

Kingston Digital a achiziţionat în luna februarie compania IronKey, cunoscută pentru sistemele avansate de criptare. Astfel, clienţii IronKey vor avea acces la serviciile vânzări şi de suport tehnic puse la dispoziţie de Kingston. IronKey EMS, sistemul de management al USB-urilor, este o soluţie flexibilă care poate fi implementată atât în cloud, cât şi on premise. Impune folosirea unor politici specifice de securitate, cum ar fi parole puternice şi o limită de încercări, şi le permite administratorilor de sistem să dezactiveze de la distanţă unităţile pierdute sau furate. Kingston şi DataLocker au colaborat îndeaproape pentru dezvoltarea acestor soluţii avansate de criptare cu sistem de management.

O altă mişcare importantă a celor de la Kingston a fost separarea diviziei de produse destinate gamingului, adică brandul HyperX. „Am început procesul acesta în momentul în care am înţeles că HyperX, ca brand de sine stătător, a devenit un nume puternic”, spune Gabriel Gâdea. „Ideea iniţială a HyperX a fost de performanţă, după care ne-am dus din ce în ce mai mult spre gaming. Kingston a rămas cu produsele de consumer şi corporate; din punctul meu de vedere, a fost lucrul corect. Acum, dacă mergi la un eveniment de gaming şi întrebi un participant de Kingston, nu o să ştie despre ce companie e vorba, dar cu siguranţă a auzit de HyperX.“

Sportul electronic devine din ce în ce mai vizibil, pentru că participă din ce în ce mai mulţi jucători şi spectatori, dar şi o oportunitate de business. Recent Alibaba, gigantul chinez, a anunţat o investiţie de 150 milioane de dolari în eSports. Ramura Alisports a companiei va găzdui turneul de eSports World Electronic Sports Games, care are un fond de premiere de 5,5 milioane de dolari. Anul trecut, în competiţiile de DOTA 2 s-au oferit peste 31 de milioane de dolari, în cadrul League of Legends peste 7 milioane de dolari, Conter-Strike: Global Offensive peste 6 milioane de dolari.

Un alt exemplu este The International 2016, cea de-a şasea ediţie a celei mai mari competiţii de DOTA 2, joc video, din lume. Fondul de premiere al turneului s-a ridicat la 18,5 milioane de dolari, fiind în continuă creştere an după an, deoarece fanii pot contribui la fond achiziţionând diferite produse virtuale. 17 milioane din cele 18,5 provin din contribuţiile fanilor, care au cheltuit 68 de milioane de dolari pe obiecte virtuale, iar 25% din aceşti bani s-au dus către fondul de premiere.

Urmărește Business Magazin

Preluarea fără cost a materialelor de presă (text, foto si/sau video), purtătoare de drepturi de proprietate intelectuală, este aprobată de către www.bmag.ro doar în limita a 250 de semne. Spaţiile şi URL-ul/hyperlink-ul nu sunt luate în considerare în numerotarea semnelor. Preluarea de informaţii poate fi făcută numai în acord cu termenii agreaţi şi menţionaţi in această pagină.