En son gönderilerimizden birinde, veri gizliliğinin önemini ve kuruluşların hassas bilgilerin güvenli ve güvende tutulmasını sağlamak için kullanması gereken en iyi uygulamaları tartıştık. Ayrıca veri gizliliğini yöneten ilke ve düzenlemeleri de tartıştık. Burada, veri uyumluluğunu tartışacağız. Veri uyumluluğu, kuruluşların sahip oldukları hassas verilerin kaybolmaya, bozulmaya, hırsızlığa ve kötüye kullanıma karşı korunacak şekilde düzenlenmesini, saklanmasını ve yönetilmesini sağlamak için düzenlemelere uymasını sağlama uygulamasıdır.
Veri uyumluluğu düzenlemeleri, çözümleri ve standartları hakkında bilgi edinmek için okumaya devam edin.
Ayrıca Oku: VERİ GİZLİLİĞİ: Kuruluşlar İçin Önemi ve En İyi Uygulamalar
Veri Uyumluluğu Nedir?
Daha önce de belirtildiği gibi, veri uyumluluğu, bir şirketin elindeki hassas dijital varlıkları (tipik olarak kişisel olarak tanımlanabilir bilgiler ve finansal bilgiler) kayıp, hırsızlık ve kötüye kullanımdan korumak için izlemesi gereken düzenlemeleri ve standartları ifade eder. Bu düzenlemeler çeşitli biçimler alır. Hangi verilerin korunması gerektiğini, hangi uygulamaların kabul edilebilir olduğunu ve standartlara uymamanın cezalarını belirtirler.
Veri uyumluluğu ve veri güvenliği benzer görünse de aynı şey değildir. Hem veri uyumluluğu hem de veri güvenliği, verilerin toplanması, saklanması ve işlenmesiyle ilgili riskleri azaltmayı ve yönetmeyi amaçlarken, veri uyumluluğu yalnızca asgari yasal yükümlülükleri yerine getirmenizi sağlar. Veri güvenliği ise güvenlik duvarları, şifreleme ve parola koruma protokolleri gibi hassas verileri korumak için kullanılan tüm süreçleri ve teknolojileri kapsar.
Veri Uyumunun 3 Durumu Nedir?
Bunlar:
- dinlenme verileri
- hareket verileri
- kullanım verileri
Veri Uyumluluğu Düzenlemeleri ve Çözümleri
1 numara. HIPAA
1996 Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasası, Amerika Birleşik Devletleri'nde bireylerin sağlık ve tıbbi verilerine sahip olan kuruluşların bu kayıtların güvenliğini ve gizliliğini nasıl korumaları gerektiğini belirtir.
Bunların daha hassas kayıtlardan bazıları olduğu düşünüldüğünde, bunları muhafaza etmemenin cezası kuruluş için ağır olabilir. Bir şirketin milyonlarca dolar ödemek zorunda kaldığı durumlar olmuştur. Örneğin, 2018'de belirli bir sigorta şirketi, bir bilgisayar korsanlığı girişimi 16 milyondan fazla müşterinin sağlık bilgilerini ifşa ettikten sonra 79 milyon dolar para cezası ödemeyi kabul etti.
Ayrıca, HIPAA, tüm elektronik sağlık kayıtlarının yalnızca meşru nedenleri olan kişiler tarafından erişilebilir olmasını gerektirir, bu nedenle şifreleme ve güçlü erişim kısıtlamaları önemlidir. Kurallar yalnızca veritabanındaki kayıtlar için değil, aynı zamanda paylaşılanlar için de geçerlidir, bu nedenle e-postalar ve dosya aktarımları gibi eylemlerin kapsamlı bir şekilde izlenmesini, korunmasını ve yönetilmesini garanti etmek için adımlar atılmalıdır.
2 numara. PCI DSS
PCI-DSS, veri uyumluluğu çözümleri listesinde ikinci sıradadır. Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS), şirketlerin kredi kartı numaraları gibi kart sahibi verilerini nasıl yönetip koruduğuna ilişkin düzenlemeler oluşturduğundan, tüketicilerin finansal bilgileriyle ilgilenen kuruluşlar için herhangi bir uyum sürecinin önemli bir yönüdür.
GDPR'den farklı olarak PCI DSS, bir hükümet düzenlemesinden ziyade bir endüstri standardıdır. Ancak bu, önemini azaltmaz, çünkü veri uyumluluğu standartlarını ihlal ettiği tespit edilen herhangi bir şirket ciddi para cezalarıyla karşı karşıya kalabilir ve hatta bankalarla veya ödeme işlemcileriyle ilişkileri feshedilebilir, bu da işletmelerin kart ödemelerini almasını son derece zorlaştırır.
Bir şirket, birçoğunun yaptığı gibi, kart ödemelerini işlemek için üçüncü taraf hizmetleri kullansa bile, topladığı, ilettiği veya sakladığı kredi veya banka kartı verilerinin güvenliğini sağlamak yine de işletmenin yükümlülüğüdür.
Kuruluşların gerçekleştirmesi gereken özel prosedürler, işledikleri işlem sayısına bağlı olarak değişir - daha geniş müşteri tabanına sahip olanlar, çok daha katı veri uyumluluğu düzenlemeleriyle karşı karşıya kalır - ancak sonuçta, PCI DSS standartları, işletmelerin belirli bir güvenlik düzeyi sağlamasını gerektirir.
Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi'nin, işletmelerin bu standartlara uymak için alması gereken bir dizi önlemi özetlediğini belirtmekte fayda var. Bu önlemler, yeterli bir güvenlik duvarı kurmaktan, sistem ve süreçleri periyodik olarak test ederek kart sahibi verilerinin güvenliğini sağlamaya kadar uzanır. Açıkçası, bu standartlara ulaşmak için net bir plana sahip olmamanın hiçbir mazereti olamaz.
3 numara. GDPR
GDPR, en yeni ve kapsamlı veri düzenlemelerinden biridir. 25 Mayıs 2018'de yürürlüğe girmesinden bu yana GDPR, insanların hangi veri varlıklarının üzerlerinde tuttuğunu bilme hakkı, firmaların bu verileri nasıl işlemesi gerektiği ve veri ihlallerini bildirmek için daha sıkı yasalarla ilgili bir dizi çözüm oluşturdu.
İlginçtir, bu düzenlemeler sadece Avrupa'da kurulmuş şirketler için geçerli değildir. AB'nin yargı yetkisine tabi herhangi bir kişiyle iş yapıyorsanız, GDPR kurallarına uymalısınız. Kanun birçok gereklilik içerse de, bunların çoğu üç temel ilkeye göre filtrelenebilir: rıza alma, tutulan veri miktarını azaltma ve veri sahiplerinin haklarını koruma.
Küçük bir adım gibi görünse de, her şirketin GDPR mevzuatına ve standartlarına uyum sağlamak için yapması gereken ilk şey, faaliyetlerini denetlemesi için birini görevlendirmek. Veri olarak bilinen bu kişi Uyum görevlisi, büyük miktarda veri kullanan belirli firmalarda gereklidir ve görevleri, GDPR gereksinimlerinin ve düzenlemelerinin karşılanmasını sağlamak için veri koruma stratejisini ve uygulamasını denetlemektir.
#4. CCPA
Bu, birçok ABD merkezli şirketin karşılaşacağı en katı tüketici korumalarından biridir. Kaliforniya'nın GDPR'si olarak adlandırılmıştır ve raporlama gereklilikleri gibi alanlarda GDPR kadar katı olmasa da, bazı açılardan Avrupa'daki muadilinden çok daha fazladır.
Örneğin, özel veri tanımında bir kişinin “tercihlerini, özelliklerini, psikolojik eğilimlerini, yatkınlıklarını, davranışlarını, tutumlarını, zekasını, yeteneklerini ve yatkınlıklarını” yansıtan bir müşteri profili oluşturmak için çıkarımların yapılabileceği her türlü bilgiyi içerir.
CCPA uyumluluğu her firma için gerekli olmayacaktır. Yalnızca brüt yıllık geliri 25 milyon dolardan fazla olan işletmeler için geçerlidir; 50,000 veya daha fazla kişinin, hanenin veya cihazın kişisel bilgilerini alan, alan veya satan kişiler; veya yıllık gelirlerinin %50 veya daha fazlasını müşterilerinin kişisel bilgilerini satarak elde eden işletmeler.
Bu, birçok küçük işletmeyi hariç tutsa da, Kaliforniya'daki müşterilerle çalışan hemen hemen tüm orta veya büyük işletmelerin kapsanacağı anlamına gelir. Bu, birçok ABD firması için GDPR'den daha alakalı olabilir çünkü bazı kuruluşlar bu düzenlemeden tamamen kaçınmak için Avrupa'da iş yapmayı bırakmayı seçse de, CCPA'dan kaçınmak onlar için çok daha zor olabilir çünkü olmak zorunda değiller. California'da yerleşik veya hatta eyalette fiziksel bir mevcudiyeti olan, hükümlerine tabi olacak.
# 5. SOX
2002 Sarbanes-Oxley Yasası (SOX), Enron'u kuşatan kurumsal muhasebe skandallarının tekrarlanmasını önlemek için yürürlüğe girdi. Worldcom ve diğerleri. Sonuç olarak, veri korumasından çok finansal raporlamaya odaklandığı için BT uzmanları, uymaları gereken bazı diğer standartlardan daha az hayati olduğunu düşünebilirler. Aksine, durum böyle değil. BT departmanlarının bu ihtiyaçların karşılanmasını sağlamak için farklı görevleri vardır.
Başlamak için, kuruluş hakkında gerçek zamanlı finansal raporlama almalarını sağlayarak CEO ve CFO'ya uymaları gerekir. Bu, raporlamayı otomatikleştirecek mekanizmaların devreye sokulmasını ve daha yakından incelemeyi hak eden kritik olaylar meydana geldiğinde tetiklenecek uyarıların yapılandırılmasını gerektirir.
Ek olarak, BT personeli de tüm kayıtların uygun şekilde saklandığını garanti etmelidir. Sonuç olarak, kritik bilgi ve belge yönetim sistemlerinin etkili ve zamanında yedeklenmesi, bu kurallara uygunluğun sürdürülmesi açısından kritik öneme sahiptir. Etkili olmak için, şirketlerinin dijital varlıklarının her yönüyle ilgili tam görünürlük sağlamaları gerekir. Anlık mesajlar, e-postalar, kayıtlı telefon görüşmeleri ve mali işlemler, denetçilerin istemesi durumunda en az beş yıl süreyle saklanmalıdır, dolayısıyla uygun yönetim sistemleri yürürlükte olmalıdır.
Son olarak, BT uzmanları, SOX'a uyum sağlarken kayıt tutma ve denetimlerin mümkün olduğunca sorunsuz ilerlemesini sağlamalıdır. Etkinlikleri otomatikleştirmeye, veri akışını yönetmeye ve izlemeye, bilgileri hızlı bir şekilde arşivlemeye ve almaya yönelik araçların tümü bunda önemli roller oynayacaktır.
Veri Uyumunun Kuruluşlar İçin Faydaları
Kuruluşunuz veri güvenliğine ve uyumluluğa öncelik verdiğinde, mali ödüller görmeyi beklemelisiniz. Birincisi, müşterilerinize verilerini size bırakabilecekleri konusunda güvence verebileceksiniz. Bu garanti için uzun bir yol kat ediyor müşteri tutma ve olumlu bir imaj
Ayrıca, şirketinizin hassas bilgileri nasıl yönettiğine, kişisel gizliliği nasıl koruduğuna ve güvenlik ihlallerine nasıl yanıt verdiğine ilişkin protokoller tasarlama ve kaydetme çabası göstermek, kuruluşunuzun ortamınız değiştiğinde ve beklenmeyen bir durum meydana geldiğinde esnek ve uyumlu kalmasını sağlar.
Son olarak, güvenlik uyumluluğu standartlarını kapsamlı bir şekilde uygulamak, firmanızın veri ihlallerinden kaynaklanan itibar ve mali zarar risklerini azaltmasına yardımcı olacaktır.
Denetçilere firmanızın belirli gereklilikleri (örn. SOX, HIPAA, CCPA) karşıladığını göstermek önemli olsa da, bir veri koruma uyum politikası sürdürmenin aslında sizin yararınıza olduğunu unutmamalısınız. Uyumluluğa yönelik sistematik bir yaklaşım, müşterilerinizin verilerini, kurumsal fikri mülkiyetlerini ve iş operasyonlarını açığa çıkaran olayların meydana gelme olasılığını azaltmanıza yardımcı olabilir.
Veri Uyumluluğunu Nasıl Sağlarsınız?
Bir işletme sahibi olarak, veri güvenliği standartlarına ve düzenlemelerine uyumu sürdürmek için şu kontrol önlemlerini alın:
1 numara. Veri güvenliği önlemlerinin ve denetim prosedürlerinin doğru kayıtlarını tutun.
Aşağıdaki nedenlerden dolayı, tüm veri koruma ve denetim prosedürlerinizin kaydını tutmanız çok önemlidir:
Başlamak için bu kayıt, hiç kimsenin şirketinizin uyumluluk eylemleri hakkında ayrıntılı bilgiye sahip olmamasını sağlayacaktır. Bu kayıt olmadan, firmanız karanlıkta kalabilir ve bir denetim, veri güvenliği ve uyumluluk programındaki bariz zayıflıkları ortaya çıkarabilir.
Ayrıca, bu uyum faaliyeti kaydı, kuruluşunuzun her bir gereksinim grubuna uyma konusundaki iyi niyetli çabalarını gösterecektir. Pek çok düzenlemede, yetkililerin katı uyum süreçleri uygulayan veya aktif olarak bir tane geliştirmek için çabalayan kuruluşlar için cezaları azaltmasına olanak tanıyan iyi niyetli istisnalar vardır.
Son olarak, bir denetimi geçmek için denetçiye veri güvenliği standartlarını ciddiye aldığınızı göstermelisiniz. Denetçiler, uyguladığınız prosedürlerin sakladığınız veya işlediğiniz verileri korumak için yeterli olup olmadığını belirlemek için kapsamlı kayıtlar ister. Denetçilerin gerekliliklerini göz önünde bulundurarak çalışmak, bu temel öğelere odaklanmanıza yardımcı olabilir.
2 numara. CCF Ölçümü kullanın.
Ortak Kontrol Çerçevesi (CCF), çok çeşitli endüstri veri güvenliği ve gizlilik standartlarından türetilen eksiksiz bir kontrol kriterleri setidir. Bir CCF kullanmak, bir şirketin "aşırı kontrol" riskini sınırlarken güvenlik, gizlilik ve diğer uyum prosedürleri standartlarını karşılamasını sağlar.
#3. Veri gizliliği önlemlerinizin güncel olduğundan emin olun.
Bu standartlar, veri güvenliğine bir prim vermektedir. Bu nedenle, güçlü bir güvenlik uyumluluğu prosedürünüzün yürürlükte olduğundan emin olmanın yanı sıra, mevcut veri uyumluluğu çözümlerine de sahip olduğunuzdan emin olun. Bu veri uyumluluğu çözümleri, kuruluşunuzda bir veri ihlali olasılığını azaltmak için çok önemlidir.
Şirketinizin veri yönetimi ve koruma önlemleri zayıfsa, günümüz teknolojileri düşünülerek tasarlanan veri güvenliği ve uyumluluk standartlarını karşılamanız çok daha zor olacaktır.
#4. Veri güvenliği ve uyumluluk standartları için bir görevli atayın.
Yukarıdaki faktörleri göz önünde bulundurarak, veri uyumluluğundan kimin sorumlu olduğunu merak ediyor olabilirsiniz. Veri güvenliği ve uyum süreciniz, diğerleri gibi, tek bir irtibat noktası gerektirir; tüm hareketli parçaları idare edecek bir görevli. Bu kişinin yöneticilere doğrudan erişimi ve veri güvenliği ve uygunluk standartlarını karşılamaları için kuruluş genelindeki diğer kişileri ikna etme güvenilirliği ve gücü olmalıdır.
Bir Veri Uyum Görevlisinin Rolü Nedir?
Veri uyum görevlisinin başlıca sorumluluğu, kuruluşunun çalışanlarının, müşterilerinin, sağlayıcılarının veya diğer kişilerin kişisel verilerini geçerli veri koruma gereksinimlerine uygun olarak işlemesini sağlamaktır.
Yukarı tamamlayan
Para cezalarından veya itibarlarının zarar görmesinden kaçınmak için kuruluşların güçlü bir uyumluluk programı ve yürürlükteki veri koruma politikası olmalıdır. Aksi takdirde, müşteri kaybetme veya daha da kötüsü büyük bir para cezası ödeme riskiyle karşı karşıya kalırlar.
İlgili Makaleler
- UYUM YÖNETİM SİSTEMLERİ: Tanım, Örnekler ve Yazılım Seçenekleri
- EN İYİ POLİTİKA YÖNETİM YAZILIMI: 2023 İnceleme
- İK UYUMLULUĞU: Nedir, Yazılım, Eğitim ve Önemi
Referans
- IPF
