На 25 май 2018 г. влиза в сила новият Общ регламент за защита на данните (GDPR). GDPR е регламент, който засяга буквално всеки бизнес, който обработва лична информация относно един или повече граждани на държава в ЕС, независимо къде се намира бизнесът. Неспазването им може да доведе до големи глоби, които могат да достигнат до 20 милиона евро или 4% от годишните приходи (което е по-голямо). Много фирми не са подготвили или все още са в подготовката за тази голяма промяна.
Но какви са предизвикателствата, пред които са изправени собствениците на ресторанти и магазини, когато искат да се съобразят с GDPR? Това са някои от областите, с които се опитваме да Ви помогнем, така че личната информация, която събирате, може да се съхранява по по-сигурен начин и да отговаря по-добре на изискванията. Личната информация може да бъде имена на физически лица, имейли, адреси, телефонни номера, ЕГН, както и всяка друга информация, която позволява на лицето да бъде уникално идентифицирано.
1. Шифроване на чувствителни данни
IncoCloud скоро ще включва съвсем нова услуга, наречена Съответствие с GDPR, която ще позволи на чувствителната информация във Вашата IncoPOS база данни да бъде шифрована, използвайки AES 256-битово криптиране. Това означава, че всички чувствителни данни ще бъдат криптирани в покой (съхранени на твърдия Ви диск), което е едно от изискванията на GDPR. Друго изискване е чувствителната информация да бъде криптирана по време на пренос. С този метод на криптиране, чувствителната информация ще остане криптирана, докато се пренася през мрежата. Това е важно за сценарии, при които имате например 3 POS терминала, свързани към централна база данни във Вашата мрежа. В този случай, ако шифровате твърдия диск на компютъра, съхраняващ информацията, всички данни ще бъдат шифровани, докато са съхранени, но не и по време на пренос по мрежата. Това означава, че е възможно злонамерен човек да може да подслуша трафика във Вашата мрежа и да получи копие от чувствителната информация, докато се прехвърля между работните станции. Точно за това криптирането на данни по време на преноса е от съществено значение.
Друго ключово предимство на нашата система е, че криптиращите ключове, които се използват за криптиране и декриптиране на Вашата информация, никога не се съхраняват на Вашите работни станции. Услугата GDPR Compliance ги съхранява и ги предоставя на вашите работни станции при стартирането им. IncoCloud сам по себе си криптира цялата чувствителна информация и е съвместим с GDPR. За да декриптирате Вашата база данни за работа, достъпът до интернет е необходим по време на стартирането на работните станции! Също така, ако Вашата база данни е открадната, можете да я премахнете от IncoCloud и никой вече няма да има достъп до вашите чувствителни данни от тази база данни.
2. Ограничаване на достъпа до чувствителна информация
IncoPOS винаги е имал голямо ниво на контрол върху достъпа до всяка от функциите си. Всеки потребител в IncoPOS може да бъде ограничен, за да получи достъп точно до функциите, от които се нуждае, за да може да върши работата си. Това може да премахне излагането на чувствителна информация на оператори, които не трябва да имат достъп до нея. Тази мярка само по себе си може значително да намали риска от изтичане на лични данни. Действията, които могат да бъдат деактивирани за даден потребител, включват: 1. Изготвяне на отчети с чувствителна информация за партньорите или потребителите в него. 2. Експортиране на информация за партньори или потребители. 3. Преглед или редактиране на информация за партньори и потребители.
3. Записване на достъп до чувствителна информация
В някои случаи потребителите трябва да имат достъп до чувствителна информация. Друго свойство, което услугата Съответствие с GDPR може да активира, е регистрирането на всички достъпи до чувствителна информация. Това означава, че можете да проверявате от IncoPOS в Справки->Администриране->Дневник на приложението… и да видите кога точно и кой е осъществил достъп до чувствителна информация, А също така и как (от справка, експорт или директно преглеждане на информацията в приложението).
Друго ниво на защита, което добавя услугата Съответствие с GDPR, е да забрани всякакви промени в дневника. Това означава, че дори потребител да е получил достъп до някаква лична информация и се опита да изтрие информация от дневника на приложението за неговия достъп, като директно манипулира съдържанието на базата данни, IncoCloud веднага ще поправи дневника обратно в първоначалното състояние.
4. Правото да бъдете забравени
Според GDPR всеки партньор или потребител има право да бъде забравен. Съответно ако нямаме сериозна причина да не го забравяме, трябва да го направим. Проблемът е, че трябва да запазим информация за нашите операции, така че нашите наличности и баланси не трябва да се променят. Независимо дали решаваме да забравим определен партньор или потребител. Услугата Съответствие с GDPR ви позволява да направите точно това. След като се опитаме да изтрием партньора, системата ще ни предупреди, ако има операции, извършени с този партньор. В този случай предлага да го преместите в групата „Изтрити“ и да го скриете от списъка. Но ако искаме да забравим цялата информация за него, можем просто да опитаме да го изтрием отново от групата „Изтрити“. Тогава ще се появи нов диалог, ако искаме да забравим цялата информация за партньора, но да оставим операциите, направени с този партньор. Ако потвърдим, всички данни за този партньор ще бъдат изчистени и той ще бъде наречен нещо като „Забравен 1“. За целите на сигурността това действие е достъпно само за потребители с ниво на достъп „Собственик“. Същите действия са достъпни и за потребителите в системата.
Всички наши системи са изградени с най-голям интерес от страна на нашите клиенти и партньори. Достигането на високо ниво на сигурност винаги е цел, почти невъзможна за достигане, без да се жертва потребителското преживяване и лекотата на използване. С тези нови промени позволяваме на бизнеса Ви да достигне много високо ниво на съответствие. Но това не е всичко, което трябва да направите. Например, уверете се, че обработването на чувствителна информация извън софтуера е в съответствие и с GDPR. Това включва искане за съгласие, когато чувствителната информация се записва по какъвто и да е начин. Също така трябва да се уверите, че чувствителната информация се обработва с подходящи мерки за сигурност, когато се записват и на хартия.
Съответствие на IncoCloud с GDPR
Тъй като повечето от нашите клиенти използват IncoCloud за архивиране и обработка на тяхната чувствителна информация, правим всичко възможно да спазим GDPR преди 25 май 2018 г. Това са някои от мерките, които предприемаме:
- Ще се уверим, че сме получили вашето съгласие за имейлите, които можете да получите. Ако не получим съгласие до 25-ти май няма да получавате повече имейли от нас. По-късно можете да промените това от вашия IncoCloud профил.
- Можете да редактирате цялата си лична информация от профила си в IncoCloud. Също така ще включим опции за изтриване на потребителския Ви профил и експортиране на цялата информация, която имаме за вас.
- Можете да промените съгласието, което давате на всяка услуга в IncoCloud, която има достъп до информацията на партньорите Ви. Това става от вашия профил в IncoCloud. Или както преди можете просто да изключите услуга. Така тя ще спре да има достъп до която и да е от Вашите данни.
- Добавихме проверка на възрастта при създаването на потребителски профил в IncoCloud. Така можем да се уверим, че спазваме GDPR и обработваме само информация за лица, които са навършили 16 години.
- Както винаги, информацията Ви винаги се прехвърля и съхранява криптирана. А ние сме посветени на подобряването на сигурността за нашите клиенти и след 25 май 2018 година.
- Актуализирахме декларацията ни за поверителност и общите условия, за да бъдем по-ясни и да включим изискваната информация според GDPR.