prywatność, w najszerszym znaczeniu, to prawo osób, grup lub organizacji do kontrolowania, kto może uzyskać dostęp, obserwować lub wykorzystywać coś, co posiada, takie jak ich ciała, własność, pomysły, dane lub informacje.
kontrola jest ustalana poprzez fizyczne, społeczne lub informacyjne granice, które pomagają zapobiegać niepożądanemu dostępowi, obserwacji lub użyciu. Na przykład:
- fizyczna granica, taka jak zamknięte drzwi wejściowe, pomaga uniemożliwić innym wejście do budynku bez wyraźnego pozwolenia w postaci klucza do otwierania drzwi lub osoby wewnątrz otwierającej drzwi.
- granica społeczna, taka jak Klub tylko dla członków, pozwala tylko członkom na dostęp i korzystanie z zasobów klubu.
- granica informacyjna, taka jak umowa o Zachowaniu Poufności, ogranicza informacje, które mogą zostać ujawnione innym.
wykładniczy wzrost globalnej gospodarki informacyjnej, napędzany nowymi technologiami i przełomowymi modelami biznesowymi, oznacza, że coraz większa ilość danych osobowych jest gromadzona, wykorzystywana, wymieniana, analizowana, zatrzymywana, a czasami wykorzystywana do celów komercyjnych. Oznacza to również, że stale rośnie liczba przypadkowych lub umyślnych naruszeń danych, nieprawidłowych lub utraconych zapisów danych oraz incydentów związanych z niewłaściwym wykorzystaniem danych.
w rezultacie wzrosło zapotrzebowanie na prywatność danych-prawo do kontroli, w jaki sposób gromadzone są dane osobowe, komu są udostępniane oraz w jaki sposób są wykorzystywane, zatrzymywane lub usuwane — podobnie jak zapotrzebowanie na bezpieczeństwo danych.
Równoważenie prawa jednostki do prywatności danych i chęci organizacji do wykorzystywania danych osobowych do własnych celów jest trudne, ale nie niemożliwe. Wymaga to opracowania ram ochrony prywatności danych.
opracowywanie ram ochrony prywatności danych
chociaż nie ma „jednego uniwersalnego szablonu” dla RAM, istnieje kilka uniwersalnych procesów, które mogą pomóc w opracowaniu jednego odpowiedniego dla Twojej firmy:
odkrywanie i klasyfikowanie danych osobowych — określanie, jakie rodzaje danych są gromadzone (np. dane medyczne, finansowe lub dane osobowe, takie jak numery ubezpieczenia społecznego), gdzie i w jaki sposób dane są gromadzone, gdzie są przechowywane, kto ma dostęp do danych i gdzie są fizycznie zlokalizowane, przepływ danych w obrębie jednostki biznesowej i między nią oraz transfer danych w obrębie i między krajami.
przeprowadzanie oceny wpływu na prywatność (Pia) — określającej sposób i miejsce przechowywania, tworzenia kopii zapasowych i usuwania danych, jakie środki bezpieczeństwa danych są obecnie wdrażane i gdzie systemy mogą być podatne na naruszenie prywatności danych. Przykłady środków bezpieczeństwa danych obejmują następujące:
- Zarządzanie zmianami-monitoruje, rejestruje i raportuje zmiany w strukturze danych. Pokazuje audytorom zgodności, że zmiany w bazie danych można przypisać do zaakceptowanych zgłoszeń zmian.
- zapobieganie utracie danych — monitoruje i chroni dane w ruchu w sieciach, w spoczynku w pamięci masowej lub w użyciu na urządzeniach końcowych. Blokuje ataki, nadużycia uprawnień, nieautoryzowany dostęp, złośliwe żądania sieciowe i nietypowe działania, aby zapobiec kradzieży danych.
- maskowanie danych-anonimizuje dane poprzez szyfrowanie/haszowanie, uogólnianie, perturbację itp. Pseudonimizuje dane, zastępując dane wrażliwe realistycznymi danymi fikcyjnymi, które zachowują dokładność operacyjną i statystyczną.
- Ochrona danych-zapewnia integralność i poufność danych poprzez uzgadnianie kontroli zmian, kontrole transgraniczne danych, białą listę zapytań itp.
- ściany etyczne — utrzymuje ścisły rozdział między grupami biznesowymi, aby spełnić wymagania M &a, zezwolenia rządu itp.
- monitorowanie użytkowników uprzywilejowanych-monitoruje dostęp do bazy danych użytkowników uprzywilejowanych i ich działania. Blokuje dostęp lub aktywność, jeśli to konieczne.
- Bezpieczna Archiwizacja ścieżki audytu-zabezpiecza ścieżkę audytu przed manipulacją, modyfikacją lub usunięciem oraz zapewnia widoczność śledczą.
- audyt dostępu do danych wrażliwych-monitoruje dostęp i zmiany danych chronionych prawem, przepisami compliance i umowami. Uruchamia alarmy w przypadku nieautoryzowanego dostępu lub zmian. Tworzy ścieżkę audytu dla kryminalistyki.
- zarządzanie prawami użytkowników-identyfikuje nadmierne, niewłaściwe i nieużywane uprawnienia.
- śledzenie użytkowników-mapuje użytkownika końcowego aplikacji internetowej do użytkownika aplikacji współdzielonej/bazy danych, a następnie do ostatecznych danych, do których uzyskano dostęp.
- prywatność danych VIP-utrzymuje ścisłą kontrolę dostępu do bardzo wrażliwych danych, w tym danych przechowywanych w wielopoziomowych aplikacjach korporacyjnych, takich jak SAP i PeopleSoft.
zrozumienie zagadnień marketingowych-określenie zagadnień marketingu transgranicznego (np., czy produkty lub usługi są bezpośrednio sprzedawane mieszkańcom innych krajów, język używany na stronie internetowej lub wdrożenie aplikacji mobilnych) oraz kwestie marketingowe osób trzecich (np. udostępnianie informacji w celach marketingowych).
Analiza wymagań zgodności-określenie obowiązujących wymagań zgodności, w oparciu o wyniki zebrane w celu zrozumienia danych osobowych i przeprowadzenia PIA.
- regulacje prawne — Stanowe, krajowe lub rządowe przepisy regulujące gromadzenie, wykorzystywanie, przechowywanie, transport i ochronę danych osobowych. Przykłady obejmują ogólne rozporządzenie o ochronie danych (RODO-Unia Europejska), ustawę o Ochronie Danych Osobowych i dokumentach elektronicznych (PIPEDA — Kanada), ustawę o Technologii Informacyjnej z 2000 r. (Ita — Indie), ustawę o prywatności z 1993 r. (Nowa Zelandia).
- przepisy branżowe-przepisy lub mandaty określające, w jaki sposób dana branża, rodzaj działalności lub agencja rządowa będą traktować i zabezpieczać dane osobowe. Przykłady obejmują Health Information Portability and Accountability Act (HIPAA), Health Information Technology for Economic and Clinical Health (HITECH), Payment Card Industry Data Security Standards (PCI DSS).
- zobowiązania stron trzecich-Umowy między partnerami biznesowymi określające, w jaki sposób kontrahent, sprzedawca lub inna agencja zewnętrzna będą traktować i zabezpieczać dane osobowe gromadzone przez organizację „macierzystą”. Na przykład agencja z siedzibą w Indiach świadcząca usługi kart kredytowych dla dostawcy z siedzibą w USA musi przestrzegać wymogów ochrony danych PCI DSS.
opracowywanie polityki prywatności i kontroli wewnętrznych — Tworzenie zewnętrznych oświadczeń o ochronie prywatności (np. Polityki Prywatności w witrynie internetowej,aplikacji mobilnej i offline); wewnętrzne i zewnętrzne Polityki Prywatności i procedury związane z zarządzaniem danymi, naruszeniami Prywatności i bezpieczeństwa danych; oraz szkolenia w zakresie ochrony danych.
dowiedz się, jak rozwiązania Imperva w zakresie bezpieczeństwa danych i maskowania danych mogą pomóc w opracowaniu ram ochrony danych.