在我们最近的一篇文章中,我们讨论了数据隐私的重要性以及组织应采用的最佳实践,以确保敏感信息的安全。 我们还讨论了管理数据隐私的原则和法规。 在这里,我们将讨论数据合规性。 数据合规性是确保实体遵守法规以确保他们拥有的敏感数据得到组织、存储和管理的做法,以防止丢失、损坏、盗窃和滥用。
继续阅读以了解数据合规性法规、解决方案和标准。
另请参阅: 数据隐私:组织的重要性和最佳实践
什么是数据合规性?
如前所述,数据合规性是指公司必须遵守的法规和标准,以保护其可支配的敏感数字资产(通常是个人身份信息和财务信息)免遭丢失、盗窃和滥用。 这些规定有多种形式。 它们指定必须保护哪些数据、可接受的做法以及不遵守标准的处罚。
尽管数据合规性和数据安全听起来很相似,但它们并不是一回事。 虽然数据合规性和数据安全性都旨在降低和管理与收集、保存和处理数据相关的风险,但数据合规性仅确保您满足最低限度的法律义务。 另一方面,数据安全包括用于保护敏感数据的所有流程和技术,例如防火墙、加密和密码保护协议。
数据合规的三种状态是什么?
它们分别是:
- 休息数据
- 运动数据
- 使用数据
数据合规法规及解决方案
#1。 HIPAA
1996 年的健康保险流通与责任法案规定了美国境内拥有个人医疗保健和医疗数据的实体必须如何维护这些记录的安全性和机密性。
考虑到这些是一些更敏感的记录,未能保存它们的处罚对组织来说可能很重。 在某些情况下,公司被迫支付数百万美元。 例如,在 2018 年,某保险公司因黑客攻击暴露了超过 16 万客户的健康信息而同意支付 79 万美元的罚款。
此外,HIPAA 要求所有电子健康记录只能由有正当理由的人访问,因此加密和严格的访问限制至关重要。 这些规则不仅适用于数据库中的记录,也适用于共享的记录,因此必须采取措施确保电子邮件和文件传输等行为得到全面监控、保护和管理。
#2。 PCI数据安全标准
PCI-DSS 是数据合规解决方案列表中的第二个。 支付卡行业数据安全标准 (PCI DSS) 是处理消费者财务信息的组织的任何合规流程的一个重要方面,因为它为公司如何管理和保护持卡人数据(例如信用卡号)制定了法规。
与 GDPR 不同,PCI DSS 是行业标准而非政府法规。 然而,这并没有削弱其重要性,因为任何被发现违反其数据合规标准的公司都可能面临严厉的罚款,甚至终止与银行或支付处理商的关系,从而使企业很难接受银行卡支付。
即使公司像许多公司一样使用第三方服务来处理卡支付,企业仍有义务确保其收集、传输或保留的任何信用卡或借记卡数据的安全。
组织必须采取的具体程序将根据它们处理的交易数量而有所不同——那些拥有更大客户群的组织将面临相当严格的数据合规性法规——但最终,PCI DSS 标准要求企业确保特定级别的安全性。
值得一提的是,支付卡行业安全标准委员会概述了企业为遵守这些标准必须采取的一系列措施。 这些措施的范围从安装足够的防火墙到定期测试系统和流程以保护持卡人数据。 显然,没有明确的计划来实现这些标准是没有任何借口的。
#3。 通用数据保护条例
GDPR 是最新和最全面的数据法规之一。 自 25 年 2018 月 XNUMX 日颁布以来,GDPR 制定了一系列解决方案,涉及人们了解其持有哪些数据的权利、公司应如何处理这些数据,以及更严格的数据泄露报告法律。
有趣的是,这些规定不仅适用于在欧洲成立的公司。 如果您与受欧盟管辖的任何个人开展业务,则必须遵守 GDPR 的规定。 虽然法律包含许多要求,但其中大部分可归结为三个基本原则:获得同意、减少持有的数据量以及保护数据主体的权利。
尽管这看似是一个小步骤,但每家公司为确保遵守 GDPR 法规和标准必须做的第一件事就是任命专人监督其活动。 这个人,被称为数据 合规官,在某些使用大量数据的公司中是必需的,他们的职责是监督数据保护策略和实施,以确保满足 GDPR 要求和法规。
#4。 CCPA
这是许多美国公司将遇到的最严格的消费者保护措施之一。 它被称为加州的 GDPR,虽然在报告要求等方面不如 GDPR 严格,但在某些方面比欧洲同行要严格得多。
例如,它包括可以从中得出推论以创建反映个人“偏好、特征、心理趋势、倾向、行为、态度、智力、能力和倾向”的客户档案的任何信息,在其私人数据的定义中。
并非每个公司都需要遵守 CCPA。 它仅适用于年总收入超过 25 万美元的企业; 获取、接收或出售 50,000 或更多个人、家庭或设备的个人信息的; 或通过出售客户个人信息产生 50% 或更多年收入的企业。
虽然这不包括许多小型企业,但这确实意味着几乎所有与加州客户合作的中型或大型企业都将被涵盖在内。 这可能使它对许多美国公司来说比 GDPR 更重要,因为虽然一些组织选择完全停止在欧洲开展业务以避免该法规,但它们可能更难避免 CCPA,因为它们不必总部设在加利福尼亚州,甚至在该州有实体存在,都要遵守其规定。
#5。 SOX
2002 年萨班斯-奥克斯利法案 (SOX) 的颁布是为了防止笼罩安然的公司会计丑闻再次发生, 世通公司 和别的。 因此,由于它侧重于财务报告而不是数据保护,IT 专业人员可能认为它不如他们必须遵守的其他一些标准重要。 相反,情况并非如此。 IT 部门在确保满足这些需求方面有不同的职责。
首先,他们必须遵守 CEO 和 CFO 的要求,确保他们收到有关组织的实时财务报告。 这需要建立机制来自动报告和配置警报,以便在发生值得密切关注的关键事件时触发警报。
此外,IT 人员还必须保证所有记录都得到妥善存储。 因此,关键信息和文档管理系统的有效及时备份对于保持对这些规则的遵守至关重要。 为了提高效率,他们还必须确保完全了解公司数字资产的各个方面。 即时消息、电子邮件、电话录音和金融交易都必须至少保存五年,以备审计员需要,因此,必须有适当的管理系统。
最后,IT 专业人员必须确保在遵守 SOX 时尽可能顺利地进行记录保存和审计。 用于自动化活动、管理和监控数据流以及快速归档和检索信息的工具都将在这方面发挥重要作用。
数据合规性对组织的好处
当您的组织优先考虑数据安全性和合规性时,您应该期望看到经济回报。 一方面,您可以让客户放心,他们可以将数据留给您。 这对保证有很长的路要走 客户留存率 和正面形象
此外,努力设计和记录公司如何管理敏感信息、保护个人隐私和应对安全漏洞的协议,可以让您的组织在环境变化和意外发生时保持弹性和适应性。
最后,彻底实施安全合规标准将帮助您的公司降低因数据泄露造成的声誉和财务损失的风险。
虽然向审计员证明您的公司满足某些要求(例如 SOX、HIPAA、CCPA)很重要,但您必须记住,维护数据保护合规政策实际上是为了您的利益。 系统的合规性方法可以帮助您降低发生暴露客户数据、公司知识产权和业务运营的可能性。
您如何维护数据合规性?
作为企业主,请遵循以下控制措施以保持对数据安全标准和法规的遵守:
#1。 保持数据安全措施和审计程序的准确记录。
由于以下原因,保留所有数据保护和审计程序的记录至关重要:
首先,此记录将确保没有人详细了解贵公司的合规行为。 如果没有此记录,您的公司可能会一无所知,审计可能会揭示数据安全和合规计划中的明显弱点。
此外,此合规活动记录将证明您的组织为遵守每组要求所做的真诚努力。 许多法规都有善意的例外情况,允许当局减少对拥有可靠合规流程或正在积极努力开发合规流程的组织的处罚。
最后,为了通过审核,您必须向审核员表明您认真对待数据安全标准。 审计员需要大量记录来确定您现有的程序是否足以保护您正在存储或处理的数据。 考虑到审计师的要求可以帮助您专注于这些关键项目。
#2。 采用 CCF 措施。
通用控制框架 (CCF) 是一套完整的控制标准,源自广泛的行业数据安全和隐私标准。 使用 CCF 可以让公司满足安全、隐私和其他合规程序的标准,同时限制“过度控制”的风险。
#3。 确保您的数据隐私预防措施是最新的。
这些标准非常重视数据安全。 因此,除了确保您拥有强大的安全合规程序外,还要确保您拥有最新的数据合规解决方案。 这些数据合规性解决方案对于降低组织中数据泄露的可能性至关重要。
如果贵公司的数据管理和保护措施薄弱,那么要达到以当今技术为基础设计的数据安全和合规标准就会困难得多。
#4。 指定一名负责数据安全和合规标准的官员。
考虑到上述因素,您可能想知道谁负责数据合规性。 与任何其他流程一样,您的数据安全和合规流程需要一个单一的联系点——一名负责处理所有活动部分的官员。 这个人应该可以直接接触到高管,并具有说服整个组织其他人满足数据安全和合规标准的信誉和权力。
数据合规官的职责是什么?
数据合规官的主要职责是确保她的组织根据适用的数据保护要求处理其员工、客户、提供商或任何其他个人的个人数据。
总结
为避免罚款或声誉受损,组织应制定强有力的合规计划和数据保护政策。 否则,他们将面临失去客户的风险,或者更糟的是——支付巨额罚款。
相关文章
参考文献
- IPF
