confidențialitatea, în sensul cel mai larg, este dreptul persoanelor, grupurilor sau organizațiilor de a controla cine poate accesa, observa sau utiliza ceva ce dețin, cum ar fi corpurile, proprietatea, ideile, datele sau informațiile lor.
controlul este stabilit prin limite fizice, sociale sau informaționale care ajută la prevenirea accesului, observării sau utilizării nedorite. De exemplu:
- o limită fizică, cum ar fi o ușă din față încuiată, ajută la împiedicarea altora să intre într-o clădire fără permisiunea explicită sub forma unei chei pentru a debloca ușa sau a unei persoane din interior care deschide ușa.
- o limită socială, cum ar fi un club numai pentru membri, permite membrilor să acceseze și să utilizeze resursele clubului.
- o limită informațională, cum ar fi un acord de nedivulgare, restricționează ce informații pot fi dezvăluite altora.
creșterea exponențială a unei economii globale a informației, condusă de noile tehnologii și modele de afaceri perturbatoare, înseamnă că o cantitate tot mai mare de date cu caracter personal este colectată, utilizată, schimbată, analizată, reținută și uneori utilizată în scopuri comerciale. De asemenea, înseamnă că există un număr din ce în ce mai mare de încălcări accidentale sau intenționate ale datelor, înregistrări de date incorecte sau pierdute și incidente de utilizare necorespunzătoare a datelor.
ca urmare, cererea de Confidențialitate a datelor — dreptul de a controla modul în care sunt colectate informațiile personale, cu cine sunt partajate și modul în care sunt utilizate, păstrate sau șterse — a crescut, la fel ca și cererea de securitate a datelor.
echilibrarea dreptului individului la confidențialitatea datelor și dorința unei organizații de a utiliza datele cu caracter personal în scopuri proprii este o provocare, dar nu imposibilă. Este nevoie de dezvoltarea unui cadru de Confidențialitate a datelor.
dezvoltarea unui cadru de Confidențialitate a datelor
deși nu există un „șablon unic” pentru un cadru, există mai multe procese universale care vă pot ajuta să dezvoltați unul relevant pentru afacerea dvs.:
descoperirea și clasificarea datelor cu caracter personal-determinarea tipurilor de date colectate (de ex. date medicale, financiare sau de identificare personală, cum ar fi numerele de securitate socială), unde și cum sunt colectate datele, unde sunt stocate datele, cine are acces la date și unde sunt localizate fizic, fluxurile de date în interiorul și peste o unitate de afaceri și transferurile de date în interiorul și între țări.
efectuarea unei evaluări a impactului asupra confidențialității (Pia) – determinarea modului și locului în care datele sunt stocate, salvate și eliminate, ce măsuri de securitate a datelor sunt implementate în prezent și unde sistemele pot fi vulnerabile la o încălcare a confidențialității datelor. Exemple de măsuri de securitate a datelor includ următoarele:
- Change management-Monitoare, jurnale și rapoarte privind modificările structurii datelor. Arată auditorilor de conformitate că modificările aduse bazei de date pot fi urmărite la biletele de schimbare acceptate.
- prevenirea pierderilor de date — monitorizează și protejează datele în mișcare în rețele, în repaus în stocarea datelor sau în utilizare pe dispozitivele endpoint. Blochează atacurile, abuzul de privilegii, accesul neautorizat, solicitările Web rău intenționate și activitatea neobișnuită pentru a preveni furtul de date.
- mascarea datelor — anonimizează datele prin criptare/hashing, generalizare, perturbare etc. Pseudonimizează datele prin înlocuirea datelor sensibile cu date fictive realiste care mențin acuratețea operațională și Statistică.
- protecția datelor — asigură integritatea și confidențialitatea datelor prin reconcilierea controlului schimbărilor, controalele transfrontaliere ale datelor, lista albă a interogărilor etc.
- ziduri etice — menține separarea strictă între grupurile de afaceri pentru a se conforma cerințelor M& A, clearance-ul Guvernului etc.
- monitorizarea utilizatorilor privilegiați — monitorizează accesul și activitățile bazei de date a utilizatorilor privilegiați. Blochează accesul sau activitatea, dacă este necesar.
- secure audit trail archiving — asigură pista de audit de manipulare, modificare sau ștergere, și oferă vizibilitate medico-legale.
- auditul accesului la date sensibile — monitorizează accesul și modificările datelor protejate prin lege, reglementări de Conformitate și acorduri contractuale. Declanșează alarme pentru acces neautorizat sau modificări. Creează o pistă de audit pentru criminalistică.
- User rights management — identifică privilegii excesive, inadecvate și neutilizate.
- urmărirea utilizatorului — mapează utilizatorul final al aplicației web la utilizatorul partajat al aplicației/bazei de date și apoi la datele finale accesate.
- confidențialitatea datelor VIP — menține un control strict al accesului la date extrem de sensibile, inclusiv datele stocate în aplicații de întreprindere cu mai multe niveluri, cum ar fi SAP și PeopleSoft.
înțelegerea problemelor de marketing — determinarea problemelor de marketing transfrontaliere (de ex., indiferent dacă produsele sau serviciile sunt comercializate direct rezidenților din alte țări, limba utilizată pe un site web sau o implementare a aplicațiilor mobile) și probleme de marketing ale terților (de exemplu, schimbul de informații în scopuri de marketing).
Analiza cerințelor de conformitate — determinarea cerințelor de conformitate aplicabile, pe baza rezultatelor colectate în înțelegerea datelor cu caracter personal și efectuarea unui PIA.
- reglementări Legislative — legi de stat, țară sau agenție guvernamentală care reglementează colectarea, utilizarea, stocarea, transportul și protecția datelor cu caracter personal. Exemplele includ Regulamentul General privind protecția datelor (GDPR — Uniunea Europeană), Legea privind protecția informațiilor personale și documentele electronice (PIPEDA — Canada), Legea privind Tehnologia Informației din 2000 (ITA — India), Legea privind confidențialitatea din 1993 (Noua Zeelandă).
- reglementări specifice industriei-legi sau mandate care definesc modul în care o anumită industrie, tip de afacere sau agenție guvernamentală va trata și securiza datele cu caracter personal. Exemplele includ Legea privind portabilitatea și responsabilitatea informațiilor privind sănătatea (HIPAA), tehnologia informației privind sănătatea pentru sănătatea economică și clinică (HITECH), standardele de securitate a datelor din industria cardurilor de plată (PCI DSS).
- obligații ale terților-acorduri între partenerii de afaceri care definesc modul în care un contractant, furnizor sau altă agenție externă va trata și securiza datele personale colectate de organizația mamă. De exemplu, o agenție situată în India care furnizează servicii de carduri de credit pentru un furnizor din SUA trebuie să respecte cerințele de protecție a datelor PCI DSS.
elaborarea politicilor de confidențialitate și a controalelor interne — crearea de declarații de confidențialitate externe (de exemplu, site-uri web, aplicații mobile și politici de confidențialitate offline); politici și proceduri de confidențialitate interne și externe legate de guvernanța datelor, încălcarea confidențialității datelor și a securității; și instruire privind confidențialitatea datelor.
Aflați cum soluțiile Imperva de securitate a datelor și de mascare a datelor vă pot ajuta să vă dezvoltați cadrul de Confidențialitate a datelor.