Правила конфиденциальности данных: безопасно пройти через джунгли соответствия

Опубликовано: 31 Марта, 2023
Правила конфиденциальности данных: безопасно пройти через джунгли соответствия

МИТЧ: Почему в наши дни в различных государственных областях вводится так много правил, которые технологические компании должны соблюдать?

ЗАК: Как и большинство из нас, правительство видело, как технологические компании, от конгломератов до небольших интернет-магазинов, собирают огромное количество информации о своих клиентах. Они используют эти данные в маркетинговых целях и для понимания поведения клиентов с конечной целью увеличения доходов. В последние годы потребители начали понимать критический характер ограничения обмена их личными данными, и это возросшее осознание привело к созданию новых правил, направленных на сдерживание неправомерного использования и чрезмерного сбора данных.

МИТЧ: Какие из них, по вашему мнению, наиболее важны для предприятий электронной коммерции и почему?

ЗАК: CCPA и GDPR являются наиболее далеко идущими, поскольку они применяются к любому бизнесу, который собирает данные о более чем определенном количестве жителей Калифорнии и ЕС, соответственно, и поэтому являются наиболее важными. Но есть и другие, которые следует учитывать, например LGPD Бразилии, которая влияет на любой бизнес, собирающий данные о бразильских гражданах.

МИТЧ: Некоторые из этих правил противоречат друг другу или иным образом затрудняют их соблюдение компаниями?

ЗАК: В целом правила конфиденциальности преследуют одну цель: защитить потребителей и предоставить им права на свои собственные данные. Хотя эти законы имеют различия, они, как правило, не противоречат друг другу. Один случай, когда законы, возможно, «противоречат» друг другу, касается GDPR и PSD2 ЕС. GDPR настаивает на ограниченном обмене информацией, такой как банковские данные граждан ЕС. PSD2, с другой стороны, требует открытого обмена банковскими данными клиентов, чтобы облегчить внедрение новых и инновационных платежных технологий. Хотя можно выполнить оба требования одновременно, без четкой видимости это может быть сложно.

МИТЧ: Какие еще правила вы видите на горизонте?

ЗАК: Мы знаем, что в ближайшем будущем мы можем ожидать появления новых правил на уровне штатов, многие из которых будут применяться ко всем предприятиям, независимо от их местонахождения, если они собирают данные о гражданах конкретного штата. Мы уже знаем, что предложенный Нью-Йорком регламент, NYPA, направлен на то, чтобы быть еще более ограничивающим, чем CCPA. Предлагаемый штатом Вашингтон регламент, SB 5026 или 2021 WPA, на самом деле намного ближе к GDPR ЕС по структуре и предоставляемым правам. Этот законопроект дважды не прошел, но был внесен снова, и сенаторы надеются, что в третий раз все получится.

МИТЧ: Как технологическим компаниям удается соблюдать все эти правила?

ЗАК: Ключом к постоянному соблюдению всех нормативных требований является непрерывное обнаружение и сопоставление данных — всех данных, которыми владеют предприятия, независимо от того, где они находятся в их системах; независимо от того, структурировано ли оно (легкая часть, верно?) или неструктурировано, известно или неизвестно, находится в пути или в покое. Обеспечение того, чтобы данные учитывались независимо от любых других факторов, имеет решающее значение для возможности последовательного соблюдения всех правил конфиденциальности.

МИТЧ: Как бизнес может оценить, правильно ли они соблюдают все различные правила, которые им необходимо соблюдать?

ZAK: Здесь на помощь приходят инструменты управления, управления рисками и соответствия требованиям (GRC), а затем средства обнаружения и сопоставления. Инструменты GRC помогают организациям упростить соблюдение требований и проводить аудиты, чтобы определить свои «слепые зоны». Эти инструменты помогают организациям быть в курсе нормативных требований. Обычно это инструменты на основе подписки, что упрощает переключение поставщиков, если выбранный вами не соответствует вашим потребностям. Но эти инструменты нуждаются в данных, чтобы быть обнаруженными для них. Для этого им необходимо интегрироваться с инструментом обнаружения и сопоставления, который будет постоянно находить все данные, независимо от того, где они находятся в вашей сети.

МИТЧ: Есть ли что-нибудь еще, что вы хотели бы сказать на эту тему для наших читателей?

ЗАК: Соблюдение и соблюдение правил (особенно когда кажется, что они постоянно меняются) может показаться сложной — если не невыполнимой — задачей, если рассматривать ее как еще одну вещь, которую нужно вычеркнуть из своего списка дел. Но пришло время для бизнеса перестать рассматривать это восстановление элементарного права каждого потребителя на неприкосновенность частной жизни в отношении своих собственных данных как бремя и вместо этого занять позицию конфиденциальности по замыслу.

Компании привыкли к идее превращения личных данных в товар, игнорируя человека, стоящего за каждой точкой данных. Новые и будущие правила дают предприятиям столь необходимую возможность исправить эти ошибки и двигаться вперед таким образом, чтобы обеспечить глубокое понимание, которое можно извлечь только путем сбора данных, уважая и поддерживая право на неприкосновенность частной жизни каждого потребителя.

МИТЧ: Зак большое спасибо, что нашли время поболтать с нами на эту важную тему.

ЗАК: Не за что.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023
Уровень защищенных сокетов
15 Апреля, 2023