Zašto je enkripcija važna
Enkripcija je jedna od najučinkovitijih tehničkih mjera zaštite podataka. GDPR čl. 32. izričito je navodi kao primjer mjere kojom se osigurava sigurnost obrade. Ključna prednost: ako su podaci pravilno enkriptirani i ključ nije kompromitiran, povreda u pravilu ne predstavlja visok rizik za ispitanike, pa obavještavanje pojedinaca (čl. 34.) često nije potrebno.
Vrste enkripcije
- Enkripcija u mirovanju (at rest) — zaštita pohranjenih podataka na diskovima, bazama i sigurnosnim kopijama
- Enkripcija u prijenosu (in transit) — zaštita podataka koji putuju mrežom (npr. TLS/HTTPS)
- End-to-end enkripcija — podaci su čitljivi samo pošiljatelju i primatelju
Dobre prakse
- Korištenje provjerenih, suvremenih algoritama i dovoljne duljine ključa
- Sigurno upravljanje ključevima (odvojeno čuvanje, rotacija, kontrola pristupa)
- Enkripcija prijenosnih uređaja i medija (laptopi, USB)
- Kombiniranje s dvofaktorskom autentifikacijom i kontrolom pristupa
Ključna regulativa
- GDPR čl. 32. — enkripcija kao mjera sigurnosti obrade
- GDPR čl. 34. — enkripcija kao olakotna okolnost kod obavještavanja o povredi
- NIS2 / Zakon o kibernetičkoj sigurnosti (NN 14/2024) — kriptografija kao mjera upravljanja rizicima