Ako testovať ochranu osobných údajov v mýtnych systémoch

Od /

Príklad

Predstav si vodiča nákladného auta, ktorý používa elektronické mýto.
Systém eviduje ŠPZ vozidla, prejazdy cez mýtne brány, čas prejazdu a účet dopravcu.

Jedného dňa zákazník požiada o výpis údajov o svojich prejazdoch. Operátor mu však omylom zobrazí aj údaje o inom vozidle, ktoré patrí inej firme.

Takáto chyba nie je len technický problém.
V praxi môže znamenať porušenie GDPR, právne sankcie a stratu dôvery zákazníkov.

Preto musí tester overiť, že systém:

  • spracúva len nevyhnutné údaje,
  • chráni ich pred neoprávneným prístupom,
  • správne reaguje na požiadavky používateľov (napr. výpis alebo výmaz údajov).

 

Ako otestovať

  1. Zber a minimalizácia údajov
  • Over, aké osobné údaje systém ukladá (ŠPZ, identita firmy, údaje o účte).
  • Skontroluj, či systém neukladá viac údajov, než je potrebné na výpočet mýta.
  • Testuj formuláre registrácie – či nevyžadujú zbytočné osobné údaje.

 

  1. Prístupové práva k údajom
  • Otestuj rôzne používateľské role (operátor, zákazník, administrátor).
  • Over, že používateľ vidí len svoje vlastné údaje.
  • Skontroluj prístup cez API – či sa nedajú získať cudzie údaje manipuláciou parametrov.

 

  1. Anonymizácia a maskovanie údajov
  • Over, že citlivé údaje sa zobrazujú maskovane (napr. časť účtu alebo identifikátora).
  • Testuj exporty a reporty – či neobsahujú plné osobné údaje bez dôvodu.
  • Skontroluj anonymizáciu v testovacích prostrediach.

 

  1. Logovanie prístupov k údajom
  • Over, že systém zaznamenáva kto a kedy pristupoval k osobným údajom.
  • Skontroluj auditné logy – či obsahujú používateľa, akciu a čas.
  • Testuj dohľadateľnosť incidentu (napr. neoprávnené zobrazenie údajov).

 

  1. Prenos a ukladanie údajov
  • Skontroluj šifrovanie prenosu (HTTPS, TLS).
  • Over šifrovanie alebo ochranu údajov v databáze.
  • Testuj správanie pri exporte dát (CSV, PDF, API odpovede).

 

  1. Práva používateľa podľa GDPR
  • Testuj možnosť zobrazenia vlastných údajov (right of access).
  • Over proces opravy údajov (napr. zmena kontaktných údajov).
  • Testuj anonymizáciu alebo výmaz údajov po ukončení účtu.

 

  1. Integrácie s externými systémami
  • Skontroluj prenos údajov medzi mýtnymi bránami, centrálnym systémom a clearingovým centrom.
  • Testuj, či externý partner dostane len potrebné údaje.
  • Over reakciu systému pri chybách integrácie.

 

  1. Testy bezpečnostných scenárov
  • Pokus o získanie údajov cez manipuláciu URL alebo API parametrov.
  • Testovanie neoprávneného exportu veľkého množstva údajov.
  • Kontrola ochrany proti scraping alebo hromadnému sťahovaniu údajov.

Pridajte Komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *

Návrat hore