Безопасное корпоративное хранение документов
Одним из наиболее интересных аргументов, которые в настоящее время гремят в офисе, является отсутствие резервного копирования для ноутбука сотрудника отдела кадров.
Он содержит копию контракта и другую информацию о типе персонала для каждого сотрудника, с которым мы здесь работаем. Это, безусловно, конфиденциальная информация, некоторые из которых содержат данные о состоянии здоровья и состоянии здоровья, а также информацию о банковских счетах и другие личные записи.
После того, как ноутбук разработчика был украден в прошлом месяце, у меня была причина более подробно изучить резервное копирование (или его отсутствие) для различных служб в офисе.
Менеджмент считает, что Dropbox будет хорошим решением, поскольку они утверждают, что он безопасен, но я определенно не уверен, где закон (и Закон о защите данных) на самом деле лежат на этом.
У меня сложилось впечатление, что вам не разрешено оставлять указанные документы на сайте / в стране / ЕС. Так что Dropbox не годится, так как они базируются в США, и, вероятно, Amazon S3 поддерживается.
Быстрая информация:
- Мы находимся в Великобритании, с операциями в ЕС (ДК)
- Руководство хотело бы получить онлайн-доступ, как можно более детальный, одного создателя пользователя, только они могут получить доступ к этому документу / папке, одной общей папке, а также спискам доступа на основе группы.
- Я хотел бы что-нибудь, что должным образом защищено, проверено, Жесткая криптография (AES)
- Коммутируемый доступ IPSEC VPN был бы хорош, HTTPS, вероятно, тоже.
- Решение, которое не приведет к тому, что информационный инспектор подаст на нас в суд, если дела пойдут не так.
У кого-нибудь есть идеи? Сделано это раньше? Должен ли я просто создать сервер и хранить его где-нибудь в офисе или выделенный сервер в центре обработки данных в Великобритании?
2 ответа
Переверните предположения на мгновение - почему конфиденциальные данные должны вообще покинуть сайт? Почему бы просто не создать сервер терминалов, подключаемый к Интернету через VPN, и заставить людей подключаться к нему для доступа к конфиденциальным данным и приложениям?
Прежде всего, DropBox, похоже, не соответствует требованиям Safe Harbor, поэтому хранение всего, что покрывается DPA, было бы нарушением обязанностей DPA.
Вам разрешается отправлять (некоторые типы) документы (в электронном виде) в США, если другой конец соответствует требованиям Safe Harbor (и зарегистрирован). Я не знаю, охватывает ли это детали здравоохранения, но этого, безусловно, достаточно для "имени, адреса и номера телефона" (или, когда я изучал соответствующие нормативные акты еще в 2006 году, поскольку работа рассматривалась как резервное копирование вне базы данных) в центр обработки данных США).
Я подозреваю, что вы хотели бы сделать следующее:
- Программное обеспечение для резервного копирования установлено на всех "рабочих станциях" (как на стационарных компьютерах, так и на ноутбуках).
- Зашифрованный жесткий диск на всех ноутбуках (в идеале также требуется пароль BIOS при загрузке).
- Резервные копии должны храниться как минимум на двух отдельных объектах хранения, возможно, на одном сервере в офисе и другом в удаленном (британском) центре обработки данных.
- Точное программное обеспечение для резервного копирования не имеет большого значения, найдите что-то, что примерно соответствует вашим требованиям, и спросите, можете ли вы иметь демонстрационную лицензию для тестового запуска (один сервер, 2-3 тестовых компьютера, намеренно стереть материал и попытаться восстановления).