É seguro dizer que você está sempre aprendendo em sua função como administrador de banco de dados. Há muito em seu prato quando se trata de monitoramento de servidor SQL, com certeza, mas agora você também tem o Regulamento Geral de Proteção de Dados (GDPR) para se preocupar também.
Aprender tudo o que puder sobre a conformidade com o GDPR é crucial para sua empresa e seus bancos de dados. Repleto de juridiquês, o GDPR deixa uma coisa clara:que você, como DBA, é responsável pelo acesso e proteção de qualquer informação, seja no local em seu próprio data center ou em seus serviços em nuvem. Vamos dar uma olhada mais de perto.
O que é GDPR?
O GDPR é uma lei de privacidade europeia que entrou em vigor em 25 de maio de 2018. Seu objetivo fundamental é proteger os direitos de privacidade dos indivíduos, ao mesmo tempo em que estabelece requisitos globais de privacidade sobre como os dados pessoais são gerenciados e protegidos.
Embora seja uma lei destinada a proteger os cidadãos da União Europeia, qualquer empresa que tenha um cidadão da UE em seu banco de dados deve cumprir os requisitos do GDPR. Os dados pessoais incluem datas de nascimento, detalhes de cartão de crédito, endereços de e-mail, endereços IP, fotografias, números de identificação nacional e muito mais.
Como DBA, você não apenas precisa garantir que os dados pessoais sejam protegidos contra acesso ilegal, mas também que um usuário possa acessar e obter uma cópia de seus dados pessoais.
O não cumprimento dos regulamentos do GDPR traz consequências pesadas; as organizações são multadas em até 4% de sua receita global ou até 20 milhões de libras, tornando vital que as empresas tomem medidas imediatamente e estejam em total conformidade quando os requisitos do GDPR estiverem em vigor.
Então, o que vem a seguir para o monitoramento do SQL Server?
Agora que o prazo de 25 de maio já passou, esperamos que você tenha concluído uma avaliação de risco. Por exemplo, alguma das informações que você está armazenando envolve empresas e indivíduos da UE ou será no futuro?
Se a resposta for sim, você deve considerar uma variedade de perguntas, incluindo onde você armazena informações pessoais, para que as informações são usadas, se você deixa claro para os usuários que está armazenando as informações, por quanto tempo você as mantém , quem tem acesso a ele, etc.
Idealmente, você poderia simplesmente pesquisar todos os dados em seu servidor SQL para procurar nomes de colunas como “SSN” ou “Data de nascimento”, mas as colunas geralmente são rotuladas com nomes obscuros e enigmáticos. Isso significa que você pode ter que gastar tempo investigando manualmente cada tabela. Determinar quem tem acesso aos dados também pode ser difícil de determinar.
Se você quiser uma avaliação geral da preparação para o GDPR de sua organização, esta pesquisa pode ajudar.
Pesquisando a (montanha de) informações
Infelizmente, aprender tudo o que há para saber sobre conformidade com o GDPR requer horas de leitura e pesquisa. Existem 99 artigos e 11 capítulos no site de informações do GDPR, que pode levar dias para pesquisar na íntegra.
Dito isso, aqui estão alguns artigos que podem ser mais pertinentes a você como DBA em relação ao monitoramento do SQL Server:
Artigo 25
O Artigo 25 aborda a proteção de dados por design e padrão, ou seja, controlar quem tem acesso aos dados pessoais e como as informações são armazenadas, processadas e acessadas.
- Privacidade de dados por design significa que medidas organizacionais e técnicas apropriadas para garantir a segurança e a privacidade dos dados pessoais são incorporadas ao ciclo de vida completo dos produtos, serviços, aplicativos e negócios e técnicos de uma organização procedimentos. As medidas técnicas podem incluir, mas não estão limitadas a, pseudonimização e minimização de dados.
- Privacidade de dados por padrão significa que (a) apenas os dados pessoais necessários são coletados, armazenados ou processados e (b) os dados pessoais não são acessíveis a um número indefinido de pessoas.
O Artigo 25 também especifica que uma certificação aprovada, conforme especificado no Artigo 42, pode ser usada para demonstrar a conformidade com os requisitos de privacidade desde o projeto e privacidade por padrão.
Artigo 30
Este artigo aborda a auditoria adequada de todos os registros e dados pessoais. Os requisitos do Artigo 30 provavelmente se aplicam à maioria das empresas devido à ampla aplicabilidade do artigo. As empresas que se preparam para cumprir o Artigo 30 devem observar como os dados se movem em cada um de seus processos de negócios, não apenas onde os dados residem. Em outras palavras, “siga os dados”.
O Artigo 30 exige que as empresas produzam “registros de atividades de processamento”, o que permitirá que os reguladores vejam que as empresas estão aderindo ao GDPR.
Artigo 32
O artigo 32.º abrange o requisito de encriptação dos dados. Exige que os DBAs implementem medidas técnicas e organizacionais que garantam um nível de segurança de dados adequado ao nível de risco apresentado pelo processamento de dados pessoais.
As medidas de segurança de dados devem, no mínimo, permitir:
- Pseudonimizar ou criptografar dados pessoais.
- Manter a confidencialidade, integridade, disponibilidade, acesso e resiliência contínuas dos sistemas e serviços de processamento.
- Restaurar a disponibilidade e o acesso a dados pessoais, em caso de violação de segurança física ou técnica.
- Testar e avaliar a eficácia das medidas técnicas e organizacionais.
Artigo 35
Este artigo descreve a documentação adequada de toda a metodologia de proteção de dados e sua necessidade e impacto. Todas as organizações são obrigadas a analisar seus riscos e demonstrar sua conformidade com o GDPR.
Ele estipula que uma Avaliação de Impacto na Proteção de Dados (DPIA) deve ser realizada se o processamento de dados for suscetível de criar um alto risco. Um DPIA é um exercício que permite que uma empresa examine o risco que pode estar associado ao processamento de dados e uma maneira de revisar seus procedimentos tendo em mente a conformidade com o GDPR.
O artigo também pede que as autoridades supervisoras criem e publiquem suas próprias listas de atividades de processamento de dados que exigirão DPIAs.
Preparar-se para a conformidade com o GDPR não é tarefa fácil. Se você ainda não o fez, aproveite todas as informações e pesquisas disponíveis para ajudá-lo a se tornar compatível o mais rápido possível.
Tome outras medidas para melhorar o monitoramento do SQL Server. Comece a preparar seus bancos de dados para o futuro com nosso guia gratuito.
