for organisationer, der indsamler eller administrerer data—og enkeltpersoner, der ejer IT—bør private data og sikkerheden af disse data ikke tages let. De er primære bekymringer, når de foretager processen med at beskytte grundlæggende følsomme oplysninger såsom identiteter, Økonomi, og sundhedsjournaler. Uden dem ville cyberkriminelle og andre ondsindede aktører have adgang til svimlende mængder potentielt skadelige data. Imidlertid anerkender eller forstår ikke alle forskellen mellem databeskyttelse og sikkerhed. Som et resultat bruges udtrykkene ofte forkert eller forvirret som den samme ting.
Hvad er privatliv og sikkerhed?
privatliv vs. sikkerhed
forskellen mellem privatliv og sikkerhed kommer ned på, hvilke data der beskyttes, hvordan de beskyttes, fra hvem de beskyttes, og hvem der er ansvarlig for denne beskyttelse. Sikkerhed handler om at beskytte data mod ondsindede trusler, mens privatlivets fred handler om at bruge data ansvarligt.
det er klart, at datasikkerhed handler om at sikre følsomme data. Hvor databeskyttelse og sikkerhed begynder at afvige, er i hvem eller hvad de beskytter data fra. Datasikkerhed er primært fokuseret på at forhindre uautoriseret adgang til data via brud eller lækager, uanset hvem den uautoriserede part er. For at opnå dette bruger organisationer værktøjer og teknologi såsom brandvægge, brugergodkendelse, netværksbegrænsninger og intern sikkerhedspraksis for at afskrække sådan adgang. Dette inkluderer også sikkerhedsteknologier som tokenisering og kryptering for yderligere at beskytte data ved at gøre dem ulæselige—hvilket, i det tilfælde, at der opstår et brud, kan forhindre cyberkriminelle i potentielt at udsætte enorme mængder følsomme data.
privatliv er dog bekymret for at sikre, at de følsomme data, som en organisation behandler, lagrer eller transmitterer, indtages compliantly og med samtykke fra ejeren af de følsomme data. Dette betyder at informere enkeltpersoner på forhånd om, hvilke typer data der indsamles, til hvilket formål, og med hvem de vil blive delt. Når denne gennemsigtighed er tilvejebragt, skal en person derefter acceptere vilkårene for brug, så organisationen, der indtager data, kan bruge dem i overensstemmelse med de angivne formål.
så privatlivets fred handler mindre om at beskytte data mod ondsindede trusler, end det handler om at bruge dem ansvarligt og i overensstemmelse med kundernes og brugernes ønsker for at forhindre, at de falder i de forkerte hænder. Men det betyder ikke, at det ikke også kan omfatte sikkerhedstypeforanstaltninger for at sikre, at privatlivets fred er beskyttet. For eksempel er bestræbelser på at forhindre sammenkædning af følsomme data til den registrerede eller fysiske person—såsom afidentificering af personoplysninger, tilsløring af dem eller lagring af dem forskellige steder for at reducere sandsynligheden for genidentifikation-andre fælles bestemmelser om privatlivets fred.
for ofte bruges udtrykkene sikkerhed og privatliv om hverandre, men du kan se, at de faktisk er forskellige—skønt nogle gange vanskelige at skelne mellem. Mens sikkerhedskontrol kan opfyldes uden også at opfylde privatlivets overvejelser, er privatlivets bekymringer umulige at tackle uden først at anvende effektiv sikkerhedspraksis. Med andre ord begrænser privatlivets fred adgangen, mens sikkerhed er processen eller applikationen til at begrænse denne adgang. Sagt på en anden måde, sikkerhed beskytter data, og privatlivets fred beskytter identitet.
datasikkerhed og sikkerhed i praksis
lad os se på et hypotetisk eksempel på disse begreber. Når du henter en mobilapplikation på din smartphone, bliver du sandsynligvis bedt om en privatlivsaftale, du skal give dit samtykke til, før installationen begynder. Derfra kan appen muligvis også bede om adgang til visse oplysninger, der er gemt på din telefon, såsom dine kontakter, placeringsdata eller fotos. Når du har besluttet at give appen disse tilladelser, er den derefter ansvarlig for at sikre dine data og beskytte privatlivets fred for disse data—hvilket ikke altid sker.hvis for eksempel udvikleren af den pågældende app vendte sig om og solgte de oplysninger, du gav dem til en tredjepart eller et marketingfirma uden din tilladelse, ville det være en krænkelse af dit privatliv. Hvis app maker skulle lide et brud, udsætte dine oplysninger for cyberkriminelle, det ville være en anden krænkelse af dit privatliv, men det ville også være en sikkerhedssvigt. I begge tilfælde kunne udvikleren ikke beskytte dit privatliv.
databeskyttelse og sikkerhed vs. Overholdelse
nu hvor du har en grundlæggende forståelse af forskellen mellem databeskyttelse og sikkerhed, lad os se på et par fælles regler designet til at hjælpe med at give retningslinjer for vedligeholdelse af hver og hvordan de danner databeskyttelseslandskabet.Payment Card Industry Data Security Standard (PCI DSS) er et sæt regler for beskyttelse af følsomme betalingskortoplysninger og kortholderdata. Selvom det primært drejer sig om standardisering af sikkerhedskontroller til behandling, opbevaring og transmission af betalingsdata, inkluderer det også foranstaltninger til personlige oplysninger, der ofte er forbundet med betalinger, såsom navne og adresser. Det gælder for banker, forhandlere, tredjeparter og alle andre enheder, der håndterer kortindehaverdata fra de største betalingskortmærker.
Den Europæiske Unions generelle databeskyttelsesforordning (GDPR) er en international standard for beskyttelse af EU-borgernes privatliv. Denne lov fastlægger vigtige udtryk og definitioner for, hvis data skal beskyttes (registrerede), hvilke typer data det indebærer (personoplysninger), og hvordan disse data skal styres og sikres. Enhver enhed, der indsamler oplysninger om EU-borgere, er omfattet af denne forordning.
California Consumer Privacy Act (CCPA) er den benchmark amerikanske lov, der regulerer, hvordan organisationer har lov til at behandle data fra Californiens borgere og deres husstande. I lighed med GDPR dokumenterer den, hvilke data der er beskyttet, og beskriver kravene til beskyttelse af disse data. Alle organisationer, der håndterer data fra californiere, skal overholde denne statut.Health Insurance Portability and Accountability Act (HIPAA) beskæftiger sig med at beskytte følsomme sundhedsoplysninger for patienter i hele USA Denne forordning er særlig kompleks på grund af den enorme mængde og forskellige tilgængelige sundhedsdata—alt fra en patients fødselsdato til den ordinerede medicin og røntgenstråler. Det findes også i både fysiske og digitale former, der skal beskyttes forskelligt, hvilket gør det umuligt at sikre privat sundhedsinformation med en “En størrelse passer til alle” tilgang.
selvom det er vigtigt at opfylde kravene i hver regulering, der er relevant for din organisation for at undgå bøder og andre dyre sanktioner, er det også værd at bemærke, at opfyldelse af minimumsforpligtelser ikke altid resulterer i tilstrækkelige sikkerheds-eller privatlivsforanstaltninger. Ved at prioritere implementeringen af effektiv databeskyttelse og sikkerhedskontrol—snarere end blot at opfylde minimumskrav til lovgivningen—vil organisationer ofte overskride de samme forpligtelser, samtidig med at de forbedrer deres sikkerhedsstatus og bedre positionerer sig for at foregribe fremtidige regler. Tokenisering giver en effektiv metode til at gøre netop det.
tokenisering for datasikkerhed og sikkerhed
en af de unikke ting ved tokenisering—og en af dens største styrker—er dens potentiale til at tilfredsstille både datasikkerhed og sikkerhedsproblemer. Gennem sin evne til at pseudonymisere information kan tokenisering fungere som en sikkerhedsfejl for at beskytte følsomme data i tilfælde af brud, hvilket gør de data, der er gemt i det brudte system, ulæselige for cyberkriminelle. I virkeligheden desensibiliserer pseudonymisering data ved at identificere dem og forhindre, at de returneres til sin oprindelige, følsomme form.
fordi tokenisering fjerner følsomme data fra interne systemer, kan det næsten eliminere risikoen for datatyveri, hvilket gør det til et særligt nyttigt værktøj til risikoreduktion og overholdelse med hensyn til både databeskyttelse og sikkerhedshensyn. Så selvom de sikkerhedssystemer, der er etableret for at beskytte privatlivets fred, bliver kompromitteret, gør privatlivets fred for de følsomme oplysninger ikke.
For mere information om tokenisering og hvordan det opfylder både sikkerhed og privatlivets fred, se vores “Sådan vælger du en Tokeniseringsløsning” e-bog nedenfor.