DATA PROTECTION SERVICE Arbejd bedre og mere sikkert med følsomme data
Beskyt jeres data og understøt forretningen samtidig Store datamængder stort ansvar Har I mange følsomme data og transaktioner? Mange systemer og brugere? Og indgår de i mange analyser og processer? Så er I sikkert også dus med de mange krav til, hvordan I håndterer følsomme data. Men ét er kravene. Et andet er at leve op til dem uden at organisationen bliver lagt ned af omfattende procedurer og krævende kontroller. Det er den opgave, den nye Data Protection Service fra KMD er udviklet til at løse. KMD s nye Data Protection Service er skabt ud fra en vision om at beskytte personfølsomme data maksimalt og samtidig gøre det nemmere at håndtere og anvende disse data i dagligdagen. Konceptet er udviklet af KMD i samarbejde med Danmarks Nationalbank. 2
Servicen dækker fire centrale temaer 1 Data Policy 2 Data-governance 3 Datasikkerhed 4 Dataintegritet Løsningen understøtter implementeringen af jeres data policy, herunder sikkerhed, adgangsstyring, datadistribution og dokumentation. I får styr på, hvem der har adgang til hvilke data, og hvordan data bliver håndteret. I får også dokumenteret, hvem der bruger hvilke data hvornår og til hvad. I får beskyttet både enkeltværdier og/eller databaser, enten via kryptering eller pseudonymisering. I opnår stringens i jeres brug af data til analyser, da alle data som udgangspunkt er pseudonymiserede eller krypterede efter ensartede principper. 3
Data Protection Service oplagte anvendelsesområder I produktions- og udviklingsmiljøer I mange virksomheder kan det være en udfordring at sikre valide data til forretningsudvikling. Ofte ender organisationen med at anvende produktionsdata, selv om det kan kompromittere sikkerheden. Med KMD s Data Protection Service kan du bruge en kopi af produktionsdata, hvor følsomme data er slørede. Hvor data skal bruges flere steder I mange store organisationer findes data i flere udgaver og i flere afdelinger. Med KMD s Data Protection Service kan data uproblematisk ligge i lokale, ikke-sikrede databaser og regneark, da person- eller virksomhedshenførbare informationer er krypterede. Samtidig kan data deles og spores på tværs af organisationen med fuldt overblik over de samlede dataflows. Til analyse på detailniveau Mange virksomheder ønsker at udføre analyser på detail- og individniveau. Det kan være en udfordring, når man har med følsomme oplysninger at gøre. Den udfordring løser KMD s Data Protection Service gennem forskellige muligheder for at kryptere eller pseudonymisere informationerne. 4
Data Protection Service. Derfor! EU Persondataforordningen stiller strikse krav og overtrædelser har mærkbare konsekvenser. KMD s Data Protection Service er udviklet af KMD i samarbejde med Danmarks Nationalbank og lever derfor op til de højeste krav i forhold til sikkerhed og governance. I får en enkel beskyttelse af jeres data, for eksempel når I arbejder med big data, data analytics og machine learning. Kunder, borgere og virksomheder kan være trygge ved at aflevere oplysninger til jer. 5
Sikkerhed i alle led Sikkerhed fra A til Å Med KMD s Data Protection Service beskytter I data, både ved arkivering og i alle processer, hvor I benytter eller udveksler data efterfølgende. Ganske kort sådan virker det I dag er der ikke mange løsninger på markedet, der nemt og effektivt muliggør kryptering eller pseudonymisering hverken på nye eller eksisterende systemer. Vi benytter en nyudviklet simpel og effektiv model, hvor følsomme informationer transporteres gennem vores Data Protection Service. Her bliver de ønskede data sløret eller demaskeret i én og samme arbejdsgang. De følsomme informationer bliver samtidig opdelt i to databaser, som er driftsmæssigt fuldstændig adskilt. I den ene database findes de data, I ønsker at give medarbejdere eller systemer adgang til at arbejde med. Her er eksempelvis person- eller virksomhedshenførbare informationer krypterede eller pseudonymiserede. I den anden database findes en ikke-pseudonymiseret version af de felter, der er pseudonymiserede i den første database. Her ligger også de nøgler, der kan dekryptere informationerne. Da databaserne er fuldstændigt adskilt, og ingen af dem indeholder det fulde demaskerede datasæt, sikrer I to forhold: I får den ønskede sikkerhed, og det er nemt at styre, hvem der har adgang til hvilke data. Det gælder både brugere og de it-specialister, der servicerer løsningen. KMD s Data Protection Service støtter jer i al jeres håndtering af fortrolige data og sikrer mod misbrug på flere måder. Sikkerheden er integreret i alle processer: Ved modtagelse af nye data, ved berigelse af eksisterende, ved udveksling af data og når udvalgte data skal fremgå i klar tekst i for eksempel rapporter. Alle data kan pseudonymiseres og demaskeres i flowet fra kilde til destination. Det betyder, at oprindelige data aldrig bliver lagret på disk, og derfor kan de ikke spores. Modulet indgår også som en del af jeres datavarehus eller andre databaser med følsomme data. Det har den fordel, at man over tid vil identificere og afhjælpe flere potentielle sikkerhedsproblematikker og at løsningen dermed bliver mere robust. Løsningen sikrer også, at brugerne af jeres data ikke bevidst eller ubevidst kan misbruge dem. Det sker på tre måder: 1. Adgangen er styret af roller, så hver bruger kun har adgang til at demaskere udvalgte data. 2. Ved demaskering af data skal brugeren i systemet begrunde behovet for demaskering. 3. Brugerens ID og tidspunkt for ansøgning om adgang bliver logget. 6
Data kan behandles på to måder 1 Pseudonymisering og demaskering Ved pseudonymisering bliver person- eller virksomhedshenførbare data udskiftet med pseudonymer, for eksempel et andet navn. Tilsvarende kan talværdier blive afrundet for at reducere muligheden for at henføre disse til en person eller virksomhed. Når pseudonymiserede data føres tilbage til deres oprindelige form, kaldes det demaskering. 2 Kryptering og dekryptering Ved kryptering kommer ellers meningsfulde data til at fremstå som volapyk en vilkårlig og meningsløs kombination af bogstaver, tal og specialtegn. Kryptering er den mest effektive beskyttelse af data, da de krypterede data kun kan låses op med en særlig nøgle, en krypteringsalgoritme. Ønsker I for eksempel at sammenkæde data, er kryptering ikke velegnet, da man får svært ved at etablere den rette kontekst. Her er pseudonymisering af nøgler til gengæld velegnet. 7
Data Protection Service fra KMD en ny standard KMD s Data Protection Service fungerer som en on-premise løsning, der leveres med en række pseudonymiseringsfunktioner som standard. Herudover kan jeres opsætningen konfigureres individuelt efter behov. Løsningen er designet til at håndtere store datamængder, så I ikke kommer til at opleve flaskehalse i jeres workflow. KMD s Data Protection Service er udviklet af KMD i samarbejde med Danmarks Nationalbank og lever derfor op til de højeste krav i forhold til sikkerhed og governance. 8
9
Et eksempel: Sådan fungerer Data Protection Service Her viser vi et eksempel med en privatperson, Søren Sørensen, der afleverer oplysninger til jer. Processen er den samme, uanset om I modtager data fra privatpersoner, virksomheder eller andre. 1 Indberetning 3 Lagring i datavarehus 4 Anvendelse af data MOMSINDBERETNING Ejer: Søren Sørensen CPR: CVR: Konto: Adresse: By: Momsperiode: Købsmoms: Salgsmoms: 2 Automatisk sløring DATA PROTECTION SERVICE Kryptering (Keystore) Pseudonymisering Logning (logdb) 10
1. Indberetning Søren Sørensen indberetter oplysninger digitalt. 2. Automatiseret sløring Inden Søren Sørensens oplysninger bliver arkiveret, bliver de pseudonymiseret, afrundet eller krypteret i henhold til allerede fastlagte værdier. Processen foregår, uden at hverken Søren Sørensen eller jeres medarbejdere ser det eller skal gøre noget. 3. Lagring i datavarehus Den pseudonymiserede, afrundede eller krypterede information bliver lagret. De slørede data bliver lagret i én database, og information om, at disse data tilhører Søren Sørensen bliver lagret i en anden, separat database sammen med nøglen, der kan demaskere og koble de relevante data. 4. Anvendelse af data Udvalgte medarbejdere og systemer kan nu anvende både pseudonymiserede, afrundede og krypterede data. De har ikke adgang til information om, at disse data vedrører Søren Sørensen. Opstår der behov for at identificere Søren Sørensen, kan udvalgte brugere få adgang til denne information. I den forbindelse logges begrundelse, bruger-id, tidspunkt samt anden relevant information. 11
Ønsker I end-to-end databeskyttelse så enkelt som muligt? Vil I sikre, at jeres brugere kan benytte data fra jeres datavarehus til analyser, forretningsudvikling eller forskning uden at kompromittere sikkerheden? Og uden at de oplever unødvendigt besvær? Så kontakt KMD Business for at aftale et møde, hvor vi drøfter jeres behov og mulige løsninger. Du kan også læse mere på kmd.dk/business. Simon Schøler Sales Director +45 27 60 32 69 ssl@kmd.dk Skabt til vækst KMD Business er en division i KMD, som leverer forretningskritiske teknologiog softwareløsninger samt konsulentydelser til private virksomheder i Danmark og Skandinavien. Vi er 850 medarbejdere, som hver dag samarbejder med vores mange kunder om at skabe kommercielle fordele, operationelle gevinster og vækst via digital transformation og løbende optimering. KMD Business omfatter flere specialiserede forretningsenheder i KMD samt datterselskaberne BanqSoft, Edlund og Charlie Tango.