現在オフィスで議論されている興味深い議論の 1 つは、人事担当者のラップトップのバックアップがないことです。このラップトップには、
ここで働いているスタッフ全員の契約書のコピーやその他の人事関連情報が含まれています。これは間違いなく機密情報であり、その中には国民保険や医療の詳細、銀行口座情報、その他の個人記録も含まれています。
開発者のラップトップが先月盗まれた、私はオフィス内のさまざまなサービスのバックアップ(またはその欠如)をより詳細に調べる機会がありました。
経営陣はドロップボックス安全だと主張しているので良い解決策になると思いますが、これに関して法律(およびデータ保護法)が実際にどこにあるのかは、まったくわかりません。
問題の文書をサイト/国/EU から持ち出すことは許可されていないという印象を受けました。Dropbox は米国に拠点を置いており、おそらく Amazon S3 でバックアップされているため、役に立ちません。
クイック情報:
- 当社は英国を拠点とし、EU(デンマーク)で事業を展開しています。
- 経営陣は、オンライン アクセスを希望しており、可能な限り細分化して、1 人のユーザー作成者だけがそのドキュメント/フォルダーにアクセスでき、1 つのグローバル共有フォルダーとグループ ベースのアクセス リストも希望しています。
- 適切に安全で、テストされ、ハード暗号化(AES)されたものを希望します。
- ダイヤルイン IPSEC VPN アクセスが便利ですが、HTTPS でもおそらく大丈夫です。
- 万が一事態が悪化しても情報コミッショナーから訴えられることのない解決策です。
何かアイデアはありますか? 以前にこれをやったことがありますか? サーバーを構築してオフィスのどこかに保存するべきでしょうか、それとも英国のデータセンターに専用サーバーを置くべきでしょうか?
答え1
ちょっと前提を変えて考えてみましょう。そもそも、なぜ機密データをサイトから出さなければならないのでしょうか。VPN 経由で Web に接続できるターミナル サーバーを作成し、ユーザーがそれに接続して機密データやアプリケーションにアクセスできるようにすればいいのではないでしょうか。
答え2
まず、DropBox はセーフ ハーバーに準拠していないようですので、DPA の対象となるものを保存すると、DPA の責任に違反することになります。
相手側がセーフ ハーバーに準拠し (登録済み) ている限り、(一部の種類の) 文書を (電子的に) 米国に送ることは許可されています。これが医療の詳細を網羅しているかどうかはわかりませんが、「名前、住所、電話番号」については確かに十分です (または、2006 年に関連規制を調べていたときには十分でした。当時は、仕事で米国のデータ センターへのバックアップのオフショア化を検討していたためです)。
あなたがやりたいことは、以下のことの組み合わせだと思います。
- すべての「ワークステーション」(固定コンピュータとラップトップ)にバックアップ ソフトウェアがインストールされています。
- すべてのラップトップのハードドライブを暗号化します (理想的には起動時に BIOS パスワードも必要になります)。
- バックアップは少なくとも 2 つの別々のストレージ BLOB に保存する必要があります。1 つはオフィスのサーバー上に、もう 1 つはリモート (英国) のデータ センターに保存します。
- 正確なバックアップ ソフトウェアはあまり重要ではありません。必要な要件をほぼ満たすものを探し、テスト実行用のデモ ライセンスを取得できるかどうかを尋ねてください (単一サーバー、2 ~ 3 台のテスト マシン、意図的にデータを消去して回復を試みる)。