GDPR nedir?
Genel Veri Koruma Yönetmeliği (GDPR), Avrupa Birliği ve Avrupa Ekonomik Alanı içindeki bireylerin kişisel verilerinin kuruluşlar tarafından toplanmasını, işlenmesini, saklanmasını ve paylaşılmasını düzenleyen kapsamlı bir veri koruma yasasıdır.
Diğer adlarıyla: GDPR, General Data Protection Regulation
GDPR, veri işleme için yedi temel ilke belirler: hukuka uygunluk, dürüstlük ve şeffaflık; amaç sınırlaması; veri minimizasyonu; doğruluk; depolama sınırlaması; bütünlük ve gizlilik; hesap verebilirlik. Yönetmelik, bireylere verileri üzerinde erişim, düzeltme, silme ("unutulma hakkı"), veri taşınabilirliği ve işlemeye itiraz etme hakları dahil önemli haklar tanır.
Bütünlük ve gizlilik ilkesi (Madde 5(1)(f)), kişisel verilerin yetkisiz erişime, kazara kayba veya imhaya karşı koruma dahil "uygun güvenlik" sağlanarak işlenmesini gerektirir. Madde 32, kuruluşların riskle orantılı teknik önlemler almasını özellikle zorunlu kılar ve şifreleme ile takma ad kullanımını uygun önlemler olarak açıkça belirtir. Veri ihlalleri 72 saat içinde denetim otoritelerine bildirilmelidir; yıllık küresel ciron %4'ü veya 20 milyon Euro'ya kadar olası para cezaları söz konusudur.
GDPR'ın veri minimizasyonu ve depolama sınırlaması ilkelerinin, kuruluşların kimlik bilgilerini ve gizli dizileri nasıl yönettiği üzerinde doğrudan etkileri vardır. Parolaları, API anahtarlarını veya erişim token'larını e-posta dizilerinde veya kalıcı sohbet günlüklerinde saklamak, güvence altına alınması ve nihayetinde silinmesi gereken gereksiz veri birikintileri oluşturur. İşlemsel gizli diziler dahil elinde tuttukları tüm veriler için uygun güvenlik önlemleri sağlayamayan kuruluşlar düzenleyici riskle karşı karşıyadır.
Vaulted GDPR nasıl kullanır
Vaulted, tasarımıyla temel GDPR ilkeleriyle örtüşür. Veri minimizasyonu, gizli dizileri yapılandırılmış sayıda görüntüleme veya süre dolumundan sonra otomatik olarak silen kendiliğinden yok olan bağlantılar aracılığıyla gerçekleştirilir: hiçbir veri, amaçlanan kullanımın ötesinde saklanmaz. Depolama sınırlaması ilkesi, veri deposunda TTL tabanlı otomatik süre dolumu ile uygulanır. İstemci taraflı AES-256-GCM şifrelemesi ve sıfır bilgi sunucu mimarisi, bütünlük ve gizliliği güvence altına alır: Vaulted altyapısı bile paylaşılan düz metne erişemez; bu, olası herhangi bir veri ihlali bildirim yükümlülüğünün kapsamını azaltır.