8.1
Er data kryptert under overføring (f.eks. HTTPS, VPN, kryptert e-post)?
All kommunikasjon med kunder, partnere og internt bør gå over krypterte kanaler. HTTPS for nettsider, VPN for fjerntilgang, og TLS for e-post er standard forventninger.
Kategori 8 av 10 · Art. 21(2)(h)
Virksomheten skal ha retningslinjer for bruk av kryptografi, inkludert kryptering av data under overføring og lagring der det er hensiktsmessig.
8.1
All kommunikasjon med kunder, partnere og internt bør gå over krypterte kanaler. HTTPS for nettsider, VPN for fjerntilgang, og TLS for e-post er standard forventninger.
8.2
Kryptering av lagret data (databaser, filer, backup) beskytter mot datatyveri selv om noen får fysisk tilgang. Mange skytjenester tilbyr dette som standard — men det bør verifiseres.
8.3
En policy trenger ikke være kompleks. Den bør beskrive minimumskrav (f.eks. "all ekstern kommunikasjon skal krypteres") og hvem som har ansvar for å sikre dette.
8.4
Kryptering er bare så sterk som nøkkelhåndteringen. Oppbevares nøkler trygt? Hvem har tilgang? Roteres de? For SMBer som bruker skytjenester, håndteres ofte mye av dette av leverandøren — men dere bør forstå ansvarsfordelingen.
8.5
Sensitiv informasjon (kontrakter, personopplysninger, passord) bør ikke sendes i klartekst-e-post. Bruker dere sikre delingsløsninger?