Czym jest RODO/GDPR?
RODO (Rozporządzenie o Ochronie Danych Osobowych, ang. GDPR) to kompleksowe prawo o ochronie danych Unii Europejskiej regulujące sposób, w jaki organizacje zbierają, przetwarzają, przechowują i udostępniają dane osobowe osób przebywających na terenie UE i Europejskiego Obszaru Gospodarczego.
Znane również jako: GDPR, General Data Protection Regulation
RODO ustanawia siedem podstawowych zasad przetwarzania danych: zgodność z prawem, rzetelność i przejrzystość; ograniczenie celu; minimalizację danych; prawidłowość; ograniczenie przechowywania; integralność i poufność; oraz rozliczalność. Rozporządzenie przyznaje osobom, których dane dotyczą, znaczące prawa dotyczące ich danych, w tym prawo dostępu, sprostowania, usunięcia (prawo do bycia zapomnianym), przenoszenia danych i sprzeciwu wobec przetwarzania.
Zasada integralności i poufności (art. 5 ust. 1 lit. f) wymaga, aby dane osobowe były przetwarzane z „odpowiednim bezpieczeństwem" — w tym ochroną przed nieautoryzowanym dostępem, przypadkową utratą lub zniszczeniem. Artykuł 32 wyraźnie zobowiązuje organizacje do wdrożenia środków technicznych proporcjonalnych do ryzyka i wymienia szyfrowanie oraz pseudonimizację jako odpowiednie środki. Naruszenia danych muszą być zgłaszane organom nadzorczym w ciągu 72 godzin, z możliwymi karami sięgającymi 4% globalnego rocznego obrotu lub 20 mln euro.
Zasady RODO dotyczące minimalizacji danych i ograniczenia przechowywania mają bezpośrednie implikacje dla zarządzania poświadczeniami i sekretami. Przechowywanie haseł, kluczy API lub tokenów dostępu w trwałych wątkach e-mail lub dziennikach czatów tworzy zbędne zasoby danych wymagające ochrony i ostatecznego usunięcia. Organizacje, które nie mogą wykazać odpowiednich środków bezpieczeństwa dla wszystkich przechowywanych danych — w tym operacyjnych sekretów — są narażone na ryzyko regulacyjne.
Jak Vaulted używa RODO/GDPR
Vaulted jest zgodny z podstawowymi zasadami RODO przez swój projekt. Minimalizacja danych jest osiągana przez samozniszczające się linki automatycznie usuwające sekrety po skonfigurowanej liczbie wyświetleń lub upływie okresu ważności: żadne dane nie są przechowywane dłużej niż ich zamierzony cel użycia. Zasada ograniczenia przechowywania jest egzekwowana przez automatyczne wygasanie oparte na TTL w magazynie danych. Szyfrowanie AES-256-GCM po stronie klienta i architektura serwera zero-knowledge zapewniają integralność i poufność: nawet infrastruktura Vaulted nie może uzyskać dostępu do udostępnionego jawnego tekstu, co zmniejsza zakres potencjalnych obowiązków zgłaszania naruszeń danych.