Blog

NOVA ERA ZAŠTITE PODATAKA: GDPR KAO GLAVNI POKRETAČ TRANSFORMACIJE DMS SISTEMA

PUBLISHED: 25. December 2017.

Sistemi za upravljanje dokumentima (DMS – Document Management Systems), kao i drugi aplikativni segmenti IT industrije, doživljavaju radikalnu transformaciju posljednjih godina, pod uticajem aktuelnih trendova, kako u IT domenu, tako i generalno, društvenih fenomena. Popularnost društvenih mreža otvorila je novi pogled na koncepte skladištenja informacija, njihovog korišćenja i razmjene.

Internet of Things (IoT) dovodi do upravljanja velikom količinom generisanih podataka koji mogu biti bezvrijedni bez mogućnosti njihovog pravilnog skladištenja, obrade i analitičkog pristupa njihovoj poslovnoj upotrebi. Mobilni uređaji, i sa njima mobilne aplikacije, donijeli su novi vid prezentacije informacija, dok je računarstvo u oblaku (cloud computing) potpuno izmijenilo pristup rješavanju poslovnih problema, koncepte i tehnološku implementaciju.

 

Sistemi za upravljanje sadržajima preduzeća (ECM – Enteprise Content Management)

Sistemi za upravljanje dokumentima predstavljaju jednu komponentu šireg segmenta IT rješenja, a to su sistemi za upravljanje sadržajima preduzeća (ECM). Generalno, ECM sistemi obuhvataju široku lepezu servisa za upravljanje sadržajima, kao što su servisi upravljanja poslovnim procesima, servisi transformacije sadržaja, indeksiranja i pretrage po sadržaju, bezbjednosni servisi, servisi za obradu skenirane slike i mnogi drugi.

Široko prihvaćenu i u velikoj mjeri odgovarajuću definiciju, kao i komponente ECM, možemo da pogledamo u redovnom godišnjem Gartnerovom izvještaju za ECM, iz kog možemo da izdvojimo najvažnije kompomente ECM rješenja, navedene u nastavku.

Document Management (Upravljanje dokumentima) obuhvata servise za osnovne operacije nad dokumentima, kao što su verzionisanje, mehanizam prijave/odjave (checkin/checkout), životni ciklusi dokumenata, složeni dokumenti, folderi i predmeti, mehanizmi autentifikacija i autorizacije i drugi.

Records Management (Upravljanje zapisima) obezbjeđuje dugoročno arhiviranje, sa primjenom polisa čuvanja i usklađenosti sa zakonskom regulativom (retention policies).

Image Processing Applications (Servisi za obadu slike) su servisi i aplikacije za digitalni obuhvat dokumenta i upravljanje njime uz primjenu tehnologija za obradu slike. Nije riječ samo o skeniranju papirnog dokumenta, već i njegovog prihvatanja kroz druge kanale, poput elektronske pošte ili faksa. Njegovo pretvaranje u tekstualni oblik korišćenjem OCR tehnologije omogućava da se dobiju vrijedne informacije, koje se koriste u poslovnim procesima. Tu su još i servisi za unaprijeđenje slike, sa velikim brojem raspoloživih filtera, kao i aplikacije za modelovanje procesa obrade skeniranog dokumenta, prije njegovog izvoza u neki ECM repozitorijum.

Kolaboracija / Social Content obuhvata aplikacije i servise za dijeljenje dokumenata na različitim uređajima i njihovu sinhronizaciju, podršku timovima u zajedničkom radu na projektima, blog, wiki i čet aplikacije, koje zauzimaju sve veću ulogu u svakodnevnom radu takozvanog „knowledge worker“-a, zaposlenih čiji je osnovno sredstvo za rad znanje i koji svojim radom, korišćenjem velikog broja dokumenata i drugih informacija, generišu nove izvore znanja.

Workflow Management (BPM – upravljanje poslovnim procesima) omogućava implementaciju digitalnih procesa obrade elektronskog dokumenta. Odobravanje ulaznih faktura, sklapanje ugovora ili postupci nabavki, odobravanje kredita ili službenih putovanja, ne bi bili mogući u elektronskom svijetu bez ovih servisa i aplikacija, koji omogućavaju preslikavanje (modelovanje) procesa obrade papirnih dokumenata i predmeta u sferi elektronskog upravljanja dokumentima. Time se neuporedivo unaprijeđuje efikasnost izvršavanja ovih procesa, uz kontrolabilnost, automatizaciju i formalizaciju poslovnih procesa.

Integracioni servisi imaju sve veći značaj u današnje vrijeme primjene sistema za upravljanje sadržajima jer obezbjeđuju integraciju sa drugim aplikacijama preduzeća, postižući osnovni cilj, a to je da oni ne budu nezavisni sistemi, već integralni dio informacionog sistema preduzeća, ponekad i tako čvrsto integrisani da korisnik i nije svjestan njihovog postojanja, koristeći i neke druge korisničke aplikacije u svom svakodnevnom radu, u pozadini upravljajući sadržajem pod okriljem integrisanih ECM servisa.

Analitika / BI imaju sve veći značaj sa ubrazanim rastom količine generisanih informacija i raznovrsnih tehnologija koje ih donose. Generisane, prikupljene informacije, same po sebi, ne moraju da imaju ikakvu poslovnu vrijednost, ukoliko nisu predmet analitičkih procesa i tehnologija koje od njih stvaraju zahtijevanu poslovnu vrijednost.

Današnje organizacije, digitalno transformisane, ili u procesu digitalne transformacije, imaju potrebu za svim ovim aplikacijama i servisima, koji značajno prevazilaze ono što se tradicionalno smatra sistemima za upravljanje dokumentacijom, i koji obezbjeđuju efikasno i bezbjedno upravljanje svim sadržajima organizacije, bez obzira na tip, format i izvor sadržaja.

Pored tehnoloških trendova i promjena u IT industriji, na upravljanje dokumentima utiču i promjene u zakonskoj regulativi, koje dovode i do promjena u internim regulativama organizacija i drugačijeg pristupa u rješavanju poslovnih izazova. U oktobru 2017. je u Srbiji usvojen novi Zakon o elektronskom dokumentu, elektronskoj identifikaciji i uslugama od povjerenja u elektronskom poslovanju, koji donosi nove mogućnosti u poslovanju sa elektronskim dokumentima i podiže nivo mogućnosti digitalizacije organizacija.

Zakonska regulativa na nivou EU značajna je za sve kompanije čije je poslovanje na bilo koji način povezano sa organizacijama iz EU. U vrijeme značajnih promena u IT industriji, čiji smo svjedoci posljednjih godina, izazovi bezbjednog skladištenja i rukovanja informacijama, posebno ličnim informacijama građana, postaju sve veći. U aprilu 2016. godine Evropski parlament usvojio je GDRP (General Data Protection Regulation), opštu regulativu o zaštiti podataka, koja stupa na snagu 25. maja 2018. i koju će morati da primijenjuju sva pravna lica koja posluju sa organizacijama sa područja EU i upravljaju informacijama koje se odnose na građane EU.

 

Najveća promjena u sferi zaštite podataka: Šta je GDPR i zašto je važan?

Opšta regulativa o zaštiti podataka (General Data Protection Regulation) je regulativa čiji je osnovni cilj zaštita privatnosti podataka o ličnosti i redefinisanje procedura organizacija koje upravljaju tim podacima, kako bi se obezbijedila maksimalna sigurnost tih podataka i spriječile bilo kakve zloupotrebe. Zahtjevi regulative nisu usmjereni samo ka softverskim rješenjima i njihovom prilagođavanju, već i ka prilagođavanju samih organizacija, njihovih procesa i resursa koji su odgovorni za upravljanje i bezbjednost informacija.

Navešćemo samo neke od osnovnih elemenata i zahtjeva koji su deo GDPR.

Za svako prikupljanje ličnih podataka vlasnik mora da pruži nedvosmislenu, jasnu saglasnost. Pitanja ne smiju da budu dvosmislena i moraju da pruže jasno obrazloženje za šta će se konkretno podaci koristiti, izražena jasnim i korisniku razumljivim jezikom. Korisnik mora da ima mogućnost povlačenja saglasnosti u svakom trenutku.

Korisnik mora da ima pravo uvida u način na koji su obrađeni njegovi lični podaci, u koje svrhe i koji su podaci u pitanju. U svakom trenutku može da dobije kopiju svih svojih ličnih podataka, besplatno, u elektronskoj formi.

Obezbjeđuje pravo vlasnika ličnih podataka da se svi podaci brišu, bilo da je u pitanju povlačenje saglasnosti za procesiranje i upotrebu ličnih podataka, bilo da je u pitanju gubitak relevantnosti podataka u odnosu na prvobitnu svrhu zbog koje su podaci i prikupljeni.

Pseudonimizacija predstavlja proces kojim se lični podaci transformišu tako da ne mogu da se povežu sa konkretnom osobom bez korišćenja dodatnih informacija. Primjer je kriptovanje podataka i nemogućnost njihovog vraćanja u orginalnu formu bez korišćenja ključa za dekriptovanje. GDPR zahtijeva da se ta dodatna informacija, kao što je ključ za dekriptovanje, čuva odvojeno od pseudonimizovanih podataka. Pseudonimizovani podaci se i dalje smatraju ličnim podacima, na koje se primijenjuju sve odredbe GDPR.

Obaveza svake organizacije koja skladišti i upravlja ličnim podacima pojedinca je da u slučaju bilo kakvog „curenja“ informacija, prodora u sistem i mogućnosti zloupotrebe, o tome bez odlaganja obavijesti nadležne, u roku od 72 časa.

Podrazumijeva mogućnost da vlasnik ličnih podataka prenese svoje podatke radi određenog procesiranja u drugi sistem bez mogućnosti spriječavanja od strane sistema iz kog se podaci prenose. Podaci moraju da budu isporučeni u nekom od opšte prihvaćenih, standardnih elektronskih oblika.

 

Na putu ka GDPR: Kako uskladiti DMS sisteme sa zahtjevima regulative? 

Sistemi za upravljanje dokumentima (DMS) nisu, u užem smislu, sistemi čiji centralni dio predstavljaju podaci o ličnosti. Međutim, svaki od njih u nekom svom dijelu najčešće sadrži lične podatke. Ukoliko je, na primjer, u pitanju sistem za upravljanje dokumentima u nekoj zdravstvenoj ustanovi, on sadrži veoma osjetljive podatke o pacijentima. Ukoliko je riječ o bankarskom sistemu, on sadrži detaljne informacije o klijentima banke. Sa druge strane, čak i ako je u pitanju sistem kod koga podaci o fizičkim licima nisu centralni podaci za procese tog sistema, oni uvek postoje, u nekoj formi, uskladišteni u sistemu, kao dio nekog entiteta, ugovora, recimo, ili nekog drugog dokumenta koji se obrađuje u sistemu. Da i ne spominjemo sisteme koji sadrže detaljne informacije o zaposlenima, poput nekog sistema za upravljanje dokumentacijom zaposlenih, kao što su pasoši, sertifikati, diplome i radne knjižice.

Zbog svega navedenog, sve organizacije moraju da obrate pažnju na GDPR i učine neophodne transformacije kako bi osigurale njegovu punu primjenu, obezbjeđujući time najviši stepen zaštite podataka i drastično smanjujući mogućnost zloupotrebe.

Što se tiče sistema za upravljanje dokumentima, oni moraju da se unaprijede servisima koji doprinose većoj sigurnosti podataka, njihovom detaljnom i stalnom nadgledanju, uz mehanizme notifikacija. U nastavku navodimo nekoliko osnovnih savjeta za usklađivanje sistema sa najvažnijim zahtjevima GDPR.

Kriptovanje i dekriptovanje sadržaja je jedan od najvažnijih zahtjeva u cilju povećanja bezbjednosti informacija uskladištenih u repozitorijumu. Servisi za kriptovanje vrše automatsku enkripciju prilikom smještanja sadržaja u repozitorijum, tako da su oni pseudonimizovani, u skladu sa zahtjevom GDPR, pa u slučaju bilo kakvog eventualnog neovlašćenog prodora u sistem, nije moguće njihovo neovlašćeno korišćenje, bez posjedovanja odgovarajućeg ključa za dekriptovanje. Dekriptovanje se vrši isključivo kroz aplikativne slojeve DMS rješenja koje obezbjeđuje pristup sadržajima u skladu sa definisanim pravilima autentifikacije i autorizacije. Dakle, kontrola pristupa dekriptovanim informacijama u potpunosti je obezbjeđena rješenjem koje je odgovorno za upravljanje tim informacijama, a u slučaju bilo kakvog neovlašćenog pristupa, informacije su neupotrebljive.

Servisi za kriptovanje i dekriptovanje su integrisani u rješenje na taj način da su korisniku neprimjetni i izvršavaju se automatski, u pozadini.

Digitalni šreder obezbjeđuje trajno brisanje fajla sa diska, tako da ga nije moguće više povratiti ni na koji način. Naime, prilikom brisanja fajla sa diska, on se u stvarnosti i ne briše, već se prostor označava slobodnim u okviru operativnog sistema. Posebnim tehnikama i alatima, fajl je moguće povratiti. Servisi digitalnog šredera onemogućavaju ovo tako što se na fizički prostor na kome se nalazi fajl, u zavisnosti od podržanog algoritma, upisuje novi sadržaj, u višestrukim iteracijama, čime se postiže trajno uklanjanje fajla u trenutku njegovog označavanja da je obrisan.

IRM (Informations Rights Management) servisi obezbjeđuju punu bezbjednost dokumenata u distribuisanom okruženju, u svim fazama obrade. Omogućavaju kontrolu dokumenta i dok se koristi na radnoj stanici korisnika, sa mogućnostima spriječavanja njegove upotrebe izvan prostorija organizacije, uz kontrolu kopiranja, screenshot-ovanja ili štampanja, osnovnim funkcionalnostima IRM rješenja, koja su primjenljiva i na zaštitu elektronske pošte.

Portabilnost se obezbjeđuje primenom standarda koji omogućuju da se sistemi jednostavno i brzo integrišu i razmjenjuju podatke. Neki od uobičajenih standarda i standardnih formata koji su već dugo opšte prihvaćeni su XML i JSON, svima poznati formati zapisa informacija koj prepoznaje svaki sistem. SOAP i REST su standardni protokoli za razmjenu informacija, dok je CMIS standard za integraciju sistema za upravljanje sadržajima, a BPMN standardna notacija kojom se zapisuju procesne šeme i koju prepoznaju svi poznatiji sistemi za upravljanje procesima. On omogućuje jednostavan i lak prenos procesnih šema iz jednog sistema u drugi, dok je OAIS standard za dugoročno arhiviranje svih vrsta informacija.

Audit trail i notifikacije su nezaobilazni dio sistema koji implementira zahtjeve GDPR za praćenjem, nadgledanjem i upozoravanjem u slučaju bilo kakvog ugrožavanja bezbjednosti informacija. Audit trail modul treba da obezbijedi konfigurabilan mehanizam praćenja svih događaja i aktivnosti u sistemu, poput otvaranja dokumenta, kreiranja verzije, izmjene, slanja, odobravanja, promjena statusa i mnogih drugih. Evidentira se vrijeme, korisnik koji je izvršio događaj, objekat nad kojim je događaj izvršen, kao i promjena koja je izvršena, praćenjem promjene vrijednosti svih atributa objekta. Mehanizam notifikacija se oslanja na audit trail modul i za definisane događaje nad definisanim objektima ili skupom objekata, vrši obavještavanja definisanim kanalima.

GDPR regulativa se približava; značajno će uticati na promjene IT sistema koji upravljaju informacijama o ličnosti i sve IT organizacije moraju joj krenuti u susret kako bi odgovorile na njene zahtjeve, kao i na očekivanja klijenata kojima je sigurnost informacija na prvom mjestu.

LEAVE A REPLY

Your email address will not be published. Required fields are marked *