IETF ออกเอกสารอัปเดตคู่มือการเก็บ Log สำหรับ Server บน Internet รับ GDPR

IETF ได้ออกอัปเดตให้กับเอกสาร Logging Recommendations for Internet-Facing Servers เพื่อเป็นคำแนะนำสำหรับการจัดเก็บ Log บนเครื่อง Server ที่อยู่บน Internet ให้สอดคล้องกับ GDPR โดยมีอัปเดตใหม่ๆ ที่น่าสนใจดังนี้

• ควรเก็บ IP Address แบบเต็มเท่าที่จำเป็นต้องใช้ในการให้บริการเท่านั้น
• โดยทั่วไป ควรเก็บ Log เฉพาะ 2 Octet แรกของ IPv4 หรือ 3 Octet แรกของ IPv6 เท่านั้น
• Log สำหรับเก็บ IP Address ขาเข้าไม่ควรเก็บนานเกิน 3 วัน
• ข้อมูล Identifier ใดๆ ที่ไม่จำเป็นนั้นไม่ควรจัดเก็บลง Log เลย เช่น Source Port No., Timestamp, Transport Protocol No., Destination Port No.
• ต้องป้องกันข้อมูล Log ไม่ให้ถูกเข้าถึงจากผู้ที่ไม่ได้รับอนุญาต

ทั้งนี้ถ้าหากจะมีการจัดเก็บข้อมูลใดๆ ที่นอกเหนือไปจากนี้ ก็ควรจะมีการจัดสร้างเอกสารบันทึกรายละเอียดเอาไว้ และแจ้งให้ผู้เข้าชมเว็บไซต์รับทราบด้วย

อย่างไรก็ดี เอกสารฉบับนี้ยังคงเป็นฉบับร่าง (Draft) เท่านั้น ดังนั้นหากจะนำไปอ้างอิงอย่างเป็นทางการก็อาจจะต้องรอให้เป็นเอกสารฉบับสุดท้ายที่ผ่านการรรับรองโดย IETF อย่างเป็นทางการเสียก่อน

สำหรับผู้ที่สนใจรายละเอียดฉบับเต็ม สามารถอ่านได้ที่ https://tools.ietf.org/html/draft-andersdotter-intarea-update-to-rfc6302-00 ครับ ก็ถือเป็นแนวทางที่น่าสนใจสำหรับเตรียมรับมือกับกฎหมายด้านความเป็นส่วนตัวของข้อมูลในอนาคตครับ

ที่มา: https://www.theregister.co.uk/2018/04/24/ietf_gdpr_compliance_advice/