21 безкоштовних інтерактивних вправ у 2 структурованих курсах, що охоплюють відповідність GDPR та ризики конфіденційності OWASP.
Кожна вправа безкоштовна, працює у вашому браузері та не потребує реєстрації. Підготуйте свою команду до вимог конфіденційності, які аудитори дійсно перевіряють.
11 вправ
Збирайте та керуйте маркетинговою згодою відповідно до GDPR.
Дійте в рамках 72-годинного вікна повідомлення GDPR.
Інтегруйте захист даних у дизайн продуктів та процесів.
Обробляйте запити суб'єктів даних відповідно до GDPR.
Видаляйте персональні дані з документів перед поширенням.
Відрізняйте легітимні запити від спроб шахрайства.
Оцінюйте обробників даних перед передачею персональних даних.
Реагуйте на інциденти безпеки з урахуванням вимог GDPR.
Передавайте персональні дані за межі ЄЕП відповідно до GDPR.
Проведіть DPIA для обробки з високим ризиком.
Знайте, де зберігаються персональні дані та як вони обробляються.
10 вправ
Зрозумійте, як вразливості ПЗ розкривають персональні дані.
Запобігайте несанкціонованому доступу до персональних даних.
Реагуйте на витік PII за принципом мінімізації шкоди.
Розпізнайте темні патерни, що маніпулюють згодою користувачів.
Зрозумійте, як непрозорі політики порушують права користувачів.
Забезпечте повне видалення PII при запитах та закінченні терміну.
Підтримуйте точність та актуальність персональних даних.
Захистіть сеанси користувачів від викрадення.
Забезпечте реалізацію прав суб'єктів на доступ до даних.
Збирайте лише ті персональні дані, які дійсно необхідні.
Тренінги з конфіденційності та відповідності навчають співробітників обробляти персональні дані відповідно до регуляцій, як-от GDPR, та галузевих фреймворків, як-от OWASP Top 10 Privacy Risks. GDPR поширюється на будь-яку організацію, що обробляє персональні дані резидентів ЄС, зі штрафами до 20 мільйонів євро або 4% річного глобального обороту за невідповідність.
Цей каталог охоплює 21 вправ у 2 курсах. Курс з відповідності GDPR охоплює повідомлення про витоки, запити на доступ до даних, конфіденційність за проєктуванням, транскордонні передачі та перевірку процесорів. Курс OWASP Top 10 Privacy Risks охоплює вразливості додатків, що витікають персональні дані, витоки з боку оператора, невдалі реагування на витоки, темні патерни згоди, непрозорі політики, недостатнє видалення даних, проблеми якості даних, прогалини закінчення сесій, заблоковані запити на доступ та надмірний збір даних.
Кожна вправа симулює реальні сценарії відповідності, з якими співробітники стикаються в повсякденній роботі, від обробки DSAR до аудиту форм згоди.
Поширені запитання про відповідність GDPR, ризики конфіденційності OWASP та наші вправи із захисту даних.
Стаття 7 GDPR вимагає, щоб згода була добровільною, конкретною, інформованою та однозначною. Організації повинні використовувати чіткі активні дії, як-от незаповнені чекбокси, зберігати записи, що підтверджують коли і як було отримано згоду, та забезпечити відкликання так само легко, як і надання згоди.
Попередньо заповнені чекбокси, пакетна згода та розпливчасті політики конфіденційності не відповідають стандарту. Регулятори наклали понад 400 мільйонів євро штрафів за порушення згоди.
Відповідно до статті 33 GDPR, організації повинні повідомити свій наглядовий орган протягом 72 годин після виявлення витоку персональних даних, якщо тільки витік навряд чи призведе до ризику для осіб.
Повідомлення повинно включати характер витоку, приблизну кількість постраждалих осіб, ймовірні наслідки та вжиті заходи. British Airways була оштрафована на 20 мільйонів фунтів стерлінгів частково через затримане та неадекватне реагування на витік.
Конфіденційність за проєктуванням, закріплена в статті 25 GDPR, вимагає від організацій інтегрувати захист даних у проєктування систем і процесів з самого початку, а не додавати його пізніше. Це включає мінімізацію даних, обмеження цілей та захисні налаштування за замовчуванням.
Концепція виникла з семи основоположних принципів Енн Кавукян у 1990-х роках і стала юридичним обов’язком, коли GDPR набув чинності у 2018 році.
Запит на доступ до даних (DSAR) є правом відповідно до статті 15 GDPR, що дозволяє будь-якій особі запросити копію персональних даних, які організація зберігає про неї.
Організації повинні відповісти протягом 30 днів, надати дані у доступному форматі та включити інформацію про цілі обробки, терміни зберігання та сторонніх одержувачів. Запити можуть надходити через будь-який канал, включаючи електронну пошту, веб-форми або усне спілкування.
Стаття 28 вимагає письмового договору, який називається Угодою про обробку даних (DPA), між контролером та кожним обробником, що обробляє персональні дані. DPA повинна визначати мету обробки, типи даних, тривалість та заходи безпеки.
Обробники можуть залучати субобробників лише з попереднього письмового дозволу контролера. Обробник повинен допомагати з DSAR, повідомленням про витоки та видаленням даних, а також підлягати аудитам з боку контролера.
OWASP Top 10 Privacy Risks є галузевим фреймворком, що визначає десять найпоширеніших способів неправильного поводження організацій з персональними даними.
Він охоплює вразливості веб-додатків, що витікають PII, витоки даних з боку оператора, недостатнє реагування на витоки, пакетну згоду, непрозорі політики, невдале видалення даних, погану якість даних, відсутнє закінчення сесій, заблокований доступ суб’єктів даних та надмірний збір даних. Фреймворк допомагає організаціям оцінювати та зменшувати ризики конфіденційності поза межами регуляторної відповідності.
OWASP Top 10 Privacy Risks значно перетинається з вимогами GDPR. Наприклад, OWASP P3 (Недостатнє реагування на витік даних) відповідає повідомленню про витік за статтею 33 GDPR, P4 (Згода на все) відповідає вимогам згоди за статтею 7, P6 (Недостатнє видалення) відповідає праву на видалення за статтею 17, а P9 (Неможливість доступу до даних) відповідає правам доступу суб’єктів даних за статтею 15.
Навчання за обома фреймворками дає командам повну картину зобов’язань щодо конфіденційності.
Впроваджуйте інтерактивні тренінги з конфіденційності та відповідності для всієї робочої сили. SCORM-сумісні, готові до аналітики та розроблені для корпоративного розгортання.
Замовити демо