Best Practices der DSGVO für Windows-Dateiserver

Ab dem 25. Mai^th, 2018 müssen alle Unternehmen, die mit personenbezogenen Daten aus der EU umgehen, DSGVO-konform sein. Aus Sicht eines Windows-Dateiservers sind personenbezogene Daten von größter Bedeutung DSGVO-Konformität. Unternehmen außerhalb der EU gehen davon aus, dass die DSGVO für sie nicht gilt, aber jede Interaktion mit einem EU-Bürger erfordert die Einhaltung – einfach ein Unternehmen zu führen, das sich außerhalb der EU befindet, gibt Ihnen keine „Gefängnis-freie Karte“. !

Mit der DSGVO müssen Unternehmen Behörden und Kunden innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls über Datenschutzverletzungen informieren, Aufzeichnungen führen, um den Kunden zu bestätigen, ob ihre Daten verwendet werden und wie, ihnen auf Anfrage eine Kopie ihrer Daten zur Verfügung stellen und ihnen erlauben ihre Daten löschen zu lassen. Im Rahmen der DSGVO müssen Prüfunternehmen alle personenbezogenen Daten klassifizieren und diese Daten nach der Klassifizierung schützen.

Diese Checkliste enthält Best-Practice-Empfehlungen für den Schutz personenbezogener Daten, die in einer Windows File Server-Infrastruktur gespeichert sind. Zu personenbezogenen Daten gehören jedoch auch Dinge wie E-Mails, die in Office Online oder lokal in Exchange gespeichert sind. Die folgenden Details sind Best Practices, die zum Schutz personenbezogener Daten nicht nur in Übereinstimmung mit der DSGVO, sondern auch mit anderen Standards (HIPAA, FINRA usw.) befolgt werden sollten.

Personenbezogene Daten, die unter die DSGVO fallen

Artikel 4 Absatz 1 definiert „personenbezogene Daten“ wie folgt (alle Hervorhebungen hinzugefügt, sofern nicht anders angegeben):

„personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen der physischen, physiologischen, genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person;

Bei einer so breiten Definition obliegt es jeder Organisation, personenbezogene Daten zu identifizieren und zu schützen. Welche Tools stehen Windows-Systemadministratoren zum Identifizieren und Schützen von Daten zur Verfügung? In den folgenden Abschnitten identifizieren wir Tools und Ressourcen, die Netzwerkadministratoren zum Schutz von Windows-Dateiservern und -Freigaben zur Verfügung stehen.

Identifizierung personenbezogener Daten

Als Teil des Discovery-Prozesses müssen Organisationen ihre Datenverarbeitungsaktivitäten im Detail identifizieren. Sie können dies tun, indem sie ein Verzeichnis aller Datenverarbeitungsaktivitäten erstellen und führen. Unter der DSGVO müssen Unternehmen eine vollständige interne Dokumentation ihrer Datenverarbeitungsaktivitäten führen. Der erste Schritt zum Schutz des Fernzugriffs auf Daten mit MyWorkDrive besteht darin, persönliche Daten und Geschäftsprozesse zu identifizieren und zu lokalisieren. Einmal identifizierte personenbezogene Daten können vor Zugriff geschützt werden. Neben der Entwicklung und Dokumentation von Datenverarbeitungs-Workflows gibt es in MyWorkDrive Tools, um nach Dateien zu suchen Windows-Dateifreigaben einschließlich Windows Search Service und für größere Organisationen dTSuche. Die Kombination von Datenverarbeitungsforschung, Dokumentation und Entdeckung ist der erste Schritt zum Schutz von Windows-Dateiservern in jeder Organisation, die der DSGVO unterliegt.

Schutz personenbezogener Daten auf Windows-Dateiservern

Sobald die Daten klassifiziert wurden, sollten Sie ein umfassendes Verständnis dafür haben, welche Art von Daten Sie verarbeiten und wie die Daten geschützt werden müssen. Überlegen Sie, wie Sie personenbezogene Daten derzeit (falls überhaupt) sichern, und nehmen Sie alle erforderlichen Änderungen vor oder richten Sie die erforderlichen Verfahren ein. Der Schutz der Privatsphäre personenbezogener Daten sollte Priorität haben. Es kann erforderlich sein, eine Datenschutzfolgenabschätzung (PIA) von Richtlinien durchzuführen, um die Datenlebenszyklen und die potenziellen Auswirkungen auf die Privatsphäre des Einzelnen zu bewerten. Besonderes Augenmerk sollte auf DSGVO-spezifische Anforderungen wie die Gewährleistung der Datenübertragbarkeit, das Recht auf Information, das Recht auf Vergessenwerden und die korrekte Art und Weise der Datenvernichtung gelegt werden. Die erforderlichen Verfahren und Kontrollen sollten vorhanden sein, um die Rechte der gespeicherten personenbezogenen Daten zu unterstützen. Verfahren zum Sichern von Daten sind für personenbezogene Daten in allen Formen und an allen Orten erforderlich, einschließlich lokal und in der Cloud, gesicherte Daten, archivierte Daten und Daten, die erstellt werden. Die Sicherheit ganzer Datenlebenszyklen muss adressiert werden. Zum Schutz personenbezogener Daten können Unternehmen verschiedene Methoden anwenden, darunter Verschlüsselung, Anonymisierung und Pseudonymisierung. Welche Methode Sie verwenden, hängt von den Berechtigungen und dem Zugriff des Benutzers ab. Die Entwicklung einer Richtlinie zur Aufbewahrung von Dateiarchiven ist unerlässlich, damit Dateien im Laufe der Zeit entfernt werden können und daher nicht mehr der Compliance unterliegen.

Microsoft hat umfassende Ressourcen zum Sperren von Windows ServerS um die DSGVO einzuhalten, einschließlich des Schutzes von Anmeldeinformationen und Administratorrechten und der Sicherung des Betriebssystems zum Ausführen Ihrer Apps und Infrastruktur. Zusätzlich zu den Microsoft-Ressourcen zum Sperren von Windows File Server-Betriebssystemen ist es wichtig, Systeme in vertrauenswürdigen Netzwerken zu sichern und zusätzliche Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung beim Remotezugriff auf Daten zu aktivieren und Downloads auf nicht verwaltete Geräte zu verhindern. Vieles davon bedeutet grundlegende Dinge wie das Auffinden der Systemprotokolle und vielleicht verschiedene Tools, um sie zu sammeln und darüber zu berichten, aber ebenso sollten Unternehmen nach Möglichkeit die Implementierung von Dingen wie Data Leakage Prevention in Betracht ziehen, um alle personenbezogenen Daten zu überwachen, auf die zugegriffen wird, ob vor Ort oder aus der Ferne . Aus Sicht von MyWorkDrive kann der Schutz personenbezogener Daten auf Dateifreigaben so einfach sein, wie sie vollständig vom Fernzugriff auszuschließen oder den Zugriff für bestimmte Freigaben auf Lese- und Bearbeitungszugriff in unserem Web File Manage-Client zu beschränken und gleichzeitig Downloads mithilfe unserer Funktionen zur Verhinderung von Datenverlust einzuschränken.

Verschlüsselung während der Übertragung

Protokolle wie z FTP-Server eingebaute Windows IIS entspricht nicht den GDPR-Standards. Auch ältere Windows-VPN-Clients nicht. MyWorkDrive fügt zusätzlichen Schutz während der Übertragung hinzu, um Unternehmensdaten mit hoher Verschlüsselung, umfassender Protokollierung, Zwei-Faktor-Authentifizierung und Funktionen zum Schutz vor Datenverlust zu schützen. MyWorkDrive Server und Clients unterstützen den TLS 1.2-Standard vollständig, um Dateien zu sichern, und Unternehmen können den TLS 1.0-Zugriff sicher deaktivieren. Unser MyWorkDrive-Supportartikel Einzelheiten zum Deaktivieren unsicherer und schwacher Chiffren, um Daten während der Übertragung zu schützen. Ein zusätzlicher Schritt zum Schutz von Daten während der Übertragung besteht darin, das Betriebssystem selbst mit Firewall-Regeln zu schützen. MyWorkDrive selbst kann in einer separaten Firewall-Zone ausgeführt werden, die eingehende und ausgehende Ports auf diejenigen beschränkt, die für SMB-Freigaben, Active Directory und DNS-Datenverkehr intern und HTTPS (SSL)-Datenverkehr extern erforderlich sind. Zusätzliche Details zu Portanforderungen für eine ordnungsgemäße MyWorkDrive-Server-Firewall-Kommunikation in einer gesperrten Umgebung sind verfügbar Hier zum Artikel.

Verschlüsselung im Ruhezustand

Eine Möglichkeit, dieses Risiko von DSGVO-Verstößen zu begrenzen, besteht darin, ruhende Daten zu verschlüsseln – selbst wenn ein Verstoß auftreten würde, wenn der Verschlüsselungsschlüssel nicht verletzt wird, können Unternehmen möglicherweise den Benachrichtigungsschritt vermeiden. Der DSGVO-Bericht hat hier einen großartigen Artikel, in dem es heißt: „Wenn die Organisation im Falle einer Datenkompromittierung oder eines Datenverlusts die volle Kontrolle über ihre eigenen Verschlüsselungsschlüssel hat, kann sie den Benachrichtigungsschritt vollständig vermeiden, wenn die Daten für die Welt außerhalb der Organisation nicht lesbar sind. Wenn im Gegensatz dazu der Cloud- oder SaaS-Anbieter die Schlüssel kontrolliert und diese verletzt werden, gibt es keine Möglichkeit, sicherzustellen, dass die Daten der Organisation sicher sind – und es folgen Benachrichtigungen und Bußgelder.“ Dazu gehören Dateien, die auf Windows-Dateiservern gespeichert sind, und Sicherungen, die vor Ort oder in der Cloud gespeichert sind. MyWorkDrive speichert niemals Kundendaten, egal ob vor Ort auf dem Webzugriffsserver für MyWorkDrive-Dateien oder beim Öffnen in Office 365 online. Unternehmen können ihre Daten sicher verschlüsseln Windows-Dateifreigaben ohne den Fernzugriff auf MyWorkDrive-Dateien durch die Verwendung zu beeinträchtigen integrierte Windows-Server-Tools oder Nutzung von Drittanbietern wie Sophos oder Symantec. Aus der MyWorkDrive-Server- und -Client-Perspektive greifen Benutzer in ihrem Benutzerkontext auf Dateifreigaben zu, genau wie bei herkömmlichen zugeordneten Laufwerken. Das MyWorkDrive Cloud-Dateiserver Konvertiert den Datenverkehr des lokalen SMB-Dateiservers in HTTPS, damit der Benutzer remote auf Dateien zugreifen kann, fügt zusätzliche Protokollierungsfunktionen und optionale Zwei-Faktor-Authentifizierung hinzu. Da auf Dateien ohne Download direkt zugegriffen und diese bearbeitet werden können, wird außerdem die lokale Speicherung von Dateien auf Endbenutzergeräten minimiert. Unternehmen können auch die MyWorkDrive-Funktionen zum Schutz vor Datenverlust aktivieren, um das Herunterladen und die externe Freigabe zu verhindern, während das Anzeigen und Bearbeiten von Dokumenten in einem sicheren Browser weiterhin möglich ist.

Überwachung und Berichterstattung

Offensichtlich können Sie nicht innerhalb von 72 Stunden damit beginnen, die strengen DSGVO-Benachrichtigungsanforderungen zu erfüllen, wenn Sie die Verletzung nicht von vornherein erkennen können. Datenzugriffsanfragen: Die DSGVO enthält ausdrückliche Anforderungen für die Benachrichtigung bei Verstößen, wenn eine Verletzung des Schutzes personenbezogener Daten „eine Verletzung der Sicherheit bedeutet, die zu einer versehentlichen oder rechtswidrigen Zerstörung, einem Verlust, einer Änderung, einer unbefugten Offenlegung oder einem Zugriff auf übertragene, gespeicherte oder gespeicherte personenbezogene Daten führt anderweitig verarbeitete personenbezogene Daten. MyWorkDrive umfasst umfangreiche Protokollierungs- und Suchfunktionen zum Melden von Zugriffen, Änderungen oder Downloads, die mit zentralisierten Protokollverwaltungstools, Berichtstools für Windows-Dateiserver oder Warntools von Drittanbietern wie File Audit Plus von Manage Engine, Netwrix Auditor oder Quest's Change kombiniert werden können Wirtschaftsprüfer für NetApp. Alle MyWorkDrive-Zugriffsprotokolle liegen im standardisierten XML-Format vor, um die Integration und Berichterstellung zu erleichtern. Ipswitch skizziert außerdem Best Practices für die Verwaltung von Ereignisprotokollen für Sicherheit und Compliance Hier zum Artikel.

Haftungsausschluss

Dieses Whitepaper ist ein Kommentar zur DSGVO, wie sie MyWorkDrive zum Zeitpunkt der Veröffentlichung interpretiert. Die Anwendung der DSGVO ist sehr faktenspezifisch, und nicht alle Aspekte und Interpretationen der DSGVO sind gut geklärt. Daher wird dieses Whitepaper nur zu Informationszwecken bereitgestellt und sollte nicht als Rechtsberatung oder zur Bestimmung der Anwendung der DSGVO auf Sie und Ihr Unternehmen herangezogen werden. Wir empfehlen Ihnen, mit einem juristisch qualifizierten Fachmann zusammenzuarbeiten, um die DSGVO zu besprechen, wie sie speziell auf Ihr Unternehmen zutrifft und wie Sie die Einhaltung am besten sicherstellen können. MYWORKDRIVE ÜBERNIMMT KEINE AUSDRÜCKLICHEN, STILLSCHWEIGENDEN ODER GESETZLICHEN GEWÄHRLEISTUNGEN HINSICHTLICH DER INFORMATIONEN IN DIESEM WHITEPAPER. Dieses Whitepaper wird „wie besehen“ bereitgestellt. Informationen und Ansichten, die in diesem Whitepaper zum Ausdruck gebracht werden, einschließlich URLs und anderer Verweise auf Internet-Websites, können ohne Vorankündigung geändert werden. Dieses Dokument verleiht Ihnen keinerlei Rechte an geistigem Eigentum an einem MyWorkDrive-Produkt. Sie dürfen dieses Whitepaper nur für Ihre internen Referenzzwecke kopieren und verwenden.

Veröffentlicht März 2018, Version 1.0

© 2019 MyWorkDrive, Wanpath LLC. Alle Rechte vorbehalten.