Lainsäädäntö kiristyy – mitä käytännön toimia yrityksiltä vaaditaan? Mikko S. Niemelä Managing Director Silverskin Information Security
Yleinen trendi on lakien kiristyminen – ja tulee olemaan Mistä tämä kaikki nyt sitten johtuu? Varautuminen ja reagoiminen tulevaan direktiiviin on puolitotuus.
EU on ottanut käyttöön 5 vuoden viiveellä ”kaikki” USAn tietoturvalait. Lait eivät tule 1:1 vaan paketoituna erilaisissa muodoissa: ”SOX ei koskaan tule eurooppaan” – BASEL sisältää pankki- ja rahoitustoimialan SOX vaatimukset
EU Data Directive vs SB 1386 EU Data Directive Ilmoitusvelvollisuus: viranomaisille ja tietovuodon uhreille Ei oikeutta viivytellä Sanktiot: Kansallisella tietosuojaviranomaisella sakotusoikeus, lisäksi käytännössä rajaton korvausvelvollisuus yksityisiä ihmisiä kohtaan SB 1386 Ilmoitusvelvollisuus: viranomaisille ja tietovuodon uhreille Oikeus viivyttää ilmoitusta, mikäli itse tutkii tapausta Sanktiot: osavaltio voi haastaa oikeuteen (siviilikanne ja rikosoikeudellinen) myös uhrien puolesta.
Direktiivin vaatimukset Yrityksellä tulee olla kyky havaita tietovuodot. Ilmoitusvelvollisuus viranomaisille ja tahoille joiden tietoja on saattanut vuotaa Mikäli yrityksellä ei ole kykyä havaita tietovuotoa tai tietovuodon sattuessa määräaikaan mennessä (48h / 72h) ilmoitusta ei ole tehty viranomaisille, seuraa sanktio 1% liikevaihdosta tai up to 1,000,000 eur
Ilmoitusvelvollisuus vaatii oman prosessin, jolla asia hoidetaan Mitä havainnointi käytännössä vaatii?
Havainnointi Verkkokaupassa: käyttäjä näkee toisen ostoshistorian / laskutustietoja / preferenssejä / liittymän tietoja Sähköpostilistalla: vastaanottaja näkee muille kuuluvaa viestintää / viestejä Wallet / e-payments: monimutkaisempaa! Onko maksu kirjautunut oikein, vastaako transaktio kirjautunutta tuotetta/palvelua, välitetäänkö maksu oikein. Näkeekö yksi kauppias tai asiakas tai operaattorin henkilökunta muiden hintoja / tietoja.
mikko @ silverskin.fi