Det är säkert att säga att du alltid lär dig i din roll som databasadministratör. Det finns mycket på din tallrik när det kommer till SQL-serverövervakning, förvisso, men nu har du också den allmänna dataskyddsförordningen (GDPR) att oroa dig för.
Att lära sig allt du kan om efterlevnad av GDPR är avgörande för ditt företag och dess databaser. Fullspäckad med juridisk information, GDPR gör en sak klart:att du, som DBA, är ansvarig för åtkomst och skydd av all information oavsett om det är lokalt i ditt eget datacenter eller inom dina molntjänster. Låt oss ta en närmare titt.
Vad är GDPR?
GDPR är en europeisk integritetslag som trädde i kraft den 25 maj 2018. Dess grundläggande syfte är att skydda individers integritetsrättigheter samtidigt som de upprättar globala integritetskrav för hur personuppgifter hanteras och skyddas.
Även om det är en lag som syftar till att skydda medborgare i Europeiska unionen, måste alla företag som har en EU-medborgare i sin databas följa GDPR-kraven. Personuppgifter inkluderar födelsedatum, kreditkortsuppgifter, e-postadresser, IP-adresser, fotografier, nationella identifieringsnummer och mer.
Som DBA behöver du inte bara se till att personuppgifter är skyddade från olaglig åtkomst, utan också att en användare kan komma åt och få en kopia av sina personuppgifter.
Att inte följa GDPR-reglerna kommer med tunga konsekvenser; organisationer bötfälls med upp till 4 % av sina globala intäkter eller upp till 20 miljoner pund, vilket gör det mycket viktigt för företag att vidta åtgärder omedelbart och vara i full efterlevnad när GDPR-kraven träder i kraft.
Så, vad är nästa steg för SQL-serverövervakning?
Nu när deadline den 25 maj har passerat har du förhoppningsvis gjort en riskbedömning. Till exempel, involverar någon av informationen du lagrar företag och individer i EU, eller kommer det att göra det i framtiden?
Om svaret är ja måste du överväga en mängd olika frågor, inklusive var du lagrar personlig information, vad informationen används till, om du gör det klart för användarna att du lagrar informationen, hur länge du behåller den , vem som har tillgång till den osv.
Helst skulle du helt enkelt kunna söka i all data på din SQL-server för att leta efter kolumnnamn som "SSN" eller "Födelsedatum", men kolumner är ofta märkta med oklara, kryptiska namn. Det betyder att du kan behöva lägga tid på att manuellt undersöka varje enskild tabell. Det kan också vara svårt att avgöra vem som har tillgång till data.
Om du vill ha en allmän bedömning av din organisations GDPR-beredskap kan den här undersökningen hjälpa.
Sålla igenom (berget av) information
Tyvärr kräver det timmar av läsning och forskning att lära sig allt som finns att veta om efterlevnad av GDPR. Det finns 99 artiklar och 11 kapitel på GDPR-informationswebbplatsen, vilket kan ta dig dagar att undersöka i sin helhet.
Som sagt, här är några artiklar som kanske mest gäller dig som DBA angående SQL-serverövervakning:
Artikel 25
Artikel 25 behandlar dataskydd genom design och standard, det vill säga styra vem som har tillgång till personuppgifter och hur informationen lagras, behandlas och nås.
- Dataintegritet genom design innebär att lämpliga organisatoriska och tekniska åtgärder för att säkerställa personlig datasäkerhet och integritet är inbäddade i hela livscykeln för en organisations produkter, tjänster, applikationer och affärsmässiga och tekniska förfaranden. Tekniska åtgärder kan innefatta, men är inte begränsade till, pseudonymisering och dataminimering.
- Dataintegritet innebär som standard att (a) endast nödvändiga personuppgifter samlas in, lagras eller bearbetas och (b) personuppgifter är inte tillgängliga för ett obegränsat antal personer.
Artikel 25 anger också att en godkänd certifiering, enligt artikel 42, får användas för att visa att kraven på integritetsskyddet och standardkraven för integritet som standard uppfylls.
Artikel 30
Den här artikeln behandlar korrekt granskning av alla register och personuppgifter. Kraven för artikel 30 kommer sannolikt att gälla för de flesta företag på grund av artikelns breda tillämplighet. Företag som förbereder sig för att följa artikel 30 bör titta på hur data rör sig genom var och en av dess affärsprocesser, inte bara var informationen finns. Med andra ord, "följ informationen."
Artikel 30 kräver att företag producerar "register över bearbetningsaktiviteter", vilket gör det möjligt för tillsynsmyndigheter att se att företag följer GDPR.
Artikel 32
Artikel 32 omfattar kravet på att uppgifter är krypterade. Det kräver att DBA:er implementerar tekniska och organisatoriska åtgärder som säkerställer en datasäkerhetsnivå som är lämplig för den risknivå som behandlas av personuppgifter.
Datasäkerhetsåtgärder bör åtminstone tillåta:
- Pseudonymisering eller kryptering av personuppgifter.
- Upprätthåller kontinuerlig konfidentialitet, integritet, tillgänglighet, åtkomst och motståndskraft för bearbetningssystem och tjänster.
- Återställa tillgängligheten för och åtkomsten till personuppgifter i händelse av ett fysiskt eller tekniskt säkerhetsbrott.
- Testa och utvärdera effektiviteten hos tekniska och organisatoriska åtgärder.
Artikel 35
Den här artikeln beskriver den korrekta dokumentationen av alla dataskyddsmetoder och deras behov och effekter. Alla organisationer måste analysera sina risker och visa att de följer GDPR.
Den föreskriver att en Data Protection Impact Assessment (DPIA) ska utföras om behandlingen av uppgifter sannolikt skapar en hög risk. En DPIA är en övning som gör det möjligt för ett företag att undersöka risken som kan vara förknippad med behandlingen av data och ett sätt att se över sina rutiner med GDPR-efterlevnad i åtanke.
Artikeln uppmanar också tillsynsmyndigheter att skapa och publicera sina egna listor över databehandlingsaktiviteter som kommer att kräva DPIA.
Att förbereda sig för efterlevnad av GDPR är ingen lätt uppgift. Om du inte redan har gjort det, dra nytta av all tillgänglig information och forskning för att hjälpa dig att bli kompatibel så snabbt som möjligt.
Vidta ytterligare åtgärder för att förbättra din SQL Server-övervakning. Börja framtidssäkra dina databaser med vår kostnadsfria guide.