Apa dampak dari Peraturan Perlindungan Data Umum (GDPR) pada DevOps?

The Data Umum Peraturan Perlindungan (GDPR) adalah satu set aturan untuk meningkatkan perlindungan data tentang warga Eropa. Kutipan dari tautan ini:

Peraturan Perlindungan Data Umum UE (GDPR) adalah perubahan terpenting dalam regulasi privasi data dalam 20 tahun.

Lihat Perubahan Kunci GDPR untuk ringkasan tentang semua ini, terutama Hak Subjek Data , seperti:

• Pemberitahuan Pelanggaran.
• Hak untuk Mengakses.
• Hak untuk Dilupakan.
• Portabilitas Data.
• Privasi oleh Desain.
• ...

Beberapa fakta GDPR:

• GDPR akan diberlakukan pada 25 Mei 2018 (itu cukup dekat).

• Kutipan dari Perubahan Kunci GDPR (tentang Lingkup Wilayah ):

  ... akan berlaku untuk pemrosesan data pribadi oleh pengontrol dan prosesor di UE, terlepas dari apakah pemrosesan berlangsung di UE atau tidak. GDPR juga akan berlaku untuk pemrosesan data pribadi dari subyek data di UE oleh pengontrol atau prosesor yang tidak didirikan di UE, di mana kegiatan terkait dengan: menawarkan barang atau jasa kepada warga negara UE (terlepas dari apakah pembayaran diperlukan) dan pemantauan perilaku yang terjadi di UE. Bisnis non-Uni Eropa yang memproses data warga negara UE juga harus menunjuk seorang wakil di UE.

Bagi siapa pun yang cukup tua untuk mengingat Y2K- ketik kembali di tahun 90-an (yaitu dampaknya pada sistem IT): IMHO menangani semua masalah Y2K adalah sepotong kue dibandingkan dengan tantangan ke depan dengan hal GDPR ini.

Pertanyaan : Apa dampak GDPR terhadap DevOps, lebih khusus saya bertanya-tanya tentang:

1. Perubahan apa yang akan dibutuhkan di DevOps toolchain membuatnya sesuai dengan GDPR?
2. Bagaimana praktik DevOps dapat membantu (memfasilitasi, menyederhanakan, dll) sebuah perusahaan untuk menjadi sesuai dengan GDPR, mirip dengan bagaimana alat SCM membantu di tahun 90-an untuk menjadi sesuai dengan Y2K?

"Penegakan" berarti pengacara mengejar kemungkinan pelaku. Terus terang, menurut pendapat saya (dan beberapa orang di sekitar saya yang lebih merupakan campuran antara IT-guy dan pengacara), tidak ada yang tahu bagaimana itu akan bekerja dengan tepat.

Para pengacara iLawyers berharap banyak kasus pengadilan yang sangat menarik di bulan-bulan pertama untuk menguji air, dan melihat apa yang akan muncul kasus prioritas. Mungkin akan ada banyak firma hukum yang mencari ikan lemak yang enak untuk digoreng.

Bagi saya pribadi, saya tidak benar-benar melihat banyak dampak khusus mengenai DevOps. Aplikasi itu sendiri perlu disesuaikan seperlunya, jelas. Juga, penyimpanan data aktual, baik itu RDBMS, indeks pencarian elastis atau apa pun, harus dilihat.

Selain itu, satu keuntungan dari DevOps, khususnya jika Anda bekerja dengan beberapa jenis sistem wadah dan infrastruktur-kode-adalah bahwa Anda umumnya harus tahu persis di mana data Anda, file log dll disimpan, dan jenis apa yang Anda miliki ; jauh lebih daripada di server klasik, di mana data Anda dan terutama log mungkin berserakan di semua tempat. Seharusnya juga sangat mudah untuk menggulung data Anda sebagaimana berlaku, yaitu, kehilangan barang lama.

Jadi dapat membantu, misalnya, mengambil katalog file iac Anda dan menelaahnya dengan rajin - Anda kemudian dapat yakin telah menemukan semua yang perlu Anda ketahui.

Dengan DevOps menjadi pernikahan antara Dev dan Ops (dan bahkan SecOps ), saya melihat hubungan yang berbeda dengan masing-masing dari mereka.

Dari aspek Dev, DevOps dapat membantu dengan kepatuhan GDPR sama seperti itu dapat membantu dengan segala jenis kepatuhan lain yang diperlukan dari produk perangkat lunak: melalui pengujian QA kepatuhan (baik).

Selama persyaratan kepatuhan didefinisikan dengan baik, adalah mungkin untuk merancang pengujian QA terkait untuk memverifikasi persyaratan tersebut. Cukup dengan memasukkan verifikasi QA di dalam rantai DevOps produk - di dalam pipa CI / CD, misalnya, kepatuhan produk dapat diukur dan dikendalikan.

Dari Ops (dan SecOps) hal-hal prospektif sedikit berbeda (saya kurang terbiasa dengan ini), tetapi saya kira GDPR akan memberlakukan persyaratan tambahan yang saya duga akan diterjemahkan ke dalam kebijakan operasi tambahan.