Uno de los argumentos más interesantes que resuena actualmente en la oficina es la falta de respaldo para la computadora portátil del personal de recursos humanos.
Contiene una copia del contrato y otra información de tipo RR.HH. de cada miembro del personal que tenemos trabajando aquí. Ciertamente es información confidencial, parte de ella contiene detalles de NI y de atención médica, así como información de cuentas bancarias y otros registros personales.
Después de que la computadora portátil de un desarrollador fuerarobado el mes pasado, He tenido motivos para examinar con más detalle la copia de seguridad (o la falta de ella) de los distintos servicios de la oficina.
La gerencia piensa quebuzónSería una buena solución, ya que afirman ser seguros, pero no estoy seguro de dónde se encuentra realmente la ley (y la Ley de Protección de Datos) al respecto.
Tenía la impresión de que no se permite que los documentos en cuestión salgan del sitio/país/UE. Por lo tanto, Dropbox no sería bueno, ya que tiene su sede en los EE. UU. y probablemente esté respaldado por Amazon S3.
Información rápida:
- Estamos basados en el Reino Unido y operamos en la UE (DK)
- A la administración le gustaría tener acceso en línea, lo más granular posible, un creador de usuarios, solo él puede acceder a ese documento/carpeta, una carpeta compartida globalmente, así como listas de acceso basadas en grupos.
- Me gustaría cualquier cosa que sea criptografía dura (AES) debidamente segura y probada.
- El acceso telefónico a VPN IPSEC sería bueno, HTTPS probablemente también lo sería.
- Una solución que no provocará que el Comisionado de Información nos demande si las cosas se ponen feas.
¿Alguien tiene alguna idea? ¿Hiciste esto antes? ¿Debería simplemente construir un servidor y almacenarlo en algún lugar de la oficina o un servidor dedicado en un centro de datos del Reino Unido?
Respuesta1
Cambie las suposiciones por un momento: ¿por qué es necesario que los datos confidenciales abandonen el sitio? ¿Por qué no simplemente crear un servidor Terminal, conectable a la web a través de VPN, y hacer que la gente se conecte a él para acceder a datos y aplicaciones confidenciales?
Respuesta2
En primer lugar, DropBox no parece cumplir con Safe Harbor, por lo que almacenar cualquier cosa cubierta por la DPA sería un incumplimiento de las responsabilidades de la DPA.
Puede enviar (algunos tipos de) documentos (electrónicamente) a los EE. UU., siempre que el otro extremo cumpla con Safe Harbor (y esté registrado). No sé si esto cubre detalles de atención médica, pero ciertamente es suficiente para "nombre, dirección y número de teléfono" (o lo era, cuando estaba investigando las regulaciones relevantes en 2006, mientras el trabajo estaba considerando deslocalizar las copias de seguridad). a un centro de datos de EE. UU.).
Sospecho que lo que querrías hacer es una combinación de lo siguiente:
- Software de respaldo instalado en todas las "estaciones de trabajo" (computadoras estacionarias y portátiles).
- Disco duro cifrado en todas las computadoras portátiles (lo ideal es que también requiera una contraseña de BIOS al arrancar).
- Las copias de seguridad deben realizarse en al menos dos bloques de almacenamiento separados, tal vez uno en un servidor de la oficina y otro en un centro de datos remoto (Reino Unido).
- El software de respaldo exacto no importa demasiado, busque algo que proporcione aproximadamente los requisitos que tiene y pregunte si puede obtener una licencia de demostración para una ejecución de prueba (un solo servidor, 2 o 3 máquinas de prueba, borre cosas intencionalmente e intente recuperar).