Soukromí, v nejširším slova smyslu, je to právo jednotlivců, skupin nebo organizací kontrolovat, kdo může přistupovat, sledovat, nebo použít něco, co oni vlastní, jako jejich těla, majetek, myšlenky, data, nebo informace.
kontrola je stanovena prostřednictvím fyzických, sociálních nebo informačních hranic, které pomáhají předcházet nežádoucímu přístupu, pozorování nebo použití. Příklad:
- fyzická hranice, například zamčené vchodové dveře, pomáhá zabránit ostatním od vstupu do budovy, bez výslovného svolení ve formě klíč k odemknutí dveří nebo osoba uvnitř otevírání dveří.
- sociální hranice, jako je klub pouze pro členy, umožňuje přístup a využívání klubových zdrojů pouze členům.
- informační hranice, jako je dohoda o mlčenlivosti, omezuje, jaké informace mohou být sděleny ostatním.
exponenciální růst globální informační ekonomiky, vedený nových technologií a převratných obchodních modelů, znamená to, že stále větší množství osobních údajů, které jsou shromažďovány, používány, vyměnili, analyzovat, uchovávat, a někdy používán pro komerční účely. To také znamená, že stále roste počet náhodných nebo úmyslných porušení dat, nesprávných nebo ztracených datových záznamů a incidentů zneužití dat.
Jako výsledek, poptávka po osobních údajů — právo na kontrolu, jak osobní údaje jsou shromažďovány, s nimiž je sdílena, a jak se používá, zachovány nebo odstraněny — roste, stejně jako poptávka po bezpečnosti údajů.
vyvážení práva jednotlivce na soukromí dat a přání organizace používat osobní údaje pro své vlastní účely je náročné, ale ne nemožné. Vyžaduje vytvoření rámce ochrany osobních údajů.
Vývoj ochrany Osobních Údajů Rámec
i když tam není „one-size-fits-všechny šablony“ pro rámec, existuje několik univerzální procesy, které mohou pomoci rozvíjet jeden relevantní pro vaše podnikání:
Objevování a třídění osobních údajů — Stanovení toho, jaké typy dat jsou shromažďovány (např., zdravotní, finanční, nebo osobní identifikační údaje, jako jsou čísla Sociálního Zabezpečení), kde a jak se data shromažďují, kde jsou údaje uloženy, kdo má k údajům přístup a kde jsou fyzicky nachází, toky dat v rámci obchodní jednotky, a předávání údajů v rámci a mezi jednotlivými zeměmi.
Provádění Posouzení Dopadů na Soukromí (PIA) — Stanovení, jak a kde jsou data uložena, zálohovány a odstraněny, jaké údaje bezpečnostní opatření jsou v současné době realizovány, a kde systémy mohou být náchylné k porušení ochrany osobních údajů. Příklady opatření pro zabezpečení dat zahrnují následující:
- správa změn-monitory, protokoly a zprávy o změnách struktury dat. Ukazuje auditory shody, že změny v databázi lze vysledovat k přijatým lístkům na změnu.
- prevence ztráty dat-monitoruje a chrání data v pohybu v sítích, v klidu v ukládání dat nebo v použití na koncových zařízeních. Blokuje útoky, zneužití oprávnění, neoprávněný přístup, škodlivé webové požadavky a neobvyklou aktivitu, aby se zabránilo krádeži dat.
- maskování dat-anonymizuje data pomocí šifrování/hashování, zobecnění, poruchy atd. Pseudonymizuje data nahrazením citlivých dat realistickými fiktivními daty, která udržují provozní a statistickou přesnost.
- ochrana Dat — Zajišťuje integritu dat a důvěrnost prostřednictvím řízení změn usmíření, data-přes-hranice ovládání, dotaz whitelisting, atd.
- etické stěny-udržuje přísné oddělení mezi obchodními skupinami, aby splňovaly požadavky M&a, vládní povolení atd.
- privilegované monitorování uživatelů-monitoruje privilegovaný přístup k databázi uživatelů a aktivity. V případě potřeby blokuje přístup nebo aktivitu.
- bezpečná archivace auditní stopy — zajišťuje auditní stopu před manipulací, úpravou nebo vymazáním a poskytuje forenzní viditelnost.
- audit přístupu k citlivým údajům-sleduje přístup a změny údajů chráněných zákonem, předpisy o dodržování předpisů a smluvními dohodami. Spouští alarmy pro neoprávněný přístup nebo změny. Vytvoří auditní stopu pro forenzní.
- Správa uživatelských práv-identifikuje nadměrná, nevhodná a nevyužitá oprávnění.
- sledování uživatelů-mapuje koncového uživatele webové aplikace ke sdílenému uživateli aplikace/databáze a poté ke konečným přístupným datům.
- VIP data privacy-udržuje přísnou kontrolu přístupu k vysoce citlivým datům, včetně dat uložených ve víceúrovňových podnikových aplikacích, jako jsou SAP a PeopleSoft.
porozumění marketingovým otázkám-určení přeshraničních marketingových otázek (např., zda výrobky nebo služby jsou přímo uváděny na trh pro obyvatele jiných zemí, jazyk používaný na webových stránkách, nebo nasazení mobilních aplikací), a třetí-party marketingové otázky (např. sdílení informací pro marketingové účely).
Analýza požadavků — Stanovení použitelných požadavků, na základě výsledků získaných v pochopení osobních údajů a provádění posuzování dopadů.
- legislativní předpisy-zákony státu, země nebo vládních agentur upravující shromažďování, používání, ukládání, přepravu a ochranu osobních údajů. Příklady zahrnují Obecné Nařízení o Ochraně Údajů (obecného nařízení o ochraně údajů — Evropská Unie), o Ochraně Osobních údajů a Elektronických Dokumentech (Zákon PIPEDA — Kanada), Informační Technologie Act 2000 (ITA — Indie), Zákon o ochraně Soukromí 1993 (Nový Zéland).
- odvětvové předpisy-zákony nebo mandáty definující, jak bude konkrétní odvětví, typ podnikání nebo vládní agentura zacházet a zabezpečit osobní údaje. Příklady zahrnují zákon o přenositelnosti a odpovědnosti za zdravotní informace (HIPAA), zdravotnické informační technologie pro ekonomické a klinické zdraví (HITECH), standardy zabezpečení dat v odvětví platebních karet (PCI DSS).
- závazky třetích stran-Dohody mezi obchodními partnery definující, jak bude dodavatel, prodejce nebo jiná externí agentura zacházet a zabezpečit osobní údaje shromážděné „mateřskou“ organizací. Například agentura se sídlem v Indii poskytující služby kreditní karty pro dodavatele se sídlem v USA musí dodržovat požadavky na ochranu údajů PCI DSS.
Rozvojových zásady ochrany osobních údajů a interní kontroly — Vytvoření externí prohlášení o ochraně osobních údajů (např. internetové stránky, mobilní aplikace, a off-line zásady ochrany osobních údajů); vnitřní a vnější politiky ochrany osobních údajů a postupy týkající se správy dat, ochrany osobních údajů a porušení bezpečnosti; a soukromí dat školení.
zjistěte, jak vám řešení zabezpečení dat a maskování dat Imperva mohou pomoci vyvinout rámec ochrany osobních údajů.