Despre Art. 25 din GDPR am mai scris că este un fel de „cuiul lui Pepelea„. S-a întîmplat să finalizez, împreună cu partenerul meu de suferință Valy Greavu, o nouă implementare a machetei pe care am dezvoltat-o în SharePoint (Publicitate: pentru un grup financiar din top 10). În timp ce mă apropiam de finalizarea proiectului,…
După lecturarea si analizarea legii de mai multe ori pot spune că este stufoasă, neclară ca terminologie și….pe ici pe colo incompletă. Doar două argumente: majoritatea intră sub incidența GDPR și acolo există o terminologie/cerințe. Băncile au reglementări/recomandări/ghiduri specifice (a se vedea EBA) Mi-aș fi dorit să regăsesc în lege sintagme precum: „stadiul actual al…
(O completare la articolul anterior) În puține cazuri am întîlnit „IT risk assessment„, „vulnerability assessment„ sau „pen test„ care să fi fost privite altfel decît izolat, la nivelul unor echipamente/subsisteme. Rezultatul obținut în urma unor astfel de activități nu oferă însă recomandări pentru protejarea afacerii. Afli ceva, dar nu știi cu exactitate/suficient de detaliat impactul…
Există o mulțime de materiale care spun că poți să ai securitate IT dar să nu asiguri protecția datelor personale. În cursul CISM se prezintă „security program„ iar în cursul CIPM se prezintă „privacy program„. A fost o vreme cînd distincția era clară și ușor aplicabilă. Dincolo de ce spune teoria, cît diferă între ele…
Unde scrie în GDPR că trebuie audit? Nicăieri. Art. 32. (1)(d): un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării. Am dat cîteva detalii aici și aici . Reiau afirmații anterioare: chiar dacă nu scrie „audit„ despre așa ceva este vorba. În lipsa unui…
