Säkerhet och integritet inbyggt i design och systemutveckling
2 min
Säkerhet och integritet genom design i mjukvaruutveckling
I detta inlägg förklarar vi konceptet säkerhet och integritet genom design med avseende på mjukvaruutveckling, GDPR och PCI DSS.
Säkerhet genom design i PCI DSS
I PCI DSS-krav 6.3 anges bland annat följande delkrav:
Utveckla interna och externa mjukvaruapplikationer (inklusive webbaserad administrativ åtkomst till applikationer) på ett säkert sätt, där informationssäkerhet integreras genom hela mjukvaruutvecklingslivscykeln.
Integritet genom design i GDPR
På liknande sätt anger GDPR i artikel 25:
”…den personuppgiftsansvarige ska, både vid fastställandet av medlen för behandlingen och vid själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder, såsom pseudonymisering, vilka är utformade för att genomföra dataskyddsprinciper…”
Vad innebär kraven?
Det som i grunden menas är: Tänk säkerhet först, börja utveckla senare. Både PCI DSS och GDPR kräver att säkerhet genomsyrar hela systemutvecklingslivscykeln – från kravinsamling till förvaltning. Säkerhetsåtgärder som bör beaktas inkluderar till exempel riskanalyser, säker kodning och kryptering, för att uppfylla dataskyddsprinciper som konfidentialitet, integritet och dataminimering.
En vanlig affärspraxis idag är att inte integrera säkerhet genom hela utvecklingsprocessen. Företag vill få ut sina applikationer på marknaden så snabbt som möjligt, före konkurrenterna. Att göra en applikation säker tar tid, och därför läggs säkerhet ofta till i efterhand genom patchar eller tillägg när sårbarheter upptäcks. Detta kommer inte längre att vara acceptabelt för organisationer som behandlar personuppgifter – säkerhet är inte ett tillägg.