Privacidade, no sentido mais amplo, é o direito dos indivíduos, grupos ou organizações para controlar quem pode acessar, observar, ou usar algo que eles próprios, como os seus corpos, bens, idéias, dados ou informações.
o controle é estabelecido através de limites físicos, sociais ou informacionais que ajudam a prevenir acesso indesejado, observação ou uso. Por exemplo:
- um limite físico, tal como uma porta da frente trancada, ajuda a impedir que outros entrem em um edifício sem permissão explícita na forma de uma chave para destrancar a porta ou uma pessoa dentro de abrir a porta.
- uma fronteira social, como um clube só para membros, só permite aos membros acessar e usar recursos do clube.
- uma fronteira informacional, como um acordo de não divulgação, restringe as informações que podem ser divulgadas a outros.
o crescimento exponencial de uma economia global da informação, impulsionada por novas tecnologias e modelos de negócios disruptivos, significa que uma quantidade cada vez maior de dados pessoais está sendo coletada, usada, trocada, analisada, retida e às vezes usada para fins comerciais. Isso também significa que há um número cada vez maior de violações de dados acidentais ou intencionais, registros de dados incorretos ou perdidos, e incidentes de uso indevido de dados.
como resultado, a demanda por privacidade de dados — o direito de controlar como as informações pessoais são coletadas, com quem são compartilhadas, e como são usadas, retidas ou apagadas — cresceu, assim como a demanda por segurança de dados.
equilibrar o direito do indivíduo à privacidade dos dados e o desejo de uma organização de usar os dados pessoais para os seus próprios fins é um desafio, mas não impossível. Requer o desenvolvimento de um quadro de privacidade de dados.
desenvolver um quadro de Privacidade de dados
embora não exista um “modelo de tamanho único” para um quadro, existem vários processos universais que podem ajudá-lo a desenvolver um relevante para o seu negócio:
descobrir e classificar os dados pessoais-determinando que tipos de dados são recolhidos (por exemplo,, médica, financeira, ou dados de identificação pessoal, tais como números de Segurança Social), onde e como os dados são coletados, onde os dados são armazenados, quem tem acesso aos dados e onde eles estão localizados fisicamente, fluxos de dados dentro e através de uma unidade de negócios, e as transferências de dados dentro e entre os países.
Conducting a Privacy Impact Assessment — PIA) – Determining how and where data is stored, backed up, and disposed, what data security measures are currently implemented, and where systems may be vulnerable to a data privacy breach. Exemplos de medidas de segurança de dados incluem o seguinte::
- gerenciamento de mudanças — monitores, logs e relatórios sobre mudanças na estrutura de dados. Mostra auditores de conformidade que as alterações à base de dados podem ser rastreadas até bilhetes de alteração aceitos.
- prevenção da perda de dados — monitoriza e protege os dados em movimento nas redes, em repouso no armazenamento de dados ou em utilização em dispositivos de endpoint. Bloqueia ataques, abuso de privilégios, acesso não autorizado, pedidos maliciosos da web, e atividade incomum para evitar o roubo de dados.
- Data masking-anonimiza os dados através de criptografia / hashing, generalização, perturbação, etc. Pseudônimo de dados, substituindo dados sensíveis por dados fictícios realistas que mantêm a precisão operacional e Estatística.
- protecção de dados-garante a integridade e a confidencialidade dos dados através da reconciliação do controlo das alterações, dos controlos transfronteiras dos dados, da lista branca de consultas, etc.
- paredes éticas-mantém uma separação estrita entre grupos empresariais para cumprir os requisitos M&a, autorização governamental, etc.Monitorização privilegiada dos utilizadores — monitoriza o acesso privilegiado às bases de dados e actividades dos utilizadores. Bloqueia o acesso ou a actividade, se necessário.
- arquivo de pista de auditoria segura-assegura a pista de auditoria de adulteração, modificação ou eliminação, e proporciona visibilidade forense.
- auditoria do acesso a dados sensíveis-controla o acesso e as alterações dos dados protegidos por lei, regulamentos de conformidade e acordos contratuais. Activa alarmes para acesso não autorizado ou alterações. Cria uma pista de auditoria para os Forenses.
- gestão dos direitos dos utilizadores — identifica privilégios excessivos, inadequados e não utilizados.
- rastreamento de usuário-mapeia o usuário final da aplicação web para o usuário compartilhado da aplicação / Banco de dados e, em seguida, para os dados finais acessados.Privacidade de dados VIP-mantém um rigoroso controlo de acesso a dados altamente sensíveis, incluindo dados armazenados em aplicações empresariais multi-níveis como a SAP e a PeopleSoft.
Understanding marketing issues-Determining cross-border marketing issues (e.g., se os produtos ou serviços são diretamente comercializados para residentes de outros países, a língua utilizada em um site, ou uma implantação de aplicações móveis), e questões de marketing de terceiros (por exemplo, compartilhamento de informações para fins de marketing).
analisar os requisitos de Conformidade-determinar os requisitos de conformidade aplicáveis, com base nos resultados obtidos na compreensão dos dados pessoais e na realização de um PIA.
- regulamentação legislativa-leis estaduais, nacionais ou governamentais que regulamentam a coleta, uso, armazenamento, transporte e proteção de dados pessoais. Exemplos incluem o General Data Protection Regulation( GDPR-União Europeia), Personal Information Protection and Electronic Documents Act (PIPEDA — Canada), Information Technology Act 2000 (ITA — India), Privacy Act 1993 (New Zealand).Regulamentos específicos da indústria-leis ou mandatos que definem como uma indústria específica, tipo de negócio, ou agência do governo irá tratar e proteger os dados pessoais. Exemplos incluem Health Information Portability and Accountability Act( HIPAA), Health Information Technology for Economic and Clinical Health (HITECH), Payment Card Industry Data Security Standards (PCI DSS).Obrigações de terceiros-acordos entre parceiros comerciais que definem a forma como um contratante, vendedor ou outra agência externa tratará e garantirá os dados pessoais recolhidos pela organização-mãe. Por exemplo, uma agência localizada na Índia fornecendo serviços de cartão de crédito para um fornecedor baseado nos EUA deve observar requisitos de proteção de dados PCI DSS.
desenvolvimento de políticas de Privacidade e controles internos — criação de declarações de Privacidade externas (por exemplo, Site, Aplicativo móvel e políticas de Privacidade offline); políticas e procedimentos internos e externos de Privacidade relacionados com a governança de dados, Privacidade de dados e violações de segurança; e treinamento de privacidade de dados.
Saiba como as soluções de segurança de dados e de mascaramento de dados da Imperva podem ajudá-lo a desenvolver o seu quadro de Privacidade de dados.