Adatvédelem

az adatvédelem a legtágabb értelemben az egyének, csoportok vagy szervezetek azon joga, hogy ellenőrizzék, ki férhet hozzá, megfigyelhet vagy használhat valamit, amit birtokol, például testét, tulajdonát, ötleteit, adatait vagy információit.

a vezérlés fizikai, társadalmi vagy információs határokon keresztül jön létre, amelyek segítenek megakadályozni a nem kívánt hozzáférést, megfigyelést vagy felhasználást. Például:

  • a fizikai határ, mint például a zárt bejárati ajtó, segít megakadályozni, hogy mások kifejezett engedély nélkül belépjenek az épületbe az ajtó kinyitásához szükséges kulcs vagy az ajtót kinyitó személy formájában.
  • egy társadalmi határ, mint például a csak tagoknak szóló klub, csak a tagok számára teszi lehetővé a klub erőforrásainak elérését és használatát.
  • egy információs határ, mint például a titoktartási megállapodás, korlátozza, hogy milyen információkat lehet nyilvánosságra hozni másoknak.

a globális információs gazdaság exponenciális növekedése, amelyet az új technológiák és a bomlasztó üzleti modellek vezérelnek, azt jelenti, hogy egyre nagyobb mennyiségű személyes adatot gyűjtenek, használnak fel, cserélnek, elemeznek, tárolnak, és néha kereskedelmi célokra is felhasználnak. Ez azt is jelenti, hogy egyre több a véletlen vagy szándékos adatsértés, a helytelen vagy elveszett adatrekordok, valamint az adatokkal való visszaélések száma.

ennek eredményeként nőtt az adatvédelem iránti igény — a személyes adatok gyűjtésének, megosztásának, felhasználásának, megőrzésének vagy törlésének joga—, valamint az adatbiztonság iránti igény.

az egyén adatvédelemhez való jogának és a szervezet azon kívánságának kiegyensúlyozása, hogy a személyes adatokat saját céljaira használja, kihívást jelent, de nem lehetetlen. Ehhez adatvédelmi keretrendszer kialakítására van szükség.

Adatvédelmi keretrendszer kidolgozása

bár nincs “egy mindenki számára megfelelő sablon” egy keretrendszerhez, számos univerzális folyamat segíthet Önnek egy, a vállalkozása szempontjából releváns folyamat kidolgozásában:

személyes adatok felfedezése és osztályozása-annak meghatározása, hogy milyen típusú adatokat gyűjtenek (pl. egészségügyi, pénzügyi vagy személyazonosításra alkalmas adatok, például társadalombiztosítási számok), az adatok gyűjtésének helye és módja, az adatok tárolásának helye, az adatokhoz való hozzáférésnek helye és fizikai elhelyezkedése, az üzleti egységen belüli és közötti adatáramlás, valamint az országokon belüli és országok közötti adattovábbítás.

adatvédelmi hatásvizsgálat (Pia) lefolytatása — annak meghatározása, hogy az adatokat hogyan és hol tárolják, biztonsági másolatot készítenek és ártalmatlanítják, milyen adatbiztonsági intézkedéseket hajtanak végre jelenleg, és ahol a rendszerek sebezhetőek lehetnek az Adatvédelmi jogsértésekkel szemben. Az adatbiztonsági intézkedések példái a következők:

  • változáskezelés-monitorok, naplók és jelentések az adatstruktúra változásairól. Megmutatja a megfelelőségi ellenőröknek, hogy az adatbázis változásai az elfogadott változásjegyekre vezethetők vissza.
  • adatvesztés — megelőzés-figyeli és védi a hálózatokon, az adattárolásban nyugvó vagy a végponti eszközökön használt adatokat. Blokkolja a támadásokat, a privilégiumokkal való visszaéléseket, az illetéktelen hozzáférést, a rosszindulatú webes kéréseket és a szokatlan tevékenységeket az adatlopások megelőzése érdekében.
  • Adatmaszkolás — anonimizálja az adatokat titkosítás/kivonatolás, általánosítás, perturbáció stb. Álnevesíti az adatokat azáltal, hogy az érzékeny adatokat valósághű fiktív adatokkal helyettesíti, amelyek fenntartják a működési és statisztikai pontosságot.
  • Adatvédelem — biztosítja az adatok integritását és titkosságát a változásvezérlés egyeztetésével, az adatok határokon átnyúló ellenőrzésével, a lekérdezések engedélyezőlistájával stb.
  • etikai falak — szigorúan elkülöníti az üzleti csoportokat az M& a követelményeknek való megfelelés érdekében, kormányzati engedély stb.
  • Privileged user monitoring — a privilegizált felhasználói adatbázis-hozzáférést és tevékenységeket figyeli. Szükség esetén blokkolja a hozzáférést vagy a tevékenységet.
  • biztonságos ellenőrzési nyomvonal archiválás — biztosítja az ellenőrzési nyomvonal manipulálását, módosítását vagy törlését, és biztosítja a törvényszéki láthatóságot.
  • érzékeny adathozzáférési auditálás — figyelemmel kíséri a törvény, a megfelelőségi előírások és a szerződéses megállapodások által védett adatokhoz való hozzáférést és azok változásait. Riasztást vált ki jogosulatlan hozzáférés vagy változtatások esetén. Létrehoz egy ellenőrzési nyomvonalat a törvényszékiek számára.
  • felhasználói jogok kezelése — túlzott, nem megfelelő és nem használt jogosultságokat azonosít.
  • felhasználói követés — leképezi a webalkalmazás végfelhasználóját a megosztott alkalmazás/adatbázis felhasználóhoz, majd a végső adatokhoz.
  • VIP data privacy — szigorú hozzáférést biztosít a rendkívül érzékeny adatokhoz, beleértve az olyan többszintű vállalati alkalmazásokban tárolt adatokat, mint az SAP és a PeopleSoft.

Marketing kérdések megértése — a határokon átnyúló marketing kérdések meghatározása (pl., hogy a termékeket vagy szolgáltatásokat közvetlenül forgalmazzák-e más országok lakosai számára, a weboldalon használt nyelv, vagy mobilalkalmazások telepítése), valamint harmadik felek marketingproblémái (pl. információk megosztása marketing célokra).

megfelelőségi követelmények elemzése — az alkalmazandó megfelelőségi követelmények meghatározása a személyes adatok megértése és a PIA lefolytatása során összegyűjtött eredmények alapján.

  • törvényi előírások — a személyes adatok gyűjtését, felhasználását, tárolását, szállítását és védelmét szabályozó állami, országos vagy kormányzati szervek törvényei. Ilyenek például az Általános Adatvédelmi Rendelet (GDPR — Európai Unió), a személyes adatok védelméről és az elektronikus dokumentumokról szóló törvény (PIPEDA — Kanada), a 2000.évi informatikai törvény (Ita — India), az 1993. évi Adatvédelmi Törvény (Új-Zéland).
  • Iparágspecifikus előírások-törvények vagy megbízások, amelyek meghatározzák, hogy egy adott iparág, vállalkozás vagy kormányzati ügynökség hogyan kezeli és védi a személyes adatokat. Ilyenek például az Egészségügyi Információs hordozhatóságról és elszámoltathatóságról szóló törvény (HIPAA), a gazdasági és klinikai Egészségügyi Egészségügyi Információs Technológia (HITECH), a fizetési kártya ipari adatbiztonsági szabványok (PCI DSS).
  • harmadik felek kötelezettségei-üzleti partnerek közötti megállapodások, amelyek meghatározzák, hogy a vállalkozó, a szállító vagy más külső ügynökség hogyan kezeli és védi az anyavállalat által gyűjtött személyes adatokat. Például egy Indiában található ügynökségnek, amely hitelkártya-szolgáltatásokat nyújt egy amerikai székhelyű szállító számára, be kell tartania a PCI DSS adatvédelmi követelményeit.

Adatvédelmi irányelvek és belső kontrollok kidolgozása — külső adatvédelmi nyilatkozatok létrehozása (pl. weboldal, mobilalkalmazás és offline Adatvédelmi Irányelvek); belső és külső Adatvédelmi irányelvek és eljárások az adatkezeléssel, az adatvédelem és a biztonság megsértésével kapcsolatban; és Adatvédelmi képzés.

Ismerje meg, hogyan segíthetnek az Imperva adatbiztonsági és adatmaszkolási megoldásai az Adatvédelmi keretrendszer fejlesztésében.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.

Previous post A közgazdaságtan/allokáció alapelvei
Next post Tom Hanks volt felesége, Samantha Lewes színésznő volt & halála előtt csontrákban szenvedett 50