Один из самых интересных аргументов, которые сейчас обсуждают в офисе, — это отсутствие резервной копии ноутбука HR-менеджера.
В нем содержится копия контракта и другая информация HR-типа по каждому члену персонала, который у нас работает. Это, безусловно, конфиденциальная информация, часть из нее содержит данные NI и здравоохранения, а также информацию о банковских счетах и другие личные записи.
После того, как ноутбук разработчика былукрадено в прошлом месяце, у меня была причина более подробно рассмотреть резервное копирование (или его отсутствие) различных служб в офисе.
Руководство считает, чтоDropboxЭто было бы хорошим решением, поскольку они утверждают, что это безопасно, но я решительно не уверен, как на самом деле обстоит дело с законом (и Законом о защите данных).
У меня сложилось впечатление, что вам не разрешено выносить документы, о которых идет речь, за пределы сайта/страны/ЕС. Так что dropbox не подойдет, так как они находятся в США и, вероятно, поддерживаются Amazon S3.
Краткая информация:
- Мы находимся в Великобритании и работаем в ЕС (Дания)
- Руководству хотелось бы иметь максимально детализированный онлайн-доступ, одного создателя-пользователя, чтобы только он мог получить доступ к данному документу/папке, одну глобальную общую папку, а также списки доступа на основе групп.
- Мне бы хотелось что-то по-настоящему безопасное, протестированное, с жестким шифрованием (AES)
- Было бы неплохо подключиться к VPN по коммутируемой линии с помощью IPSEC, возможно, подойдет и HTTPS.
- Решение, которое не приведет к тому, что на нас подаст в суд Уполномоченный по информации, если что-то пойдет не так.
У кого-нибудь есть идеи? Делали это раньше? Мне просто построить сервер и хранить его где-то в офисе или выделенный сервер в дата-центре в Великобритании?
решение1
Переверните предположения на мгновение - почему конфиденциальные данные вообще должны покидать сайт? Почему бы просто не создать терминальный сервер, подключаемый к сети через VPN, и позволить людям подключаться к нему для доступа к конфиденциальным данным и приложениям?
решение2
Во-первых, DropBox, судя по всему, не соответствует требованиям Safe Harbor, поэтому хранение чего-либо, подпадающего под действие DPA, будет нарушением обязательств DPA.
Вам разрешено отправлять (некоторые типы) документов (в электронном виде) в США, если другой конец соответствует требованиям Safe Harbor (и зарегистрирован). Я не знаю, охватывает ли это данные о состоянии здоровья, но этого определенно достаточно для «имени, адреса и номера телефона» (или было достаточно, когда я изучал соответствующие правила в 2006 году, когда работа рассматривала возможность офшорного резервного копирования в центр обработки данных в США).
Я подозреваю, что вам следует сделать комбинацию из следующих действий:
- Программное обеспечение для резервного копирования установлено на всех «рабочих станциях» (стационарных компьютерах и ноутбуках).
- Зашифрованный жесткий диск на всех ноутбуках (в идеале также требующий ввода пароля BIOS при загрузке).
- Резервные копии должны храниться как минимум на двух отдельных хранилищах, возможно, один на сервере в офисе, а другой в удаленном (в Великобритании) центре обработки данных.
- Конкретное программное обеспечение для резервного копирования не имеет большого значения, ищите то, что хотя бы приблизительно соответствует вашим требованиям, и спросите, можете ли вы получить демонстрационную лицензию для тестового запуска (один сервер, 2-3 тестовых машины, намеренное удаление данных и попытка восстановления).