Οι αλλεπάλληλες επιθέσεις στα τραπεζικά συστήματα μέσω κυβερνοχώρου και η απουσία αποτελεσματικού συστήματος αναζήτησης ευθυνών εκ των έσω, έχουν προκαλέσει έντονους προβληματισμούς για το μέλλον της ασφάλειας των χρηματοπιστωτικών συναλλαγών.

Ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ), που θέσπισε η Ευρωπαϊκή Ένωση, είναι μια συντονισμένη προσπάθεια να δημιουργηθεί ένα κοινό θεσμικό πλαίσιο που υιοθετεί κανόνες για την καλύτερη προστασία των Ευρωπαίων πολιτών και των προσωπικών τους δεδομένων. Ο ΓΚΠΔ δεσμεύει όλα τα κράτη-μέλη στην εφαρμογή του και θα πρέπει να έχει τεθεί σε πλήρη ισχύ έως το 2018. Ο ΓΚΠΔ επηρεάζει τρεις τύπους δεδομένων:

  • Προσωπικά δεδομένα και μοναδικά ταυτοποιήσιμα χαρακτηριστικά: διαδικτυακά δεδομένα που ταυτοποιούν το φυσικό πρόσωπο και την τοποθεσία αυτού
  • Δεδομένα ψευδωνύμων: προσωπικά δεδομένα που υπόκεινται σε τεχνολογικές μετρήσεις (όπως κρυπτογράφηση) όπου η άμεση αναγνώριση του φυσικού προσώπου απαιτεί τη χρήση επιπρόσθετων στοιχείων.
  • Γενετικά και βιομετρικά δεδομένα: Ο ΓΚΠΔ εισήγαγε συγκεκριμένους ορισμούς όπως “γενετικά δεδομένα” και “βιομετρικά δεδομένα” (π.χ. δακτυλικά αποτυπώματα, αναγνώριση προσώπου, κλπ.).

Τι μέτρα προβλέπονται
Η εφαρμογή του κανονισμού είναι υποχρεωτική για όλους τους οργανισμούς που έχουν την έδρα τους εντός ΕΕ και δραστηριοποιούνται εμπορικά σε αυτή, καθώς επίσης και για όσες εταιρείες βρίσκονται εντός ή εκτός της Ευρωπαϊκής Ένωσης, και οι οποίες παρακολουθούν τη συμπεριφορά πολιτών μέσω των προσωπικών τους δεδομένων. Οι επιχειρήσεις που επηρεάζονται οφείλουν έως το 2018 να έχουν πλήρως υλοποιήσει τα κατάλληλα μέτρα για να δείξουν τη συμμόρφωσή τους με τον ΓΚΠΔ. Μερικά από αυτά είναι:

  • Αρχεία λεπτομερούς διαχείρισης δεδομένων και ηλεκτρονικά εργαλεία για τη διαχείριση αυτών.
  • Μέτρα ασφαλείας και εξασφάλιση των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους.
  • Πρόσβαση στα προσωπικά δεδομένα σε συνεργάτες των εταιρειών μόνον υπό συγκεκριμένες συνθήκες και εφόσον αυτοί αποδεικνύουν τη συμμόρφωσή τους με τον ΓΚΠΔ.
  • Εκτιμήσεις Επιπτώσεων Προστασίας Προσωπικών.
  • Διορισμός Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer). Για τη διασφάλιση της τήρησης του κανονισμού έχουν εισαχθεί αυστηρά πρόστιμα για τους παραβάτες καθώς και για τα κράτη-μέλη που δεν συμμορφώνονται με τις διατάξεις του ΓΚΠΔ (4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών ή 20εκ. ευρώ, ανάλογα ποιο είναι το μεγαλύτερο ποσό).

Τι ισχύει για τα data center
Τα colocation data centers, οι πάροχοι υπηρεσιών cloud, καθώς επίσης και οι επιχειρήσεις που διαχειρίζονται προσωπικά δεδομένα αποτελούν πρωτίστως εκείνες τις επιχειρήσεις που επηρεάζονται άμεσα από το νέο ΓΚΠΔ. Η διασφάλιση της ακεραιότητας των προσωπικών δεδομένων σε συνδυασμό με την μέριμνα της φυσικής ασφάλειας των υποδομών όπου γίνεται η φύλαξη και επεξεργασία τους, έρχονται δυναμικά στο προσκήνιο. Οι διαχειριστές data center οφείλουν να έχουν λάβει μέριμνα για την υιοθέτηση πρότυπων ασφαλείας σε κάθε στάδιο της λειτουργίας τους.

Πιο συγκεκριμένα και μεταξύ άλλων ενεργειών, κρίνεται απαραίτητη η πιστοποίηση του data center με ISO:27001, του διεθνούς προτύπου ασφαλούς διαχείρισης των πληροφοριών. Επιπλέον, ιδιαίτερα σημαντικό είναι το πρότυπο PCI DSS που απευθύνεται σε παρόχους χρηματοπιστωτικών υπηρεσιών, με στόχο μεταξύ άλλων, την προστασία από παραβιάσεις και κλοπή των οικονομικών δεδομένων των πελατών τους.

Στο μεταξύ, τα data center οφείλουν να διαθέτουν προηγμένα συστήματα φυσικής ασφάλειας και αυστηρή πολιτική παρακολούθησης των χώρων τους, ώστε να προστατεύεται ο εξοπλισμός που σχετίζεται με ευαίσθητα δεδομένα. Ιδιαίτερα σημαντικός είναι ο ανθρώπινος παράγοντας, καθώς είναι απαραίτητη η εκπαίδευση και πιστοποίηση του προσωπικού με γνώμονα την ασφάλεια των πληροφοριών. Από την πλευρά μας, τα data center της Lamda Hellix διαθέτουν διαδικασίες και συστήματα ασφάλειας, πιστοποιήσεις και ανθρώπινο δυναμικό που συμμορφώνονται πλήρως με το νέο Γενικό Κανονισμό Προστασίας Δεδομένων της Ε.Ε.