В одном из наших последних постов мы обсудили важность конфиденциальности данных и лучшие практики, которые организации должны использовать для обеспечения безопасности конфиденциальной информации. Мы также обсудили принципы и положения, регулирующие конфиденциальность данных. Здесь мы собираемся обсудить соответствие данных. Соблюдение требований к данным — это практика обеспечения того, чтобы организации соблюдали правила, чтобы обеспечить организацию, хранение и управление конфиденциальными данными, которыми они обладают, для защиты от потери, коррупции, кражи и неправомерного использования.
Читайте дальше, чтобы узнать о правилах, решениях и стандартах соответствия данных.
Читайте также: КОНФИДЕНЦИАЛЬНОСТЬ ДАННЫХ: важность и рекомендации для организаций
Что такое соответствие данных?
Как было сказано ранее, соответствие данных относится к правилам и стандартам, которым должна следовать компания, чтобы защитить конфиденциальные цифровые активы, находящиеся в ее распоряжении, — обычно информацию, позволяющую установить личность, и финансовую информацию — от потери, кражи и неправомерного использования. Эти правила принимают несколько форм. В них указывается, какие данные должны быть защищены, какие методы допустимы, а также штрафы за несоблюдение стандартов.
Хотя соответствие данных и безопасность данных могут показаться похожими, это не одно и то же. В то время как соответствие данных и безопасность данных направлены на снижение и управление рисками, связанными со сбором, хранением и обработкой данных, соответствие данных просто гарантирует выполнение минимального минимума юридических обязательств. Безопасность данных, с другой стороны, охватывает все процессы и технологии, используемые для защиты конфиденциальных данных, такие как брандмауэры, шифрование и протоколы защиты паролем.
Каковы 3 состояния соответствия данных?
К ним относятся:
- Данные об отдыхе
- Данные о движении
- Данные об использовании
Правила и решения по обеспечению соответствия данных
№1. HIPAA
Закон о переносимости и подотчетности медицинского страхования от 1996 г. определяет, как организации в Соединенных Штатах, владеющие медицинскими и медицинскими данными отдельных лиц, должны обеспечивать безопасность и конфиденциальность этих записей.
Учитывая, что это одни из наиболее конфиденциальных записей, наказание за их несоблюдение может быть тяжелым для организации. Были случаи, когда корпорация была вынуждена заплатить миллионы долларов. Например, в 2018 году некая страховая компания согласилась выплатить штраф в размере 16 миллионов долларов после попытки взлома раскрыть медицинскую информацию более 79 миллионов клиентов.
Кроме того, HIPAA требует, чтобы все электронные медицинские записи были доступны только тем, у кого есть законные основания, поэтому шифрование и жесткие ограничения доступа имеют важное значение. Правила применяются не только к записям в базе данных, но и к записям, которые являются общими, поэтому необходимо предпринять шаги, чтобы гарантировать, что такие действия, как электронные письма и передача файлов, тщательно отслеживаются, защищаются и управляются.
№ 2. PCI DSS
PCI-DSS является вторым в списке решений для обеспечения соответствия данных. Стандарт безопасности данных индустрии платежных карт (PCI DSS) является важным аспектом любого процесса соответствия для организаций, которые имеют дело с финансовой информацией потребителей, поскольку он устанавливает правила управления и защиты данных держателей карт, таких как номера кредитных карт, корпорациями.
В отличие от GDPR, PCI DSS является отраслевым стандартом, а не правительственным постановлением. Однако это не умаляет его значения, поскольку любая компания, уличенная в нарушении своих стандартов соответствия данных, может быть оштрафована или даже прекращены отношения с банками или платежными системами, что крайне затрудняет для предприятий прием карточных платежей.
Даже если компания использует сторонние сервисы для обработки карточных платежей, как это делают многие, бизнес по-прежнему обязан обеспечивать безопасность любых данных кредитных или дебетовых карт, которые он собирает, передает или хранит.
Конкретные процедуры, которые должны выполнять организации, будут различаться в зависимости от того, сколько транзакций они обрабатывают — те, у кого большая клиентская база, столкнутся со значительно более строгими правилами соблюдения данных, — но в конечном итоге стандарты PCI DSS требуют от предприятий обеспечения определенного уровня безопасности.
Стоит отметить, что Совет по стандартам безопасности индустрии платежных карт определяет ряд мер, которые предприятия должны принять для соблюдения этих стандартов. Эти меры варьируются от установки достаточного брандмауэра до периодического тестирования систем и процессов для защиты данных держателей карт. Очевидно, что нет оправдания тому, что у вас нет четкого плана по достижению этих стандартов.
№3. GDPR
GDPR является одним из самых последних и всеобъемлющих правил обработки данных. С момента своего вступления в силу 25 мая 2018 года GDPR установил ряд решений, касающихся права людей знать, какие данные о них хранятся, как фирмы должны обрабатывать эти данные, а также ужесточил законы о сообщениях об утечках данных.
Интересно, что эти правила распространяются не только на компании, зарегистрированные в Европе. Если вы ведете бизнес с любым лицом, подпадающим под юрисдикцию ЕС, вы должны соблюдать правила GDPR. Хотя закон содержит множество требований, большинство из них можно свести к трем основным принципам: получение согласия, сокращение объема хранимых данных и защита прав субъектов данных.
Хотя это может показаться незначительным шагом, первое, что должна сделать каждая компания, чтобы обеспечить соблюдение законодательства и стандартов GDPR, — это назначить кого-то для надзора за ее деятельностью. Этот человек, известный как данные комплаенс офицер, требуется в некоторых компаниях, которые используют большие объемы данных, и их обязанность состоит в том, чтобы контролировать стратегию защиты данных и ее реализацию, чтобы обеспечить соблюдение требований и правил GDPR.
№ 4. CCPA
Это одна из самых строгих мер защиты прав потребителей, с которой столкнутся многие американские компании. Он был назван калифорнийским GDPR, и, хотя он не такой строгий в таких областях, как требования к отчетности, как GDPR, в некоторых отношениях он намного больше, чем его европейский аналог.
Например, он включает в себя любую информацию, из которой можно сделать выводы для создания профиля клиента, отражающего «предпочтения, характеристики, психологические тенденции, предрасположенности, поведение, отношение, интеллект, способности и способности» человека в своем определении личных данных.
Соответствие CCPA не требуется для каждой фирмы. Это относится только к предприятиям с валовым годовым доходом более 25 миллионов долларов США; те, кто приобретает, получает или продает личную информацию 50,000 50 или более человек, домохозяйств или устройств; или предприятия, которые получают XNUMX% или более своего годового дохода за счет продажи личной информации клиентов.
Хотя это исключает многие малые предприятия, это означает, что практически любое среднее или крупное предприятие, работающее с клиентами в Калифорнии, будет охвачено. Это может сделать его более актуальным для многих американских компаний, чем GDPR, потому что, хотя некоторые организации решили полностью прекратить ведение бизнеса в Европе, чтобы избежать этого правила, им может быть гораздо сложнее избежать CCPA, потому что они не должны быть базироваться в Калифорнии или даже иметь физическое присутствие в штате, чтобы подпадать под действие его положений.
№ 5. СОКС
Закон Сарбейнса-Оксли от 2002 года (SOX) был принят, чтобы предотвратить повторение скандалов с корпоративной бухгалтерией, охвативших Enron. WorldCom и другие. В результате, поскольку он ориентирован на финансовую отчетность, а не на защиту данных, ИТ-специалисты могут счесть его менее важным, чем некоторые другие стандарты, которым они должны соответствовать. Напротив, это не так. У ИТ-отделов есть определенные обязанности по обеспечению удовлетворения этих потребностей.
Для начала они должны подчиняться генеральному и финансовому директору, гарантируя, что они получают финансовую отчетность об организации в режиме реального времени. Это влечет за собой внедрение механизмов для автоматизации отчетности и настройки предупреждений, которые будут инициироваться при возникновении критических событий, заслуживающих более пристального внимания.
Кроме того, ИТ-персонал также должен гарантировать надлежащее хранение всех записей. В результате эффективное и своевременное резервное копирование критически важной информации и систем управления документами имеет решающее значение для соблюдения этих правил. Чтобы быть эффективными, они также должны обеспечить полную прозрачность всех аспектов цифровых активов своей компании. Мгновенные сообщения, электронная почта, записанные телефонные звонки и финансовые транзакции должны храниться не менее пяти лет на случай, если они понадобятся аудиторам, следовательно, должны быть созданы надлежащие системы управления.
Наконец, ИТ-специалисты должны обеспечить, чтобы ведение документации и аудит проходили как можно более гладко при соблюдении требований SOX. Инструменты для автоматизации действий, управления и мониторинга потока данных, а также быстрого архивирования и извлечения информации будут играть важную роль в этом.
Преимущества соответствия данных для организаций
Когда ваша организация уделяет первостепенное внимание безопасности данных и соответствию требованиям, вы должны ожидать финансового вознаграждения. Во-первых, вы сможете заверить клиентов, что они могут оставить свои данные у вас. Это долгий путь, чтобы гарантировать удержание клиентов и положительный имидж
Кроме того, усилия по разработке и регистрации протоколов того, как ваша компания управляет конфиденциальной информацией, защищает личную конфиденциальность и реагирует на нарушения безопасности, позволяют вашей организации оставаться устойчивой и адаптируемой, когда ваша среда меняется и происходят непредвиденные обстоятельства.
Наконец, тщательное внедрение стандартов соответствия требованиям безопасности поможет вашей фирме снизить риски репутационного и финансового ущерба, вызванного утечкой данных.
Хотя важно продемонстрировать аудиторам, что ваша фирма соответствует определенным требованиям (например, SOX, HIPAA, CCPA), вы должны помнить, что поддержание политики соответствия требованиям защиты данных на самом деле идет вам на пользу. Системный подход к соблюдению требований может помочь вам снизить вероятность случаев раскрытия данных ваших клиентов, корпоративной интеллектуальной собственности и бизнес-операций.
Как вы обеспечиваете соответствие данных?
Как владелец бизнеса, следуйте этим мерам контроля, чтобы обеспечить соблюдение стандартов и правил безопасности данных:
№1. Ведение точных записей о мерах безопасности данных и аудиторских процедурах.
По следующим причинам крайне важно сохранять записи обо всех ваших процедурах защиты данных и аудита:
Во-первых, эта запись гарантирует, что ни один человек не будет иметь подробных сведений о действиях вашей компании по соблюдению нормативных требований. Без этой записи ваша фирма может оказаться в неведении, а аудит может выявить вопиющие недостатки в программе обеспечения безопасности данных и соответствия требованиям.
Кроме того, эта запись о действиях по обеспечению соответствия продемонстрирует добросовестные усилия вашей организации по соблюдению каждого набора требований. Во многих нормативных актах есть добросовестные исключения, которые позволяют властям уменьшить штрафы для организаций, которые имеют надежные процессы соответствия или активно стремятся их разработать.
Наконец, чтобы пройти аудит, вы должны показать аудитору, что серьезно относитесь к стандартам безопасности данных. Аудиторам нужны обширные записи, чтобы определить, адекватны ли используемые вами процедуры для защиты данных, которые вы храните или обрабатываете. Работа с требованиями аудиторов может помочь вам сосредоточиться на этих ключевых элементах.
№ 2. Используйте меру CCF.
Common Controls Framework (CCF) — это полный набор критериев контроля, основанных на широком спектре отраслевых стандартов безопасности и конфиденциальности данных. Использование CCF позволяет компании соответствовать стандартам безопасности, конфиденциальности и другим процедурам соответствия, ограничивая при этом риск «чрезмерного контроля».
№3. Убедитесь, что ваши меры предосторожности в отношении конфиденциальности данных актуальны.
Эти стандарты делают ставку на безопасность данных. Таким образом, в дополнение к тому, что у вас есть строгая процедура соответствия требованиям безопасности, убедитесь, что у вас также есть текущие решения для обеспечения соответствия данных. Эти решения для обеспечения соответствия данных имеют решающее значение для снижения вероятности утечки данных в вашей организации.
Если меры по управлению данными и их защите в вашей компании слабы, будет значительно сложнее обеспечить соответствие стандартам безопасности и соответствия данных, разработанным с учетом современных технологий.
№ 4. Назначьте ответственного за безопасность данных и соблюдение стандартов.
Принимая во внимание предыдущие факторы, вам может быть интересно, кто отвечает за соответствие данных. Ваш процесс обеспечения безопасности данных и соответствия требованиям, как и любой другой, требует единого контактного лица — сотрудника, который будет управлять всеми движущимися частями. Этот человек должен иметь прямой доступ к руководителям, а также авторитет и полномочия убеждать других в организации соблюдать стандарты безопасности данных и соответствия требованиям.
Какова роль сотрудника по соблюдению данных?
Основная обязанность сотрудника по обеспечению соответствия данных заключается в обеспечении того, чтобы ее организация обрабатывала персональные данные своих сотрудников, клиентов, поставщиков или любых других лиц в соответствии с применимыми требованиями к защите данных.
Подводя итог
Чтобы избежать штрафов или ущерба для своей репутации, организации должны иметь надежную программу соответствия и политику защиты данных. В противном случае они рискуют потерять клиентов или, что еще хуже, заплатить огромный штраф.
Статьи по теме
- СИСТЕМЫ УПРАВЛЕНИЯ СООТВЕТСТВИЕМ: определение, примеры и опции программного обеспечения
- ЛУЧШЕЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ДЛЯ УПРАВЛЕНИЯ ПОЛИТИКАМИ: 2023 Обзоры
- HR COMPLIANCE: что это такое, программное обеспечение, обучение и важность
Справка
- ОПЗ
