+45 45 34 44 00
2. Forbered din IT udvikling
Principperne for beskyttelse af persondata skal integreres i IT-udviklingen allerede fra designfasen for at beskytte privatlivet for de personer, hvis data du skal behandle. Dette giver dem bedre kontrol over deres data og begrænser fejl, tab, uautoriserede ændringer eller misbrug af deres data i applikationer.
Metodiske valg
Sæt beskyttelse af privatliv i centrum for din udvikling ved at anvende en Privacy By Design metodologi.
Hvis du anvender agile metoder i din udvikling, bør du integrere sikkerhed i kernen af din proces. ANSSI har udgivet en guide “digital sikkerhed & agilitet” (kun på fransk), der beskriver, hvordan man kan gennemføre udvikling i en agil kontekst, samtidig med at sikkerhedsaspekterne tages i betragtning. Lad dig inspirere af denne vejledning.
For enhver udvikling rettet mod den brede offentlighed, bør du overveje privatlivsindstillinger, herunder standardindstillinger, såsom synligheden af brugerens indhold som standard.
Gennemfør en Privacy Impact Assessment (PIA). For visse typer databehandling er det obligatorisk. I andre tilfælde er det en god praksis, der giver mulighed for at identificere og håndtere alle risici, før udviklingen påbegyndes. CNIL har en særlig sektion på deres hjemmeside og tilbyder gratis software dedikeret til denne type analyse.
Teknologiske valg
Arkitektur og funktioner
Inddrag beskyttelse af privatliv, herunder krav til datasikkerhed, allerede i designfasen af applikationen eller tjenesten. Disse krav bør have indflydelse på valg af arkitektur (f.eks. decentraliseret vs. centraliseret) eller funktionalitet (f.eks. kortvarig anonymisering, dataminimering). Applikationens standardindstillinger skal opfylde minimumssikkerhedskrav og overholde lovgivningen. For eksempel skal den forudindstillede kompleksitet af adgangskoder som minimum overholde CNIL’s anbefaling om adgangskoder.
Bevar kontrol over dit system. Det er vigtigt at have kontrol over systemet, både for at sikre korrekt drift og for at opretholde et højt sikkerhedsniveau. Et simpelt system er lettere at forstå, og dermed nemmere at identificere svagheder i. Hvis en vis kompleksitet er nødvendig, anbefales det at starte med et simpelt, veludviklet og sikkert system. Herefter kan kompleksiteten gradvist øges, mens nye funktioner sikres løbende.
Stol ikke kun på én forsvarslinje. Selvom alle forholdsregler er taget for at designe et sikkert system, kan senere tilføjede komponenter indeholde sårbarheder. For at minimere risikoen for slutbrugerne bør systemet forsvares i dybden. For eksempel er validering af data i en onlineformular en del af de ydre forsvarsmekanismer. Hvis denne forsvarslinje omgås, kan beskyttelse af databaseforespørgsler tage over.
Værktøjer og praksis
Brug programmeringsstandarder, der tager sikkerhed i betragtning. Ofte findes der lister over standarder, bedste praksisser eller kodningsguider, der kan forbedre sikkerheden i din udvikling. Derudover kan værktøjer integreres i dine udviklingsmiljøer ("IDE") for automatisk at kontrollere, at din kode overholder gældende standarder og sikkerhedsprincipper. Du kan nemt finde lister over bedste praksisser for dit foretrukne programmeringssprog online. For eksempel her for C, C++ eller Java. For webapplikationer findes specifikke vejledninger, såsom dem udgivet af OWASP.
De teknologiske valg er afgørende. Nogle parametre, der bør overvejes:
- Afhængigt af applikationens område og funktionalitet kan ét programmeringssprog eller en teknologi være mere egnet end en anden.
- Velafprøvede teknologier og programmeringssprog er generelt sikrere, da de har gennemgået audits og er blevet rettet for kendte sårbarheder. Dog bør du altid sikre, at du anvender de nyeste versioner af dine teknologiske byggesten.
- Undgå at udvikle den endelige løsning i et programmeringssprog, du lige har lært, og ikke mestrer fuldt ud. Ellers øger du risikoen for sikkerhedsbrister på grund af manglende erfaring.
Opsæt et sikkert udviklingsmiljø med versionsstyring af koden ved at følge den dedikerede vejledning i denne guide.