La privacy, nel senso più ampio, è il diritto di individui, gruppi o organizzazioni di controllare chi può accedere, osservare o utilizzare qualcosa di proprio, come i loro corpi, proprietà, idee, dati o informazioni.
Il controllo viene stabilito attraverso confini fisici, sociali o informativi che aiutano a prevenire l’accesso, l’osservazione o l’uso indesiderati. Biru:
- Un limite fisico, come una porta d’ingresso chiusa a chiave, aiuta a impedire ad altri di entrare in un edificio senza autorizzazione esplicita sotto forma di una chiave per sbloccare la porta o di una persona all’interno che apre la porta.
- Un limite sociale, ad esempio un club per soli soci, consente solo ai membri di accedere e utilizzare le risorse del club.
- Un limite informativo, come un accordo di non divulgazione, limita le informazioni che possono essere divulgate ad altri.
La crescita esponenziale di un’economia globale dell’informazione, trainata da nuove tecnologie e modelli di business dirompenti, significa che una quantità sempre crescente di dati personali viene raccolta, utilizzata, scambiata, analizzata, conservata e talvolta utilizzata per scopi commerciali. Significa anche che c’è un numero sempre crescente di violazioni dei dati accidentali o intenzionali, record di dati errati o persi e incidenti di uso improprio dei dati.
Di conseguenza, la richiesta di privacy dei dati — il diritto di controllare come le informazioni personali vengono raccolte, con chi sono condivise e come vengono utilizzate, conservate o cancellate — è cresciuta, così come la domanda di sicurezza dei dati.
Bilanciare il diritto dell’individuo alla privacy dei dati e il desiderio di un’organizzazione di utilizzare i dati personali per i propri scopi è impegnativo, ma non impossibile. Richiede lo sviluppo di un quadro sulla privacy dei dati.
Sviluppo di un framework per la privacy dei dati
Sebbene non esista un modello “one-size-fits-all” per un framework, esistono diversi processi universali che possono aiutarti a svilupparne uno pertinente alla tua attività:
Scoprire e classificare i dati personali — Determinare quali tipi di dati vengono raccolti (ad es. dati medici, finanziari o di identificazione personale come i numeri di previdenza sociale), dove e come i dati vengono raccolti, dove i dati sono memorizzati, chi ha accesso ai dati e dove si trovano fisicamente, flussi di dati all’interno e attraverso una business unit e trasferimenti di dati all’interno e tra i paesi.
Condurre una valutazione dell’impatto sulla privacy (PIA) — Determinare come e dove i dati vengono archiviati, sottoposti a backup e smaltiti, quali misure di sicurezza dei dati sono attualmente implementate e dove i sistemi possono essere vulnerabili a una violazione della privacy dei dati. Esempi di misure di sicurezza dei dati sono i seguenti:
- Gestione delle modifiche: monitora, registra e riporta le modifiche alla struttura dei dati. Mostra ai revisori della conformità che le modifiche al database possono essere ricondotte ai ticket di modifica accettati.
- Prevenzione della perdita di dati — monitora e protegge i dati in movimento sulle reti, a riposo nella memorizzazione dei dati o in uso sui dispositivi endpoint. Blocca attacchi, abuso di privilegi, accesso non autorizzato, richieste Web dannose e attività insolite per prevenire il furto di dati.
- Data masking-Anonimizza i dati tramite crittografia / hashing, generalizzazione,perturbazione, ecc. Pseudonimizza i dati sostituendo i dati sensibili con dati fittizi realistici che mantengono l’accuratezza operativa e statistica.
- Protezione dei dati-Garantisce l’integrità e la riservatezza dei dati attraverso la riconciliazione del controllo delle modifiche, i controlli transfrontalieri dei dati, la whitelist delle query, ecc.
- Ethical walls-Mantiene una rigorosa separazione tra gruppi aziendali per conformarsi ai requisiti M & A, autorizzazione governativa, ecc.
- Monitoraggio utenti privilegiati — monitora l’accesso e le attività al database degli utenti privilegiati. Blocca l’accesso o l’attività, se necessario.
- Archiviazione sicura della traccia di controllo: protegge la traccia di controllo da manomissioni, modifiche o cancellazioni e fornisce visibilità forense.
- Controllo dell’accesso ai dati sensibili-Controlla l’accesso e le modifiche dei dati protetti dalla legge, dai regolamenti di conformità e dagli accordi contrattuali. Attiva allarmi per accessi non autorizzati o modifiche. Crea una pista di controllo per la scientifica.
- Gestione diritti utente-Identifica privilegi eccessivi, inappropriati e non utilizzati.
- Tracciamento utente: associa l’utente finale dell’applicazione Web all’utente dell’applicazione/database condiviso e quindi ai dati finali a cui si accede.
- VIP data privacy-Mantiene rigoroso controllo di accesso su dati altamente sensibili, compresi i dati memorizzati in applicazioni aziendali multi-tier come SAP e PeopleSoft.
Comprensione delle questioni di marketing — Determinazione delle questioni di marketing transfrontaliere (ad es. prodotti o servizi sono commercializzati direttamente ai residenti di altri paesi, la lingua utilizzata su un sito web, o una distribuzione di applicazioni mobili), e questioni di marketing di terze parti (ad esempio, la condivisione di informazioni per scopi di marketing).
Analisi dei requisiti di conformità-Determinazione dei requisiti di conformità applicabili, sulla base dei risultati raccolti nella comprensione dei dati personali e nella conduzione di un PIA.
- Normative legislative — Leggi statali, nazionali o governative che regolano la raccolta, l’uso, la conservazione, il trasporto e la protezione dei dati personali. Gli esempi includono General Data Protection Regulation (GDPR-Unione Europea), Personal Information Protection and Electronic Documents Act (PIPEDA — Canada), Information Technology Act 2000 (ITA — India), Privacy Act 1993 (Nuova Zelanda).
- Regolamenti specifici del settore-leggi o mandati che definiscono come un settore specifico, un tipo di attività o un’agenzia governativa tratterà e proteggerà i dati personali. Gli esempi includono Health Information Portability and Accountability Act (HIPAA), Health Information Technology for Economic and Clinical Health (HITECH), Payment Card Industry Data Security Standards (PCI DSS).
- Obblighi di terze parti-Accordi tra partner commerciali che definiscono come un appaltatore, un fornitore o un’altra agenzia esterna tratterà e proteggerà i dati personali raccolti dall’organizzazione “madre”. Ad esempio, un’agenzia con sede in India che fornisce servizi di carte di credito per un fornitore con sede negli Stati Uniti deve rispettare i requisiti di protezione dei dati PCI DSS.
Sviluppo di politiche sulla privacy e controlli interni — Creazione di dichiarazioni sulla privacy esterne (ad esempio, sito Web, app mobile e politiche sulla privacy offline); politiche e procedure sulla privacy interne ed esterne relative alla governance dei dati, alla privacy dei dati e alle violazioni della sicurezza; e formazione sulla privacy dei dati.
Scopri come le soluzioni Imperva per la sicurezza dei dati e il data masking possono aiutarti a sviluppare il tuo framework per la privacy dei dati.