Trong một trong những bài đăng gần đây nhất của mình, chúng tôi đã thảo luận về tầm quan trọng của quyền riêng tư dữ liệu và các phương pháp hay nhất mà các tổ chức nên áp dụng để đảm bảo rằng thông tin nhạy cảm được giữ an toàn và bảo mật. Chúng tôi cũng đã thảo luận về các nguyên tắc và quy định chi phối quyền riêng tư dữ liệu. Ở đây, chúng ta sẽ thảo luận về việc tuân thủ dữ liệu. Tuân thủ dữ liệu là cách đảm bảo rằng các thực thể tuân theo các quy định để đảm bảo dữ liệu nhạy cảm mà họ sở hữu được tổ chức, lưu trữ và quản lý để chúng được bảo vệ khỏi mất mát, tham nhũng, trộm cắp và lạm dụng.
Đọc tiếp để tìm hiểu về các quy định, giải pháp và tiêu chuẩn tuân thủ dữ liệu.
Đọc thêm: QUYỀN RIÊNG TƯ DỮ LIỆU: Tầm quan trọng & Thực tiễn tốt nhất cho các tổ chức
Tuân thủ dữ liệu là gì?
Như đã nói trước đây, việc tuân thủ dữ liệu đề cập đến các quy định và tiêu chuẩn mà một công ty phải tuân theo để bảo vệ các tài sản kỹ thuật số nhạy cảm mà họ sử dụng – điển hình là thông tin nhận dạng cá nhân và thông tin tài chính – khỏi bị mất mát, trộm cắp và sử dụng sai mục đích. Các quy định này có nhiều hình thức. Họ chỉ định những dữ liệu nào phải được bảo vệ, những thông lệ nào được chấp nhận và các hình phạt nếu không tuân theo các tiêu chuẩn.
Mặc dù việc tuân thủ dữ liệu và bảo mật dữ liệu nghe có vẻ giống nhau, nhưng chúng không giống nhau. Mặc dù cả việc tuân thủ dữ liệu và bảo mật dữ liệu đều nhằm mục đích giảm thiểu và quản lý các rủi ro liên quan đến việc thu thập, lưu giữ và xử lý dữ liệu, nhưng việc tuân thủ dữ liệu chỉ đảm bảo bạn đáp ứng các nghĩa vụ pháp lý tối thiểu. Mặt khác, bảo mật dữ liệu bao gồm tất cả các quy trình và công nghệ được sử dụng để bảo vệ dữ liệu nhạy cảm, chẳng hạn như tường lửa, mã hóa và các giao thức bảo vệ bằng mật khẩu.
3 trạng thái tuân thủ dữ liệu là gì?
Đó là:
- Dữ liệu về phần còn lại
- Dữ liệu về chuyển động
- Dữ liệu sử dụng
Quy định và giải pháp tuân thủ dữ liệu
#1. HIPAA
Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế năm 1996 chỉ rõ cách thức các tổ chức ở Hoa Kỳ sở hữu dữ liệu y tế và chăm sóc sức khỏe của các cá nhân phải duy trì sự an toàn và bảo mật của những hồ sơ này.
Xem xét đây là một số hồ sơ nhạy cảm hơn, hình phạt cho việc không bảo quản chúng có thể nặng nề đối với tổ chức. Đã có những trường hợp một công ty buộc phải trả hàng triệu đô la. Ví dụ: vào năm 2018, một công ty bảo hiểm nhất định đã đồng ý nộp phạt 16 triệu đô la sau khi một vụ hack làm lộ thông tin sức khỏe của hơn 79 triệu khách hàng.
Hơn nữa, HIPAA yêu cầu tất cả các hồ sơ sức khỏe điện tử chỉ có thể được truy cập bởi những người có lý do chính đáng, vì vậy việc mã hóa và hạn chế truy cập mạnh mẽ là điều cần thiết. Các quy tắc không chỉ áp dụng cho các bản ghi trong cơ sở dữ liệu mà còn cho những bản ghi được chia sẻ, do đó phải thực hiện các bước để đảm bảo rằng các hành động như email và truyền tệp được giám sát, bảo vệ và quản lý kỹ lưỡng.
#2. PCI DSS
PCI-DSS là giải pháp thứ hai trong danh sách các giải pháp tuân thủ dữ liệu. Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS) là một khía cạnh quan trọng của bất kỳ quy trình tuân thủ nào đối với các tổ chức xử lý thông tin tài chính của người tiêu dùng vì tiêu chuẩn này thiết lập các quy định về cách các công ty quản lý và bảo vệ dữ liệu chủ thẻ như số thẻ tín dụng.
Không giống như GDPR, PCI DSS là tiêu chuẩn của ngành chứ không phải là quy định của chính phủ. Tuy nhiên, điều này không làm giảm tầm quan trọng của nó, vì bất kỳ công ty nào bị phát hiện vi phạm các tiêu chuẩn tuân thủ dữ liệu của họ đều có thể bị phạt nặng hoặc thậm chí bị chấm dứt mối quan hệ với ngân hàng hoặc bộ xử lý thanh toán, khiến các doanh nghiệp rất khó thực hiện thanh toán bằng thẻ.
Ngay cả khi một công ty sử dụng các dịch vụ của bên thứ ba để xử lý các khoản thanh toán bằng thẻ, như nhiều công ty vẫn làm, thì doanh nghiệp đó vẫn có nghĩa vụ đảm bảo tính bảo mật của bất kỳ dữ liệu thẻ tín dụng hoặc thẻ ghi nợ nào mà họ thu thập, truyền hoặc lưu giữ.
Các quy trình cụ thể mà các tổ chức phải thực hiện sẽ khác nhau tùy thuộc vào số lượng giao dịch mà họ xử lý – những tổ chức có cơ sở khách hàng lớn hơn sẽ phải đối mặt với các quy định tuân thủ dữ liệu nghiêm ngặt hơn đáng kể – nhưng cuối cùng, các tiêu chuẩn PCI DSS yêu cầu các doanh nghiệp đảm bảo một mức độ bảo mật cụ thể.
Điều đáng nói là, Hội đồng tiêu chuẩn bảo mật ngành thẻ thanh toán vạch ra một loạt các biện pháp mà các doanh nghiệp phải thực hiện để tuân thủ các tiêu chuẩn này. Các biện pháp này bao gồm từ việc cài đặt đủ tường lửa đến kiểm tra định kỳ các hệ thống và quy trình để bảo mật dữ liệu của chủ thẻ. Rõ ràng, không thể bào chữa cho việc không có một kế hoạch rõ ràng để đạt được những tiêu chuẩn này.
#3. GDPR
GDPR là một trong những quy định dữ liệu toàn diện và mới nhất. Kể từ khi được ban hành vào ngày 25 tháng 2018 năm XNUMX, GDPR đã thiết lập một số giải pháp liên quan đến quyền của mọi người được biết các thực thể dữ liệu nào nắm giữ chúng, cách các công ty nên xử lý dữ liệu này và luật chặt chẽ hơn để báo cáo vi phạm dữ liệu.
Thật thú vị, những quy định này không chỉ áp dụng cho các công ty được thành lập ở Châu Âu. Nếu bạn tiến hành kinh doanh với bất kỳ cá nhân nào thuộc thẩm quyền của EU, bạn phải tuân thủ các quy tắc của GDPR. Mặc dù luật có nhiều yêu cầu, nhưng phần lớn trong số chúng có thể được lọc thành ba nguyên tắc cơ bản: nhận được sự đồng ý, giảm lượng dữ liệu được lưu giữ và bảo vệ quyền của chủ thể dữ liệu.
Mặc dù đây có vẻ là một bước nhỏ, nhưng điều đầu tiên mà mọi công ty phải làm để đảm bảo tuân thủ luật pháp và tiêu chuẩn GDPR là chỉ định ai đó giám sát các hoạt động của mình. Người này, được gọi là dữ liệu viên chức, được yêu cầu ở một số công ty sử dụng lượng lớn dữ liệu và nhiệm vụ của họ là giám sát chiến lược bảo vệ dữ liệu và việc triển khai để đảm bảo đáp ứng các yêu cầu và quy định của GDPR.
#4. CCPA
Đây là một trong những biện pháp bảo vệ người tiêu dùng nghiêm ngặt nhất mà nhiều công ty có trụ sở tại Hoa Kỳ sẽ gặp phải. Nó được mệnh danh là GDPR của California và mặc dù không nghiêm ngặt trong các lĩnh vực như yêu cầu báo cáo như GDPR, nhưng về mặt nào đó, nó còn hơn nhiều so với đối tác châu Âu.
Ví dụ: nó bao gồm bất kỳ thông tin nào mà từ đó có thể rút ra các suy luận để tạo hồ sơ khách hàng phản ánh “sở thích, đặc điểm, xu hướng tâm lý, khuynh hướng, hành vi, thái độ, trí thông minh, khả năng và năng khiếu” của một người trong định nghĩa về dữ liệu cá nhân.
Việc tuân thủ CCPA sẽ không bắt buộc đối với mọi công ty. Nó chỉ áp dụng cho các doanh nghiệp có tổng doanh thu hàng năm trên 25 triệu đô la; những người thu thập, nhận hoặc bán thông tin cá nhân của 50,000 cá nhân, hộ gia đình hoặc thiết bị trở lên; hoặc các doanh nghiệp tạo ra 50% doanh thu hàng năm trở lên bằng cách bán thông tin cá nhân của khách hàng.
Mặc dù điều này không bao gồm nhiều doanh nghiệp nhỏ hơn, nhưng điều đó có nghĩa là trên thực tế, bất kỳ doanh nghiệp vừa hoặc lớn nào làm việc với khách hàng ở California đều sẽ được bảo hiểm. Điều này có thể khiến nó phù hợp hơn với nhiều công ty Hoa Kỳ so với GDPR, bởi vì trong khi một số tổ chức chọn ngừng kinh doanh hoàn toàn ở châu Âu để tránh quy định này, thì họ có thể khó tránh CCPA hơn nhiều vì họ không cần phải tuân theo quy định này. có trụ sở tại California, hoặc thậm chí có sự hiện diện thực tế tại tiểu bang, phải tuân theo các điều khoản của nó.
#5. SOX
Đạo luật Sarbanes-Oxley năm 2002 (SOX) được ban hành để ngăn chặn sự tái diễn của các vụ bê bối kế toán doanh nghiệp bao trùm Enron, Thế giới và những người khác. Do đó, vì nó tập trung vào báo cáo tài chính hơn là bảo vệ dữ liệu nên các chuyên gia CNTT có thể coi nó ít quan trọng hơn một số tiêu chuẩn khác mà họ phải tuân thủ. Ngược lại, đây không phải là trường hợp. Bộ phận CNTT có các nhiệm vụ riêng biệt để đảm bảo rằng các nhu cầu này được đáp ứng.
Để bắt đầu, họ phải tuân thủ Giám đốc điều hành và Giám đốc tài chính bằng cách đảm bảo rằng họ nhận được báo cáo tài chính theo thời gian thực về tổ chức. Điều này đòi hỏi phải áp dụng các cơ chế để tự động hóa báo cáo và định cấu hình cảnh báo sẽ được kích hoạt khi các sự kiện quan trọng xảy ra đáng được xem xét kỹ lưỡng hơn.
Ngoài ra, nhân viên CNTT cũng phải đảm bảo rằng tất cả hồ sơ được lưu trữ phù hợp. Do đó, việc sao lưu hiệu quả và kịp thời các hệ thống quản lý tài liệu và thông tin quan trọng là rất quan trọng để duy trì việc tuân thủ các quy tắc này. Để có hiệu quả, họ cũng phải đảm bảo khả năng hiển thị đầy đủ mọi khía cạnh của tài sản kỹ thuật số của công ty họ. Tin nhắn tức thời, email, cuộc gọi điện thoại được ghi âm và giao dịch tài chính đều phải được lưu giữ trong ít nhất năm năm trong trường hợp kiểm toán viên muốn chúng, do đó, phải có hệ thống quản lý phù hợp.
Cuối cùng, các chuyên gia CNTT phải đảm bảo rằng việc lưu giữ hồ sơ và kiểm toán diễn ra suôn sẻ nhất có thể khi tuân thủ SOX. Các công cụ để tự động hóa các hoạt động, quản lý và giám sát luồng dữ liệu cũng như lưu trữ và truy xuất thông tin nhanh chóng đều sẽ đóng vai trò quan trọng trong việc này.
Lợi ích của việc tuân thủ dữ liệu đối với các tổ chức
Khi tổ chức của bạn ưu tiên bảo mật dữ liệu và tuân thủ, bạn sẽ nhận được phần thưởng tài chính. Đối với một điều, bạn sẽ có thể trấn an khách hàng rằng họ có thể để lại dữ liệu của họ cho bạn. Điều này đi một chặng đường dài để đảm bảo duy trì khách hàng và một hình ảnh tích cực
Ngoài ra, nỗ lực thiết kế và ghi lại các giao thức về cách công ty của bạn quản lý thông tin nhạy cảm, bảo vệ quyền riêng tư cá nhân và ứng phó với các vi phạm bảo mật cho phép tổ chức của bạn duy trì khả năng phục hồi và thích ứng khi môi trường của bạn thay đổi và điều không mong muốn xảy ra.
Cuối cùng, việc thực hiện triệt để các tiêu chuẩn tuân thủ bảo mật sẽ hỗ trợ công ty của bạn giảm thiểu rủi ro tổn hại về uy tín và tài chính do vi phạm dữ liệu gây ra.
Mặc dù điều quan trọng là phải chứng minh với kiểm toán viên rằng công ty của bạn đáp ứng các yêu cầu nhất định (ví dụ: SOX, HIPAA, CCPA), nhưng bạn phải nhớ rằng việc duy trì chính sách tuân thủ bảo vệ dữ liệu thực sự là vì lợi ích của bạn. Phương pháp tuân thủ có hệ thống có thể giúp bạn giảm khả năng xảy ra các sự cố làm lộ dữ liệu, tài sản trí tuệ của công ty và hoạt động kinh doanh của khách hàng.
Làm thế nào để bạn duy trì tuân thủ dữ liệu?
Là chủ doanh nghiệp, hãy làm theo các biện pháp kiểm soát này để duy trì việc tuân thủ các tiêu chuẩn và quy định về bảo mật dữ liệu:
#1. Duy trì hồ sơ chính xác về các biện pháp bảo mật dữ liệu và thủ tục kiểm toán.
Vì những lý do sau, điều quan trọng là phải lưu giữ hồ sơ về tất cả các quy trình kiểm tra và bảo vệ dữ liệu của bạn:
Để bắt đầu, hồ sơ này sẽ đảm bảo rằng không một người nào có kiến thức chi tiết về các hành động tuân thủ của công ty bạn. Nếu không có hồ sơ này, công ty của bạn có thể chìm trong bóng tối và cuộc kiểm tra có thể tiết lộ những điểm yếu rõ ràng trong chương trình tuân thủ và bảo mật dữ liệu.
Hơn nữa, hồ sơ hoạt động tuân thủ này sẽ thể hiện nỗ lực thiện chí của tổ chức bạn để tuân thủ từng nhóm yêu cầu. Nhiều quy định có các ngoại lệ có thiện ý cho phép các cơ quan chức năng giảm bớt hình phạt đối với các tổ chức có sẵn các quy trình tuân thủ vững chắc hoặc đang tích cực phấn đấu phát triển một quy trình đó.
Cuối cùng, để vượt qua cuộc kiểm tra, bạn phải cho kiểm toán viên thấy rằng bạn thực hiện nghiêm túc các tiêu chuẩn bảo mật dữ liệu. Kiểm toán viên muốn có nhiều hồ sơ để xác định xem các quy trình bạn có có đủ để bảo vệ dữ liệu bạn đang lưu trữ hoặc xử lý hay không. Làm việc với các yêu cầu của kiểm toán viên có thể giúp bạn tập trung vào những hạng mục chính đó.
#2. Sử dụng Biện pháp CCF.
Khung kiểm soát chung (CCF) là một bộ tiêu chí kiểm soát hoàn chỉnh bắt nguồn từ một loạt các tiêu chuẩn về quyền riêng tư và bảo mật dữ liệu của ngành. Việc sử dụng CCF cho phép một công ty đáp ứng các tiêu chuẩn về bảo mật, quyền riêng tư và các quy trình tuân thủ khác đồng thời hạn chế rủi ro bị “kiểm soát quá mức”.
#3. Đảm bảo rằng các biện pháp phòng ngừa bảo mật dữ liệu của bạn được cập nhật.
Các tiêu chuẩn này ưu tiên bảo mật dữ liệu. Vì vậy, ngoài việc đảm bảo rằng bạn có sẵn quy trình tuân thủ bảo mật chặt chẽ, hãy đảm bảo rằng bạn cũng có sẵn các giải pháp tuân thủ dữ liệu hiện hành. Các giải pháp tuân thủ dữ liệu này rất quan trọng để giảm khả năng vi phạm dữ liệu trong tổ chức của bạn.
Nếu các biện pháp quản lý và bảo vệ dữ liệu của công ty bạn yếu, thì việc đáp ứng các tiêu chuẩn tuân thủ và bảo mật dữ liệu được thiết kế phù hợp với công nghệ ngày nay sẽ khó khăn hơn đáng kể.
#4. Chỉ định một viên chức phụ trách các tiêu chuẩn tuân thủ và bảo mật dữ liệu.
Với những yếu tố trước đó, bạn có thể tự hỏi ai chịu trách nhiệm tuân thủ dữ liệu. Quy trình tuân thủ và bảo mật dữ liệu của bạn, giống như bất kỳ quy trình nào khác, yêu cầu một đầu mối liên hệ duy nhất—một nhân viên xử lý tất cả các bộ phận chuyển động. Cá nhân này phải có quyền tiếp cận trực tiếp với các giám đốc điều hành và có uy tín cũng như quyền lực để thuyết phục những người khác trong toàn tổ chức đáp ứng các tiêu chuẩn tuân thủ và bảo mật dữ liệu.
Vai trò của Nhân viên tuân thủ dữ liệu là gì?
Trách nhiệm chính của nhân viên tuân thủ dữ liệu là đảm bảo rằng tổ chức của họ xử lý dữ liệu cá nhân của nhân viên, khách hàng, nhà cung cấp hoặc bất kỳ cá nhân nào khác theo các yêu cầu bảo vệ dữ liệu hiện hành.
Tổng kết
Để tránh bị phạt hoặc tổn hại đến danh tiếng của mình, các tổ chức nên có một chương trình tuân thủ chặt chẽ và chính sách bảo vệ dữ liệu. Nếu không, họ có nguy cơ mất khách hàng hoặc tệ hơn là phải trả một khoản tiền phạt khổng lồ.
Bài viết liên quan
- HỆ THỐNG QUẢN LÝ TUÂN THỦ: Định nghĩa, Ví dụ và Tùy chọn Phần mềm
- PHẦN MỀM QUẢN LÝ CHÍNH SÁCH TỐT NHẤT: 2023 Đánh giá
- HR TUÂN THỦ: Nó Là Gì, Phần Mềm, Đào Tạo & Tầm Quan Trọng
Tài liệu tham khảo
- IPF
