Dlaczego potrzebujemy szyfrowania danych osobowych w aplikacjach, chmurze i rozwiązaniach ERP? Odpowiadają eksperci XPLUS, jednego z liderów wdrożeń systemów ERP Microsoft Dynamics 365.
Ochrona danych i zarządzanie nimi tak, by były bezpieczne, to olbrzymie wyzwanie dla firm wdrażających rozwiązania chmurowe. Z problemem konfrontuje się dzisiaj każda organizacja, która zdecydowała się na robotyzację, automatyzację procesów i wdrożenia systemów ERP.
Biznes w erze cyfrowej zmusza przedsiębiorstwa do korzystania z różnych rodzajów danych, które są niezbędne do przeprowadzania złożonych transakcji i zawierania umów. Wiąże się z tym niebezpieczeństwo ujawniania, przetwarzania, kopiowania i handlu poufnymi informacjami. Dane osobowe i biznesowe stały się poszukiwanym „towarem”, a ich utrata lub narażenie firmy na konflikt z regułami RODO może sporo kosztować.
Anonimizacja powoduje, że dane osobowe przestają być problemem
Firmy zmagające się z tym wyzwaniem, odpowiadając na wymagania określone przez RODO, poszukują skutecznych narzędzi do anonimizacji danych osobowych. Czym ona jest? Anonimizacja to proces szyfrowania tych informacji w zbiorach danych, które umożliwiają identyfikację osób fizycznych. Anonimizacja pozwala usuwać na trwałe powiązania między danymi osobowymi, a osobą, której dotyczą. Po anonimizacji, dane przestają być danymi osobowymi.
Anonimizacja danych ułatwia życie firmie. Klienci i kontrahenci firmy, która przeprowadza anonimizację zachowują anonimowość, a firma ma pewność, że postępuje zgodnie z regułami określonymi przez RODO. Po jej wdrożeniu nie trzeba się martwić tym, że dane mogą być przypadkowo wykorzystywane do innych celów, niż założone, lub są przechowywane zbyt długo. Znikają także ograniczenia związane z międzynarodowym eksportem danych.
Dlaczego potrzebujemy szyfrowania danych osobowych w aplikacjach ERP?
Ogólne przepisy o ochronie danych (RODO) mają zapewniać wspólny standard ochrony danych i prywatności. Wśród danych osobowych wrażliwych znajdują się: nazwiska, adresy, daty urodzenia, e-maile, telefony i inne dane kontaktowe, którymi należy odpowiednio zarządzać. Zgodnie z warunkami RODO klient ma prawo wiedzieć, jakie dane przechowuje organizacja, oraz ma prawo żądać ich usunięcia. Jednocześnie niektóre zbiory danych powinny pozostać poufne, podczas gdy inne muszą być jawne. W kontekście działania RODO, firmy są zobowiązane do zapewnienia, żezbierają dane osobowe zgodnie z prawem i na ściśle określonych warunkach. Również podmioty przechowujące i zarządzające danymi są zobowiązane do ich ochrony przed nadużyciami i niewłaściwym wykorzystaniem. Wymogi RODO wymuszają anonimizację, pseudonimizację lub zgłaszanie danych osobowych wrażliwych.
Każde niezgodności związane z ochroną danych może wpłynąć na firmę pod względem finansowym (kara pieniężna) , ale spowodować znaczące problemy wizerunkowe, utratę reputacji, zaufania partnera, pracowników i klientów a nawet anulowanie cennych umów biznesowych. Koszty te mogą być dotkliwe i wielokrotnie wyższe, niż maksymalna grzywna nałożona przez RODO.
Jak ograniczyć dostęp?
Wymagania prawne i biznesowe zmuszają przedsiębiorstwa do ograniczania praw dostępu do wybranych zbiorów danych. W zależności od potrzeb można to osiągnąć na różne na sposoby, stosując:
- Anonimizację – usuwanie (szyfrowanie) ze zbiorów danych informacji umożliwiających identyfikację, dzięki czemu osoby fizyczne pozostają anonimowe
- Pseudonimizację – zaciemnianie danych z możliwością ich późniejszej ponownej identyfikacji.
- Maskowanie – zasłanianie danych w interfejsie użytkownika aplikacji – oryginalne wartości w bazie danych pozostają niezmienione.
Przykładowo, narzędzia do anonimizacji danych dostarczane przez firmę XPLUS zapewniają nie tylko anonimizację i pseudonimizację danych konkretnych osób w środowisku produkcyjnym. Zapewniają również raportowanie i maskowanie danych wrażliwych na poziomie interfejsu użytkownika. Dzięki temu, proces szyfrowania wrażliwych danych może być sprawnie realizowany również przez specjalistów spoza branży IT. – twierdzi Karol Sudnik, Prezes Zarządu XPLUS, firmy specjalizującej się we wdrożeniach systemów ERP Microsoft Dynamics 365.
Różny może być zakres szyfrowania danych. Podczas gdy niektóre przypadki wymagają jedynie indywidualnej anonimizacji danych, w innych sytuacjach lepiej jest zastosować anonimizację masową (bazową). Polega ona na zaszyfrowaniu całej tabeli (dane wrażliwe wszystkich użytkowników/klientów) – np. za każdym razem, gdy kopiowane jest środowisko produkcyjne, liczba tabel i pól wymaga szyfrowania (kopie produkcyjne udostępniane zespołom deweloperskim lub testowym B). W przypadku anonimizacji osobistej – jest to proces oparty na żądaniu – żądania mogą być wewnętrzne lub zewnętrzne, ale zawsze oparte są na indywidualnych danych wybranych klientów/dostawców.
Systemy ERP mają co chronić
Problem ochrony danych jest szczególnie aktualny w sytuacji, gdy firmy decydują się na wdrożenia systemów ERP, które w świecie korporacyjnego biznesu są powszechnie używane. ERP pomaga firmom zarządzać i analizować główne procesy w firmie – dotyczy to finansów, zarządzania projektami, aktywności HR. Oznacza to jednak, że systemy w trakcie swego działania muszą gromadzić i zarządzać ogromnymi zbiorami danych – w tym danych o klientach, pracownikach, a także danych biznesowych. W tym kontekście warto wymienić kilka zakresów funkcjonowania danych, na które RODO ma największy wpływ:
Usuwanie danych
Klienci mają prawo do żądania przeniesienia, usunięcia i modyfikacji swoich danych, gdy nie są one dokładne. Z drugiej strony, przedsiębiorstwa są zobowiązane do badania metod ,środków ochrony i bezpieczeństwa danych. Zgodnie z RODO, w przypadku naruszenia danych, organizacja musi zgłosić się do odpowiedniego organu nadzorczego w ciągu 72 godzin.
Zarządzanie zasobami ludzkimi i kapitałem ludzkim
Działy zasobów ludzkich przechowują wiele danych osobowych i wrażliwych, informacje dotyczące tożsamości: imię i nazwisko, adres, adres IP, dane z plików cookie, dane zdrowotne i genetyczne, dane biometryczne, a nawet dane rasowe lub etniczne. Firmy muszą zapewnić bezpieczeństwo danych.
CRM
CRM analizuje dane klientów i klientów, umożkiwiając decyzje biznesowe i powiększając listę kontaktów. Jest więc oczywiste, że oprogramowanie CRM zawiera ogromną ilość wrażliwych danych (głównie osobistych). Przedsiębiorstwa muszą zwracać uwagę na przechowywanie danych i zarządzanie nimi, aby zapewnić zgodność z zasadami RODO dotyczącymi prywatności, bezpieczeństwa, przejrzystości i odpowiedzialności.
Aby spełnić wymagania prawne i być zgodne z RODO/PII, firma XPLUS stworzyła narzędzie do anonimizacji osobistej dla klientów i partnerów Microsoft, którzy chcą w pełni konfigurowalny sposób, dbać o prywatność danych – zarówno własnych jak i danych partnerów biznesowych. Przykładowo, za każdym razem, gdy aplikacja MS Dynamics AX/D365 jest kopiowana do celów rozwoju, walidacji lub testowania, rzeczywiste dane produkcyjne muszą być szyfrowane.
Konieczność dostosowania się do wymogów prawnych wymusza na firmach utrzymywanie w pełni kontrolowanych procesów zarządzania danymi – twierdzi Artur Zyzak, szef działu rozwoju produktu XPLUS. Jeśli chodzi o systemy ERP, do największych wyzwań związanych z anonimizacją, należą: przełożenie wymagań prawnych na liczne funkcje aplikacji ERP, na kompletność procesów, dokładność i jakość szyfrowania.
Trzeba anonimizować skutecznie dane osobowe?
Narzędzie do anonimizacji danych korzysta z przygotowanych szablonów standardowej struktury danych oraz funkcji automatycznego wyszukiwania wrażliwych danych. Umożliwia korzystanie z konfigurowalnych skanerów wyszukiwania danych, konfigurowalnych alfabetów haszujących, formatów, grup haszujących i metod haszujących. Ponadto, aby uniknąć przetwarzania i przechowywania danych wrażliwych w procesach (np. testowanie), umożliwia masową anonimizację i pseudonimizację danych (anonimizacja odwracalna). Wreszcie narzędzie do anonimizacji danych umożliwia generowanie losowych ciągów w celu zastąpienia oryginalnych danych, przy zachowaniu unikalności.
W zdigitalizowanym środowisku biznesowym automatyczna anonimizacja danych przynosi oszczędność czasu, pieniędzy a także chroni przed negatywnymi konsekwencjami wizerunkowymi. Aby chronić wrażliwe dane swoich klientów, przedsiębiorstwa muszą uporać się z wdrażaniem procesów anonimizacji. Jest to szczególnie ważne w sytuacji stosowania dużych systemów ERP, gdzie procesy są ze sobą współzależne, a dane osobowe, jak i dane biznesowe muszą być silnie chronione przed wyciekiem i kradzieżą.