Quel est l'impact du règlement général sur la protection des données (RGPD) sur DevOps?

8

Le règlement général sur la protection des données (RGPD) est un ensemble de règles visant à améliorer la protection des données sur les citoyens européens. Citation de ce lien:

Le règlement général de l'UE sur la protection des données (RGPD) est le changement le plus important dans la réglementation sur la confidentialité des données en 20 ans.

Reportez-vous aux modifications clés du RGPD pour un résumé de ce dont il s'agit, en particulier les droits des personnes concernées , tels que:

  • Notification de violation.
  • Droit d'accès.
  • Droit à l'oubli.
  • Portabilité des données.
  • Confidentialité par conception.
  • ...

Quelques faits sur le RGPD:

  • Le RGPD sera appliqué à partir du 25 mai 2018 (c'est assez proche).

  • Citation des changements clés du RGPD (sur la portée territoriale ):

    ... s'appliquera au traitement des données personnelles par les responsables du traitement et les sous-traitants dans l'UE, que le traitement ait lieu ou non dans l'UE. Le RGPD s'appliquera également au traitement des données personnelles des personnes concernées dans l'UE par un responsable du traitement ou un sous-traitant non établi dans l'UE, lorsque les activités concernent: l'offre de biens ou de services aux citoyens de l'UE (indépendamment du fait qu'un paiement soit exigé) et la surveillance des comportements qui a lieu au sein de l'UE. Les entreprises non européennes qui traitent les données des citoyens de l'UE devront également désigner un représentant dans l'UE.

Pour tous ceux qui sont assez vieux pour se souvenir du type Y2K dans les années 90 (c'est-à-dire l'impact de celui-ci sur les systèmes informatiques): À mon humble avis, résoudre tous ces problèmes Y2K était un jeu d'enfant par rapport au défi à relever avec cette question du RGPD.

Question (s) : Quel est l'impact du RGPD sur DevOps, plus précisément je me pose des questions sur:

  1. Quels types de changements seront nécessaires dans les DevOps chaîne d'outils pour les rendre conformes au RGPD?
  2. Comment les pratiques DevOps peuvent-elles aider (faciliter, simplifier, etc.) une entreprise à se conformer au RGPD, de la même manière que les outils SCM ont aidé dans les années 90 à se conformer à l'an 2000?
toolchain  data-protection  gdpr 
Pierre.Vriens
source
Pourriez-vous expliquer à quoi typical DevOps toolchainressemble un a selon vous?
030
@ 030 veuillez vérifier ma question mise à jour (le lien que j'ai ajouté pour la clarifier).
Pierre.Vriens
Je vous remercie. Maintenant, je comprends clairement ce que vous entendez par typical devops toolchain. J'ai ajouté les composants qui sont représentés dans l'image pour éviter que les informations ne soient perdues si le lien est obsolète.
030
Je constate que la balise de la chaîne d'outils contient déjà ces informations. La balise est suffisamment claire.
030

Réponses:

3

«Faire respecter» signifie que les avocats recherchent d'éventuels coupables. Franchement, à mon avis (et ceux de certaines personnes autour de moi qui sont plus un mélange entre un informaticien et un avocat), personne ne sait comment cela fonctionnera exactement.

Ces iLawyers s'attendent à beaucoup d'affaires judiciaires très intéressantes au cours des premiers mois pour tester l'eau et voir quelles affaires de priorité vont se présenter. Il y aura probablement beaucoup de cabinets d'avocats qui pêcheront de beaux poissons gras à faire frire.

Pour moi personnellement, je ne vois pas vraiment beaucoup d'impact spécifiquement concernant DevOps. Évidemment, les applications elles-mêmes doivent être adaptées au besoin. De plus, le stockage réel des données, que ce soit le SGBDR, les index de recherche élastiques ou autre, devra être examiné.

En dehors de cela, l'un des avantages de DevOps, en particulier si vous travaillez avec une sorte de système de conteneur et d'infrastructure en tant que code, est que vous devriez généralement savoir exactement où vos données, fichiers journaux, etc. sont stockés, et quel type d'entre eux vous avez ; beaucoup plus que sur les serveurs classiques, où vos données et en particulier les journaux peuvent être éparpillés partout. Il devrait également être très facile de rouler régulièrement vos données, le cas échéant, c'est-à-dire de vous perdre d'anciennes choses.

Ainsi, il peut être utile, par exemple, de prendre votre catalogue de fichiers iac et de les parcourir avec diligence - vous pouvez alors être sûr d'avoir trouvé tout ce dont vous avez besoin.

AnoE
source
0

DevOps étant un mariage entre Dev et Ops (et même SecOps ), je vois des relations différentes avec chacun d'eux.

Du point de vue Dev, DevOps peut aider à la conformité au RGPD tout comme il peut aider à tout autre type de conformité exigé des produits logiciels: via de (bons) tests d'AQ de conformité.

Tant que les exigences de conformité sont bien définies, il est possible de concevoir des tests d'AQ correspondants pour vérifier ces exigences. Simplement en incorporant ces vérifications d'AQ dans la chaîne DevOps des produits - dans les pipelines CI / CD, par exemple, la conformité des produits peut être mesurée et contrôlée.

Du point de vue des opérations (et des opérations SecOps), les choses prospectives sont un peu différentes (je les connais moins), mais je suppose que le RGPD imposera des exigences supplémentaires qui, je pense, se traduiraient par des politiques d'exploitation supplémentaires.

Dan Cornilescu
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.