Luật bảo vệ dữ liệu chung GDPR là gì?

Thông tin dữ liệu cá nhân là gì?

Như được định nghĩa trong “Article 4 GDPR Definitions”: Thông tin dữ liệu cá nhân là bất kỳ thông tin nào liên quan đến một cá nhân được xác định hoặc có thể nhận dạng (‘data subject’); một cá nhân có thể nhận dạng là người có thể được xác định, trực tiếp hoặc gián tiếp, cụ thể bằng cách tham chiếu đến đặc điểm nhận dạng như tên, số nhận dạng, dữ liệu vị trí, số nhận dạng trực tuyến hoặc một hay nhiều yếu tố cụ thể về thể chất, sinh lý, di truyền, tinh thần, kinh tế, văn hóa hoặc xã hội của người đó.

Như vậy thông tin dữ liệu cá nhân trong thực tế có thể là những thông tin gì? 

  • Địa chỉ email cá nhân.
  • Địa chỉ email cơ quan.
  • Địa chỉ vật lý.
  • Địa chỉ IP.
  • Số an sinh xã hội.
  • Ngày sinh.
  • Nơi sinh.
  • Số điện thoại di động, điện thoại nơi làm việc.
  • Tên đăng nhập, Nickname, v.v…

Đây là một danh sách rất nhiều về những gì có thể được xem là dữ liệu cá nhân. Định nghĩa dữ liệu cá nhân có tính mở, được xác định tùy theo ngữ cảnh, được xác định trực tiếp hay gián tiếp trong từng bối cảnh cụ thể.

Những tính năng nào của Zimbra giúp bạn tuân thủ GDPR.

Khám phá dữ liệu – Zimbra Archive & Discovery

Một trong những bước cực kỳ quan trọng để đáp ứng GDPR là phát hiện và quản lý dữ liệu cá nhân nào bạn đang nắm giữ và nơi mà những dữ liệu này đang được lưu trữ.

Với khối lượng dữ liệu khổng lồtồn tại dưới dạng phi cấu trúc trong Zimbra thì một cách tiếp cận có tính công nghệ là cần thiết để xác định tất cả các dữ liệu đó và là một bước quan trọng để đáp ứng yêu cầu truy cập của chủ thể dữ liệu (SAR).

Mã hóa – Zimbra S/MIME và PGP

Mã hóa dữ liệu được xem là một trong các công cụ (không bắt buộc) tốt để đáp ứng GDPR. Bằng cách mã hóa dữ liệu email khi gửi đi, quản lý chặt thiết bị di động, bạn sẽ thêm an tâm về các dữ liệu nhạy cảm và quan trọng.

PERIMETER SECURITY – Zimbra DKIM, ClamAV, SPF, PostScreen

  • Thiết lập DKIM, DMARC cho hệ thống email.
  • Đảm bảo dữ liệu antivirus luôn được cập nhật.
  • Sử dụng thêm lớp bảo mật từ bên thứ ba như email security gateway.
  • Sử dụng mô hình multi server để phân tách các server chức năng vào các vùng bảo mật khác nhau.

Lưu giữ dữ liệu – Chính sách lưu giữ dữ liệu của Zimbra

GDPR yêu cầu lưu giữ dữ liệu cá nhân ở mức tối thiểu cần thiết cũng như thời gian lưu giữ không lâu hơn mức cần thiết.  Các tổ chức cần đảm bảo dữ liệu được xóa khi không còn cần sử dụng nữa.

Zimbra cung cấp chính sách lưu giữ dữ liệu và quản trị viên có thể thiết lập chính sách cho từng người dùng hoặc các nhóm người dùng.

Bạn cũng nên lưu ý chỉ lưu trữ các bản backup cho mục đích dự phòng và đáp ứng các điều kiện cần tuân thủ.

Zimbra mobile policy cho phép quản trị viên thiết lập hạn chế các thông tin được phép đồng bộ giữa server và thiết bị di động. Zimbra cũng cho phép xóa trắng thiết bị di động khi không còn sử dụng nữa (hoặc bị mất).

Quản lý truy cập và định danh – Chính sách mật khẩu và xác thực 2 yếu tố của Zimbra

GDPR luôn yêu cầu bạn phải có và triển khai chính sách truy cập cho các hệ thống hoặc dữ liệu quan trọng. Cơ quan của bạn cần xem xét:

  • Quyền hạn của người quản trị.
  • Đảm bảo rằng chỉ cho phép đúng người phù hợp được truy cập vào dữ liệu cá nhân.
  • Tăng cường xác thực.
  • Off-boarding và de-provisioning.

Để thực hiện các yêu cầu trên bạn sẽ:

  • Thiết lập chính sách mật khẩu.
  • Bật chức năng xác thực 2 yếu tố.
  • Sử dụng Fail2ban để phòng ngừa tấn công.
  • Theo dõi log để phát hiện các hoạt động bất thường.

Di chuyển dữ liệu – Zimbra import và export

Chủ sở hữu dữ liệu có quyền yêu cầu một bản trích xuất dữ liệu của họ dưới định dạng phù hợp để trao cho một bên cung cấp dịch vụ khác.

Cho phép khách hàng tự thực hiện trích xuất dữ liệu cá nhân của họ thông qua giao diện web bảo mật là một cách tốt để bân bằng giữa quyền truy nhập và kinh tế.

Các sự cân nhắc khác

Bạn cũng cần cân nhắc thêm về:

  • Quyền đòi hỏi xóa dữ liệu (trong các bản sao lưu?)
  • Triển khai log ghi nhận kiểm tra và phát hiện thâm nhập.
  • Chứng thư số.
  • Sự chấp thuận của người dùng (về lợi nhuận khi chia sẻ dữ liệu hoặc bằng lòng một cách chủ động tích cực).
  • Chủ quyền dữ liệu.
  • Chống thất thoát dữ liệu (DLP).