MihaelaNEACȘU PH

OE

NIX

Soluții IT IMPLEMENTARE

GDPR

Despre PHOENIX IT

Ø  Tradiție de peste 12 ani în domeniul consultanței IT&C Ø  Integrator de proiecte ce cuprind mai multe tehnologii hardware și software, inclusiv soluții de securitate Ø  Datacenter Phoenix IT (respectă standard TIA 942, Tier 3) Ø  Parteneriate cu lideri în tehnologie:

111111111111111111

Securitateaprelucrărilordedate

Art.24ResponsabilitateaoperatoruluiOperatorulpuneînaplicare

măsuritehniceşiorganizatoriceadecvate

pentru a garanta şi a fi în măsură să demonstreze căprelucrarea se efectuează în conformitate cu prezentulregulament.Respectivele măsuri se revizuiesc şi se actualizează dacăestenecesar.

AnalizaculturiiorganizaționaleîncontextulGDPRv Dateșicategoriidedatepersonaleprelucratev Contextulprelucrărilorv  Fluxurioperaționaledeactivitățideprelucraredatev  Legislațiaexistentă.Contracte.Împuterniciri.AnalizamăsurilordesecuritateexistenteîncontextGDPRActivitățiprocedurabilenecesarev  Stabilireresponabilitățiorganizatoricepediverseariiv Actualizăriproceduriexistente,creareadeprocedurinoiv Cererideacces/ștergere/portabilitatev Notificăriv Planurideacțiune,evaluăriperiodice.Măsuritehnicenecesarepentrusecuritateadatelorv  SecuritateinfrastructurăIT&C-actualizarev  Securitatefizică-actualizarev  Instruirepersonal.

ConformitatecuGDPR

PH

OE

NIX

Evaluareconformi-

tate

Etapelerealizăriiconformității–proiectdeconsultanță

IMPLEMEN

TARE

Implementări Clienți

Ø  Platformă instruire angajați – Secretariatul General al Guvernului

Ø  actualizări asupra procedurilor interne, normelor și metodologiilor de aplicat Ø  testarea angajaților direct în platformă

Ø  Consultanță IT Asset Management: Ø  MedLife Ø  Spitalul Județean de Urgență Bacău

Ø  Securizare – Spitalul Județean de Urgență Bacău Ø Intervenție depanarea rețelei în urma virusării cu ransomeware WannaCry Ø  securizare rețea – firewall FortiGate Ø  securizarea stațiilor de lucru și serverelor – Bitdefender GravityZone Enterprise

Selecție

Implementări Clienți

Ø  Securizare – Direcția Generală Asistență Socială și Protecția Copilului Sector 3 Ø  securizarea 300 stații de lucru, serverelor și securizare email – Bitdefender GravityZone Enterprise Ø  Securizare 1600 stații de lucru si 200 servere fizice și virtuale – Bitdefender GravityZone Enterprise – Registrul Auto Roman Ø  Sistem integrat Registrul Agricol – Consiliul Județean Prahova, Consiliul Județean Bihor

Ø  Securizare comunicații între UAT-uri din județ și CJ – VPN Ø  Securizare rețele – firewall FortiGate Ø  Securizare stații de lucru de la CJ și UAT-uri – Bitdefender/Symantec

Selecție

Implementări Clienți

Workshop Soluții IT Managementul riscurilor de Securitate și asigurarea conformității cu cerințele locale și internaționale, la nivelul întregii țări Studiu de caz: Registrul Național de Medicină Legală, 42 de județe

Selecție

ConformitateacuGDPR

Identificarea și implementarea măsurilor necesare pentru aprotejaprelucrărilededatepersonaleîmpotriva:

v prelucrăriineautorizatesauilegale;v pierderii,adistrugeriisauadeteriorăriiaccidentale.Identificareașiimplementareamăsuriloradecvatepentru:

v a asigura confidenţialitatea, integritatea, disponibilitatea şirezistenţacontinuealesistemelorşiserviciilordeprelucrare;

v a restabili disponibilitatea datelor cu caracter personal şiaccesul la acestea în timp util în cazul în care are loc unincidentdenaturăfizicăsautehnică;

v instruireapersonaluluioperatoruluidedate;v testarea, evaluarea şi aprecierea periodice ale eficacităţiimăsurilornecesarepentrusecuritateaprelucrării.

ActivitatipecareoinstituțietrebuiesalefacapentruaficonformăcuregulamentulGDPR,norme/standarde:

v Securizareaperimetruluifizicü  cardurideacces,accespebazădeamprentăü monitorizarevideoaspațiilorundesepăstreazăsau

proceseazădatelev Securizareafizicăaechipamentelorhardware

•  Stațiidelucru/laptopuri:ü  cumoduldesecuritateTPMü  cufuncționalitateaWindowsBitLocker–securitate

suplimentarăprinPINpentruprevenireaaccesăriidatelorîncazulfurtuluisaupierderiiaccidentaleaterminalului

ü  Stick-uri(flash)dememoriecriptatepeUSB,cuparola

•  Servere:ü  carcasespeciale–montarecifrusaucheiesaulacătü  cuprotecțiesuplimentarăfizică–dulapculacăt

RolulintegratoruluiSecuritatedinproiectare

(Securitybydesign)

Pentruaaduceînconcretlucrurilepecareoinstituțielepoatefacepentruafi

conformăcuregulamentulGDPR,norme/standarde:

RolulintegratoruluiSecuritatedinproiectare

(Securitybydesign)

PhoenixMywayOfficePowerEXCompletadministrabildeladistanță,independentdesistemuldeoperareșicusuportpentruovastăsuitădeelementedesecuritate,OfficePowerEXestesistemulpotrivitmediilorundesecuritateașieficiențasuntimperative.

DESTINAȚIE,UTILIZAREȘIBENEFICIIConfigurațiadebazăaresuportdeplinpentrutehnologiileIntel®vPro®șiiAMT®9.0.Sistemulestedestinatmediilorundeadministareașisecuritateacentralizatăsuntnecesare.

Descriere:SuportăprocesoareIntel®Core®i5șii7cutehnologiileIntel®vPro®șiiAMT®-pechipsetIntelQ170;SlotdesecuritateTPM1.2;Conformnormeloreuropeneprivindelectrosecuritatea,compatibilitateaelectromagneticășieficienţaenergetică;CarcasăSFFdesktop-towercunumeroaseopțiunidesecurizarefizicășisursecueficienţă80+şiA-PFC;CertificatEnergyStar6.1șiMicrosoftWHQLpentrusistemeledeoperareWindows.

Inconcret,lucrurilepecareoinstituțielepoatefacepentruaficonformăcu

regulamentulGDPR,norme/standarde:

RolulintegratoruluiSecuritatedinproiectare

(Securitybydesign)

PhoenixMywayeXpertServer222-SServerdual-procesor,formatrack2Ușisurseredundante.Destinatcompaniilorcunevoimarideputeredeprocesare.

DESTINAȚIE,UTILIZAREȘIBENEFICIISoluțiaeXpertServer222-S-2Uesteunadintrecelemaiflexibileșiscalabile.Estealegereaperfectăpentruaplicațiidetipbazededatesausoluțiidevirtualizare.CertificărileMicrosoft/VMwaredeținuterecomandăaceastăplatformăcapeunaidealăpentruscenariidiversedevirtualizare.Descriere:AcceptădouăprocesoareIntel®Xeon®Scalable;Max.3TBRAMDDR4ECCREG,arhitecturăSix-Channel;PCIeGen3.0,modulexpansiuneI/O,eUSB,M.2;8x3.5”bayhot-swapHWRAID0,1,10,5,6&backupbattery,opționalSSDNVMe;Format2Urackmount,sursă1300W1+1redundantă,certificareenergetică80PlusPlatinum;Dual10GbERJ45(opțional10/25GbE,Omni-Path58/100Gbps),tehnologievirtualizare;ManagementIPMI2.0,RemoteManagementinclus.

v Securizarearețeleiv Firewall–FortinetFortiGate

ü  Filtrareatraficuluiü  Blocareaaccesuluidininternlasite-uriledetectate

caavândconținutpericulosü  Segregrearețeleipedepartamentecuprofileși

drepturideaccesarediferiteü Mecanismedeprevenireascurgeriidedatedupă

anumitecuvintecheiestabiliteü  BlocareatraficuluidelaIP-uridetectateșimarcate

înblacklistcafiindpericuloaseü  RealizaretuneluriVPNîntremaimultelocații–

clientulVPNestegratuit

v Securizareaemail-uluiv FortiMail–antivirusșiantispampentrucăsuțedeemail

peoriceserverdeemail;scanareînatașamente

Rolulintegratorului

Securitybydesign

v SecurizareaaplicațiilorWeb-FortiWeb

Rolulintegratorului

Securitybydesign

-  protejarecontravulnerabilitatilelaniveldecoddinaplicatiileweb;-  protejareimpotrivaatacurilorhackerilordetipSQLinjection,de

atacuriXSS(Cross-siteScripting)sialtele;-  protejareapreventivaimpotrivadefaimariisite-urilorwebaleinstitutiei-  conformarecustandardulPCIDSS(6.6)infolosireacardurilordecredit

siadatelordesanatate(incazulpacientilor,serviciilormedicale);

v Analizăatraficuluiderețeaconstantăînvedereapreveniriiaccesuluineautorizat

Rolulintegratorului

Securitybydesign

-  LogurisialertedesecuritatedinFortiGate,FortiWeb,FortiSIEM-  LogurisirapoarteagregatedinFortiAnalyzer

Rolulintegratorului

Securitybydesign

Phoenix Security Appliance – dublă validare tehnologică hardware și software – Intel și Fortinet Avantaje față de echipamentele/appliance-urile de securitate tradiționale: • Funcționalitățile însumate ale mai multor echipamente, comprimate într-

unul singur

• Flexibilitate și scalabilitate, conferite atât de configurabilitatea

eXpertServer, cât și mașinile virtuale Fortinet;

• Funcționalitățile nu sunt legate de un anumit echipament fizic, licențele

aplicațiilor virtuale Fortinet putând fi oricând migrate pe alte echipamente;

• Se pot oricând adăuga noi funcționalități pe același echipament, prin

adăugarea de aplicații virtuale Fortinet și, eventual, upgrade-ul

echipamentului eXpertServer;

• Backup și restaurare simplificate: restaurarea se poate face pe orice server

de mașini virtuale.

Rolulintegratorului

Securitybydesign

Phoenix Security Appliance – dublă validare tehnologică hardware și software – Intel și Fortinet

Ofertăspecialăpentruparticipanțiilaconferință:v 15%discountpentrusoluțiaintegratăPhoenixSecurityAppliancev Punereînfuncțiuneșiconfiguraredebazăincluseînprețulsoluției

Securitybydesign

IMPLEMENTARE

GDPR

ConformitatecuGDPR

Accesfizic

Accesinformatic

email

TraficrețeaAplicații

Stocaredate

Prevenireapierderiidatelor,latransmiteredininterior

Securitybydesign

IMPLEMENTARE

GDPR

ConformitatecuGDPR

Categoriesoluții Articolregulament

Soluție

Audituluserilor,monitorizareaaccesuluișicredențialelor

5,19,24,25,32,33

ActiveDirectory,Managementulidentității

BackupșiArhivare 24,32,34 NetBackup,EnterpriseVault(arhivarefisiere,emailsicautareinarhive)

Conformitateșiretențiadatelor

5,17,20,25,32

VeritasEnterpriseVault(arhivarecuaplicarepoliticideretenție)

Criptare 32 EndpointEncryption-SymantecGestionareaaccesuluiladate 25 ActiveDirectory,VPN,SecurityGroup

Policies

Monitorizareaevenimentelordinrețea,Gestionareaamenințărilor

5,24,25 SIEM-FortiSIEM

Gestionarearăspunsuluilaincidente

33 CyberSecurityServices

Monitorizarea,localizareașiclasificareadatelor

5,9,12,18,20,25,30

eDiscovery,DataInsight,ResiliencyPlatform-Veritas

Securitateașiprevenireapierderiidatelor

5,24,25,34 DataLossPrevention(DLP)-Symantec

Rolulintegratorului

Securitybydesign

v  Inventarierea:•  tuturortipurilordedatecucaracterpersonal/special•  tuturorlocațiilorfizice,aplicațiilorșiechipamentelorhardwareunde

existădatecucaracterpersonal/special,atâtînscopdeprelucrare,câtșidestocaresauarhivare

•  tuturortipurilordeformatedestocareadatelorcucaracterpersonal/special

•  Tuturorfuncțiilorșirolurilordininstituțiecareintrăîncontactcudatelecucaracterpersonal/special

Infuncțiedeaceste4inventaresepotstabiliregulideprotecțieșiprevenireascurgerilordedatesaudeaccesneautorizatdelacazlacaz.SoluțiaSymantecDataLossPrevention(DLP)Descoperăundesuntstocatedatelestabilitecafiindconfidențiale–indiferentdacăacesteaseaflăpeunserversaupeechipamenteleutilizatorilorMonitorizeazămoduldemanipularealdatelor,înrețeașiînafararețeleiProtejeazăîmpotrivafurtuluidedate,inclusivdacaacesteasuntstocateincloudsaupedevice-urimobilealeangajaților

IMPLEMENTARE

GDPR

Rolulintegratorului

Securitybydesign

Implicareapacientuluiinactulmedical–Casebond–SoluțiedePatientRelationshipandCaseManagement

ü Preluareaconsimantuluiinformatalpacientuluiü  “Onlinecheck-in”pentruconsultatiisiinternariü VizualizareaistoriculuiplatilorsiplatacuajutorulCaseBondü Programarepentruconsultatiisiinternariü Notificari(pentruprogramari,rezultatedelaborator,etc.)ü Rezultatedelaboratorsiimagisticaü Biletedetrimitereü Vizualizareaistoriculuimedicalü Monitorizareasatisfactieipacientuluiü Mesageriesecurizataü Extindereaposibilapeoriceprocescareimplicaointeractiunecupacientul

ü Accesdinbrowsersaudepemobil/smartphone/tabletă

Inviitor:autentificarepebazadeeID,cerintaobligatoriedin28Septembrie2018

IMPLEMENTARE

GDPR

Rolulintegratorului

Securitybydesign

QCare-SoluțiepentruTerapieIntensivăIMPLEMENTARE

GDPR

VederedeAnsamblu

SoluțiaMobilă

Rapoarte

ModululdeÎngrijireRănicuposibilitatedeintegrarePACS

DiagramedateClinice

Touch-screen

Scoruri(OmegaRO,GCS,TISS10,SAPSII,SOFA,APACHEII,etc..)

“One-stop-shop”pentrusoluțiidecreștereasecuritățiișiprotecțieadatelorpersonale/speciale/confidențiale:-soluțiihardware-soluțiidevirtualizarecufuncționalitățidesecuritatelaniveldehypervisorșicontainerevirtualepentrusegregareșisecuritateinclusivîmpotrivatentativelordeaccesareneautorizatăaaplicațiilorcudatesensibiledinmașinilevirtuale,decătreadministratoruluiserveruluifizic-soluțiisoftwaredebackup,antivirus,protecțieșiprevenire-soluțiidebazededatecufuncționalitățidesecuritateșiauditareavansate:MicrosoftSQLServer,OracleDatabase-aplicațiedeinteracțiuneînmodsecurizatcupaciențiipediversecazuri-aplicațiedeinstruireladistanțăaangajațilorșitestare-consultanță,instruireșiauditare–recomandăriconcretedecreștereasecuritățiișiconformitățiicuregulamentulșistandardeledesecuritateainformației

Rolulintegratorului

Securitybydesign

IMPLEMENTARE

GDPR

“One-stop-shop”pentrusoluțiidecreștereasecuritățiișiprotecțieadatelorpersonale/speciale/confidențiale:-Soluțiilepotfioferiteînregimdeservicii,cuplatălunară,“asaservice”dinDatacenterulPhoenixIT,locatîntr-ozonănonseismicădinRomânia

Rolulintegratorului

Securitybydesign

v  ServiciideinfrastructurăIaaSØ  ServerevirtualesecurizateØ  FirewallØ  MonitorizarerețeaØ  BackupØ  DisasterRecovery-spațiidestocarescalabileșipredefiniteDatelecriticealeclientuluisuntprotejateînîntregimeîncazul:

-dezastrelornaturale-defecțiunilorunorechipamentealeclientului-atacurilorcuviruși-erorilorumane

v  ServiciideSaaS(Software-as-a-Service)Ø  aplicațieeLearningØ  aplicațiedeManagementalrelațieicuPacienții

v  Serviciidewebhostingv  Serviciidecolocare

IMPLEMENTARE

GDPR

Mulțumim pentru atenție!

Implementări Clienți

Workshop Soluții IT Managementul riscurilor de Securitate și asigurarea conformității cu cerințele locale și internaționale, la nivelul întregii țări Studiu de caz: Registrul Național de Medicină Legală, 42 de județe

Selecție

Implementări Clienți

Detalii organizatie Beneficiar: -  Institutul National de Medicina Legala Bucuresti -  40 de Servicii Judetene de Medicina Legala din toata tara Sistemul gestioneaza cazuri diverse, continand date avand caracter de informatie sensibila din perspectiva securitatii informatiei: - Alcoolemii -  Emitere certificate medico-legale, ca urmare a situatiilor

de violenta -  Teste de paternitate -  Autopsii -  Analize de laborator diverse

Numar utilizatori: 420 medici, asistenti, economisti, secretari

Selecție

Workshop Solutii IT

Implementări Clienți

Aplicatia de Management al Cazurilor Medico-Legale contine:

-  Date avand caracter personal -  Date cu regim medical -  Documente emise oficial utilizate in diverse spete in

Justitie Provocarea in asigurarea securitatii datelor din sistem:

-  Securizarea accesului in reteaua RNML si a traficului -  Securizarea aplicatiei web de management al cazurilor -  Securizarea conectarii utilizatorilor la aplicatie, fiind

necesara asigurarea identitatii fizice a persoanelor care introduc si lucreaza pe cazuri

Selecție

Workshop Solutii IT

Implementări Clienți

Solutia tehnica care asigura securitatea by design: Ø  Firewall: 2 x FortiGate 1000D

Ø Securizare aplicatie web: 2 x FortiWeb 1000D

Ø Acces utilizatori securizat – autentificare cu 2 factori: - conexiune VPN - FortiClient - user si parola – Active Directory - Microsoft Windows Server - 2 x FortiAuthenticator 400C - Forti Token (fizic- nominal) – generare parola de acces la nivelul fiecarui utilizator

Ø Analiza loguri Securitate: FortiAnalyzer 1000D

Selecție

Workshop Solutii IT

Implementări Clienți

Selecție

Workshop Solutii IT

Provocări existente

Care este provocarea IT

cu care vă confruntați in cadrul instituției?

•  Securitate rețea •  Securitate echipamente de lucru

•  Securitate servere •  Monitorizare echipamente

•  Monitorizare rețea •  Capacitate de stocare

•  Arhivarea datelor •  Regăsirea datelor

•  Prevenirea pierderilor de date •  Necunoașterea în amănunt a parcului IT existent

•  Lipsa unui punct de recuperare în caz de dezastru/ acces nedisponibil din cauze naturale sau incendiu

•  Altele

Workshop Solutii IT

Conformitate GDPR

Vă mulțumesc!

Mihaela.neacsu@phoenix-it.ro

Workshop Solutii IT

Conștientizare

Informare

Instruire

Proiectare

Testare

Monitorizare

Analiză

Consiliere

Planificare

Implementare

111111111111111111

Securitateaprelucrărilordedate,

pescurt:

Art.5Datele cu caracter personal sunt prelucrate într-un mod careasigură securitatea adecvată a acestora, inclusiv protecţiaîmpotriva prelucrării neautorizate sau ilegale şi împotrivapierderii,adistrugeriisauadeteriorăriiaccidentale,prinluareade măsuri tehnice sau organizatorice corespunzătoare("integritateşiconfidenţialitate").

Art.24ResponsabilitateaoperatoruluiOperatorul pune în aplicaremăsuri tehnice şi organizatoriceadecvatepentruagarantaşia fi înmăsurăsădemonstrezecăprelucrarea se efectuează în conformitate cu prezentulregulament.Respectivelemăsuriserevizuiescşiseactualizeazădacăestenecesar.

Secţiunea2SecuritateadatelorcucaracterpersonalMăsuritehniceşiorganizatoriceadecvate:

v pseudonimizareaşicriptareadatelorcucaracterpersonal;v capacitatea de a asigura confidenţialitatea, integritatea,disponibilitatea şi rezistenţa continue ale sistemelor şiserviciilordeprelucrare;

v capacitatea de a restabili disponibilitatea datelor cu caracterpersonalşiaccesullaacesteaîntimputilîncazulîncarearelocunincidentdenaturăfizicăsautehnică;

v unprocespentrutestarea,evaluareaşiapreciereaperiodicăaeficacităţiimăsurilortehniceşiorganizatoricepentruagarantasecuritateaprelucrării.

Securitateaprelucrărilordedate,

pescurt:

Art. 33: Notificarea autorităţii de supraveghere în cazulîncălcăriisecurităţiidatelorcucaracterpersonal

Cândarelocoîncălcareasecurităţiidatelorcucaracterpersonal,operatorul notifică acest lucru autorităţii de supravegherecompetenteîntermendecelmult72deoredeladatalacarealuatcunoştinţădeaceasta.

Notificareaconținecelpuțin:v categoriileşinumărul înregistrărilordedateșialpersoanelor

vizateîncauză;v numele şi datele de contact ale responsabilului cu protecţia

datelorsauunaltpunctdecontactaloperatorului;v consecinţele probabile ale încălcării securităţii datelor cu

caracterpersonal;v măsurileluatesaupropusespreafiluatedeoperatorpentru

a remedia incidentul, inclusiv, după caz, măsurile pentruatenuareaeventualelorsaleefectenegative.

Securitateaprelucrărilordedate,

pescurt:

Art. 34: Informarea persoanei vizate cu privire la încălcareasecurităţiidatelorcucaracterpersonalv  În cazul în care încălcarea securităţii datelor cu caracter

personal este susceptibilă să genereze un risc ridicat pentrudrepturile şi libertăţile persoanelor fizice, operatorulinformează persoana vizată fără întârzieri nejustificate cuprivirelaaceastăîncălcare.

v  Informareaconțineodescriere într-un limbajclar şi simpluacaracterului încălcării securităţii datelor cu caracterpersonal,precum şi cel puţin informaţiile şi măsurile menţionate laarticolul 33alineatul (3) literele (b), (c) şi (d), respectiv: datedecontact,consecințeșimăsurideremediere.

Securitateaprelucrărilordedate,

pescurt:

Dateprivindsănătatea,dategenetice,datebiometrice

Potrivit art. 9, următoarele informații fac parte din categoriilespecialededatecucaracterpersonal:

v date privind sănătatea - date legate de sănătatea fizică saumentalăauneipersoanefizice,inclusivprestareadeserviciideasistenţămedicală,caredezvăluieinformaţiidesprestareadesănătateaacesteia;

v date genetice - date referitoare la caracteristicile genetice

moştenite saudobândite ale unei persoane fizice, careoferăinformaţii unice privind fiziologia sau sănătatea persoaneirespective;

v date biometrice - date referitoare la caracteristicile fizice,fiziologicesaucomportamentalealeuneipersoanefizicecarepermit sau confirmă identificarea unică a respectiveipersoane.

Dateprivindsănătatea,dategenetice,datebiometrice

Prelucrareadatebiometrice,geneticesaureferitoarelasănătateesteinterzisă,cuexcepțiileurmătoare:

v cândpersoanavizatăşi-adatconsimţământulexplicit;

v pentru protejarea intereselor vitale ale persoanei vizate(aflatăînincapacitatefizicăpentrua-șidaconsimțământul);

v  în scopuri legate de medicina preventivă sau a muncii, deevaluarea capacităţii de muncă a angajatului, de stabilireaunuidiagnosticmedical,de furnizareadeasistenţămedicalăsausocială sauaunui tratamentmedicalsaudegestionareasistemelorşiserviciilordesănătatesaudeasistenţăsocială(decătreunprofesionist supusobligaţieidepăstrarea secretuluiprofesional);

v cândprelucrareaestenecesarădinmotivedeinterespublicîndomeniulsănătăţiipublice.

Dateprivindsănătatea,dategenetice,datebiometrice

Alte aspecte specifice legate de prelucrarea datelor privindsănătatea,adatelorgeneticesauadatelorbiometrice:

v Desemnareaunuiresponsabilcuprotecţiadatelor(DPO);

v Notificarea ANSPDCP cu privire la prelucrarea datelor cucaracterpersonalprivindsănătatea,datebiometricesaudategenetice (potrivit cuDECIZIA nr. 200/2015 privind stabilireacazurilor de prelucrare a datelor cu caracter personal pentrucarenuestenecesarănotificarea);

v Categoriile specialededate cu caracterpersonalnecesităunnivelmairidicatdeprotecţie;

v Statele membre pot menţine sau introduce condiţiisuplimentare,inclusivrestricţii,înceeacepriveşteprelucrareadatelor genetice, a datelor biometrice sau a datelor privindsănătatea.

Condiţiigeneralepentruimpunerea

amenziloradministrative

(extras)

Pânăla10000000EURsaupânăla2%dincifradeafaceritotalăanuală,pentruîncălcareadispozițiilorreferitoarela:

v Condiţiileaplicabilelaconsimţământulcopiilor;v Prelucrareadecategoriispecialededatecucaracterpersonal;v  Întocmireaevidenţeicuactivităţilordeprelucrare;v Securitateadatelorcucaracterpersonal;v Evaluarea impactului asupraprotecţiei datelor şi consultarea

prealabilă.

Până la20000000EURsaupână4%dincifradeafaceri totalăanuală,pentruîncălcareadispozițiilorreferitoarela:

v Principiile legatedeprelucrareadatelor cu caracter personal("legalitate,echitateşitransparenţă");

v Condiţiiprivindconsimţământul;v Drepturile persoanei vizate (transparență, informare, dreptul

deacces,opoziție,portabilitateetc.);v Transferurilededatecucaracterpersonalînstrăinătate.

GDPRpoatepresupunealocareadenoiresurseșiinvestițiibănești.Dar,aduceșiavantaje,cumarfi:v  simplificarea și armonizarea la nivel juridic și administrativ a

protecțieidatelorînUniuneaEuropeană.Faciliteazăliberacirculațieadatelorpersonaleînspațiuleuropean;

v  responsabilizarea operatorilor cu privire la prelucrările proprii dedateșiinformații;

v  stimularea inovației pentru tehnologiile care asigură stocarea șiprotecțiadatelor.

Statistic, se dezvoltă unmiliondenoi feluri demalware în fiecare zi.Astăzi, timpul mediu în care un malware stă nedetectat într-oorganizațieestede201zile(conf.PonemonInstitute).GDPR își propune să pregătească operatorii pentru un viitor în careinformațiadevinecriticăpentrusupraviețuireanoastră.Într-osocietatemarcatădeatacuriciberneticeșiteroriste,cucâtentitățilecolecteazăși distribuie mai multe date despre oameni, cu atât expunereapotențialăcreșteexponențial.

Diverseconsiderații

“There'snosuchthingasanimpenetrablesystem,butoftenevenahalf-decentdefense will deter many cybercriminals — they'll move on and look for aneasiertarget”.“Criminals are getting better, faster and nobody on the defensive is gettingbetterfastenough”.“Mosthackstakeminutestodo—andweekstodiscover”.“ThestudyfoundthatUScompaniestookanaverageof206daystodetectadatabreach”.“With the availability of personal details available on socialmedia, phishingemailsarebettercamouflagedthanever”.“Evenifyourtechnologyistightly-controlled,peopleremaineasytofool”“Onceaphishingemail is sent, it takesonlyabout1minuteand40 secondsbeforethefirstusertakesthebait”

Securitateaprelucrărilordedate,

pescurt:

Catevaconsideratii…(Ref.Cybersecurityreportpublicatpesite-ulhttps://

www.cnbc.com)

RAPORTcuprivirelaalerteledesecuritateciberneticăprocesatedeCERT-

ROînanul2016

În2016,CERT-ROacolectatșiprocesat110.194.890dealertedesecuritate cibernetică, în creștere cu 61,55% fațădeanul 2015(68.206.856),dintrecare:v 38%(2,9milioane)dintreadreseleIPpublicedinRomâniaau

înregistratcelpuținoalertă;v 81%(89milioane)dintrealertesereferălasistemesauservicii

vulnerabile;v 13%(14milioane)dintrealertesereferălasistemeinfectate

cumalwaredetipbotnet;v 639dedomeniiweb„.RO”aufostutilizatedesite-uriweb

compromise.

Scurgeride

Informatii...

v Securizarea terminalelor (stații de lucru, telefoane, tableteetc.) prin utilizarea unor soluții/tehnologii de tip antivirus/antimalware,sandboxșidecriptareadatelor;

v Securizareainfrastructuriiderețeaprinutilizareaunorsoluții/tehnologiideprotecțieperimetrală(ex.firewall);

v Monitorizarea continuă a fluxurilor de date în cadrulinfrastructurii IT prin utilizarea unor soluții/tehnologiispecifice;

v  Implementarea unor măsuri adecvate de securitate fizică înspațiileunde suntprocesate saudepozitate cantitățimaridedate;

v Limitareaaccesuluiutilizatorilor la resurse și la date în bazaatribuțiiloracestora(principiul“nevoiadeacunoaște”);

Măsurideprevenireaincidentelorde

securitate:

v  Implementarea unei proceduri adecvate debackup (copii desiguranță)caresă includășiverificareaperiodicăa integritățiidatelorșiaprocesuluiderestaurare;

v  Implementareauneipoliticidesecuritatecaresăfieasumatășirespectatădetoțiutilizatorii;

v Utilizarea unor proceduri de răspuns la incidentele desecuritateșidegestionareavulnerabilităților;

v Dispunerea de personal adecvat pentru securizareainfrastructurii IT și pentru a răspunde la incidentele desecuritate;

v  Instruirea periodică a personalului cu privire la riscurile,amenințările și vulnerabilitățile de securitate; fișa postuluiactualizată;

v Realizarea de audituri/evaluări periodice de securitate ainfrastructuriiIT,apersonaluluișiaprocedurilor.

Măsurideprevenireaincidentelorde

securitate: