Securitatea datelor cu caracter personal

Încălcarea securității datelor cu caracter personal

- “o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea,
modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau
prelucrate într-un alt mod, sau la accesul neautorizat la acestea” (Regulamentul nr. 679/2016,
art. 4 alin. 12).
Așa cum observăm din definiție, Regulamentul face vorbire despre încălcări ale
securității datelor cu caracter personal și nu despre incidente sau breșe de securitate. De
asemenea, nici Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a
Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016
privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal
și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul
general privind protecția datelor) nu face trimitere, în niciun fel, la termenii incident sau breșă
de securitate.
Sintagma “incident de securitate” apare în Legea nr. 363 din 28 decembrie 2018 privind
protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către
autoritățile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale și
combaterii infracțiunilor sau al executării pedepselor, măsurilor educative și de siguranță,
precum și privind libera circulație a acestor date, unde, la art. 12 alin. 1 se precizează:
“(1)Operatorii sunt obligați să instituie măsurile organizatorice, tehnice și de procedură pentru
a furniza persoanei vizate informațiile necesare potrivit prevederilor art. 13 și art. 16-21 și
pentru a asigura transmiterea unui răspuns în legătură cu prelucrările desfășurate în condițiile
prevăzute la art. 11 sau în legătură cu notificarea persoanelor vizate în cazul apariției unui
incident de securitate, în condițiile prevederilor art. 39” (Legea nr. 363/2018, art. 12 alin. 1).
Am făcut aceste precizări deoarece, inclusiv în limbajul “uzual” al teoreticienilor și
practicienilor GDPR, se folosesc, interșanjabil, sintagmele “incident de securitate” și “breșă de
securitate” pentru a se face referire la o încălcare a securității datelor cu caracter personal. O
definiție a “incidentului de securitate” este oferită în art. 3 din Standardele naționale de protecție
a informațiilor clasificate în România, aprobate prin Hotărârea nr. 585 din 13 iunie 2002:
“incident de securitate - orice acțiune sau inacțiune contrară reglementărilor de securitate a
cărei consecință a determinat sau este de natură să determine compromiterea informațiilor
clasificate” (HG nr. 585/2002, art. 3).
Articolul 4 alin. 7 din Directiva (UE) 2016/1148 a Parlamentului European și a
Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a
rețelelor și a sistemelor informatice în Uniune definește incidentul ca fiind “orice eveniment
care are un efect real negativ asupra securității rețelelor și a sistemelor informatice” (Directiva
(UE) 2016/1148 , art. 4 alin. 7).
O breșă de securitate privind datele cu caracter personal este un incident de securitate de
un anumit tip și care are consecințe negative, mai mult sau mai puțin grave asupra persoanei
vizate. Regulamentul 679/2016 se aplică breșelor de securitate privind datele cu caracter
personal. Diferența între incidentele de securitate și breșele de securitate este că, “în timp ce
toate breșele de securitate privind datele cu caracter personal sunt incidente de securitate, nu
toate incidentele de securitate sunt, în mod necesar, breșe de securitate privind datele cu
caracter personal” (Murphy, 2019). Faptul că un anumit incident de securitate a afectat, a vizat
informații clasificate sau sisteme informatice, nu înseamnă, în mod obligatoriu că s-a produs o
breșă de securitate privind datele cu caracter personal (informațiile clasificate nu e obligatoriu să
conțină date cu caracter personal).
Un virus software, spre exemplu, este un program care se atașează la un fișier executabil
(.exe) sau la o aplicație vulnerabilă și care generează efecte deranjante sau distructive
(Hernandez, 2018). Un virus se execută, “prinde viață”, în momentul în care este accesat un
fișier infectat. Aceasta înseamnă că, prin descărcarea unul fișier executabil “contaminat” cu un
virus am produs un incident de securitate, dar, acesta devine breșă de securitate doar în
momentul în care executăm, dăm dublu click pe acel fișier și acceptăm instalarea aplicației. Dacă
eliminăm din calculator fișierul executabil infectat, fără să îl rulăm, fără să dăm viață virusului,
rămânem în zona de incident de securitate și nu intrăm în cea de breșă, prin urmare, nu notificăm
Autoritatea de supraveghere, dar mergem, de urgență, la specialistul IT ca să ne asigurăm că e
totul în regulă cu dispozitivul nostru.
Dacă ne imaginăm incidentul ca pe un eveniment, fie el accidental sau intenționat, care
poate provoca o breșă și breșa ca pe o întrerupere, o spărtură - în sens figurat (MDA, 2010) - prin
care se scurg date personale, sau se permite accesarea neautorizată de date personale sau
coruperea acestora, sau ca pe un blocaj care nu mai permite accesul la datele cu caracter
personal, putem înțelege mai ușor diferența între incidentul de securitate și breșa de securitate.
Breșele de securitate privind datele cu caracter personal nu au doar o cauză tehnică sau de
forță majoră, ci se pot produce și din cauza factorului uman. Am putea chiar afirma că breșele de
securitate privind datele cu caracter personal au un grad de probabilitate mult mai mare să fie
produse de factorul uman și sunt mult mai greu de prevăzut și de evitat. Măsurile tehnologice pe
care le-ar putea lua un operator ca să contracareze eventualele breșe de securitate privind datele
cu caracter personal, produse de factorul uman, sunt extrem de costisitoare și, nu în puține
cazuri, chiar prohibitive.

Măsuri tehnice și organizatorice de securitate a datelor

cu caracter personal

Vom încerca, în continuare, să identificăm câteva repere privind măsurile tehnice și

organizatorice de protecție a datelor personale pe care operatorii de date ar trebui să le
implementeze, organizate pe potențiale surse de risc de producere a încălcărilor de securitate.
Adoptarea oricăror măsuri de securitate nu elimină definitiv nici riscul producerii unei încălcări a
securității datelor personale, nici eventuale sancțiuni din partea ANSPDCP, dar, valoarea
amenzii aplicate, dacă aceasta va fi sancțiunea decisă, poate să fie stabilită ținându-se cont de
eforturile făcute de operator pentru a preveni producerea incidentelor și de modul cum a
gestionat operatorul o breșă de securitate, de viteza lui de reacție și de modul cum a minimizat
efectele negative.
Unele dintre măsurile tehnice și organizatorice de protecție a datelor personale pe care le
poate pune în aplicare un operator, în ce privește resursa umană ar putea fi:
1) Precauții de bază (CNIL, 2018):
 Creșterea gradului de conștientizare a personalului care prelucrează date personale
privind necesitatea protejării datelor personale prin informarea acestora cu privire la riscurile
legate de încălcarea confidențialității și la măsurile implementate de organizație pentru
gestionarea acestor riscuri și despre potențialele consecințe.
 Organizarea de sesiuni de instruire, trimiterea de actualizări cu privire la procedurile
relevante în ce privește alocarea responsabilităților și rolurilor în organizație, trimiterea de
memento-uri prin e-mail etc.
 Actualizarea permanentă a procedurilor de lucru și punerea acestora la dispoziția tuturor
celor interesați.
 Crearea unui Regulament intern și aplicarea lui obligatorie. Acesta ar putea include
prevederi cum ar fi:
a) Reguli privind protecția datelor personale și sancțiuni aplicate pentru nerespectarea
acestora.
b) Scopul aplicării Regulamentului intern, care ar trebui să includă:
● metodele de intervenție a personalului autorizat să gestioneze și să administreze resursele
și sistemul informatic al organizației;
● mijloacele de autentificare folosite în organizație (coduri de acces, condică de prezență
semnată zilnic, înregistrarea vizitatorilor etc.);
● reguli de securitate obligatorii:
- personalul să informeze de urgență operatorul, responsabilul cu protecția datelor,
specialistul IT despre orice breșă de securitate a luat la cunoștință sau despre orice încercare de a
se încălca securitatea datelor de către persoane neautorizate sau de accesare neautorizată a
contului individual de utilizator;
- personalul să nu divulge, niciodată, parola individuală de acces sau codul de acces
personal către terți;
- personalul să nu instaleze, niciodată, să nu copie, să nu editeze sau să distrugă aplicații
fără autorizație din partea operatorului;
- personalul să nu lase birourile nesupravegheate și să închidă calculatoarele ori de câte ori
părăsesc postul de lucru;
- personalul să nu acceseze niciodată, sau să nu încerce să acceseze sau să șteargă
informații dacă nu intră în atribuțiile sale de serviciu;
- personalul să respecte procedurile elaborate și implementate de operator în ce privește
transferul de date prin dispozitive mobile, media, în special prin obținerea prealabilă a
autorizației superiorilor ierarhici și prin aplicarea regulilor de securitate de la nivelul
organizației.
c) Procedurile de utilizare a echipamentelor IT și de telecomunicații disponibile
personalului, cum ar fi:
● calculatoarele, laptopurile;
● echipamentele mobile (mai ales în contextul lucrului de la distanță, de acasă);
● spațiile individuale de stocare;
● rețelele locale, interne;
● dispozitivele personale, în special, condițiile de utilizare a acestora;
● Internetul;
● mesageria electronică;
● telefonia.

2) Precauții suplimentare (CNIL, 2018).

 Implementarea unor politici de clasificare a informațiilor prin definirea nivelurilor de
acces la acestea și marcarea documentelor sau a e-mailurilor conținând date confidențiale;
 Aplicarea unei note speciale pe fiecare pagină a unui document pe suport de hârtie sau în
format electronic care conține date sensibile.

Asigurarea autentificării individuale a personalului

Pentru a se asigura că salariații accesează doar informațiile care le trebuie pentru a-și
desfășura activitatea, aceștia trebuie asociați cu un identificator unic înainte de a accesa date cu
caracter personal, mai ales în sistemul informatic.
Elementele de autentificare se încadrează în trei categorii, în funcție de:
1. Ceva ce persoana cunoaște, cum ar fi o parolă;
2. Ceva ce persoana are, cum ar fi un card sau o brățară magnetică;
3. Ceva ce persoana face, cum ar fi semnătura olografă.
Autentificarea este cu atât mai puternică cu cât se pot utiliza combinații de cel puțin două
elemente din categoriile menționate anterior.

1) Precauții de bază (CNIL, 2018)

 Definirea unui identificator unic pentru fiecare salariat și interzicerea comunicării acestuia
altor persoane.
 La utilizarea parolelor pentru autentificare, este recomandată aplicarea următoarelor măsuri
pentru a asigura stocarea acestora în siguranță, precum și îndeplinirea criteriilor de
complexitate în stabilirea parolelor:
o Parola să conțină cel puțin 8 caractere, incluzând majuscule, caractere speciale sau
numere, dacă metodele de autentificare includ restricții, cum ar fi:
- Blocarea temporară a contului după câteva introduceri greșite a parolei;
- Introducerea unui cod Captcha (”Captcha”, n.d.);
- Blocarea contului după, spre exemplu, 10 încercări eșuate de intrare pe cont.
o Parola să conțină cel puțin 12 caractere și minimum 4 tipuri de caractere, dacă
autentificarea se bazează numai pe parolă.
o Parola să conțină peste 5 caractere, dacă autentificarea necesită informații confidențiale
adiționale. Pentru informațiile suplimentare se poate utiliza un identificator confidențial, de cel
puțin 7 caractere asociat cu blocarea contului după 5 încercări eșuate de conectare.
 La prima logare a personalului pe contul individual, se recomandă schimbarea, de către
salariat, a oricărei parole alocate de administrator.

2) Precauții suplimentare (CNIL, 2018)

 Interzicerea comunicării parolei individuale altor persoane;
 Interzicerea stocării parolei într-un document necriptat, pe o foaie de hârtie sau într-o
locație ușor accesibilă altor persoane;
 Interzicerea salvării parolei în browser, fără utilizarea unei parole suplimentare (master
password);
 Interzicerea utilizării unei parole care conține informații personale (nume, data nașterii
etc.);
 Interzicerea utilizării aceleiași parole pentru accesarea unor conturi diferite;
 Interzicerea utilizării parolei implicite;
 Interzicerea transmiterii parolei prin e-mail;
 Schimbarea parolelor / codurilor de acces cât de des posibil.

Permiterea accesului doar la categoriile de datele personale de care salariatul are nevoie în
îndeplinirea atribuțiilor de serviciu
1) Precauții de bază (CNIL, 2018)
 Definirea de niveluri de autorizare a accesului la datele personale alocând sarcini și
responsabilități specifice, pentru ca personalul să acceseze doar datele personale necesare
îndeplinirii atribuțiilor de serviciu;
 Retragerea drepturilor de acces ale salariaților în incintă sau la sistemul informatic,
imediat ce au încetat raporturile de muncă cu aceștia sau le-a fost schimbată încadrarea;
 Revizuirea anuală a drepturilor de acces pentru a identifica și a șterge conturile nefolosite
și actualizarea nivelurilor de acces în mod corespunzător;
 Evitarea crearea sau utilizarea de conturi partajate cu mai mulți utilizatori (un singur cont
pe calculator pe care intră toți salariații);
 Evitarea acordării de drepturi de administrare a sistemului informatic persoanelor care nu
au nevoie de ele;
 Evitarea acordării salariaților a mai multor drepturi de acces decât le este necesar;
 Retragerea drepturilor de acces temporare acordate unor salariați (în caz de schimbare
temporară a locului de muncă).

2) Precauții suplimentare (CNIL, 2018)

 Implementarea documentarea și revizuirea politicii de control a accesului pentru a fi
proporțională cu procedurile implementate în organizație. Această politică de control a accesului
ar putea include:
 Procedurile care trebuie aplicate automat privind măsurile care trebuie luate în caz că se
angajează sau pleacă salariați, sau când schimbați postul sau încadrarea unui salariat cu drepturi
de acces la datele personale;
 Măsurile care se pot lua în cazul în care un salariat cu drepturi de acces la datele
personale nu respectă măsurile de securitate;
 Măsurile care permit controlul și restricționarea posibilității de acordare a accesului la
operațiunile de prelucrare a datelor cu caracter personal.

Anticiparea breșelor de securitate ca urmare a pierderii sau furtului unui echipament

Utilizarea din ce în ce mai crescută a laptopurilor, stick-urilor USB sau a telefoanelor
inteligente impune operatorului să fie pregătit pentru breșe de securitate apărute ca urmare a
furtului sau pierderii unui asemenea echipament.
1) Precauții de bază (CNIL, 2018)
 Creșterea gradului de conștientizare asupra riscurilor asociate utilizării dispozitivelor
mobile și asupra procedurilor aplicabile pentru reducerea acestor riscuri.
 Implementarea efectuării copiilor de siguranță pentru datele personale prelucrate cu
dispozitivele mobile pentru a proteja împotriva pierderii datelor stocate pe acestea.
 Aplicarea de măsuri de criptare pentru a proteja dispozitivele mobile de lucru și pe cele
de stocare externă (laptopuri, stick-uri USB, hard disk-uri externe, CD-ROM-uri sau DVD-
ROM-uri etc.), cum ar fi:
o Criptarea dispozitivului în întregime, dacă sistemul de operare permite acest lucru.
o Criptarea fișierelor, individual;
o Crearea de arhive criptate.
 Criptarea hard-disk-ului.
 În ce privește telefoanele inteligente, suplimentar față de codul PIN, activarea blocării
automate a dispozitivului și solicitarea unei informații suplimentare pentru deblocare (o parolă
sau un contur).
 Evitarea folosirii serviciilor de cloud, instalate implicit pe un dispozitiv, pentru back-up
sau ca instrument de sincronizate fără a se analiza corespunzător termenii și condițiile și
garanțiile de securitate oferite.
 2) Precauții suplimentare (CNIL, 2018)
 Aplicarea unui filtru de protecție pe ecranele dispozitivelor folosite în spații publice.
 Limitarea capacității de stocare a datelor pe dispozitivele mobile la ce este strict necesar
și, dacă este posibil, interzicerea folosirii acestora în străinătate.
 Implementarea de măsuri de protecție împotriva furtului (marcarea vizibilă a
dispozitivului, ca să poată fi recunoscut și de la distanță) și măsuri de reducere a efectelor
(blocare automată, criptare etc.).
 Când sunt folosite dispozitive mobile pentru colectarea datelor personale, criptarea
datelor pe terminal și activarea blocării automate după câteva minute de inactivitate și ștergerea
datelor imediat ce au fost transferate în sistemul IT al organizației (dacă activitatea organizației
se desfășoară pe un server intern, spre exemplu).

Activarea numai a funcțiilor de rețea necesare pentru prelucrarea datelor, pentru

protejarea rețelei intranet

1) Precauții de bază (CNIL, 2018)

 Limitarea accesului la Internet prin blocarea serviciilor neesențiale – VoIP (”Voce Peste
IP”, n.d.), peer to peer (Steinmetz & Wehrle, 2005) etc.
 Gestionarea rețelelor Wi-Fi, folosind criptarea de ultimă generație - WPA2 sau WPA2-
PSK (Meyers, 2004) cu parolă complexă - și rețelele deschise pentru invitați, care trebuie să fie
separate de rețeaua internă.
 Cerearea unui VPN (Virtual Private Network) (Mason, 2002) pentru acces la distanță,
precum și, dacă este posibil, o autentificare puternică a utilizatorului - card inteligent, dispozitiv
de generare a parolei - OTP - One Time Password etc. (Garun, 2017).
 Asigurarea că nicio interfață de administrare nu este accesibilă direct de pe Internet.
Mentenanța sistemului informatic de la distanță trebuie să fie efectuată prin intermediul unui
VPN.
 Limitarea traficului de rețea la elementele esențiale, prin filtrarea traficului de intrare /
ieșire pe echipamente (firewall, proxy, servere etc.). De exemplu, dacă un server web folosește
HTTPS, să se autorizeze doar traficul primit prin portul 443 și să se blocheze celelalte porturi.
 Evitarea utilizării protocolului telnet pentru conexiunea de la distanță la echipamentele de
rețea active (firewall, routere și switchuri). În schimb, este recomandabil SSH - Secure Shell
(Barrett, Silverman, & Byrnes, 2009), sau un acces fizic direct la echipament.
 Evitarea furnizării de acces nefiltrat utilizatorilor de Internet.
 Evitarea configurării unei rețele Wi-Fi utilizând o criptare WEP - Wired Equivalent
Privacy (Fitzpatrick, 2017).

2) Precauții suplimentare (CNIL, 2018)

 Implementarea identificării automate a echipamentelor folosind identificatori de card de
rețea (MAC adrese - Media Access Control) (Tannenbaum, 2004) pentru a interzice conexiunile
de pe un dispozitiv nelistat.
 Sistemele de detectare a intruziunilor (IDS - Intrusion Detection System) (Martellini &
Malizia, 2017) pot analiza traficul de rețea pentru a detecta atacurile. Utilizatorii trebuie anunțați
atunci când este analizat conținutul lor.
 Partiționarea rețelei reduce impacturile în caz de compromis. O rețea internă, pe care
nicio conexiune care vine de pe Internet nu este autorizată, iar o rețea DMZ - Zona
demilitarizată) (Mitchell, 2018), accesibilă de pe Internet, poate fi distinsă prin separarea lor cu
gateway-uri (firewall) (Boudriga, 2010; Zhang, 2010).

Întărirea măsurilor de securitate aplicate serverelor

Securitatea serverelor trebuie să fie o prioritate, deoarece centralizează o cantitate mare
de date.
1) Precauții de bază (CNIL, 2018)
 Permiterea doar persoanelor autorizate să acceseze instrumentele și interfețele de
administrare a serverelor.
 Utilizarea de conturi cu privilegii mai puține pentru operațiunile obișnuite.
 Adoptarea unei politici specifice de alocare a parolelor pentru administratori. Schimbarea
parolelor, cel puțin după fiecare plecare a unui administrator, precum și dacă există suspiciuni că
sistemul ar putea fi compromis.
 Instalarea de actualizări critice (up-date), fără întârziere, atât pentru sistemele de operare
cât și pentru aplicații, programând ca verificările pentru apariția unor noi actualizări.
 În ceea ce privește administrarea bazelor de date:
o utilizarea de identificatori personalizați pentru conturile utilizatorilor care accesează
bazele de date și crearea de conturi specifice pentru fiecare aplicație;
o Implementarea de măsuri împotriva atacurilor prin injectarea de cod SQL - Structured
Query Language (Kawash, 2004), scripturi etc.
o Efectuarea de copii de siguranță și verificarea acestora în mod regulat.
o Implementarea cel puțin a protocolului TLS - Transport Layer Security (înlocuirea SSL -
Secure Sockets Layer) (Wagner & Schneider, 1996) sau un alt protocol care asigură criptarea și
autentificarea, pentru orice schimb de date online și verificarea implementării corecte prin
intermediul instrumentelor adecvate.
o Evitarea utilizării serviciilor nesecurizate (autentificare cu text clar, flux de text etc.).
o Evitarea utilizării serverelor care găzduiesc baze de date pentru alte funcții, în special
pentru a naviga pe site-uri web, pentru a accesa mesageria electronică etc.
o Evitarea amplasării bazelor de date direct pe un server accesibil de pe Internet.
o Evitarea utilizării conturilor de utilizator generice (cu alte cuvinte, partajate între mai
mulți utilizatori).
 2) Precauții suplimentare (CNIL, 2018)
 Orice sistem de procesare a datelor sensibile trebuie să fie configurat într-un mediu
dedicat (izolat).
 Operațiunile de administrare a serverului trebuie efectuate printr-o rețea dedicată și
izolată, accesibilă numai după o autentificare puternică și cu o trasabilitate sporită.
 Când se pune problema executării de software pe servere, utilizarea unor instrumente de
detectare a vulnerabilității (scanere precum nmap17, nessus18, nikto19 etc.) (Gordon, 2009;
”New VA Modules”, n.d.; ”Nikto”, n.d.) pentru procesarea cea mai critică, pentru a detecta
posibile deficiențe de securitate.
 Restricționarea sau interzicerea accesului fizic și logic la porturile de configurare și de
diagnosticare de la distanță.

Întărirea măsurilor de securitate aplicate site-urilor web

Implementarea celor mai bune metode de bază pentru securitatea site-urilor web. Fiecare
site web trebuie să-și garanteze identitatea și confidențialitatea informațiilor pe care le transmite
sau le colectează.
1) Precauții de bază (CNIL, 2018)
 Implementarea protocolului TLS (înlocuind SSL) pe toate site-urile web, folosind doar
cea mai recentă versiune și verificând implementarea corectă a acestuia.
 Utilizarea TLS obligatoriu pentru toate paginile, inclusiv formularele care colectează date
personale sau care permit autentificarea utilizatorului și a celor pe care sunt afișate sau transmise
date cu caracter personal care nu sunt publice.
 Limitarea porturilor de comunicare la cele strict necesare pentru buna funcționare a
aplicațiilor instalate. Dacă un server web acceptă doar conexiuni HTTPS (Google, n.d.) -
Hypertext Transfer Protocol Secure, trebuie autorizat numai traficul de rețea IP care intră prin
portul 443 și toate celelalte porturi trebuie blocate.
 Permiterea accesului doar persoanelor autorizate la instrumente și la interfețele de
administrare. În special, limitarea utilizării conturilor de administrator numai de către echipele
responsabile de IT și numai pentru acțiunile de administrare care necesită intervenția acestora.
 Dacă se folosesc cookie-urile care nu sunt solicitate de serviciul oferit, se va colecta și
consimțământul utilizatorului de Internet după informarea acestuia și înainte ca cookie-ul să fie
instalat.
 Limitarea numărului de componente implementate, efectuarea monitorizării acestora și
actualizarea permanentă.
 Evitarea transferului datelor cu caracter personal printr-o adresă URL (Miessler, 2019) -
Uniform Resource Locator, cum ar fi identificatori sau parole.
 Evitarea utilizării serviciilor nesecurizate (autentificare cu text clar, flux de text etc.).
 Evitarea utilizării de severe care găzduiesc baze de date sau de severe ca stații de lucru, în
special pentru a naviga pe site-uri web, pentru a accesa mesageria electronică etc.
 Evitarea instalării bazelor de date pe un server direct accesibil de pe Internet.
 Evitarea utilizării conturilor de utilizator generice (cu alte cuvinte partajate între mai
mulți utilizatori).

2) Precauții suplimentare (CNIL, 2018)

 Când vine vorba de executarea software-ului pe servere, este recomandabil a se folosi
instrumente de detectare a vulnerabilității (scanere de vulnerabilitate, cum ar fi nmap, nessus,
nikto, etc.) pentru procesarea cea mai critică, pentru a detecta posibile deficiențe de securitate.
Aceste teste trebuie efectuate în mod regulat și înainte de lansarea în producție a unei noi
versiuni de software.

Asigurarea integrității datelor prin crearea de copii de siguranță a datelor personale

Efectuarea de copii de siguranță, în mod constant, pentru a reduce efectul nedorit creat de
pierderea datelor personale. Copiile de siguranță trebuie făcute și testate în mod regulat.
Pregătirea unui plan de continuitate a afacerii care anticipează posibile incidente (de ex .:
defectarea componentelor hardware).
1) Precauții de bază
 În ceea ce privește backup-ul de date:
o Efectuarea de backup-uri frecvente ale datelor, indiferent dacă sunt pe suport de hârtie
sau în format electronic.
o Stocarea copiilor de siguranță într-o locație externă, dacă este posibil, în seifuri rezistente
la apă și la foc.
o Protejarea copiilor de siguranță cu același nivel de securitate ca datele stocate pe
serverele operaționale (de exemplu, prin criptarea copiilor de siguranță, prin organizarea stocării
într-un loc sigur sau prin subcontractarea unui serviciu de stocare de rezervă).
o Când backup-urile sunt trimise prin rețea, este recomandabil să se cripteze canalul lor de
transmisie, dacă stocarea acestora nu se face în cadrul organizației.
 În ceea ce privește managementul continuității afacerii:
o Crearea unui plan de gestionare a continuității activităților IT, chiar dacă este scurt, care
să cuprindă inclusiv lista celor implicați.
o Asigurarea că utilizatorii, furnizorii de servicii și subcontractanții știu pe cine să
avertizeze în caz de incident.
o Testarea regulată a restabilirii copiilor de siguranță și aplicarea planului de gestionare a
continuității afacerii.
 În ceea ce privește echipamentele:
o Folosirea unei surse de alimentare neîntreruptă pentru a proteja echipamentul utilizat
pentru prelucrările critice, sensibile;
o Redundanța unităților de stocare.
 Evitarea păstrării copiilor de siguranță în același loc cu echipamentele care găzduiesc
datele personale. O pierdere majoră de date personale care ar putea apărea în această locație ar
duce la o pierdere definitivă a datelor.
 2) Precauții suplimentare (CNIL, 2018)
 Dacă cerințele privind disponibilitatea datelor și sistemelor sunt mari, este recomandabil
să se stabilească copierea datelor într-o locație secundară.

Arhivarea datelor personale

Arhivarea datelor care nu mai sunt utilizate zilnic, dar care nu au ajuns, încă, la sfârșitul
perioade de stocare în organizație, de exemplu, pentru că sunt păstrate pentru a fi utilizate în
eventuale litigii. Arhivele trebuie să fie securizate, în special dacă datele personale arhivate sunt
date sensibile, care ar putea avea un impact grav asupra persoanelor vizate.
1) Precauții de bază (CNIL, 2018)
 Implementarea unei proceduri de gestionare a arhivei: ce date trebuie arhivate, cum și
unde sunt stocate, cum sunt gestionate datele personale?
 Implementarea de metode de acces specifice la datele arhivate, datorită faptului că
utilizarea unei arhive se face într-o manieră specifică și excepțională.
 În ceea ce privește distrugerea arhivelor, selectarea unei proceduri care să garanteze că
arhiva a fost distrusă în totalitate.
 Evitarea folosirii de suporturi care nu oferă o garanție suficientă în ceea ce privește
longevitatea. De exemplu, longevitatea CD-urilor reinscripționabile și a DVD-urilor depășește
rareori patru sau cinci ani.
 Evitarea păstrării datelor personale într-o bază de date activă. Datele arhivate trebuie să
fie accesibile numai de către un departament / persoană autorizată special pentru accesarea
acesteia.

2) Precauții suplimentare (CNIL, 2018)

 Arhivarea datelor personale pe suport de hârtie doar pe baza unui Nomenclator arhivistic
autorizat în condițiile legii.

Asigurarea securității datelor personale în orice moment din ciclul de viață al acestora

Operațiunile de mentenanță a echipamentelor IT trebuie supravegheate pentru a controla

accesul la datele personale de către furnizorii de servicii. Datele personale trebuie să fie șterse
înainte de a arunca hardware-ul.
1) Precauții de bază (CNIL, 2018)
 Înregistrarea operațiunilor de mentenanță a echipamentelor IT într-un registru.
 Includerea unei clauze de securitate în contractele de mentenanță a echipamentelor IT
contractate cu furnizorii de servicii și a unei clauze de confidențialitate pentru subcontractare.
 Solicitarea ca o persoană responsabilă din organizație să supravegheze activitatea
desfășurată de către terți.
 Implementarea unei proceduri sigure de ștergere a datelor.
 Ștergerea cu siguranță a datelor din hardware înainte de a fi aruncate, trimise pentru
reparații de către o parte terță sau la sfârșitul unui contract de închiriere a echipamentelor.
 Evitarea instalării aplicațiilor pentru întreținere la distanță cu vulnerabilități cunoscute, de
exemplu, cele care nu folosesc canale de comunicație criptate.
 Evitarea reutilizării, revânzării sau eliminării dispozitivelor care au conținut date
personale și care nu au fost șterse în siguranță.

2) Precauții suplimentare (CNIL, 2018)

 Utilizarea de aplicații dedicate de ștergere a datelor care a fost auditate sau certificate.

Supravegherea respectării securității datelor de către subcontractanți

Datele cu caracter personal comunicate sau gestionate de subcontractanți trebuie

prelucrate cu garanții de securitate.
1) Precauții de bază (CNIL, 2018)
 Colaborarea cu subcontractanți care sunt capabili să ofere suficiente garanții (în special
din punct de vedere al cunoștințelor de specialitate, al fiabilității și al resurselor). Solicitați
furnizorilor de servicii să comunice politica de securitate a sistemului lor informatic înainte de a
semna un contract cu aceștia.
 Măsuri (audituri de securitate, vizite de instalare etc.) și documentarea mijloacelor
utilizate pentru a asigura eficacitatea garanțiilor oferite de subcontractant în ceea ce privește
protecția datelor. Aceste garanții includ:
o Criptarea datelor în funcție de sensibilitatea acestora sau, cel puțin, de existența unor
proceduri care să garanteze că subcontractantul IT nu are acces la date personale, sau că
subcontractantul pe alte domenii protejează corespunzător datele personale pe care le
prelucrează;
o Criptarea transmisiilor de date (de exemplu, conexiune de tip HTTPS, VPN etc.);
o Garanții în ceea ce privește protecția rețelei, trasabilitatea (jurnalele, auditurile),
gestionarea drepturilor de acces, autentificarea etc.
 Clauze contractuale clare care să definească subiectul, durata și scopul prelucrării,
precum și obligațiile fiecărei părți. Aceste contracte vor conține, în special, dispoziții care
vizează:
o obligația lor în ceea ce privește confidențialitatea datelor cu caracter personal
încredințate;
o standarde minime în ceea ce privește autentificarea utilizatorului;
o condițiile de restituire a datelor și / sau distrugerea acestora la sfârșitul contractului;
o reguli de gestionare și notificare a încălcărilor de securitate. Acestea ar trebui să includă
notificarea operatorului de date ori de câte ori este descoperită o încălcare de securitate sau un
incident de securitate, ceea ce ar trebui să se întâmple cât mai curând posibil când se referă la
date cu caracter personal.
 Evitarea începerii unei colaborări fără să fi semnat un contract cu subcontractantul,
inclusiv cu solicitări cerute de art. 28 din Regulament.
 Evitarea utilizării serviciilor de cloud computing în absența unei garanții cu privire la
efectele geografice privind localizarea datelor personale sau fără asigurarea legalității
transferurilor de date în afara Uniunii Europene și / sau necesitatea obținerii unei autorizații de la
ANSPDCP pentru a trece la transferul de date.

2) Precauții suplimentare
 A se vedea art. 28 din Regulament.

Asigurarea securității fizice a spațiilor care adăpostesc servere și echipamente de rețea sau
în care se prelucrează date cu caracter personal
Accesul în spații trebuie controlat pentru a evita sau încetini accesul neautorizat,
indiferent dacă este vorba de documente pe suport de hârtie sau de echipamente IT, în special
servere.
1) Precauții de bază (CNIL, 2018)
 Alarmel anti-intrus și verificare periodică.
 Instalare de detectoare de fum, precum și resurse de stingere a incendiilor și inspectați-le
anual.
 Asigurarea securității dispozitivelor și a codurilor de alarmă care permit accesul la sediu.
 Separarea zonelor clădirii în funcție de riscuri (de exemplu, utilizând un control de acces
dedicat pentru sala calculatoarelor).
 Evidența persoanelor sau categoriilor de persoane autorizate să pătrundă în fiecare zonă.
 Stabilirea regulilor și metodelor de control al accesului vizitatorilor, cel puțin, prin
însoțirea vizitatorilor, în afara zonelor de primire publică, de către o persoană din organizația
dvs.
 Protejarea fizică a echipamentelor IT prin metode specifice (sistem dedicat de prevenire a
incendiilor, ridicarea echipamentelor împotriva posibilelor inundații, alimentarea electrică și /
sau redundanța sistemelor de aer condiționat etc.).
 Evitarea subdimensionării sau ignorarea întreținerii sălilor de calculatoare (aer
condiționat, UPS etc.). O ignorare a acestor măsuri poate genera oprirea echipamentelor și
permiterea accesului în camere (circulația aerului), care neutralizează elementele care contribuie
la securitatea fizică a spațiilor.
 2) Precauții suplimentare (CNIL, 2018)
 Păstrarea unui jurnal de acces (IT) în incintele sau birourile care pot găzdui echipamente
care conțin date personale și care ar putea avea un impact negativ grav asupra persoanelor vizate.
Informați persoanele afectate de funcționarea acestui sistem cu privire la instalarea acestuia,
după consultarea cu reprezentanții personalului.
 Asigurarea că numai personalul autorizat este admis în zonele cu acces restricționat. De
exemplu:
o în interiorul zonelor de acces controlat, să poarte o identificare vizibilă (ecuson);
o vizitatorii (personalul responsabil cu asistența tehnică etc.) să aibă un acces limitat. Data
și ora sosirii și plecării lor trebuie înregistrată;
o reevaluarea și actualizarea regulată a permisiunilor de acces în zonele securizate.