Databeskyttelse

privatliv er i videste forstand individers, gruppers eller organisationers ret til at kontrollere, hvem der kan få adgang til, observere eller bruge noget, de ejer, såsom deres kroppe, ejendom, ideer, data eller information.

kontrol etableres gennem fysiske, sociale eller informative grænser, der hjælper med at forhindre uønsket adgang, observation eller brug. Eksempel:

  • en fysisk grænse, såsom en låst hoveddør, hjælper med at forhindre andre i at komme ind i en bygning uden udtrykkelig tilladelse i form af en nøgle til at låse døren op eller en person inde, der åbner døren.
  • en social grænse, såsom en klub kun for medlemmer, giver kun medlemmer adgang til og bruger klubressourcer.
  • en informationsgrænse, såsom en fortrolighedsaftale, begrænser, hvilke oplysninger der kan videregives til andre.

den eksponentielle vækst i en global informationsøkonomi, drevet af nye teknologier og forstyrrende forretningsmodeller, betyder, at en stadigt stigende mængde personoplysninger indsamles, bruges, udveksles, analyseres, opbevares og undertiden bruges til kommercielle formål. Det betyder også, at der er et stadigt stigende antal utilsigtede eller forsætlige databrud, forkerte eller mistede dataposter, og hændelser med misbrug af data.

som et resultat er efterspørgslen efter databeskyttelse — retten til at kontrollere, hvordan personlige oplysninger indsamles, med hvem de deles, og hvordan de bruges, opbevares eller slettes — vokset, ligesom efterspørgslen efter datasikkerhed.

afbalancering af den enkeltes ret til databeskyttelse og en organisations ønske om at bruge personoplysninger til egne formål er udfordrende, men ikke umuligt. Det kræver udvikling af en ramme for databeskyttelse.

udvikling af en Datasikkerhedsramme

selvom der ikke er en “skabelon, der passer til alle” til en ramme, er der flere universelle processer, der kan hjælpe dig med at udvikle en, der er relevant for din virksomhed:

opdage og klassificere personlige data-bestemme, hvilke typer data der indsamles (f. eks. personnummer), hvor og hvordan dataene indsamles, hvor data gemmes, hvem der har adgang til dataene, og hvor de er fysisk placeret, datastrømme inden for og på tværs af en forretningsenhed og dataoverførsler inden for og mellem lande.

gennemførelse af en konsekvensanalyse for privatlivets fred (PIA) — bestemmelse af, hvordan og hvor data gemmes, sikkerhedskopieres og bortskaffes, hvilke datasikkerhedsforanstaltninger der i øjeblikket implementeres, og hvor systemer kan være sårbare over for brud på privatlivets fred. Eksempler på datasikkerhedsforanstaltninger inkluderer følgende:

  • Change management-skærme, logfiler og rapporter om ændringer i datastrukturen. Viser compliance auditorer, at ændringer i databasen kan spores til accepterede change billetter.
  • forebyggelse af datatab — overvåger og beskytter data i bevægelse på netværk, i hvile i datalagring eller i brug på slutpunktsenheder. Blokerer angreb, misbrug af privilegier, uautoriseret adgang, ondsindede internetanmodninger og usædvanlig aktivitet for at forhindre datatyveri.
  • datamaskering — anonymiserer data via kryptering/hashing, generalisering, forstyrrelse osv. Pseudonymiserer data ved at erstatte følsomme data med realistiske fiktive data, der opretholder operationel og statistisk nøjagtighed.
  • databeskyttelse — sikrer dataintegritet og fortrolighed gennem afstemning af ændringskontrol, data-grænsekontrol, hvidlistning af forespørgsler osv.
  • etiske vægge — opretholder streng adskillelse mellem forretningsgrupper for at overholde m &a-krav, regeringsgodkendelse osv.
  • privilegeret brugerovervågning-overvåger privilegeret brugerdatabaseadgang og aktiviteter. Blokerer adgang eller aktivitet, hvis det er nødvendigt.
  • sikker revisionsspor arkivering — sikrer revisionssporet mod manipulation, ændring eller sletning og giver retsmedicinsk synlighed.
  • Sensitive data access auditing — overvåger adgang til og ændringer af data beskyttet ved lov, compliance regler og kontraktlige aftaler. Udløser alarmer for uautoriseret adgang eller ændringer. Opretter et revisionsspor for retsmedicin.
  • Brugerrettighedsstyring — identificerer overdrevne, upassende og ubrugte rettigheder.
  • brugersporing — kortlægger slutbrugeren af internetapplikationen til den delte applikation/databasebruger og derefter til de endelige data, der er adgang til.
  • VIP data privacy-opretholder streng adgangskontrol på meget følsomme data, herunder data gemt i multi-tier virksomhedsapplikationer som SAP og PeopleSoft.

forståelse af markedsføringsspørgsmål — bestemmelse af grænseoverskridende markedsføringsspørgsmål (f. eks., om produkter eller tjenester markedsføres direkte til indbyggere i andre lande, det sprog, der bruges på en hjemmeside eller en implementering af mobilapplikationer) og tredjeparts marketingproblemer (f.eks. deling af oplysninger til markedsføringsformål).

analyse af compliance krav — bestemmelse af gældende compliance krav, baseret på de resultater, der er indsamlet i at forstå de personlige data og gennemføre en PIA.

  • lovgivningsmæssige bestemmelser — stat, land eller statslige agentur love, der regulerer indsamling, brug, opbevaring, transport og beskyttelse af personoplysninger. Eksempler kan være Generel databeskyttelsesforordning (GDPR — Den Europæiske Union), lov om beskyttelse af personlige oplysninger og elektroniske dokumenter (PIPEDA — Canada), Information Technology Act 2000 (ITA — Indien), Privacy Act 1993 (Danmark).
  • branchespecifikke regler-love eller mandater, der definerer, hvordan en bestemt branche, virksomhedstype eller regeringsorgan vil behandle og sikre personlige data. Eksempler er Health Information Portability and Accountability Act (HIPAA), Health Information Technology for Economic and Clinical Health (HITECH), Payment Card Industry Data Security Standards (PCI DSS).
  • Tredjepartsforpligtelser-aftaler mellem forretningspartnere, der definerer, hvordan en entreprenør, leverandør eller andet eksternt agentur vil behandle og sikre personlige data indsamlet af ‘moderorganisationen’. For eksempel skal et agentur beliggende i Indien, der leverer kreditkorttjenester til en amerikansk baseret leverandør, overholde PCI DSS-databeskyttelseskrav.

udvikling af privatlivspolitikker og interne kontroller — oprettelse af eksterne fortrolighedserklæringer (f.eks. hjemmeside, mobilapp og offline privatlivspolitikker); interne og eksterne privatlivspolitikker og procedurer relateret til datastyring, databeskyttelse og sikkerhedsbrud; og uddannelse i databeskyttelse.

Lær, hvordan Imperva datasikkerheds-og datamaskeringsløsninger kan hjælpe dig med at udvikle dine rammer for Databeskyttelse.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.

Previous post Principper for Økonomi / allokering
Next post Tom Hanks ‘ ekskone Samantha var skuespillerinde & led af knoglekræft før hendes død kl 50