Конфиденциальность GDPR по замыслу: возможность, а не бремя
Общий регламент по защите данных (GDPR) предписывает организациям применять соответствующие технические и организационные меры для «обеспечения постоянной конфиденциальности, целостности, доступности и отказоустойчивости систем и сервисов обработки». Он также требует, чтобы меры защиты данных были реализованы «по задумке и по умолчанию». Очевидно, что для достижения этой цели конфиденциальность и защита данных должны быть укоренены в каждой части информационных технологий и ИТ-инфраструктуры.
GDPR — это благонамеренное регулирование. Хотя процесс соблюдения, по-видимому, утомителен для многих организаций, им следует не ограничиваться головной болью регулирования, чтобы найти возможности в обязательствах GDPR, которые глубоко укоренились в требовании конфиденциальности по замыслу и по умолчанию.
До вступления в силу GDPR
Долгое время страдала безопасность программного обеспечения и приложений (например). Многие часто компилируются из компонентов с открытым исходным кодом (широко доступных и не всегда надлежащим образом проверенных), а не с нуля. Разработка часто торопилась (в основном за счет безопасности) до завершения.
Результат: конечные продукты со слабой и неполноценной защитой (если она вообще есть). Это может потенциально повлиять на безопасность и конфиденциальность пользователей. Безопасность не рассматривалась заранее или как часть процесса проектирования, и даже не отслеживалась впоследствии, возможно, иногда применялась задним числом.
Пострадала безопасность персональных данных, и пользователям пришлось столкнуться с большей частью риска и последствий (вместо организаций, стоящих за созданием продуктов, процессов и услуг) и в основном не подозревающих, что это происходит все вместе, поскольку сообщения об утечках данных были неслыханными. из. GDPR меняет это.
GDPR, а также безопасность и конфиденциальность по своей природе не терпят этого. Это заставляет изменить мыслительный процесс, дизайн, разработку и создание продуктов и услуг, чтобы обеспечить конфиденциальность и безопасность, и это выгодно для разработчиков продуктов, организаций и пользователей. GDPR вынудил это существенное изменение произойти, и хотя регламент ЕС — его требования таковы, что они распространяются по всему миру.
В обязательстве есть возможность для всех участников.
Угадайте, что… Конфиденциальность по дизайну долгое время поощрялась передовой практикой.
Да, это имеет! Однако это практиковалось лишь некоторыми до вступления в силу GDPR. Чтобы это произошло, потребовалось соблюдение GDPR, что сделало его юридическим обязательством. Основное внимание уделяется внедрению мер защиты конфиденциальности на протяжении всего процесса разработки продуктов, процессов и услуг, чтобы обеспечить защиту персональных данных, обрабатываемых этими средствами, и снизить риск для субъекта данных.
GDPR поощряет сфокусированную конфиденциальность и безопасность за счет встроенных мер защиты конфиденциальности в процессе разработки продуктов, процессов и услуг. Все сводится к защите данных по замыслу. Использование методов для обеспечения защиты данных, конфиденциальности, контроля доступа к ним и поддержания их целостности и обеспечения конфиденциальности пользователей.
Принципы, лежащие в основе конфиденциальности по замыслу
Встроенные проактивные и профилактические меры
Упреждающие меры по защите данных и конфиденциальности превосходят меры реагирования. Конфиденциальность по дизайну подчеркивает необходимость этого. Организации должны предвидеть риски для конфиденциальности, предвидеть типы инцидентов и типов атак, а также обеспечить наличие превентивных мер и их встроенную структуру с самого начала (основную роль здесь играют DPIA). В этом отношении ответное действие может означать, что в оценке риска есть пробелы, в результате чего угроза остается незамеченной, а конфиденциальность и безопасность по замыслу направлены на то, чтобы обеспечить идентификацию инцидентов и рисков и внедрение процедур в процессе проектирования. Таким образом, создаются более совместимые продукты и услуги, которые наилучшим образом обеспечивают конфиденциальность личных данных и пользователей. Для достижения этой цели работа должна выполняться на ранней стадии и во время разработки, а не в конце.
Безопасно по умолчанию
Все новые процессы, продукты и даже функции должны быть безопасными по умолчанию (а не небезопасными по умолчанию) в качестве стандартного требования. Это означает, что конфиденциальность по умолчанию поддерживается с самого начала. Пользователю не нужно прыгать через обручи, чтобы защитить услугу или продукт, а вместо этого иметь видимость и контроль, чтобы принимать обоснованные решения о необходимой безопасности. Таким образом, функции безопасности и конфиденциальности должны быть максимально активны по умолчанию, и при правильном понимании пользователи могут вносить изменения в конфигурацию в соответствии со своими требованиями доступа. Компоненты, продукты и услуги должны быть готовы к надежной защите — все время!
Встроенная безопасность
Безопасность и конфиденциальность по замыслу должны быть укоренены в культуре организации, мыслительных процессах, процессах проектирования, процессах сборки и, в конечном счете, бизнес-практиках в целом. Ничто не должно начинаться без обеспечения интегрированной безопасности и конфиденциальности в соответствии с основами проектирования, чтобы все разработки были конфиденциальными и безопасными с самого начала. Сборка должна зависеть от достижения этого, а не от конфиденциальности и безопасности в качестве надстройки.
Удобство использования и безопасность
Да! Вы можете иметь и то, и другое — и одновременно. Часто думают, что удобный продукт или услуга означает недостаточную безопасность или что безопасность достигается за счет удобства использования. В конечном счете продукт или услуга, которые спроектированы и созданы так, чтобы их можно было использовать, более безопасны. Создание удобного и безопасного продукта помогает удовлетворить все бизнес-цели. Конфиденциальность обеспечивается, а эффективность работы пользователей не снижается. Необходимо включить и то, и другое на ранней стадии процесса. Не создавайте безопасный продукт, которым нельзя пользоваться, так как пользователи будут его обходить, а конфиденциальность и безопасность пострадают; кроме того, полезного продукта с запоздалой защитой также недостаточно. У вас может быть как удобство использования, так и безопасность, но способ добиться этого — безопасность и конфиденциальность по замыслу. Включение конфиденциальности на раннем этапе проектирования и разработки может гарантировать, что удобство использования продукта или услуги не будет принесено в жертву из-за этого. Из-за этого простой в использовании продукт или услуга часто более безопасны.
Конфиденциальность и безопасность на протяжении всего жизненного цикла данных
Защита данных должна осуществляться на протяжении всего жизненного цикла данных. Потоки данных. Данные не имеют границ. Данные меняются. Меры защиты должны иметь возможность отслеживать данные и адаптироваться к данным, чтобы данные были защищены от начала до конца, с момента их создания, на протяжении всей обработки и их перемещения, когда и где бы они ни перемещались или ни находились. Системы должны быть разработаны с учетом этого. Это представление о том, что данные являются живыми, а не статичными, должно учитываться и защищаться при проектировании с самого начала.
Детальная видимость и прозрачность
Видимая безопасность, конфиденциальность и контроль необходимы для того, чтобы гарантировать пользователю, что конфиденциальность, доступность и целостность данных всегда обеспечены и поддерживаются на практике. Это должно быть частью плана проектирования и сборки, чтобы пользователи имели полное представление о технических и организационных мерах, применяемых для защиты их личной информации. Благодаря такому уровню прозрачности пользователи могут принимать обоснованные решения о том, хотят ли они использовать продукт или услугу или как лучше всего использовать их, чтобы соответствовать их уровням допустимого риска.
Конфиденциальность пользователей как главный приоритет
Важно признать, что конфиденциальность пользователей имеет важное значение, и обеспечить, чтобы это нашло отклик во всей организации. Она должна быть неотъемлемой частью деловой культуры. Сверху вниз важность конфиденциальности пользователей должна поощряться во всех деловых практиках. Важно, чтобы все это уважали. Убедитесь, что вы разработали и встроили необходимые элементы управления, чтобы пользователи могли применять свои требования к конфиденциальности и уровень защиты, который им нужен. Также жизненно важно, чтобы они могли легко перевести это своим пользователям, клиентам или клиентам. Он должен быть в состоянии пройти полный круг. Гибкость гарантирует, что пользователи могут обеспечить конфиденциальность и безопасность в различных условиях и средах, чтобы лучше соответствовать их уникальным и индивидуальным требованиям.
Отличная возможность в обязательстве
GDPR вступил в силу. Вся подготовка, изменения, согласия и массы уведомлений о конфиденциальности, похоже, замедляются (хотя в фоновом режиме все еще выполняется много работы). Пришло время увидеть и осознать преимущества хорошо спланированного внедрения GDPR — перспективы, выходящие за рамки соответствия, и их много. Пришло время взглянуть на результаты практики качественных данных, включая повышение доверия клиентов, улучшение реагирования на инциденты, рост инновационных продуктов и услуг — все это является побочным продуктом надлежащего выполнения и соответствия GDPR.