CNIL sửa đổi 5 trong số 17 tờ hướng dẫn của anh ấy
CNIL (Ủy ban Quốc gia về Máy tính và Tự do) vừa xuất bản phiên bản 2023 hướng dẫn về bảo mật dữ liệu cá nhân, dự định cho tất cả các chuyên gia được yêu cầu sử dụng dữ liệu cá nhân”. Đối với năm 2023, CNIL đang cập nhật hướng dẫn của mình bằng cách kết hợp các khuyến nghị đã được áp dụng trong những năm gần đây. Trong số 17 tờ trong tài liệu, 5 đã được sửa đổi.
Với ơn gọi trở thành “một tài liệu tham khảo về mặt an toàn”hướng dẫn 17 tờ này gợi nhớ “phòng ngừa cơ bản” trong vấn đề này và hướng tới “các biện pháp tăng cường hơn nữa việc bảo vệ dữ liệu”. Trong khi tôn trọng GDPR.
Mục đích của hướng dẫn này là hỗ trợ các tác nhân xử lý dữ liệu cá nhân bằng cách nhắc lại các biện pháp phòng ngừa cơ bản cần thực hiện.
Entropy và ghi nhật ký: CNIL đưa ra khuyến nghị của mình
Những thay đổi lớn của phiên bản mới này đặc biệt liên quan đến “mật khẩu và bí mật được chia sẻ” cũng như “viết nhật ký”nhưng những thay đổi khác cũng đã được thực hiện.
Entropy mật khẩu
CNIL bao gồm trong tờ số của nó.2 “Xác thực người dùng” khái niệm entropy mật khẩu. Nó sẽ đo mức độ khó dự đoán về mặt lý thuyết của mật khẩu, tức là “khả năng chống lại một cuộc tấn công vũ phu”. Do đó, CNIL khuyến nghị ba mức entropy:
Entropy 80 bit: mật khẩu ít nhất 12 ký tự, có chữ hoa, chữ thường, số và ký tự đặc biệt hoặc 14 ký tự không có ký tự đặc biệt, không có biện pháp bổ sung, chẳng hạn đối với tài khoản trên blog, diễn đàn.
Entropy 50 bit: trong trường hợp các biện pháp bổ sung, chẳng hạn như chặn hoặc hết thời gian chờ sau khi thất bại, sự hiện diện của hình ảnh xác thực, được áp dụng, chẳng hạn như đối với tài khoản công ty.
Entropy 13 bit: trong trường hợp tài liệu thuộc quyền sở hữu của người dùng, sẽ bị chặn sau ba lần thử không thành công.
Nhật ký
Trong tờ số4 của hướng dẫn bảo vệ dữ liệu cá nhân, có tựa đề “Truy tìm hoạt động và quản lý sự cố”CNIL khuyến nghị, như một biện pháp phòng ngừa cơ bản, nên “cung cấp hệ thống ghi nhật ký”cho phép ghi âm “hoạt động kinh doanh của người dùng, can thiệp kỹ thuật, sự bất thường và các sự kiện liên quan đến bảo mật”.
Nó cũng bày tỏ sự cần thiết phải giữ các yếu tố này trong khoảng thời gian từ sáu tháng đến một năm, đồng thời chú ý bảo vệ đúng cách dữ liệu này cũng như thiết bị ghi nhật ký và không quên thông báo cho người dùng.
Cập nhật
Cuối cùng, CNIL đã sửa đổi ba tệp khác. Tờ số 12 “Giám sát sự phát triển CNTT” đã được làm giàu với các yếu tố của Hướng dẫn GDPR dành cho nhóm phát triểnđược xuất bản vào cuối năm 2021. Trong khi các trang tính số 15 và số 17 đã được cập nhật sau khi tính đến sự phát triển của các phương pháp thực hành, đặc biệt là các bản cập nhật cụ thể về các thuật toán sẽ được sử dụng.
