Согласно GDPR, все личные данные должны быть зашифрованы, поэтому мне нужно зашифровать все журналы и получить их для аудита. Я решил выполнить шифрование во время ротации журналов и использовать GnuPG в качестве метода шифрования, но не знаю, как вызвать gpg команда во время logrotate.
Вопреки тому, что часто утверждается, шифрование всех личных данных не обязательно, но предлагается как хороший вариант только четыре раза в целом общие правила защиты данных (GDPR):
- "... принять меры по снижению этих рисков, Такие как шифрование. "(Сольный концерт 83)
- "... соответствующие гарантии, которые может включать шифрование "(Искусство. 6, 4д)
- "... в том числе, среди прочего по мере необходимости: (а) псевдонимизация и шифрование личных данных. "(Искусство. 32, 1а)
- "... неразборчиво для любого лица, не имеющего доступа к нему, Такие как шифрование "(Искусство. 34, 3а)
Шифрование - это не требование, а инструмент. Статья i-SCOOP на Шифрование GDPR является более полным обзором по этому вопросу, включая также некоторые соответствующие рекомендации. Анализ рисков - важная часть вашего Стратегия GDPR и может выявить некоторые риски, которые можно снизить за счет шифрования журналов. Тогда эта практика может быть полезной, но GDPR этого не требует.
Вы могли бы, например, использовать postrotate сценарий для зашифровать повернутый журнал с GnuPG.
/var/log/whatever.log {
. . .
postrotate
gpg --encrypt --recipient my@example.com /var/log/whatever.log.1
endscript
. . .
}
Даже лучше, logrotate позволяет заменить значение по умолчанию gzip с другими инструментами, включая GnuPG:
compress
compresscmd /usr/bin/gpg
compressoptions --encrypt --default-key your-key-id
compressext .gpg
Эта идея позаимствована из Ctrl.blog GDPR и личные данные в журналах веб-сервера делает это глобальным. В статье отмечается, что необходимость в шифровании зависит от типа данных, обсуждается, какие журналы личных данных могут содержать и какова правовая основа для ведения журнала, поскольку это обычно делается без согласия.