Sekretess, i vid bemärkelse, är rätten för individer, grupper eller organisationer att kontrollera vem som kan komma åt, observera eller använda något de äger, till exempel deras kroppar, egendom, ideer, data eller information.
kontroll etableras genom fysiska, sociala eller informativa gränser som hjälper till att förhindra oönskad åtkomst, observation eller användning. Exempelvis:
- en fysisk gräns, till exempel en låst ytterdörr, hjälper till att förhindra att andra kommer in i en byggnad utan uttryckligt tillstånd i form av en nyckel för att låsa upp dörren eller en person som öppnar dörren inuti.
- en social gräns, till exempel en klubb endast för medlemmar, tillåter bara medlemmar att komma åt och använda klubbresurser.
- en informationsgräns, såsom ett sekretessavtal, begränsar vilken information som kan lämnas ut till andra.
den exponentiella tillväxten i en global informationsekonomi, driven av ny teknik och störande affärsmodeller, innebär att en ständigt ökande mängd personuppgifter samlas in, används, utbyts, analyseras, behålls och ibland används för kommersiella ändamål. Det innebär också att det finns ett ständigt ökande antal oavsiktliga eller avsiktliga dataöverträdelser, felaktiga eller förlorade dataposter, och data missbruk incidenter.
som ett resultat har efterfrågan på datasekretess — rätten att kontrollera hur personuppgifter samlas in, med vilka den delas och hur den används, behålls eller raderas — ökat, liksom efterfrågan på datasäkerhet.
att balansera individens rätt till datasekretess och en organisations önskan att använda personuppgifter för sina egna ändamål är utmanande, men inte omöjligt. Det kräver att man utvecklar ett ramverk för datasekretess.
utveckla ett ramverk för datasekretess
även om det inte finns en ”one-size-fits-all — mall” för ett ramverk, finns det flera universella processer som kan hjälpa dig att utveckla en relevant för ditt företag:
upptäcka och klassificera personuppgifter-bestämma vilka typer av data som samlas in (t. ex. personnummer), var och hur uppgifterna samlas in, var data lagras, vem som har tillgång till uppgifterna och var de fysiskt finns, dataflöden inom och över en affärsenhet och dataöverföringar inom och mellan länder.
genomföra en Privacy Impact Assessment (PIA) – bestämma hur och var data lagras, säkerhetskopieras och bortskaffas, vilka datasäkerhetsåtgärder som för närvarande implementeras och var system kan vara sårbara för dataintrång. Exempel på datasäkerhetsåtgärder inkluderar följande:
- Change management-övervakar, loggar och rapporter om förändringar datastruktur. Visar efterlevnadsrevisorer som ändringar i databasen kan spåras till godkända ändringsbiljetter.
- förebyggande av dataförlust-övervakar och skyddar data i rörelse i nätverk, i vila i datalagring eller i användning på slutpunktsenheter. Blockerar attacker, missbruk av privilegier, obehörig åtkomst, skadliga webbförfrågningar och ovanlig aktivitet för att förhindra datastöld.
- datamaskering-anonymiserar data via kryptering / hashing, generalisering, störning etc. Pseudonymiserar data genom att ersätta känsliga data med realistiska fiktiva data som upprätthåller operativ och statistisk noggrannhet.
- dataskydd-säkerställer dataintegritet och konfidentialitet genom ändring kontroll avstämning, data-gränsöverskridande kontroller, fråga vitlistning, etc.
- etiska väggar-upprätthåller strikt åtskillnad mellan affärsgrupper för att uppfylla m&a-krav, regeringens godkännande etc.
- privilegierad användarövervakning-övervakar privilegierad användardatabasåtkomst och aktiviteter. Blockerar åtkomst eller aktivitet, om det behövs.
- Secure audit trail archiving-säkrar verifieringskedjan från manipulering, modifiering eller radering och ger rättsmedicinsk synlighet.
- granskning av känslig dataåtkomst-övervakar åtkomst till och ändringar av data som skyddas av lag, efterlevnadsbestämmelser och avtalsavtal. Utlöser larm för obehörig åtkomst eller ändringar. Skapar en verifieringskedja för kriminalteknik.
- hantering av användarrättigheter-identifierar överdrivna, olämpliga och oanvända privilegier.
- användarspårning-kartlägger webbapplikationens slutanvändare till den delade applikations – / databasanvändaren och sedan till den slutliga data som nås.
- VIP-datasekretess-upprätthåller strikt åtkomstkontroll på mycket känsliga data, inklusive data som lagras i flera företagsapplikationer som SAP och PeopleSoft.
förstå marknadsföringsfrågor-bestämma gränsöverskridande marknadsföringsfrågor (t. ex. om produkter eller tjänster marknadsförs direkt till invånare i andra länder, språket som används på en webbplats eller en distribution av mobila applikationer) och marknadsföringsfrågor från tredje part (t.ex. delning av information i marknadsföringssyfte).
analysera efterlevnadskrav-bestämma tillämpliga efterlevnadskrav, baserat på de resultat som samlats in för att förstå personuppgifterna och genomföra en PIA.
- Lagstiftningsförordningar-Statliga, lands-eller myndighetslagar som reglerar insamling, användning, lagring, transport och skydd av personuppgifter. Exempel är General Data Protection Regulation (GDPR-Europeiska unionen), lagen om skydd av personuppgifter och elektroniska dokument (PIPEDA — Kanada), Information Technology Act 2000 (ita — Indien), Privacy Act 1993 (Nya Zeeland).
- branschspecifika förordningar-lagar eller mandat som definierar hur en viss bransch, typ av verksamhet eller myndighet ska behandla och säkra personuppgifter. Exempel inkluderar Health Information Portability and Accountability Act (HIPAA), Hälsoinformationsteknik för ekonomisk och klinisk hälsa (HITECH), Payment Card Industry Data Security Standards (PCI DSS).
- tredje parts skyldigheter-avtal mellan affärspartners som definierar hur en entreprenör, leverantör eller annan extern byrå ska behandla och säkra personuppgifter som samlas in av moderorganisationen. Till exempel måste en byrå i Indien som tillhandahåller kreditkortstjänster för en amerikansk leverantör följa PCI DSS-dataskyddskrav.
utveckla sekretesspolicyer och interna kontroller — skapa externa sekretesspolicyer (t.ex. webbplats, mobilapp och offline Sekretesspolicy); interna och externa sekretesspolicyer och procedurer relaterade till datastyrning, datasekretess och säkerhetsbrott; och datasekretessutbildning.
läs om hur Imperva datasäkerhets-och datamaskeringslösningar kan hjälpa dig att utveckla ditt ramverk för datasekretess.