Säkerhetsblogg

Säkerhet / privacy by design och programvaruutveckling

I det här inlägget kommer jag att förklara begreppet säkerhet / privacy by design i relation till programvaruutveckling, GDPR och PCI DSS.

I PCI DSS-kravet 6.3 beskrivs ett delkraven så här:

Develop internal and external software applications (including web-based administrative access to applications) securely, incorporating information security throughout the software-development life cycle.

Direktöversatt blir det: Utveckla interna och externa programvaror (inklusive webbaserad administrativ åtkomst till programvara) säkert, med inbyggd informationssäkerhet under hela programvarans utvecklingsfas.

I GDPRs artikel 25 hittar man något väldigt liknande:

”… ska den personuppgiftsansvarige, både vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder – såsom pseudonymisering – vilka är utformade för ett effektivt genomförande av dataskyddsprinciper …”

Det som är underförstått är: Tänk på säkerhet först och börja utveckla senare. Både PCI DSS och GDPR kräver att säkerheten ska genomsyra hela SDLC – från det att kraven tas fram till det att programvaran är i bruk och underhålls. Säkerhetsåtgärder att ha i åtanke är till exempel riskanalyser, secure code-praxis och kryptering för att kunna implementera de grundläggande principerna för datasäkerhet, dvs. sekretess, integritet och data-minimering.

Det är allt för vanligt idag att man inte har säkerhet med som en självklar del under hela SDLC. Företag vill att deras programvara ska ut på marknaden innan deras konkurrenter hinner före vilket gör att det måste gå så fort som möjligt. Att göra en programvara säker tar tid, därför börjar man ofta hantera säkerhetsaspekterna efter att produkten kommit ut på marknaden genom patchar eller tillägg, allt eftersom sårbarheter upptäcks. Det kommer inte längre vara acceptabelt för organisationer som behandlar personuppgifter, säkerhet är inte ett tillägg.

 

Fler blogginlägg om GDPR:

Blockchain och GDPR – när möjligheter och utmaningar möts

Vad händer om du inte blir klar för GDPR i tid?

6 frågor och svar om GDPR!

5 snabba tips för att ta fram en dataskydds- och informationssäkerhetspolicy

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com