La GDPR c’est le 25 mai, où en êtes vous avec votre IBM i ?
Le but n’est pas ici de développer toutes les spécificités de la GDPR, par exemple, pour la gestion de vos registres de traitement vous n’échapperez pas à l’analyse de votre SI et sans doute vous aurez besoin d’une aide juridique si vous gérez des données sensibles ou confidentielles.
Mais l’idée est de voir comment votre IBM i peut vous aider techniquement à réaliser les obligations de la nouvelle loi.
Voici une liste de points à vérifier .
1) Identifier les personnes (pour que quelqu’un puisse faire quelque chose il lui faut un profil et un mot de passe …).
3 conseils :
- Passez en mot de passe long.
Passez vos accès SSH (pour que les MDP ne circulent pas en clair)
Appliquez à votre IBM i la même politique de changement de Password que dans le reste votre entreprise, en attendant un single sinon.
2) Ajuster les droits des utilisateurs, en théorie une personne ne doit pas avoir plus de droits que ce que lui impose ses tâches .
3 conseils :
- Analysez les profils qui ont le droit spécial *ALLOBJ.
Analysez les droits sur les ressources avec authority collection
Analysez les partages de L’IFS.
Et après mettez en place une politique plus restrictive, attention aux effets de bord
3) Pour la tracabilité, les journaux d’audit propose un grand nombre d’informations
4 conseils :
- Analysez les logs que vous collectez et gardez uniquement la partie pertinente
Ajoutez des triggers after sur certaines tables pour loguer *
Ajoutez des programmes d’exit sur les traitements (ODBC, FTP, PARTAGE, SQL)
En cas de violation agissez …
* Ce point peut être mis en place à l’aide des tables temporelles, bien meilleur, mais plus compliqué à mettre en place. Par contre pour vos nouveaux traitements, pensez y !
4) Anonymisation et cryptage des données, vous pouvez crypter vos données dans l’ASP, dans vos sauvegardes par BRMS, et par SQL sur vos bases de données RCAC et Field Proc.
3 Conseils :
- Sécurisez tous les échanges avec vos serveurs externes (avec certificat par exemple)
Attention à la gestion de la pseudonimisation pour les data Whare house.
Testez vos restaurations !
5) Registre de traitements.
Il vous faudra avoir une base de donnée centralisée, elle peut être sur votre ibm i …