In uno dei nostri post più recenti, abbiamo discusso dell'importanza della privacy dei dati e delle best practice che le organizzazioni dovrebbero adottare per garantire che le informazioni sensibili siano mantenute al sicuro. Abbiamo anche discusso i principi e le normative che regolano la privacy dei dati. Qui, discuteremo della conformità dei dati. La conformità dei dati è la pratica per garantire che le entità seguano le normative per garantire che i dati sensibili in loro possesso siano organizzati, archiviati e gestiti in modo da proteggerli da perdita, danneggiamento, furto e uso improprio.
Continua a leggere per conoscere le normative, le soluzioni e gli standard di conformità dei dati.
Leggi anche: PRIVACY DEI DATI: importanza e best practice per le organizzazioni
Che cos'è la conformità dei dati?
Come detto in precedenza, la conformità dei dati si riferisce alle normative e agli standard che un'azienda deve seguire per proteggere le risorse digitali sensibili a sua disposizione - in genere informazioni di identificazione personale e informazioni finanziarie - da perdita, furto e uso improprio. Questi regolamenti assumono diverse forme. Specificano quali dati devono essere protetti, quali pratiche sono accettabili e le sanzioni per il mancato rispetto degli standard.
Sebbene la conformità e la sicurezza dei dati possano sembrare simili, non sono la stessa cosa. Mentre sia la conformità dei dati che la sicurezza dei dati mirano a ridurre e gestire i rischi legati alla raccolta, alla conservazione e alla gestione dei dati, la conformità dei dati garantisce semplicemente di soddisfare il minimo indispensabile degli obblighi legali. La sicurezza dei dati, d'altro canto, comprende tutti i processi e la tecnologia utilizzati per proteggere i dati sensibili, come firewall, crittografia e protocolli di protezione tramite password.
Quali sono i 3 stati di conformità dei dati?
Essi sono:
- Dati sul riposo
- Dati sul movimento
- Dati sull'uso
Normative e soluzioni per la conformità dei dati
#1. HIPAA
L'Health Insurance Portability and Accountability Act del 1996 specifica in che modo le entità negli Stati Uniti in possesso dei dati sanitari e medici delle persone devono mantenere la sicurezza e la riservatezza di questi record.
Considerando che questi sono alcuni dei record più sensibili, la sanzione per la mancata conservazione può essere pesante per l'organizzazione. Ci sono stati casi in cui una società è stata costretta a pagare milioni di dollari. Ad esempio, nel 2018, una certa compagnia di assicurazioni ha accettato di pagare una multa di 16 milioni di dollari dopo che un tentativo di hacking ha rivelato le informazioni sanitarie di oltre 79 milioni di clienti.
Inoltre, HIPAA richiede che tutte le cartelle cliniche elettroniche siano accessibili solo a coloro che hanno motivi legittimi, quindi la crittografia e forti restrizioni di accesso sono essenziali. Le regole si applicano non solo ai record all'interno del database, ma anche a quelli condivisi, pertanto è necessario adottare misure per garantire che azioni come e-mail e trasferimenti di file siano accuratamente monitorate, salvaguardate e gestite.
#2. PCI-DSS
Il PCI-DSS è il secondo nell'elenco delle soluzioni di conformità dei dati. Lo standard PCI DSS (Payment Card Industry Data Security Standard) è un aspetto importante di qualsiasi processo di conformità per le organizzazioni che si occupano delle informazioni finanziarie dei consumatori poiché stabilisce le norme su come le aziende gestiscono e salvaguardano i dati dei titolari di carta come i numeri delle carte di credito.
A differenza del GDPR, PCI DSS è uno standard di settore piuttosto che un regolamento governativo. Tuttavia, ciò non ne diminuisce l'importanza, dal momento che qualsiasi azienda trovata a violare i suoi standard di conformità dei dati può incorrere in multe severe o addirittura interrompere i suoi rapporti con banche o processori di pagamento, rendendo estremamente difficile per le aziende accettare pagamenti con carta.
Anche se un'azienda utilizza servizi di terze parti per elaborare i pagamenti con carta, come fanno molti, è comunque obbligo dell'azienda garantire la sicurezza di qualsiasi dato di carta di credito o di debito che raccoglie, trasmette o conserva.
Le procedure specifiche che le organizzazioni devono adottare variano a seconda del numero di transazioni che elaborano (quelle con una base di clienti più ampia dovranno affrontare normative sulla conformità dei dati notevolmente più rigide), ma in definitiva, gli standard PCI DSS richiedono alle aziende di garantire un particolare livello di sicurezza.
Vale la pena ricordare che il Payment Card Industry Security Standards Council delinea una serie di misure che le aziende devono adottare per conformarsi a tali standard. Queste misure vanno dall'installazione di un firewall sufficiente al test periodico di sistemi e processi per proteggere i dati dei titolari di carta. Ovviamente, non ci possono essere scuse per non avere un piano chiaro per raggiungere questi standard.
#3. GDPR
Il GDPR è una delle normative sui dati più recenti e complete. Dalla sua entrata in vigore il 25 maggio 2018, il GDPR ha stabilito una serie di soluzioni relative al diritto delle persone di sapere quali entità di dati conservano su di loro, in che modo le aziende dovrebbero elaborare questi dati e leggi più severe per la segnalazione di violazioni dei dati.
È interessante notare che queste normative non si applicano solo alle società stabilite in Europa. Se conduci affari con qualsiasi individuo soggetto alla giurisdizione dell'UE, devi rispettare le regole del GDPR. Sebbene la legge contenga molti requisiti, la maggior parte di essi può essere ridotta a tre principi di base: ottenere il consenso, ridurre la quantità di dati detenuti e proteggere i diritti degli interessati.
Sebbene possa sembrare un passo minore, la prima cosa che ogni azienda deve fare per garantire la conformità alla legislazione e agli standard GDPR è nominare qualcuno che supervisioni le sue attività. Questa persona, nota come data responsabile della conformità, è richiesto in alcune aziende che utilizzano grandi quantità di dati e il loro compito è supervisionare la strategia e l'implementazione della protezione dei dati per garantire che i requisiti e le normative GDPR siano soddisfatti.
#4. CCPA
Questa è una delle protezioni dei consumatori più rigorose che molte aziende con sede negli Stati Uniti incontreranno. È stato soprannominato il GDPR della California e, sebbene non sia così rigoroso in aree come i requisiti di segnalazione come GDPR, è per certi versi molto più della sua controparte europea.
Ad esempio, include tutte le informazioni da cui è possibile trarre inferenze per creare un profilo del cliente che rifletta le "preferenze, caratteristiche, tendenze psicologiche, predisposizioni, comportamenti, atteggiamenti, intelligenza, capacità e attitudini" di una persona nella sua definizione di dati privati.
La conformità al CCPA non sarà richiesta per ogni azienda. Si applica solo alle imprese con ricavi annui lordi superiori a $ 25 milioni; quelli che acquisiscono, ricevono o vendono le informazioni personali di 50,000 o più individui, famiglie o dispositivi; o aziende che generano il 50% o più delle loro entrate annuali vendendo le informazioni personali dei clienti.
Sebbene ciò escluda molte piccole imprese, significa che praticamente qualsiasi impresa di medie o grandi dimensioni che lavora con clienti in California sarà coperta. Ciò potrebbe renderlo più rilevante per molte aziende statunitensi rispetto al GDPR, perché mentre alcune organizzazioni hanno scelto di interrompere completamente le attività in Europa per evitare questo regolamento, potrebbe essere molto più difficile per loro evitare il CCPA, perché non devono essere con sede in California, o anche con una presenza fisica nello stato, per essere soggetti alle sue disposizioni.
#5. SOX
Il Sarbanes-Oxley Act del 2002 (SOX) è stato emanato per prevenire il ripetersi degli scandali contabili aziendali che hanno coinvolto Enron, WorldCom e altri. Di conseguenza, poiché si concentra sulla rendicontazione finanziaria piuttosto che sulla protezione dei dati, i professionisti IT potrebbero considerarlo meno vitale di alcuni degli altri standard a cui devono conformarsi. Al contrario, non è così. I reparti IT hanno compiti distinti da svolgere per garantire che queste esigenze siano soddisfatte.
Per iniziare, devono conformarsi al CEO e al CFO assicurandosi di ricevere report finanziari in tempo reale sull'organizzazione. Ciò comporta la messa in atto di meccanismi per automatizzare la segnalazione e la configurazione di avvisi da attivare quando si verificano eventi critici che meritano un esame più attento.
Inoltre, il personale IT deve anche garantire che tutti i record siano archiviati in modo appropriato. Di conseguenza, backup efficaci e tempestivi delle informazioni critiche e dei sistemi di gestione dei documenti sono fondamentali per mantenere la conformità a queste regole. Per essere efficaci, devono anche garantire una visibilità completa su ogni aspetto delle risorse digitali della propria azienda. Messaggi istantanei, e-mail, telefonate registrate e transazioni finanziarie devono essere conservati per almeno cinque anni nel caso in cui i revisori li desiderino, quindi devono essere predisposti sistemi di gestione adeguati.
Infine, i professionisti IT devono garantire che la tenuta dei registri e gli audit procedano nel modo più agevole possibile nel rispetto del SOX. Gli strumenti per l'automazione delle attività, la gestione e il monitoraggio del flusso di dati e l'archiviazione e il recupero rapido delle informazioni svolgeranno tutti un ruolo importante in questo.
I vantaggi della conformità dei dati per le organizzazioni
Quando la tua organizzazione dà la priorità alla sicurezza e alla conformità dei dati, dovresti aspettarti di ottenere vantaggi finanziari. Per prima cosa, sarai in grado di rassicurare i clienti che possono lasciarti i loro dati. Questo fa molto per garantire fidelizzazione dei clienti e un'immagine positiva
Inoltre, lo sforzo di progettare e registrare protocolli per il modo in cui la tua azienda gestisce le informazioni sensibili, protegge la privacy personale e risponde alle violazioni della sicurezza consente alla tua organizzazione di rimanere resiliente e adattabile quando il tuo ambiente cambia e si verificano gli imprevisti.
Infine, l'implementazione completa degli standard di conformità della sicurezza aiuterà la tua azienda a ridurre i rischi di danni reputazionali e finanziari causati da violazioni dei dati.
Sebbene sia importante dimostrare ai revisori che la tua azienda soddisfa determinati requisiti (ad es. SOX, HIPAA, CCPA), devi ricordare che il mantenimento di una politica di conformità alla protezione dei dati è effettivamente a tuo vantaggio. Un approccio sistematico alla conformità può aiutare a ridurre la probabilità che si verifichino eventi che espongono i dati dei clienti, la proprietà intellettuale aziendale e le operazioni aziendali.
Come mantenere la conformità dei dati?
In qualità di imprenditore, segui queste misure di controllo per mantenere la conformità con gli standard e le normative sulla sicurezza dei dati:
#1. Mantenere registrazioni accurate delle misure di sicurezza dei dati e delle procedure di audit.
Per i seguenti motivi, è fondamentale conservare un registro di tutte le procedure di controllo e protezione dei dati:
Per iniziare, questo record assicurerà che nessuna singola persona abbia una conoscenza dettagliata delle azioni di conformità della tua azienda. Senza questo record, la tua azienda potrebbe essere all'oscuro e un audit potrebbe rivelare evidenti debolezze nel programma di sicurezza e conformità dei dati.
Inoltre, questo registro delle attività di conformità dimostrerà gli sforzi in buona fede della tua organizzazione per rispettare ogni serie di requisiti. Molte normative prevedono eccezioni in buona fede che consentono alle autorità di ridurre le sanzioni per le organizzazioni che dispongono di solidi processi di conformità o si stanno impegnando attivamente per svilupparne uno.
Infine, per superare un audit, devi dimostrare al revisore che prendi sul serio gli standard di sicurezza dei dati. I revisori vogliono record dettagliati per determinare se le procedure in atto sono adeguate per proteggere i dati che stai archiviando o elaborando. Lavorare tenendo conto dei requisiti dei revisori può aiutarti a rimanere concentrato su questi elementi chiave.
#2. Impiega la misura CCF.
Un Common Controls Framework (CCF) è un set completo di criteri di controllo derivati da un'ampia gamma di standard di sicurezza e privacy dei dati del settore. L'utilizzo di un CCF consente a un'azienda di soddisfare gli standard di sicurezza, privacy e altre procedure di conformità, limitando al contempo il rischio di essere "sovracontrollati".
#3. Assicurati che le tue precauzioni sulla privacy dei dati siano aggiornate.
Questi standard privilegiano la sicurezza dei dati. Pertanto, oltre a garantire di disporre di una solida procedura di conformità della sicurezza, assicurati di disporre anche di soluzioni di conformità dei dati aggiornate. Queste soluzioni di conformità dei dati sono fondamentali per ridurre la probabilità di una violazione dei dati nella tua organizzazione.
Se le misure di gestione e protezione dei dati della tua azienda sono deboli, sarà molto più difficile soddisfare gli standard di sicurezza e conformità dei dati progettati tenendo conto delle tecnologie odierne.
#4. Designare un responsabile per la sicurezza dei dati e gli standard di conformità.
Tenendo presenti i fattori precedenti, ci si potrebbe chiedere chi è responsabile della conformità dei dati. Il tuo processo di sicurezza e conformità dei dati, come qualsiasi altro, richiede un unico punto di contatto: un funzionario che gestisca tutte le parti in movimento. Questo individuo dovrebbe avere accesso diretto ai dirigenti e la credibilità e il potere di persuadere gli altri in tutta l'organizzazione a soddisfare gli standard di sicurezza e conformità dei dati.
Qual è il ruolo di un responsabile della conformità dei dati?
La principale responsabilità del responsabile della conformità dei dati è garantire che la sua organizzazione elabori i dati personali dei suoi dipendenti, clienti, fornitori o qualsiasi altro individuo in conformità con i requisiti di protezione dei dati applicabili.
Avvolgere Up
Per evitare multe o danni alla loro reputazione, le organizzazioni dovrebbero disporre di un solido programma di conformità e di una politica di protezione dei dati. Altrimenti corrono il rischio di perdere clienti o, peggio, di pagare una multa salata.
Articoli Correlati
- SISTEMI DI GESTIONE DELLA CONFORMITÀ: Definizione, Esempi e Opzioni Software
- MIGLIOR SOFTWARE DI GESTIONE DELLE POLITICHE: Recensioni 2023
- COMPLIANCE HR: cos'è, software, formazione e importanza
Riferimento
- IPF
