الامتثال للبيانات: معايير الامتثال للمنظمات

في واحدة من أحدث منشوراتنا ، ناقشنا أهمية خصوصية البيانات وأفضل الممارسات التي يجب أن تستخدمها المؤسسات لضمان الحفاظ على المعلومات الحساسة آمنة ومأمونة. ناقشنا أيضًا المبادئ واللوائح التي تحكم خصوصية البيانات. هنا ، سنناقش الامتثال للبيانات. الامتثال للبيانات هو ممارسة لضمان اتباع الكيانات للوائح لضمان تنظيم البيانات الحساسة التي تمتلكها وتخزينها وإدارتها بحيث يتم حمايتها من الفقد والفساد والسرقة وسوء الاستخدام.

تابع القراءة للتعرف على لوائح وحلول ومعايير الامتثال للبيانات.

اقرأ أيضا: خصوصية البيانات: الأهمية وأفضل الممارسات للمنظمات

ما هو امتثال البيانات؟

كما ذكرنا سابقًا ، يشير امتثال البيانات إلى اللوائح والمعايير التي يجب على الشركة اتباعها لحماية الأصول الرقمية الحساسة الموجودة تحت تصرفها - عادةً المعلومات الشخصية والمعلومات المالية - من الضياع والسرقة وسوء الاستخدام. تأخذ هذه اللوائح عدة أشكال. وهي تحدد البيانات التي يجب حمايتها ، والممارسات المقبولة ، والعقوبات المفروضة على عدم اتباع المعايير.

على الرغم من أن توافق البيانات وأمن البيانات قد يبدو متشابهًا ، إلا أنهما ليسا نفس الشيء. بينما يهدف كل من امتثال البيانات وأمن البيانات إلى تقليل المخاطر التي ينطوي عليها جمع البيانات وحفظها ومعالجتها وإدارتها ، فإن امتثال البيانات يضمن فقط استيفاء الحد الأدنى من الالتزامات القانونية. من ناحية أخرى ، يشمل أمن البيانات جميع العمليات والتكنولوجيا المستخدمة لحماية البيانات الحساسة ، مثل جدران الحماية والتشفير وبروتوكولات حماية كلمة المرور.

ما هي حالات امتثال البيانات الثلاث؟

وهي:

• بيانات عن الراحة
• بيانات عن الحركة
• بيانات عن الاستخدام

أنظمة وحلول الامتثال للبيانات

# 1. HIPAA

يحدد قانون نقل التأمين الصحي والمساءلة لعام 1996 كيف يجب على الكيانات في الولايات المتحدة التي تمتلك بيانات الرعاية الصحية والبيانات الطبية للأفراد الحفاظ على سلامة وسرية هذه السجلات.

بالنظر إلى أن هذه بعض السجلات الأكثر حساسية ، فإن عقوبة الفشل في الحفاظ عليها يمكن أن تكون ثقيلة على المنظمة. كانت هناك حالات أجبرت فيها شركة على دفع ملايين الدولارات. على سبيل المثال ، في عام 2018 ، وافقت شركة تأمين معينة على دفع غرامة قدرها 16 مليون دولار بعد أن كشفت محاولة قرصنة عن المعلومات الصحية لأكثر من 79 مليون عميل.

علاوة على ذلك ، تتطلب HIPAA أن يكون الوصول إلى جميع السجلات الصحية الإلكترونية متاحًا فقط لأولئك الذين لديهم أسباب مشروعة ، لذا فإن التشفير وقيود الوصول القوية ضرورية. لا تنطبق القواعد على السجلات الموجودة في قاعدة البيانات فحسب ، بل تنطبق أيضًا على السجلات التي يتم مشاركتها ، وبالتالي يجب اتخاذ خطوات لضمان أن الإجراءات مثل رسائل البريد الإلكتروني وعمليات نقل الملفات تتم مراقبتها وحمايتها وإدارتها بدقة.

# 2. PCI DSS

PCI-DSS هو الثاني في قائمة حلول توافق البيانات. يُعد معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) جانبًا مهمًا من أي عملية امتثال للمنظمات التي تتعامل مع المعلومات المالية للمستهلكين نظرًا لأنه يضع اللوائح الخاصة بكيفية إدارة الشركات لبيانات حامل البطاقة وحمايتها مثل أرقام بطاقات الائتمان.

على عكس الناتج المحلي الإجمالي ، يعد PCI DSS معيارًا صناعيًا وليس تنظيمًا حكوميًا. ومع ذلك ، فإن هذا لا يقلل من أهميتها ، نظرًا لأن أي شركة يتبين أنها تنتهك معايير الامتثال للبيانات الخاصة بها قد تواجه غرامات شديدة أو حتى يتم إنهاء علاقاتها مع البنوك أو معالجات الدفع ، مما يجعل من الصعب للغاية على الشركات تلقي مدفوعات البطاقات.

حتى إذا كانت الشركة تستخدم خدمات الجهات الخارجية لمعالجة مدفوعات البطاقات ، كما يفعل الكثيرون ، فلا يزال يتعين على الشركة ضمان أمان أي بيانات بطاقة ائتمان أو خصم تقوم بجمعها أو نقلها أو الاحتفاظ بها.

ستختلف الإجراءات المحددة التي يجب أن تتخذها المؤسسات اعتمادًا على عدد المعاملات التي تقوم بمعالجتها - سيواجه أولئك الذين لديهم قواعد عملاء أكبر لوائح امتثال بيانات أكثر صرامة - ولكن في النهاية ، تتطلب معايير PCI DSS من الشركات ضمان مستوى معين من الأمان.

تجدر الإشارة إلى أن مجلس معايير أمان صناعة بطاقات الدفع يحدد سلسلة من الإجراءات التي يجب على الشركات اتخاذها للامتثال لهذه المعايير. تتراوح هذه الإجراءات من تثبيت جدار حماية كافٍ إلى اختبار الأنظمة والعمليات بشكل دوري لتأمين بيانات حامل البطاقة. من الواضح أنه لا يوجد عذر لعدم وجود خطة واضحة لتحقيق هذه المعايير.

# 3. اللائحة العامة لحماية البيانات

تعد اللائحة العامة لحماية البيانات (GDPR) واحدة من أحدث أنظمة البيانات وأكثرها شمولاً. منذ صدوره في 25 مايو 2018 ، أنشأت اللائحة العامة لحماية البيانات عددًا من الحلول المتعلقة بحق الأشخاص في معرفة ما تحتفظ به كيانات البيانات لهم ، وكيف يجب على الشركات معالجة هذه البيانات ، وقوانين أكثر صرامة للإبلاغ عن انتهاكات البيانات.

ومن المثير للاهتمام أن هذه اللوائح لا تنطبق فقط على الشركات المؤسسة في أوروبا. إذا كنت تمارس نشاطًا تجاريًا مع أي فرد يخضع للاختصاص القضائي للاتحاد الأوروبي ، فيجب عليك الالتزام بقواعد القانون العام لحماية البيانات (GDPR). بينما يحتوي القانون على العديد من المتطلبات ، يمكن تصفية معظمها إلى ثلاثة مبادئ أساسية: الحصول على الموافقة ، وتقليل كمية البيانات المحفوظة ، وحماية حقوق أصحاب البيانات.

على الرغم من أنها قد تبدو خطوة بسيطة ، إلا أن أول شيء يجب على كل شركة القيام به لضمان الامتثال لتشريعات ومعايير القانون العام لحماية البيانات (GDPR) هو تعيين شخص ما للإشراف على أنشطتها. هذا الشخص ، المعروف باسم البيانات ضابط الامتثال، مطلوب في بعض الشركات التي تستخدم كميات هائلة من البيانات ، ومن واجبها الإشراف على استراتيجية حماية البيانات وتنفيذها لضمان تلبية متطلبات ولوائح القانون العام لحماية البيانات (GDPR).

# 4. CCPA

هذه واحدة من أكثر وسائل حماية المستهلك صرامة التي ستواجهها العديد من الشركات التي تتخذ من الولايات المتحدة مقراً لها. لقد أطلق عليها اسم GDPR لولاية كاليفورنيا ، وعلى الرغم من أنها ليست صارمة في مجالات مثل متطلبات إعداد التقارير مثل GDPR ، إلا أنها في بعض النواحي أكثر بكثير من نظيرتها الأوروبية.

على سبيل المثال ، يتضمن أي معلومات يمكن من خلالها استخلاص الاستدلالات لإنشاء ملف تعريف العميل الذي يعكس "تفضيلات الشخص وخصائصه واتجاهاته النفسية وميولته وسلوكه ومواقفه وذكائه وقدراته ومؤهلاته" في تعريفه للبيانات الخاصة.

لن يكون الامتثال لقانون المحاسبين القانونيين المعتمدين مطلوبًا لكل شركة. ينطبق فقط على الشركات التي يزيد إجمالي إيراداتها السنوية عن 25 مليون دولار ؛ أولئك الذين يكتسبون أو يتلقون أو يبيعون المعلومات الشخصية لـ 50,000 أو أكثر من الأفراد أو الأسر أو الأجهزة ؛ أو الشركات التي تحقق 50٪ أو أكثر من إيراداتها السنوية عن طريق بيع المعلومات الشخصية للعملاء.

في حين أن هذا يستثني العديد من الشركات الصغيرة ، إلا أنه يعني أنه سيتم تغطية أي مؤسسة متوسطة أو كبيرة تعمل مع العملاء في كاليفورنيا. قد يجعل هذا الأمر أكثر ارتباطًا بالعديد من الشركات الأمريكية من الناتج المحلي الإجمالي ، لأنه في حين أن بعض المنظمات اختارت التوقف عن ممارسة الأعمال التجارية في أوروبا تمامًا لتجنب هذه اللائحة ، فقد يكون من الصعب عليها تجنب قانون حماية خصوصية المستهلك CCPA ، لأنه ليس من الضروري أن تكون كذلك. مقرها في كاليفورنيا ، أو حتى لها وجود مادي في الولاية ، لتكون خاضعة لأحكامها.

# 5. SOX

تم سن قانون Sarbanes-Oxley لعام 2002 (SOX) لمنع تكرار فضائح محاسبة الشركات التي غطت Enron ، ورلد كوم و اخرين. نتيجة لذلك ، نظرًا لأنه يركز على إعداد التقارير المالية بدلاً من حماية البيانات ، فقد يعتبره متخصصو تكنولوجيا المعلومات أقل أهمية من بعض المعايير الأخرى التي يجب عليهم الالتزام بها. على العكس من ذلك ، هذا ليس هو الحال. لأقسام تكنولوجيا المعلومات واجبات مميزة لتلعبها في ضمان تلبية هذه الاحتياجات. 

للبدء ، يجب عليهم الامتثال للمدير التنفيذي والمدير المالي من خلال ضمان حصولهم على تقارير مالية في الوقت الفعلي عن المنظمة. يستلزم ذلك وضع آليات لأتمتة إعداد التقارير وتكوين التنبيهات ليتم تشغيلها عند وقوع أحداث حرجة تستحق التدقيق فيها عن كثب.

بالإضافة إلى ذلك ، يجب أن يضمن موظفو تكنولوجيا المعلومات أيضًا تخزين جميع السجلات بشكل مناسب. نتيجة لذلك ، تعتبر النسخ الاحتياطية الفعالة وفي الوقت المناسب للمعلومات الهامة وأنظمة إدارة المستندات أمرًا بالغ الأهمية للحفاظ على الامتثال لهذه القواعد. لكي تكون فعالة ، يجب عليهم أيضًا ضمان الرؤية الكاملة لكل جانب من جوانب الأصول الرقمية لشركاتهم. يجب الاحتفاظ بالرسائل الفورية ورسائل البريد الإلكتروني والمكالمات الهاتفية المسجلة والمعاملات المالية لمدة خمس سنوات على الأقل في حالة رغبة المدققين في ذلك ، وبالتالي ، يجب أن تكون أنظمة الإدارة المناسبة في مكانها الصحيح.

أخيرًا ، يجب على متخصصي تكنولوجيا المعلومات التأكد من أن عمليات حفظ السجلات والتدقيق تتم بسلاسة قدر الإمكان عند الامتثال لـ SOX. ستلعب أدوات أتمتة الأنشطة ، وإدارة تدفق البيانات ومراقبته ، وأرشفة المعلومات واسترجاعها بسرعة ، أدوارًا مهمة في هذا الأمر.

فوائد امتثال البيانات للمنظمات

عندما تعطي مؤسستك الأولوية لأمن البيانات والامتثال ، يجب أن تتوقع رؤية مكافآت مالية. لسبب واحد ، ستتمكن من طمأنة العملاء بأنه يمكنهم ترك بياناتهم معك. هذا يقطع شوطا طويلا لضمان المحافظة على العملاء وصورة إيجابية

علاوة على ذلك ، فإن بذل الجهد لتصميم بروتوكولات وتسجيلها لكيفية إدارة شركتك للمعلومات الحساسة ، وحماية الخصوصية الشخصية ، والاستجابة للانتهاكات الأمنية يسمح لمؤسستك بالبقاء مرنة وقابلة للتكيف عندما تتغير بيئتك ويحدث ما هو غير متوقع.  

أخيرًا ، سيساعد تطبيق معايير الامتثال الأمني ​​بشكل شامل شركتك في الحد من مخاطر الإضرار بالسمعة والمال الناجم عن انتهاكات البيانات.

في حين أنه من المهم أن تثبت للمراجعين أن شركتك تفي بمتطلبات معينة (على سبيل المثال ، SOX ، HIPAA ، CCPA) ، يجب أن تتذكر أن الحفاظ على سياسة الامتثال لحماية البيانات هو في الواقع لصالحك. يمكن أن يساعدك اتباع نهج منظم للامتثال في تقليل احتمالية حدوث حوادث تعرض بيانات عملائك والملكية الفكرية للشركة والعمليات التجارية. 

كيف تحافظ على امتثال البيانات؟

بصفتك صاحب عمل ، اتبع إجراءات التحكم هذه للحفاظ على الامتثال لمعايير ولوائح أمان البيانات:

# 1. الاحتفاظ بسجلات دقيقة لتدابير أمن البيانات وإجراءات التدقيق. 

للأسباب التالية ، من الأهمية بمكان الاحتفاظ بسجل لجميع إجراءات حماية البيانات والتدقيق الخاصة بك: 

للبدء ، سيضمن هذا السجل أنه لا يوجد شخص واحد لديه معرفة تفصيلية بإجراءات الامتثال الخاصة بشركتك. بدون هذا السجل ، قد تكون شركتك في الظلام ، وقد يكشف التدقيق عن نقاط ضعف صارخة في أمن البيانات وبرنامج الامتثال.

علاوة على ذلك ، سيوضح سجل نشاط الامتثال هذا جهود مؤسستك بحسن نية للامتثال لكل مجموعة من المتطلبات. العديد من اللوائح لديها استثناءات بحسن نية تسمح للسلطات بتخفيض العقوبات على المنظمات التي لديها عمليات امتثال قوية أو تسعى جاهدة لتطوير واحدة.

أخيرًا ، من أجل اجتياز عملية تدقيق ، يجب أن تُظهر للمراجع أنك تأخذ معايير أمان البيانات على محمل الجد. يريد المدققون سجلات واسعة النطاق لتحديد ما إذا كانت الإجراءات التي لديك كافية لحماية البيانات التي تقوم بتخزينها أو معالجتها. يمكن أن يساعدك العمل مع متطلبات المدققين في التركيز على تلك العناصر الأساسية.

# 2. استخدام مقياس CCF. 

إطار الضوابط المشتركة (CCF) عبارة عن مجموعة كاملة من معايير التحكم المستمدة من مجموعة واسعة من معايير أمان البيانات الصناعية والخصوصية. يسمح استخدام CCF للشركة بتلبية معايير الأمان والخصوصية وإجراءات الامتثال الأخرى مع الحد من مخاطر "الإفراط في السيطرة". 

# 3. تأكد من تحديث احتياطات خصوصية البيانات الخاصة بك.

تضع هذه المعايير علاوة على أمن البيانات. لذلك ، بالإضافة إلى ضمان وجود إجراء قوي للامتثال الأمني ​​، تأكد من أن لديك أيضًا حلول امتثال البيانات الحالية. تعد حلول توافق البيانات هذه ضرورية لتقليل احتمالية حدوث خرق للبيانات في مؤسستك.

إذا كانت إجراءات إدارة البيانات والحماية الخاصة بشركتك ضعيفة ، فسيكون من الصعب للغاية تلبية معايير أمان البيانات والامتثال المصممة مع وضع تقنيات اليوم في الاعتبار. 

# 4. تعيين مسؤول لأمن البيانات ومعايير الامتثال.

مع وضع العوامل السابقة في الاعتبار ، قد تتساءل عن المسؤول عن امتثال البيانات. تتطلب عملية أمان البيانات والامتثال الخاصة بك ، مثل أي عملية أخرى ، نقطة اتصال واحدة - ضابط للتعامل مع جميع الأجزاء المتحركة. يجب أن يتمتع هذا الفرد بإمكانية الوصول المباشر إلى المديرين التنفيذيين والمصداقية والقوة لإقناع الآخرين في جميع أنحاء المؤسسة لتلبية معايير أمان البيانات والامتثال.

ما هو دور مسؤول الامتثال للبيانات؟

تتمثل المسؤولية الرئيسية لمسؤول الامتثال للبيانات في التأكد من أن مؤسسته تعالج البيانات الشخصية لموظفيها أو عملائها أو مزوديها أو أي أفراد آخرين وفقًا لمتطلبات حماية البيانات المعمول بها.

في المخص:

لتجنب الغرامات أو الإضرار بسمعتها ، يجب أن يكون لدى المؤسسات برنامج امتثال قوي وسياسة لحماية البيانات. وإلا فإنهم يخاطرون بفقدان العملاء ، أو الأسوأ من ذلك - دفع غرامة كبيرة.

مقالات ذات صلة

1. أنظمة إدارة الامتثال: التعريف والأمثلة وخيارات البرامج
2. أفضل برنامج لإدارة السياسات: 2023 مراجعات
3. امتثال الموارد البشرية: ما هو ، البرامج ، التدريب والأهمية

الرقم المرجعي

• Hyperproof.com

• IPF