<b>Защита данных ломается не из-за взлома, а из-за слабых процессов</b>
Начинайте не с «сильного пароля», а с карты данных: какие сведения собираете, где храните, кто имеет доступ и зачем. Без этого нельзя ни ограничить доступ, ни понять, что именно защищать в первую очередь.
Дальше проверьте базовые вещи:
— доступ по роли, а не «по просьбе»;
— двухфакторная аутентификация для админов и бухгалтерии;
— отдельные права на выгрузку и удаление;
— журнал действий там, где данные можно массово копировать.
Отдельный риск — подрядчики и сервисы. Если передаете им данные, у вас должны быть закреплены цель обработки, порядок возврата или удаления, а также запрет на использование данных «для своих нужд». Иначе утечка через внешнего исполнителя станет вашей проблемой.
Полезно раз в квартал устраивать короткую ревизию: кому действительно нужен доступ, где лежат резервные копии, кто отвечает за инцидент и как быстро блокируются учетные записи. Чем меньше лишних прав и неучтенных копий, тем проще доказать, что защита у вас не формальная, а рабочая.
Юридические аспекты разработки
@legal_side_web_work_ww
<b>Защита данных ломается не из-за взлома, а из-за слабых процессов</b>
Этот пост опубликован в Telegram-канале Юридические аспекты разработки. Подписаться можно по ссылке: @legal_side_web_work_ww.