가장 넓은 의미에서 프라이버시는 개인,그룹 또는 조직이 자신의 신체,재산,아이디어,데이터 또는 정보와 같이 자신이 소유 한 것에 액세스,관찰 또는 사용할 수있는 사람을 제어 할 수있는 권리입니다.
제어는 원치 않는 접근,관찰 또는 사용을 방지하는 데 도움이되는 물리적,사회적 또는 정보 경계를 통해 설정됩니다. 예를 들어:
- 잠긴 정문과 같은 물리적 경계는 문을 여는 열쇠 또는 문을 여는 사람의 형태로 명시적인 허가없이 다른 사람이 건물에 들어 가지 못하게합니다.
- 회원 전용 클럽과 같은 사회적 경계는 회원 만 클럽 리소스에 액세스하고 사용할 수 있도록합니다.
- 비공개 계약과 같은 정보 경계는 다른 사람에게 공개 할 수있는 정보를 제한합니다.
새로운 기술과 파괴적인 비즈니스 모델에 의해 구동되는 글로벌 정보 경제의 기하 급수적 인 성장은 점점 더 많은 양의 개인 데이터가 수집,사용,교환,분석,보존 및 때로는 상업적 목적으로 사용되고 있음을 의미합니다. 또한 우발적 또는 의도적 인 데이터 유출,부정확하거나 손실 된 데이터 레코드 및 데이터 오용 사고가 계속 증가하고 있음을 의미합니다.
결과적으로 데이터 보안에 대한 수요와 마찬가지로 개인 정보가 수집되는 방식,공유 대상 및 사용,유지 또는 삭제 방법을 제어 할 수있는 권리 인 데이터 프라이버시에 대한 요구가 커졌습니다.
개인의 데이터 프라이버시 권리와 개인의 목적을 위해 개인 데이터를 사용하려는 조직의 욕구의 균형을 맞추는 것은 어렵지만 불가능하지는 않습니다. 그것은 데이터 개인 정보 보호 프레임 워크를 개발해야합니다.
데이터 프라이버시 프레임워크 개발
프레임워크에 대한”모든 것에 맞는 템플릿”은 없지만 비즈니스와 관련된 템플릿을 개발하는 데 도움이 될 수 있는 몇 가지 보편적인 프로세스가 있습니다.
개인 데이터 검색 및 분류-수집되는 데이터 유형 결정(예:개인 데이터 검색 및 분류). 데이터 수집 위치 및 방법,데이터 저장 위치,데이터에 액세스 할 수있는 사람 및 물리적으로 위치한 위치,비즈니스 단위 내 및 전체 데이터 흐름,국가 내 및 국가 간 데이터 전송.
개인 정보 보호 영향 평가 실시—데이터 저장,백업 및 폐기 방법 및 위치,현재 구현되는 데이터 보안 조치 및 시스템이 데이터 개인 정보 침해에 취약 할 수있는 위치 결정. 데이터 보안 조치의 예는 다음과 같습니다:
- 변경 관리-데이터 구조 변경 내용을 모니터링,로그 및 보고합니다. 수락된 변경 티켓으로 데이터베이스에 대한 변경 내용을 추적할 수 있는 준수 감사자를 표시합니다.
- 데이터 손실 방지-네트워크에서 이동 중인 데이터,데이터 저장소에서 사용 중인 데이터 또는 엔드포인트 장치에서 사용 중인 데이터를 모니터링 및 보호합니다. 데이터 도용을 방지하기 위해 공격,권한 남용,무단 액세스,악성 웹 요청 및 비정상적인 활동을 차단합니다.
- 데이터 마스킹-암호화/해싱,일반화,섭동 등을 통해 데이터를 익명화합니다. 중요한 데이터를 운영 및 통계 정확도를 유지하는 현실적인 가상 데이터로 대체하여 데이터를 가명합니다.
- 데이터 보호-변경 제어 조정,국경 간 데이터 제어,쿼리 화이트리스트 등을 통해 데이터 무결성 및 기밀성을 보장합니다.
- 윤리 장벽-기업 그룹 간의 엄격한 분리를 유지하여 요구 사항,정부 통관 등을 준수합니다.
- 권한 있는 사용자 모니터링-권한 있는 사용자 데이터베이스 액세스 및 활동을 모니터링합니다. 필요한 경우 액세스 또는 활동을 차단합니다.
- 보안 감사 추적 보관-감사 추적을 변조,수정 또는 삭제로부터 보호하고 포렌식 가시성을 제공합니다.
- 민감한 데이터 액세스 감사-법률,규정 준수 규정 및 계약 계약에 의해 보호되는 데이터에 대한 액세스 및 변경을 모니터링합니다. 무단 액세스 또는 변경에 대한 경보를 트리거합니다. 포렌식에 대한 감사 추적을 만듭니다.
- 사용자 권한 관리-과도하고 부적절하며 사용되지 않는 권한을 식별합니다.
- 사용자 추적-웹 응용 프로그램 최종 사용자를 공유 응용 프로그램/데이터베이스 사용자에게 매핑한 다음 액세스된 최종 데이터에 매핑합니다.
- 귀빈 데이터 개인 정보 보호-매우 중요한 데이터에 대한 엄격한 액세스 제어를 유지합니다.
마케팅 문제 이해-국경 간 마케팅 문제 결정(예: 제품 또는 서비스가 다른 국가의 거주자에게 직접 판매되는지 여부,웹 사이트에서 사용되는 언어 또는 모바일 응용 프로그램 배포)및 제 3 자 마케팅 문제(예:마케팅 목적으로 정보 공유).
규정 준수 요구 사항 분석-개인 데이터의 이해 및 개인 정보 보호 실시에 수집 된 결과에 따라 해당 규정 준수 요구 사항을 결정합니다.
- 입법 규정—개인 데이터 수집,사용,저장,운송 및 보호를 규제하는 주,국가 또는 정부 기관의 법률. 개인 정보 보호 및 전자 문서 법,정보 기술 법 2000(인도),개인 정보 보호 법 1993(뉴질랜드).
- 산업별 규정-특정 산업,비즈니스 유형 또는 정부 기관이 개인 데이터를 취급하고 보호하는 방법을 정의하는 법률 또는 의무. 건강 정보 이동 및 책임 법,경제 및 임상 건강을위한 건강 정보 기술(하이텍),지불 카드 산업 데이터 보안 표준 등이 있습니다.
- 제 3 자 의무—계약자,공급 업체 또는 기타 외부 기관이’부모’조직에서 수집 한 개인 데이터를 처리하고 보호하는 방법을 정의하는 비즈니스 파트너 간의 계약. 예를 들어,미국 기반 공급업체를 위해 신용 카드 서비스를 제공하는 인도에 위치한 대행사는 데이터 보호 요구 사항을 준수해야 합니다.
개인 정보 보호 정책 및 내부 통제 개발—외부 개인 정보 보호 정책 작성(예:웹 사이트,모바일 앱 및 오프라인 개인 정보 보호 정책);데이터 거버넌스,데이터 개인 정보 보호 및 보안 위반과 관련된 내부 및 외부 개인 정보 보호 정책 및 절차;데이터 개인 정보 보호 교육.
임페바 데이터 보안 및 데이터 마스킹 솔루션이 데이터 프라이버시 프레임워크를 개발하는 데 어떻게 도움이 되는지 알아보십시오.