Welche Auswirkungen hat die Allgemeine Datenschutzverordnung (DSGVO) auf DevOps?

8

Die Allgemeine Datenschutzverordnung (DSGVO) enthält eine Reihe von Vorschriften zur Verbesserung des Datenschutzes über europäische Bürger. Zitat aus diesem Link:

Die EU-Datenschutzgrundverordnung (DSGVO) ist die wichtigste Änderung der Datenschutzverordnung seit 20 Jahren.

Unter GDPR Key Changes finden Sie eine Zusammenfassung dessen, worum es geht, insbesondere um die Rechte der betroffenen Person , wie z.

  • Benachrichtigung über Verstöße.
  • Recht auf Zugang.
  • Recht, vergessen zu werden.
  • Datenportabilität.
  • Datenschutz durch Design.
  • ...

Einige Fakten zur DSGVO:

  • Die DSGVO wird ab dem 25. Mai 2018 durchgesetzt (das ist ziemlich knapp).
  • Zitat aus GDPR Key Changes (über Territorial Scope ):

    ... gilt für die Verarbeitung personenbezogener Daten durch für die Verarbeitung Verantwortliche und Verarbeiter in der EU, unabhängig davon, ob die Verarbeitung in der EU erfolgt oder nicht. Die DSGVO gilt auch für die Verarbeitung personenbezogener Daten betroffener Personen in der EU durch einen für die Verarbeitung Verantwortlichen oder Verarbeiter, der nicht in der EU ansässig ist die Überwachung des Verhaltens innerhalb der EU. Nicht-EU-Unternehmen, die Daten von EU-Bürgern verarbeiten, müssen ebenfalls einen Vertreter in der EU ernennen.

Für alle, die alt genug sind, um sich an den Y2K- Typ in den 90er Jahren zu erinnern (dh die Auswirkungen auf IT-Systeme): IMHO war es im Vergleich zu der bevorstehenden Herausforderung mit dieser GDPR-Sache ein Kinderspiel, all diese Y2K-Probleme anzugehen.

Frage (n) : Welche Auswirkungen hat die DSGVO auf DevOps, insbesondere frage ich mich:

  1. Welche Änderungen sind in der DevOps- erforderlich , um sie GDPR-konform zu machen?
  2. Wie können DevOps-Praktiken einem Unternehmen helfen (erleichtern, vereinfachen usw.), GDPR-konform zu werden, ähnlich wie SCM-Tools in den 90er Jahren dazu beigetragen haben, Y2K-konform zu werden?
Pierre.Vriens
quelle
Können Sie erklären, wie ein typical DevOps toolchainIhrer Meinung nach aussieht?
030
@ 030 Bitte überprüfen Sie meine aktualisierte Frage (den Link, den ich hinzugefügt habe, um es zu klären).
Pierre.Vriens
Vielen Dank. Jetzt ist mir klar, was du mit dem meinst typical devops toolchain. Ich habe die im Bild abgebildeten Komponenten hinzugefügt, um zu verhindern, dass die Informationen verloren gehen, wenn der Link veraltet ist.
030
Ich sehe, dass das Toolchain-Tag diese Informationen bereits enthält. Das Tag ist klar genug.
030

Antworten:

3

"Durchsetzung" bedeutet, dass Anwälte mögliche Schuldige suchen. Ehrlich gesagt, meiner Meinung nach (und derjenigen einiger Leute um mich herum, die eher eine Mischung aus IT-Mann und Anwalt sind), weiß niemand, wie das genau funktionieren wird.

Diese iLawyers erwarten in den ersten Monaten viele sehr interessante Gerichtsverfahren, um das Wasser zu testen und zu sehen, welche Vorrangfälle auftauchen werden. Es wird wahrscheinlich viele Anwaltskanzleien geben, die nach schönen fetten Fischen zum Braten fischen.

Für mich persönlich sehe ich nicht wirklich so viele Auswirkungen speziell in Bezug auf DevOps. Die Anwendungen selbst müssen natürlich nach Bedarf angepasst werden. Auch der tatsächliche Datenspeicher, sei es RDBMS, elastische Suchindizes oder was auch immer, muss überprüft werden.

Abgesehen davon besteht ein Vorteil von DevOps, insbesondere wenn Sie mit einem Containersystem und einer Infrastruktur als Code arbeiten, darin, dass Sie im Allgemeinen genau wissen sollten , wo Ihre Daten, Protokolldateien usw. gespeichert sind und welche Art von Daten Sie haben ;; viel mehr als bei klassischen Servern, auf denen Ihre Daten und insbesondere Protokolle möglicherweise überall verstreut sind. Es sollte auch sehr einfach sein, Ihre Daten regelmäßig nach Bedarf zu rollen, dh alte Sachen zu verlieren.

So kann es beispielsweise hilfreich sein, Ihren Katalog mit iac-Dateien zu durchsuchen und sie sorgfältig durchzugehen. Sie können dann ziemlich sicher sein, dass Sie alles gefunden haben, was Sie beachten müssen.

AnoE
quelle
0

Da DevOps eine Ehe zwischen Dev und Ops (und sogar SecOps ) ist, sehe ich unterschiedliche Beziehungen zu jedem von ihnen.

Unter dem Dev-Aspekt kann DevOps bei der Einhaltung der DSGVO helfen, genau wie es bei jeder anderen Art von Konformität helfen kann, die von Softwareprodukten verlangt wird: über (gute) QS-Tests zur Einhaltung.

Solange die Compliance-Anforderungen genau definiert sind, können entsprechende QS-Tests erstellt werden, um diese Anforderungen zu überprüfen. Durch einfaches Einbeziehen dieser QS-Überprüfungen in die DevOps-Kette der Produkte - beispielsweise in die CI / CD-Pipelines - kann die Konformität der Produkte gemessen und kontrolliert werden.

Von den Ops (und SecOps) sind die potenziellen Dinge etwas anders (ich bin mit diesen weniger vertraut), aber ich gehe davon aus, dass die DSGVO zusätzliche Anforderungen auferlegt, von denen ich vermute, dass sie sich in zusätzlichen Betriebsrichtlinien niederschlagen würden.

Dan Cornilescu
quelle