Since May 2018, companies have been required to comply with the General Data Protection
Regulation (GDPR). This means that many companies had to change their methods of collecting
and processing EU citizens’ data. The compliance process can be very expensive, for example,
more specialized human resources are needed, who need to study the regulations and then
implement the changes in the IT applications and infrastructures. As a result, new measures
and methods need to be developed and implemented, making this process expensive.
This project is part of the EPOS project. EPOS allows data on earth sciences from various
research institutes in Europe to be shared and used. The data is stored in a database and in
some file systems and in addition, there is web services for data mining and control. The EPOS
project is a complex distributed system and therefore it is important to guarantee not only its
security, but also that it is compatible with GDPR. The need to automate and facilitate this
compliance and verification process was identified, in particular the need to develop a tool
capable of analyzing applications web. This tool can provide companies in general an easier and
faster way to check the degree of compliance with the GDPR in order to assess and implement
any necessary changes.
With this, PADRES was developed that contains the main points of GDPR organized by principles
in the form of checklist which are answered manually. When submitted, a security analysis is
also performed based on NMAP and ZAP together with the cookie analyzer. Finally, a report
is generated with the information obtained together with a set of suggestions based on the
responses obtained from the checklist.
Applying this tool to EPOS, most of the points related to GDPR were answered as being in compliance although the rest of the suggestions were generated to help improve the level of compliance and also improve general data management. In the exploitation of vulnerabilities, some
were found to be classified as high risk, but most were found to be classified as medium risk.Desde maio de 2018 que as empresas precisam de cumprir o Regulamento Geral de Proteção
de Dados (GDPR). Isso significa que muitas empresas tiveram que mudar seus métodos de como
recolhem e processam os dados dos cidadãos da UE. O processo de conformidade pode ser muito
caro, por exemplo, são necessários recursos humanos mais especializados, que precisam estudar
os regulamentos e depois implementar as alterações nos aplicativos e infraestruturas de TI.
Com isso novas medidas e métodos precisam ser desenvolvidos e implementados, tornando esse
processo caro.
Este projeto está inserido no projeto European Plate Observing System (EPOS). O EPOS permite
que dados sobre ciências da terra de vários institutos de pesquisa na Europa sejam compartilhados e usados. Os dados são armazenados em base de dados e em alguns sistema de ficheiros
e além disso, existem web services para controle e mineração de dados. O projeto EPOS é um
sistema distribuído complexo e portanto, é importante garantir não apenas sua segurança, mas
também que seja compatível com o GDPR. Foi identificada a necessidade de automatizar e facilitar esse processo, em particular a necessidade de desenvolver uma ferramenta capaz de analisar aplicações web. Essa ferramenta, chamada PrivAcy, Data REgulation and Security (PADRES)
pode fornecer às empresas uma maneira mais fácil e rápida de verificar o grau de conformidade
com o GDPR com o objetivo de avaliar e implementar quaisquer alterações necessárias.
Com isto, esta ferramenta contém os pontos principais do General Data Protection Regulation
(GDPR) organizado por princípios em forma duma lista de verificação, os quais são respondidos
manualmente. Como os conceitos de privacidade e segurança se complementam, foi também
incluída a procura por vulnerabilidades em aplicações web. Ao integrar as ferramentas de código
aberto como o Network Mapper (NMAP) ou Zed Attack Proxy (ZAP), é possível então testar a
aplicações contra as vulnerabilidades mais frequentes segundo o Open Web Application Security
Project (OWASP) Top 10.
Aplicando esta ferramenta no EPOS, a maioria dos pontos relativos ao GDPR foram respondidos
como estando em conformidade apesar de nos restantes terem sido geradas as respetivas sugestões para ajudar a melhorar o nível de conformidade e também melhorar o gerenciamento
geral dos dados. Na exploração das vulnerabilidades foram encontradas algumas classificadas
com risco elevado mas na maioria foram encontradas mais com classificação média