Vesti

[BLOG] Nova era zaštite podataka: GDPR kao glavni pokretač transformacije DMS sistema

OBJAVLJENO: 25. decembra 2017.
Autor: Mihajlo Canić
Project Manager and Leading ECM Business Consultant

Sistemi za upravljanje dokumentima (DMS – Document Management Systems), kao i drugi aplikativni segmenti IT industrije, doživljavaju radikalnu transformaciju poslednjih godina, pod uticajem aktuelnih trendova, kako u IT domenu, tako i generalno, društvenih fenomena. Popularnost društvenih mreža otvorila je novi pogled na koncepte skladištenja informacija, njihovog korišćenja i razmene.

Internet of Things (IoT) dovodi do upravljanja velikom količinom generisanih podataka koji mogu biti bezvredni bez mogućnosti njihovog pravilnog skladištenja, obrade i analitičkog pristupa njihovoj poslovnoj upotrebi. Mobilni uređaji, i sa njima mobilne aplikacije, doneli su novi vid prezentacije informacija, dok je računarstvo u oblaku (cloud computing) potpuno izmenilo pristup rešavanju poslovnih problema, koncepte i tehnološku implementaciju.

 

Sistemi za upravljanje sadržajima preduzeća (ECM – Enteprise Content Management)

Sistemi za upravljanje dokumentima predstavljaju jednu komponentu šireg segmenta IT rešenja, a to su sistemi za upravljanje sadržajima preduzeća (ECM). Generalno, ECM sistemi obuhvataju široku lepezu servisa za upravljanje sadržajima, kao što su servisi upravljanja poslovnim procesima, servisi transformacije sadržaja, indeskiranja i pretrage po sadržaju, bezbednosni servisi, servisi za obradu skenirane slike i mnogi drugi.

Široko prihvaćenu i u velikoj meri odgovarajuću definiciju, kao i komponente ECM, možemo da pogledamo u redovnom godišnjem Gartnerovom izveštaju za ECM, iz kog možemo da izdvojimo najvažnije kompomente ECM rešenja, navedene u nastavku.

Document Management (Upravljanje dokumentima) obuhvata servise za osnovne operacije nad dokumentima, kao što su verzionisanje, mehanizam prijave/odjave (checkin/checkout), životni ciklusi dokumenata, složeni dokumenti, folderi i predmeti, mehanizmi autentifikacija i autorizacije i drugi.

Records Management (Upravljanje zapisima) obezbeđuje dugoročno arhiviranje, sa primenom polisa čuvanja i usklađenosti sa zakonskom regulativom (retention policies).

Image Processing Applications (Servisi za obadu slike) su servisi i aplikacije za digitalni obuhvat dokumenta i upravljanje njime uz primenu tehnologija za obradu slike. Nije reč samo o skeniranju papirnog dokumenta, već i njegovog prihvatanja kroz druge kanale, poput elektronske pošte ili faksa. Njegovo pretvaranje u tekstualni oblik korišćenjem OCR tehnologije omogućava da se dobiju vredne informacije, koje se koriste u poslovnim procesima. Tu su još i servisi za unapređenje slike, sa velikim brojem raspoloživih filtera, kao i aplikacije za modelovanje procesa obrade skeniranog dokumenta, pre njegovog izvoza u neki ECM repozitorijum.

Kolaboracija / Social Content obuhvata aplikacije i servise za deljenje dokumenata na različitim uređajima i njihovu sinhronizaciju, podršku timovima u zajedničkom radu na projektima, blog, wiki i čet aplikacije, koje zauzimaju sve veću ulogu u svakodnevnom radu takozvanog „knowledgde worker“-a,   zaposlenih čiji je osnovno sredstvo za rad znanje i koji svojim radom, korišćenjem velikog broja dokumenata i drugih informacija, generišu nove izvore znanja.

Workflow Management (BPM – upravljanje poslovnim procesima) omogućava implementaciju digitalnih procesa obrade elektronskog dokumenta. Odobravanje ulaznih faktura, sklapanje ugovora ili postupci nabavki, odobravanje kredita ili službenih putovanja, ne bi bili mogući u elektronskom svetu bez ovih servisa i aplikacija, koji omogućavaju preslikavanje (modelovanje) procesa obrade papirnih dokumenata i predmeta u sferi elektronskog upravljanja dokumentima. Time se neuporedivo unapređuje efikasnost izvršavanja ovih procesa, uz kontrolabilnost, automatizaciju i formalizaciju poslovnih procesa.

Integracioni servisi imaju sve veći značaj u današnje vreme primene sistema za upravljanje sadržajima jer obezbeđuju integraciju sa drugim aplikacijama preduzeća, postižući osnovni cilj, a to je da oni ne budu nezavisni sistemi, već integralni deo informacionog sistema preduzeća, ponekad i tako čvrsto integrisani da korisnik i nije svestan njihovog postojanja, koristeći i neke druge korisničke aplikacije  u svom svakodnevnom radu, u pozadini upravljajući sadržajem pod okriljem integrisanih ECM servisa.

Analitika / BI imaju sve veći značaj sa ubrazanim rastom količine generisanih informacija i raznovrsnih tehnologija koje ih donose. Generisane, prikupljene informacije, same po sebi, ne moraju da imaju ikakvu poslovnu vrednost, ukoliko nisu predmet analitičkih procesa i tehnologija koje od njih stvaraju zahtevanu poslovnu vrednost.

Današnje organizacije, digitalno transformisane, ili u procesu digitalne transformacije, imaju potrebu za svim ovim aplikacijama i servisima, koji značajno prevazilaze ono što se tradicionalno smatra sistemima za upravljanje dokumentacijom, i koji obezbeđuju efikasno i bezbedno upravljanje svim sadržajima organizacije, bez obzira na tip, format i izvor sadržaja.

Pored tehnoloških trendova i promena u IT industriji, na upravljanje dokumentima utiču i promene u zakonskoj regulativi, koje dovode i do promena u internim regulativama organizacija i drugačijeg pristupa u rešavanju poslovnih izazova. U oktobru 2017. je u Srbiji usvojen novi Zakon o elektronskom dokumentu, elektronskoj identifikaciji i uslugama od poverenja u elektronskom poslovanju, koji donosi nove mogućnosti u poslovanju sa elektronskim dokumentima i podiže nivo mogućnosti digitalizacije organizacija.

Zakonska regulativa na nivou EU značajna je za sve kompanije čije je poslovanje na bilo koji način povezano sa organizacijama iz EU. U vreme značajnih promena u IT industriji, čiji smo svedoci poslednjih godina, izazovi bezbednog skladištenja i rukovanja informacijama, posebno ličnim informacijama građana, postaju sve veći. U aprilu 2016. godine Evropski parlament usvojio je GDRP (General Data Protection Regulation), opštu regulativu o zaštiti podataka, koja stupa na snagu 25. maja 2018. i koju će morati da primenjuju sva pravna lica koja posluju sa organizacijama sa područja EU i upravljaju informacijama koje se odnose na građane EU.

 

Najveća promena u sferi zaštite podataka: Šta je GDPR i zašto je važan?

Opšta regulativa o  zaštiti podataka (General Data Protection Regulation) je regulativa čiji je osnovni cilj zaštita privatnosti podataka o ličnosti i redefinisanje procedura organizacija koje upravljaju tim podacima, kako bi se obezbedila maksimalna sigurnost tih podataka i sprečile bilo kakve zloupotrebe. Zahtevi regulative nisu usmereni samo ka softverskim rešenjima i njihovom prilagođavanju, već i ka prilagođavanju samih organizacija, njihovih procesa i resursa koji su odgovorni za upravljanje i bezbednost informacija.

Navešćemo samo neke od osnovnih elemenata i zahteva koji su deo GDPR.

Za svako prikupljanje ličnih podataka vlasnik mora da pruži nedvosmislenu, jasnu saglasnost. Pitanja ne smeju da budu dvosmislena i moraju da pruže jasno obrazloženje za šta će se konkretno podaci koristiti, izražena jasnim i korisniku razumljivim jezikom. Korisnik mora da ima mogućnost povlačenja saglasnosti u svakom trenutku.

Korisnik mora da ima pravo uvida u način na koji su obrađeni njegovi lični podaci, u koje svrhe i koji su podaci u pitanju. U svakom trenutku može da dobije kopiju svih svojih ličnih podataka, besplatno, u elektronskoj formi.

Obezbeđuje pravo vlasnika ličnih podataka da se svi podaci brišu, bilo da je u pitanju povlačenje saglasnosti za procesiranje i upotrebu ličnih podataka, bilo da je u pitanju gubitak relevantnosti podataka u odnosu na prvobitnu svrhu zbog koje su podaci i prikupljeni.

Pseudonimizacija predstavlja proces kojim se lični podaci transformišu tako da ne mogu da se povežu sa konkretnom osobom bez korišćenja dodatnih informacija. Primer je kriptovanje podataka i nemogućnost njihovog vraćanja u orginalnu formu bez korišćenja ključa za dekriptovanje. GDPR zahteva da se ta dodatna informacija, kao što je ključ za dekriptovanje, čuva odvojeno od pseudonimizovanih podataka. Pseudonimizovani podaci se i dalje smatraju ličnim podacima, na koje se primenjuju sve odredbe GDPR.

Obaveza svake organizacije koja skladišti i upravlja ličnim podacima pojedinca je da u slučaju bilo kakvog „curenja“ informacija, prodora u sistem i mogućnosti zloupotrebe, o tome bez odlaganja obavesti nadležne, u roku od 72 časa.

Podrazumeva mogućnost da vlasnik ličnih podataka prenese svoje podatke radi određenog procesiranja u drugi sistem bez mogućnosti sprečavanja od strane sistema iz kog se podaci prenose. Podaci moraju da budu isporučeni u nekom od opšte prihvaćenih, standardnih elektronskih oblika.

 

Na putu ka GDPR: Kako uskladiti DMS sisteme sa zahtevima regulative? 

Sistemi za upravljanje dokumentima (DMS) nisu, u užem smislu, sistemi čiji centralni deo predstavljaju podaci o ličnosti. Međutim, svaki od njih u nekom svom delu najčešće sadrži lične podatke. Ukoliko je, na primer, u pitanju sistem za upravljanje dokumentima u nekoj zdravstvenoj ustanovi, on sadrži veoma osetljive podatke o pacijentima. Ukoliko je reč o bankarskom sistemu, on sadrži detaljne informacije o klijentima banke. Sa druge strane, čak i ako je u pitanju sistem kod koga podaci o fizičkim licima nisu centralni podaci za procese tog sistema, oni uvek postoje, u nekoj formi, uskladišteni u sistemu, kao deo nekog entiteta, ugovora, recimo, ili nekog drugog dokumenta koji se obrađuje u sistemu. Da i ne spominjemo sisteme koji sadrže detaljne informacije o zaposlenima, poput nekog sistema za upravljanje dokumentacijom zaposlenih, kao što su pasoši, sertifikati, diplome i radne knjižice.

Zbog svega navedenog, sve organizacije moraju da obrate pažnju na GDPR i učine neophodne transformacije kako bi osigurale njegovu punu primenu, obezbeđujući time najviši stepen zaštite podataka i drastično smanjujući mogućnost zloupotrebe.

Što se tiče sistema za upravljanje dokumentima, oni moraju da se unaprede servisima koji doprinose većoj sigurnosti podataka, njihovom detaljnom i stalnom nadgledanju, uz mehanizme notifikacija. U nastavku navodimo nekoliko osnovnih saveta za usklađivanje sistema sa najvažnijim zahtevima GDPR.

Kriptovanje i dekriptovanje sadržaja je jedan od najvažnijih zahteva u cilju povećanja bezbednosti informacija uskladištenih u repozitorijumu. Servisi za kriptovanje vrše automatsku enkripciju prilikom smeštanja sadržaja u repozitorijum, tako da su oni pseudonimizovani, u skladu sa zahtevom GDPR, pa u slučaju bilo kakvog eventualnog neovlašćenog prodora u sistem, nije moguće njihovo neovlašćeno korišćenje, bez posedovanja odgovarajućeg ključa za dekriptovanje. Dekriptovanje se vrši isključivo kroz aplikativne slojeve DMS rešenja koje obezbeđuje pristup sadržajima u skladu sa definisanim pravilima autentifikacije i autorizacije. Dakle, kontrola pristupa dekriptovanim informacijama u potpunosti je obezbeđena rešenjem koje je odgovorno za upravljanje tim informacijama, a u slučaju bilo kakvog neovlašćenog pristupa, informacije su neupotrebljive.

Servisi za kriptovanje i dekriptovanje su integrisani u rešenje na taj način da su korisniku neprimetni i izvršavaju se automatski, u pozadini.

Digitalni šreder obezbeđuje trajno brisanje fajla sa diska, tako da ga nije moguće više povratiti ni na koji način. Naime, prilikom brisanja fajla sa diska, on se u stvarnosti i ne briše, već se prostor označava slobodnim u okviru operativnog sistema. Posebnim tehnikama i alatima, fajl je moguće povratiti. Servisi digitalnog šredera onemogućavaju ovo tako što se na fizički prostor na kome se nalazi fajl, u zavisnosti od podržanog algoritma, upisuje novi sadržaj, u višestrukim iteracijama, čime se postiže trajno uklanjanje fajla u trenutku njegovog označavanja da je obrisan.

IRM (Informations Rights Management) servisi obezbeđuju punu bezbednost dokumenata u distribuisanom okruženju, u svim fazama obrade. Omogućavaju kontrolu dokumenta i dok se koristi na radnoj stanici korisnika, sa mogućnostima sprečavanja njegove upotrebe izvan prostorija organizacije, uz kontrolu kopiranja, screenshot-ovanja ili štampanja, osnovnim funkcionalnostima IRM rešenja, koja su primenljiva i na zaštitu elektronske pošte.

Portabilnost se obezbeđuje primenom standarda koji omogućuju da se sistemi jednostavno i brzo integrišu i razmenjuju podatke. Neki od uobičajenih standarda i standardnih formata koji su već dugo opšte prihvaćeni su XML i JSON, svima poznati formati zapisa informacija koj prepoznaje svaki sistem. SOAP i REST su standardni protokoli za razmenu informacija, dok je CMIS standard za integraciju sistema za upravljanje sadržajima, a BPMN standardna notacija kojom se zapisuju procesne šeme i koju prepoznaju svi poznatiji sistemi za upravljanje procesima. On omogućuje jednostavan i lak prenos procesnih šema iz jednog sistema u drugi, dok je OAIS standard za dugoročno arhiviranje svih vrsta informacija.

Audit trail i notifikacije su nezaobilazni deo sistema koji implementira zahteve GDPR za praćenjem, nadgledanjem i upozoravanjem u slučaju bilo kakvog ugrožavanja bezbednosti informacija. Audit trail modul treba da obezbedi konfigurabilan mehanizam praćenja svih događaja i aktivnosti u sistemu, poput otvaranja dokumenta, kreiranja verzije, izmene, slanja, odobravanja, promena statusa i mnogih drugih. Evidentira se vreme, korisnik koji je izvršio događaj, objekat nad kojim je događaj izvršen, kao i promena koja je izvršena, praćenjem promene vrednosti svih atributa objekta. Mehanizam notifikacija se oslanja na audit trail modul i za definisane događaje nad definisanim objektima ili skupom objekata, vrši obaveštavanja definisanim kanalima.

GDPR regulativa se približava; značajno će uticati na promene IT sistema koji upravljaju informacijama o ličnosti i sve IT organizacije moraju joj krenuti u susret kako bi odgovorile na njene zahteve, kao i na očekivanja klijenata kojima je sigurnost informacija na prvom mestu.