В одному з наших останніх дописів ми обговорювали важливість конфіденційності даних і найкращі методи, які організації повинні застосовувати, щоб забезпечити безпеку конфіденційної інформації. Ми також обговорили принципи та правила, які регулюють конфіденційність даних. Тут ми збираємося обговорити відповідність даних. Відповідність даних — це практика забезпечення того, щоб суб’єкти дотримувалися правил, щоб конфіденційні дані, якими вони володіють, організовувалися, зберігалися та керувалися таким чином, щоб вони були захищені від втрати, пошкодження, крадіжки та неправомірного використання.
Читайте далі, щоб дізнатися про правила, рішення та стандарти відповідності даних.
Читайте також: КОНФІДЕНЦІЙНІСТЬ ДАНИХ: важливість і найкращі практики для організацій
Що таке відповідність даних?
Як було сказано раніше, відповідність даних стосується норм і стандартів, яких компанія повинна дотримуватися, щоб захистити конфіденційні цифрові активи, які є в її розпорядженні – як правило, особисту інформацію та фінансову інформацію – від втрати, крадіжки та неправомірного використання. Ці правила мають кілька форм. Вони визначають, які дані потрібно захищати, які методи є прийнятними та покарання за недотримання стандартів.
Хоча відповідність даних і безпека даних можуть здатися схожими, це не одне й те саме. Хоча як відповідність даних, так і безпека даних спрямовані на зменшення та управління ризиками, пов’язаними зі збором, зберіганням і обробкою даних, відповідність даних лише гарантує виконання мінімальних юридичних зобов’язань. З іншого боку, безпека даних охоплює всі процеси та технології, що використовуються для захисту конфіденційних даних, наприклад брандмауери, шифрування та протоколи захисту паролем.
Які є 3 стани відповідності даних?
До них відносяться:
- Дані про відпочинок
- Дані про рух
- Дані про використання
Правила та рішення щодо відповідності даних
#1. HIPAA
Закон про перенесення та підзвітність медичного страхування 1996 року визначає, як організації в Сполучених Штатах, які володіють медичними даними окремих осіб, повинні підтримувати безпеку та конфіденційність цих записів.
Враховуючи, що це одні з більш конфіденційних записів, покарання за їхнє збереження може бути серйозним для організації. Були випадки, коли корпорацію змушували платити мільйони доларів. Наприклад, у 2018 році певна страхова компанія погодилася сплатити штраф у розмірі 16 мільйонів доларів після спроби злому, яка розкрила інформацію про здоров’я понад 79 мільйонів клієнтів.
Крім того, HIPAA вимагає, щоб усі електронні медичні записи були доступні лише для тих, хто має законні причини, тому шифрування та жорсткі обмеження доступу є важливими. Правила застосовуються не лише до записів у базі даних, а й до тих, які є спільними, тому необхідно вжити заходів, щоб гарантувати, що такі дії, як електронні листи та передача файлів, ретельно контролюються, захищаються та управляються.
#2. PCI DSS
PCI-DSS є другим у списку рішень для забезпечення відповідності даних. Стандарт безпеки даних індустрії платіжних карток (PCI DSS) є важливим аспектом будь-якого процесу відповідності для організацій, які мають справу з фінансовою інформацією споживачів, оскільки він встановлює правила щодо того, як корпорації керують і захищають дані власників карток, наприклад номери кредитних карток.
На відміну від GDPR, PCI DSS є галузевим стандартом, а не урядовою постановою. Однак це не применшує його значення, оскільки будь-яка компанія, яка порушує свої стандарти відповідності даних, може зіткнутися з серйозними штрафами або навіть розірвати відносини з банками чи платіжними процесорами, що ускладнить для підприємств прийом платежів карткою.
Навіть якщо компанія користується сторонніми послугами для обробки карткових платежів, як це роблять багато, компанія все одно зобов’язана забезпечити безпеку будь-яких даних кредитної чи дебетової картки, які вона збирає, передає або зберігає.
Специфічні процедури, яких повинні виконувати організації, залежатимуть від того, скільки транзакцій вони обробляють – ті, хто має більшу клієнтську базу, стикаються зі значно суворішими правилами відповідності даних – але, зрештою, стандарти PCI DSS вимагають від компаній забезпечення певного рівня безпеки.
Варто зазначити, що Рада стандартів безпеки індустрії платіжних карток окреслює ряд заходів, які підприємства повинні вжити, щоб відповідати цим стандартам. Ці заходи варіюються від встановлення достатнього брандмауера до періодичного тестування систем і процесів для захисту даних власників карток. Очевидно, що не може бути виправдання відсутності чіткого плану досягнення цих стандартів.
#3. GDPR
GDPR є одним із найновіших і всеосяжних нормативних актів щодо даних. З моменту набрання чинності 25 травня 2018 року GDPR запровадив низку рішень, що стосуються права людей знати, які дані мають про них, як фірми мають обробляти ці дані, а також жорсткіші закони щодо повідомлення про порушення даних.
Цікаво, що ці правила поширюються не лише на компанії, засновані в Європі. Якщо ви ведете бізнес з будь-якою особою, яка підпадає під юрисдикцію ЄС, ви повинні дотримуватися правил GDPR. Хоча закон містить багато вимог, більшість із них можна відфільтрувати до трьох основних принципів: отримання згоди, зменшення обсягу даних, що зберігаються, і захист прав суб’єктів даних.
Хоча це може здатися незначним кроком, перше, що кожна компанія повинна зробити, щоб забезпечити відповідність законодавству та стандартам GDPR, — це призначити когось для нагляду за її діяльністю. Ця особа, відома як дані офіцер з відповідності, є обов’язковим у певних компаніях, які використовують величезні обсяги даних, і їхній обов’язок полягає у нагляді за стратегією захисту даних і впровадженням, щоб забезпечити дотримання вимог і правил GDPR.
#4. CCPA
Це один із найсуворіших заходів захисту споживачів, з якими стикаються багато американських компаній. Він був названий Каліфорнійським GDPR, і хоча він не такий суворий у таких сферах, як вимоги до звітності, як GDPR, у певному сенсі він набагато більше, ніж його європейський аналог.
Наприклад, вона включає будь-яку інформацію, з якої можна зробити висновки для створення профілю клієнта, який відображає «уподобання, характеристики, психологічні тенденції, схильності, поведінку, ставлення, інтелект, здібності та здібності» людини у визначенні особистих даних.
Відповідність CCPA не буде обов’язковою для кожної фірми. Це стосується лише підприємств із валовим річним доходом понад 25 мільйонів доларів США; ті, які купують, отримують або продають особисту інформацію 50,000 50 або більше осіб, домогосподарств або пристроїв; або компанії, які генерують XNUMX% або більше свого річного доходу, продаючи особисту інформацію клієнтів.
Хоча це виключає багато малих підприємств, це означає, що практично будь-яке середнє або велике підприємство, яке працює з клієнтами в Каліфорнії, буде охоплено. Це може зробити його більш актуальним для багатьох американських компаній, ніж GDPR, тому що хоча деякі організації вирішили повністю припинити ведення бізнесу в Європі, щоб уникнути цього регулювання, їм може бути набагато складніше уникнути CCPA, оскільки вони не повинні бути базуватися в Каліфорнії або навіть мати фізичну присутність у штаті, щоб підпадати під дію його положень.
#5. SOX
Закон Сарбейнса-Окслі 2002 року (SOX) був прийнятий, щоб запобігти повторенню корпоративних бухгалтерських скандалів, які охопили Enron, WorldCom та інші. У результаті, оскільки він зосереджений на фінансовій звітності, а не на захисті даних, ІТ-фахівці можуть вважати його менш важливим, ніж деякі інші стандарти, яким вони повинні відповідати. Навпаки, це не так. ІТ-відділи мають чіткі обов’язки, щоб забезпечити задоволення цих потреб.
Для початку вони повинні погоджуватися з генеральним директором і фінансовим директором, забезпечивши отримання фінансової звітності про організацію в режимі реального часу. Це передбачає впровадження механізмів для автоматизації звітування та налаштування сповіщень, які запускаються, коли відбуваються критичні події, які заслуговують на більш ретельний аналіз.
Крім того, ІТ-персонал також повинен гарантувати, що всі записи зберігаються належним чином. Як наслідок, ефективне та своєчасне резервне копіювання важливої інформації та систем керування документами є критично важливим для підтримки відповідності цим правилам. Щоб бути ефективними, вони також повинні забезпечити повну видимість усіх аспектів цифрових активів своєї компанії. Миттєві повідомлення, електронні листи, записані телефонні дзвінки та фінансові транзакції мають зберігатися щонайменше п’ять років на випадок, якщо вони захочуть аудитори, отже, мають бути встановлені належні системи управління.
Нарешті, ІТ-фахівці повинні гарантувати, що ведення записів і перевірки відбуваються якомога безпроблемніше за умови дотримання SOX. Важливу роль у цьому відіграватимуть інструменти для автоматизації діяльності, керування потоком даних і моніторингу, а також швидкого архівування та отримання інформації.
Переваги відповідності даних для організацій
Коли ваша організація надає пріоритет безпеці даних і дотриманню вимог, ви повинні очікувати фінансової винагороди. З одного боку, ви зможете запевнити клієнтів, що вони можуть залишити свої дані вам. Це значною мірою гарантує утримання клієнтів і позитивний імідж
Крім того, докладання зусиль для розробки та запису протоколів для того, як ваша компанія керує конфіденційною інформацією, захищає особисту конфіденційність і реагує на порушення безпеки, дозволяє вашій організації залишатися стійкою та адаптуватися, коли ваше середовище змінюється та стається несподіване.
Нарешті, ретельне впровадження стандартів відповідності безпеки допоможе вашій фірмі зменшити ризик репутаційної та фінансової шкоди, спричиненої витоком даних.
Хоча важливо продемонструвати аудиторам, що ваша фірма відповідає певним вимогам (наприклад, SOX, HIPAA, CCPA), ви повинні пам’ятати, що дотримання політики відповідності захисту даних насправді для вас. Систематичний підхід до відповідності може допомогти вам зменшити ймовірність випадків, які призведуть до розкриття даних ваших клієнтів, корпоративної інтелектуальної власності та бізнес-операцій.
Як ви підтримуєте відповідність даних?
Як власник бізнесу, дотримуйтесь цих заходів контролю, щоб підтримувати відповідність стандартам і правилам безпеки даних:
#1. Ведіть точні записи щодо заходів захисту даних і процедур аудиту.
З наведених нижче причин важливо зберігати записи про всі ваші процедури захисту даних і аудиту:
По-перше, цей запис гарантує, що жодна особа не матиме детальних відомостей про дії вашої компанії щодо відповідності. Без цього запису ваша фірма може бути в невідомості, а аудит може виявити явні недоліки в програмі безпеки даних і відповідності.
Крім того, цей запис про відповідність продемонструє добросовісні зусилля вашої організації щодо дотримання кожного набору вимог. У багатьох нормативних актах є добросовісні винятки, які дозволяють органам влади зменшити штрафи для організацій, які мають надійні процеси дотримання вимог або активно прагнуть їх розробити.
Нарешті, щоб пройти аудит, ви повинні показати аудитору, що ви серйозно ставитеся до стандартів безпеки даних. Аудитори хочуть мати розширені записи, щоб визначити, чи достатні процедури, які ви використовуєте, для захисту даних, які ви зберігаєте або обробляєте. Робота з урахуванням вимог аудиторів може допомогти вам зосередитися на цих ключових пунктах.
#2. Використовуйте міру CCF.
Загальна система контролю (CCF) — це повний набір критеріїв контролю, отриманих із широкого спектру галузевих стандартів безпеки даних і конфіденційності. Використання CCF дозволяє компанії відповідати стандартам безпеки, конфіденційності та іншим процедурам відповідності, одночасно обмежуючи ризик «надмірного контролю».
#3. Переконайтеся, що ваші запобіжні заходи щодо конфіденційності даних актуальні.
Ці стандарти надають перевагу безпеці даних. Отже, окрім того, що у вас є жорстка процедура відповідності вимогам безпеки, переконайтеся, що у вас також є поточні рішення щодо відповідності даних. Ці рішення щодо відповідності даних мають вирішальне значення для зменшення ймовірності витоку даних у вашій організації.
Якщо у вашій компанії слабкі засоби керування та захисту даних, буде значно складніше відповідати стандартам безпеки та відповідності даних, розробленим з урахуванням сучасних технологій.
#4. Призначте відповідального за стандарти безпеки даних і відповідності.
З огляду на наведені вище фактори, ви можете задатися питанням, хто відповідає за відповідність даних. Ваш процес захисту даних і відповідності, як і будь-який інший, потребує єдиного контакту — співробітника, який обслуговуватиме всі рухомі частини. Ця особа повинна мати прямий доступ до керівників, авторитет і повноваження переконувати інших в організації в дотриманні стандартів безпеки даних і відповідності.
Яка роль спеціаліста з питань відповідності даним?
Основний обов’язок спеціаліста з питань дотримання даних полягає в тому, щоб гарантувати, що її організація обробляє персональні дані своїх співробітників, клієнтів, постачальників або будь-яких інших осіб відповідно до застосовних вимог захисту даних.
Підводячи підсумок
Щоб уникнути штрафів або шкоди своїй репутації, організації повинні мати жорстку програму відповідності та політику захисту даних. В іншому випадку вони ризикують втратити клієнтів або, що ще гірше, заплатити величезний штраф.
Статті по темі
- СИСТЕМИ УПРАВЛІННЯ ВІДПОВІДНІСТЮ: визначення, приклади та параметри програмного забезпечення
- НАЙКРАЩЕ ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ ДЛЯ КЕРУВАННЯ ПОЛІТИКАМИ: 2023 ОГЛЯДИ
- ВІДПОВІДНІСТЬ HR: що це таке, програмне забезпечення, навчання та важливість
Посилання
- IPF
