Információbiztonsági követelmények okostelefon gyártóknak

A kiadvány információbiztonság szemszögből az elvárt alapfelszereltséget, valamint a biztonságos üzemeltetéshez szükséges lépéseket részletezi. A BSI hangsúlyozza, hogy nemcsak GDPR 25. és 32. cikkeiben írt elvárásoknak, hanem emellett a nemzeti adatvédelmi jogszabályoknak is meg kell felelniük a gyártóknak, amely magában foglalja azt is, hogy az előre installált applikációk és az ehhez kapcsolódó szolgáltatások is jogszerűen kell, hogy üzemeljenek.

A BSI ajánlásai között az is szerepel, hogy az eszközökhöz szolgáltassanak az információbiztonságot növelő frissítéseket a forgalomba hozataltól számított 5 éven keresztül (ennek megszűnésének idejét pedig az eszköz leírásában rögzítsék). Ezektől a frissítésektől várják a biztonsági rések megszűnését a szoftver alkotóelemeiben, például az operációs rendszerekben, az előre installált appokban és a meghajtókban is.

Az applikációk szabályozására is kitérnek: csak az elengedhetetlen eszközengedélyekkel rendelkezhetnek gyári beállításként, illetve csak ilyenek kérhetőek a felhasználóktól, továbbá az egyszer már megadott engedélyek visszavonhatóak kell, hogy legyenek. Ezek a visszavont engedélyek nem fogják appok összeomlását okozni, csak kisebb mértékű korlátozást eredményeznek.

A kiadvány a GDPR megfelelő adatvédelmi tájékoztatás/szabályozás elkészítését és nyilvánosságra hozatalát is előírja az okostelefonok telemetrikus adatgyűjtésére és feldolgozására vonatkozóan. Amennyiben ez nem kerül elfogadásra a telefonhasználó által, az ilyen adatok gyűjtése, feldolgozása és átvitele is tilos.

Az okoseszközöknek rendelkezniük kell teljes titkosítási funkcióval is az adattárolóra vonatkozóan.