Назад | Перейти на главную страницу

Безопасное хранение корпоративных документов

Один из наиболее интересных аргументов, который сейчас гудит в офисе, - это отсутствие резервной копии ноутбука сотрудника отдела кадров.
Он содержит копию контракта и другую информацию о типе персонала для каждого сотрудника, который у нас работает. Это, безусловно, конфиденциальная информация, некоторые из них содержат данные о NI и здоровье, а также информацию о банковском счете и другие личные записи.

После того, как ноутбук разработчика был украли в прошлом месяце У меня была причина более подробно изучить резервную копию (или ее отсутствие) для различных служб в офисе.

Руководство считает, что Dropbox было бы хорошим решением, поскольку они утверждают, что они безопасны, но я решительно не уверен, где на самом деле это закон (и Закон о защите данных).

У меня сложилось впечатление, что вам не разрешено выпускать указанные документы за пределы сайта / страны / ЕС. Так что Dropbox не годится, поскольку они базируются в США и, вероятно, поддерживаются Amazon S3.

Краткая информация:

Мы базируемся в Великобритании и работаем в ЕС (Дания)
Руководству нужен онлайн-доступ, как можно более детализированный, один пользователь-создатель, только он может получить доступ к этому документу / папке, к одной глобальной общей папке, а также к спискам доступа на основе групп.
Я бы хотел что-нибудь надежное, протестированное, жесткую криптографию (AES)
Телефонный доступ к IPSEC VPN был бы хорош, HTTPS, вероятно, тоже подойдет.
Решение, которое не приведет к предъявлению нам иска комиссара по информации, если что-то пойдет не так.

У кого-нибудь есть идеи? Делали это раньше? Должен ли я просто построить сервер и хранить его где-нибудь в офисе или выделенный сервер в центре обработки данных Великобритании?

На мгновение переверните предположения - почему конфиденциальные данные вообще должны покидать сайт? Почему бы просто не создать сервер терминалов, подключенный к Интернету через VPN, и позволить людям подключаться к нему для доступа к конфиденциальным данным и приложениям?

Во-первых, DropBox, похоже, не соответствует требованиям Safe Harbor, поэтому хранение всего, на что распространяется действие DPA, будет нарушением обязанностей DPA.

Вам разрешено отправлять (некоторые типы) документы (в электронном виде) в США, если другой конец соответствует требованиям Safe Harbor (и зарегистрирован). Я не знаю, распространяется ли это на медицинские данные, но этого определенно достаточно для «имени, адреса и номера телефона» (или, когда я изучал соответствующие правила еще в 2006 году, когда работа рассматривала резервные копии за пределами хранилища в центр обработки данных в США).

Я подозреваю, что вам нужно сочетать следующее:

Программное обеспечение для резервного копирования установлено на всех «рабочих станциях» (как стационарных, так и портативных).
Зашифрованный жесткий диск на всех ноутбуках (в идеале также требуется пароль BIOS при загрузке).
Резервные копии должны быть по крайней мере в двух отдельных больших двоичных объектах хранилища, возможно, один на сервере в офисе, а другой в удаленном центре обработки данных (Великобритания).
Точное программное обеспечение для резервного копирования не имеет большого значения, ищите что-то, что примерно соответствует вашим требованиям, и спрашивайте, можете ли вы получить демонстрационную лицензию для тестового запуска (один сервер, 2-3 тестовых машины, намеренно стереть данные и попытаться восстановить).