目前辦公室裡流傳的更有趣的爭論之一是人力資源人員的筆記型電腦缺乏備份。
其中包含我們在這裡工作的每位員工的合約副本和其他人力資源類型資訊。這當然是機密信息,其中一些包含 NI 和醫療保健詳細信息,以及銀行帳戶信息和其他個人記錄。
開發人員的筆記型電腦被上個月被盜,我有理由更詳細地了解辦公室周圍各種服務的備份(或缺乏)。
管理層認為Dropbox將是一個很好的解決方案,因為他們聲稱是安全的,但我絕對不確定法律(和資料保護法)實際上在哪裡。
我的印像是,您不允許讓相關文件離開網站/國家/歐盟。因此,Dropbox 不會有好處,因為它們位於美國,並且可能有 Amazon S3 支援。
快速資訊:
- 我們的總部位於英國,在歐盟 (DK) 開展業務
- 管理層希望在線上存取盡可能精細,一個使用者創建者,只有他們可以存取該文件/資料夾,一個全域共用資料夾以及基於群組的存取清單。
- 我想要任何適當安全、經過測試的硬加密 (AES)
- 撥入 IPSEC VPN 存取會很好,HTTPS 可能也可以。
- 如果事情進展順利,這個解決方案不會導致我們被資訊專員起訴。
有人有什麼想法嗎?以前做過這個嗎?我應該建立一台伺服器並將其儲存在辦公室的某個地方,還是英國資料中心的專用伺服器?
答案1
暫時扭轉一下假設 - 為什麼機密資料需要離開網站?為什麼不直接創建一個終端伺服器,透過 VPN 連接到網絡,並讓人們連接到該伺服器來存取機密資料和應用程式?
答案2
首先,DropBox 似乎不符合安全港標準,因此儲存 DPA 涵蓋的任何內容將違反 DPA 責任。
只要另一端符合安全港標準(並已註冊),您就可以將(某些類型)文件(以電子方式)運送到美國。我不知道這是否涵蓋醫療保健詳細信息,但這對於“姓名、地址和電話號碼”來說肯定足夠了(或者,當我在 2006 年查看相關法規時,當時工作正在考慮離岸備份到美國數據中心)。
我懷疑您想要做的是以下操作的組合:
- 所有「工作站」(固定電腦和筆記型電腦)上安裝的備份軟體。
- 所有筆記型電腦上的加密硬碟(最好在啟動時也需要 BIOS 密碼)。
- 備份應該位於至少兩個獨立的儲存區塊上,一個可能位於辦公室的伺服器上,另一個位於遠端(英國)資料中心。
- 確切的備份軟體並不重要,尋找能夠大致滿足您的要求的軟體,並詢問您是否可以擁有用於測試運行的演示許可證(單伺服器,2-3 台測試機,故意擦除內容並嘗試恢復)。