Yksityisyys tarkoittaa laajimmassa merkityksessä yksilöiden, ryhmien tai organisaatioiden oikeutta valvoa, kuka voi käyttää, tarkkailla tai käyttää jotakin omistamaansa, kuten kehoaan, omaisuuttaan, ideoitaan, tietojaan tai tietojaan.
valvonta perustuu fyysisiin, sosiaalisiin tai informaatiorajoihin, jotka auttavat estämään ei-toivotun pääsyn, tarkkailun tai käytön. Esimerkiksi:
- fyysinen raja, kuten lukittu ulko-ovi, estää muita menemästä rakennukseen ilman nimenomaista lupaa oven avaamiseen tarkoitetun avaimen muodossa tai sisällä olevaa henkilöä avaamassa ovea.
- sosiaalinen raja, kuten Vain jäsenille tarkoitettu kerho, sallii vain jäsenten käyttää kerhon resursseja.
- informaatioraja, kuten salassapitosopimus, rajoittaa sitä, mitä tietoja voi luovuttaa muille.
uuden teknologian ja häiritsevien liiketoimintamallien vauhdittama globaalin tietotalouden eksponentiaalinen kasvu tarkoittaa sitä, että yhä suurempi määrä henkilötietoja kerätään, käytetään, vaihdetaan, analysoidaan, säilytetään ja joskus käytetään kaupallisiin tarkoituksiin. Se tarkoittaa myös sitä, että tahattomien tai tahallisten tietomurtojen, virheellisten tai kadonneiden tietueiden ja tietojen väärinkäyttötapausten määrä kasvaa jatkuvasti.
tämän seurauksena tietosuojan kysyntä-oikeus valvoa sitä, miten henkilötietoja kerätään, kenen kanssa niitä jaetaan ja miten niitä käytetään, säilytetään tai poistetaan — on kasvanut, samoin kuin tietoturvan kysyntä.
yksilön oikeus tietosuojaan ja organisaation halu käyttää henkilötietoja omiin tarkoituksiinsa on haastavaa, mutta ei mahdotonta. Se edellyttää tietosuojakehyksen kehittämistä.
tietosuojakehyksen kehittäminen
vaikka kehykselle ei ole ”yhden koon mallia”, on olemassa useita yleisiä prosesseja, joiden avulla voit kehittää oman liiketoimintasi kannalta merkityksellisen mallin:
löytää ja luokitella henkilötietoja-määrittää, minkä tyyppisiä tietoja kerätään (esim., lääketieteelliset, taloudelliset tai henkilötiedot, kuten sosiaaliturvatunnukset), missä ja miten tiedot kerätään, mihin tiedot tallennetaan, kenellä on pääsy tietoihin ja missä ne sijaitsevat fyysisesti, tietovirrat liiketoimintayksikön sisällä ja sen sisällä sekä tietojen siirrot maiden välillä ja niiden välillä.
Privacy Impact Assessment (Pia) — sen määrittäminen, miten ja missä tietoja säilytetään, varmuuskopioidaan ja hävitetään, mitä tietoturvatoimenpiteitä tällä hetkellä toteutetaan ja missä järjestelmät voivat olla alttiita tietosuojan rikkomiselle. Esimerkkejä tietoturvatoimenpiteistä ovat muun muassa seuraavat:
- muutoksen hallinta-valvoo, lokit, ja raportit tietorakenteen muutoksia. Näyttää sääntöjenmukaisuuden tarkastajille, että tietokannan muutokset voidaan jäljittää hyväksyttyihin muutoslippuihin.
- tietojen häviämisen ehkäisy-valvoo ja suojaa tietoja, jotka liikkuvat verkoissa, levossa tietojen tallennuksessa tai käytössä päätelaitteissa. Estää hyökkäykset, etuoikeuksien väärinkäytön, luvattoman käytön, haitalliset verkkopyynnöt ja epätavallisen toiminnan tietojen varastamisen estämiseksi.
- tiedon peittäminen – anonymisoi tiedon salauksen/tiivistämisen, yleistämisen, häirinnän jne. avulla. Pseudonymisoi dataa korvaamalla arkaluonteiset tiedot realistisella fiktiivisellä datalla, joka ylläpitää toiminnallista ja tilastollista tarkkuutta.
- Tietosuoja-varmistaa tietojen eheyden ja luottamuksellisuuden muutoksenhallinnan yhteensovittamisen, rajat ylittävien tietojen valvonnan, kyselyiden whitelistingin jne.avulla.
- eettiset muurit-pitää tiukasti erillään yritysryhmät noudattaakseen M& a vaatimuksia, hallituksen lupaa jne.
- Privileged user monitoring-seuraa etuoikeutettua käyttäjätietokannan käyttöä ja toimintaa. Estää tarvittaessa pääsyn tai toiminnan.
- Secure audit trail archiving-turvaa kirjausketjun peukaloinnilta, muokkaukselta tai poistolta ja antaa rikosteknistä näkyvyyttä.
- Sensitive data access auditing-Monitors access to and changes of data protected by law, compliance regulations, and contractual agreements. Laukaisee hälytykset luvattomasta käytöstä tai muutoksista. Luo jäljitysketjun rikostekniselle tutkimukselle.
- Käyttöoikeuksien hallinta-tunnistaa liialliset, sopimattomat ja käyttämättömät oikeudet.
- User tracking-kartoittaa web-sovelluksen loppukäyttäjän jaetun sovelluksen / tietokannan käyttäjälle ja sen jälkeen lopulliselle tiedolle, jota käytetään.
- VIP data privacy-ylläpitää tiukkaa kulunvalvontaa erittäin arkaluonteisille tiedoille, mukaan lukien monitasoisiin yrityssovelluksiin, kuten SAP: hen ja Peoplesoftiin tallennetut tiedot.
Markkinointikysymysten ymmärtäminen — rajat ylittävien markkinointikysymysten ratkaiseminen (esim., markkinoidaanko tuotteita tai palveluja suoraan muiden maiden asukkaille, millä kielellä verkkosivustoa käytetään tai mobiilisovellukset otetaan käyttöön), ja kolmannen osapuolen markkinointiin liittyvät kysymykset (esim.tietojen jakaminen markkinointitarkoituksiin).
analysoimalla compliance requirements-Determining applicable compliance requirements, based on the results gosted in understanding the personal data and conducting a PIA.
- lainsäädännölliset Asetukset-valtion, maan tai valtion virastojen lait, jotka säätelevät henkilötietojen keräämistä, käyttöä, säilyttämistä, kuljetusta ja suojelua. Esimerkkejä ovat yleinen tietosuoja-asetus (GDPR-Euroopan unioni), henkilötietojen suojaa ja sähköisiä asiakirjoja koskeva laki (PIPEDA — Kanada), Information Technology Act 2000 (ITA — Intia), Privacy Act 1993 (Uusi-Seelanti).
- toimialakohtaiset Asetukset-lait tai toimeksiannot, joissa määritellään, miten tietty toimiala, Yritystyyppi tai valtion virasto käsittelee ja suojaa henkilötietoja. Esimerkkejä ovat Health Information Portability and Accountability Act (HIPAA), Health Information Technology for Economic and Clinical Health (HITECH), Payment Card Industry Data Security Standards (PCI DSS).
- kolmannen osapuolen velvoitteet-liikekumppaneiden väliset sopimukset, joissa määritellään, miten toimeksisaaja, myyjä tai muu ulkopuolinen taho käsittelee ja suojaa emoorganisaation keräämiä henkilötietoja. Esimerkiksi Intiassa sijaitsevan viraston, joka tarjoaa luottokorttipalveluja yhdysvaltalaiselle myyjälle, on noudatettava PCI DSS: n tietosuojavaatimuksia.
tietosuojakäytäntöjen ja sisäisen valvonnan kehittäminen-ulkoisten tietosuojalausekkeiden luominen (esim.verkkosivut, mobiilisovellukset ja offline-tietosuojakäytännöt); sisäiset ja ulkoiset tietosuojakäytännöt ja menettelyt, jotka liittyvät tietojen hallintaan, tietosuojaan ja tietoturvaloukkauksiin; ja tietosuojakoulutus.
Lue, miten Imperva – tietoturva-ja tietojen peittämisratkaisut voivat auttaa sinua kehittämään Tietosuojakehystäsi.