tietoja keräävien tai hallinnoivien organisaatioiden—ja niitä omistavien henkilöiden—yksityistä tietoa ja sen tietoturvaa ei pidä ottaa kevyesti. Ne ovat ensisijaisia huolenaiheita, kun ryhdytään suojelemaan pohjimmiltaan arkaluonteisia tietoja, kuten henkilöllisyyksiä, taloutta ja terveystietoja. Ilman niitä verkkorikollisilla ja muilla pahantahtoisilla toimijoilla olisi pääsy huikeisiin määriin mahdollisesti vahingollista tietoa. Kaikki eivät kuitenkaan tunnista tai ymmärrä tietosuojan ja tietoturvan eroa. Tämän vuoksi termejä käytetään usein väärin tai sekoitetaan samaksi asiaksi.
Mitä siis ovat tietosuoja ja tietoturva?
Yksityisyys vs. turvallisuus
ero yksityisyyden ja turvallisuuden välillä riippuu siitä, mitä tietoja suojataan, miten niitä suojataan, keneltä niitä suojataan ja kuka on vastuussa suojelusta. Tietoturvassa on kyse tietojen suojaamisesta haitallisilta uhilta, kun taas yksityisyydessä on kyse tietojen vastuullisesta käytöstä.
ilmeisesti tietoturvassa on kyse arkaluonteisten tietojen turvaamisesta. Siinä, missä tietosuoja ja tietoturva alkavat erota toisistaan, on se, keneltä tai miltä tietoja suojataan. Tietoturva keskittyy ensisijaisesti estämään luvattoman pääsyn tietoihin, rikkomusten tai vuotojen kautta, riippumatta siitä, kuka luvaton osapuoli on. Tämän saavuttamiseksi organisaatiot käyttävät työkaluja ja teknologiaa, kuten palomuureja, käyttäjän todentamista, verkkorajoituksia ja sisäisiä turvakäytäntöjä estääkseen tällaisen pääsyn. Tämä sisältää myös tietoturvateknologiat, kuten tokenization ja salaus, joilla suojataan edelleen tietoja tekemällä niistä lukukelvottomia-mikä, siinä tapauksessa, että murto tapahtuu, voi estää tietoverkkorikollisia paljastamasta valtavia määriä arkaluonteisia tietoja.
Yksityisyys kuitenkin huolehtii siitä, että organisaation käsittelemät, tallentamat tai välittämät arkaluonteiset tiedot nautitaan asianmukaisesti ja kyseisen arkaluonteisen tiedon omistajan suostumuksella. Tämä tarkoittaa sitä, että yksilöille ilmoitetaan etukäteen, minkä tyyppisiä tietoja kerätään, mihin tarkoitukseen ja kenen kanssa ne jaetaan. Kun tämä läpinäkyvyys on annettu, yksilön on hyväksyttävä käyttöehdot, jolloin tietoja keräävä organisaatio voi käyttää niitä ilmoitettujen tarkoitustensa mukaisesti.
yksityisyydessä ei siis ole kyse niinkään tietojen suojaamisesta haitallisilta uhkilta kuin niiden vastuullisesta käytöstä ja asiakkaiden ja käyttäjien toiveiden mukaisesti, jotta ne eivät joutuisi vääriin käsiin. Mutta se ei tarkoita, etteikö se voisi sisältää myös tietoturvatyyppisiä toimenpiteitä yksityisyyden suojaamiseksi. Muita yleisiä tietosuojasäännöksiä ovat esimerkiksi pyrkimykset estää arkaluonteisten tietojen linkittäminen rekisteröidyyn tai luonnolliseen henkilöön—kuten henkilötietojen poistaminen tunnistamisesta, niiden hämärtäminen tai säilyttäminen eri paikoissa uudelleen tunnistamisen todennäköisyyden vähentämiseksi.
liian usein termejä turvallisuus ja yksityisyys käytetään keskenään, mutta huomaa, että ne ovat itse asiassa erilaisia—joskin joskus vaikea erottaa toisistaan. Vaikka turvatarkastukset voidaan täyttää täyttämättä myös yksityisyyden suojaa koskevia näkökohtia, yksityisyyteen liittyviä huolenaiheita on mahdotonta käsitellä ilman tehokkaita turvallisuuskäytäntöjä. Toisin sanoen Yksityisyys rajoittaa pääsyä, kun taas turvallisuus on prosessi tai sovellus, jolla tätä pääsyä rajoitetaan. Toisin sanoen turvallisuus suojaa tietoja ja yksityisyys suojaa identiteettiä.
Data Privacy and Security in Practice
tarkastellaan hypoteettista esimerkkiä näistä käsitteistä. Kun lataat mobiilisovelluksen älypuhelimeesi, sinulta todennäköisesti kysytään tietosuojasopimusta, johon sinun on suostuttava ennen asennuksen aloittamista. Sieltä sovellus saattaa myös pyytää pääsyä tiettyihin puhelimeen tallennettuihin tietoihin, kuten yhteystietoihin, sijaintitietoihin tai valokuviin. Kun olet päättänyt myöntää sovellukselle nämä oikeudet, se on vastuussa tietojesi suojaamisesta ja tietojen yksityisyyden suojaamisesta—mikä ei aina tapahdu.
Jos esimerkiksi kyseisen sovelluksen kehittäjä kääntyisi ympäri ja myisi antamasi tiedot kolmannelle osapuolelle tai markkinointiyritykselle ilman lupaasi, se loukkaisi yksityisyyttäsi. Jos sovellusvalmistaja joutuisi kärsimään tietoturvaloukkauksesta, joka paljastaisi tietosi verkkorikollisille, se olisi toinen yksityisyyden loukkaus, mutta se olisi myös tietoturvavirhe. Kummassakin tapauksessa kehittäjä ei onnistunut suojaamaan yksityisyyttäsi.
Tietosuoja ja tietoturva vs. Compliance
nyt kun sinulla on perusymmärrys tietosuojan ja tietoturvan välisestä erosta, Katsotaanpa muutamia yhteisiä säännöksiä, joiden tarkoituksena on auttaa antamaan ohjeita kunkin säilyttämisestä ja siitä, miten ne muodostavat tietosuojaympäristön.
Payment Card Industry Data Security Standard (PCI DSS) on joukko sääntöjä arkaluonteisten maksukorttitietojen ja kortinhaltijan tietojen suojaamiseksi. Vaikka se koskee ensisijaisesti maksutietojen käsittelyä, tallentamista ja siirtämistä koskevien turvavalvontatoimenpiteiden standardointia, se sisältää myös toimenpiteitä, jotka koskevat usein maksuihin liittyviä henkilötietoja, kuten nimiä ja osoitteita. Se koskee pankkeja, kauppiaita, kolmansia osapuolia ja kaikkia muita tahoja, jotka käsittelevät suurimpien maksukorttimerkkien kortinhaltijatietoja.
Euroopan unionin yleinen tietosuoja-asetus (GDPR) on kansainvälinen standardi EU-kansalaisten yksityisyyden suojaamiseksi. Tässä laissa vahvistetaan tärkeät termit ja määritelmät, joiden osalta tietoja olisi suojattava (rekisteröidyt), millaisia tietoja niihin sisältyy (henkilötiedot) ja miten näitä tietoja olisi hallittava ja suojattava. Tätä asetusta sovelletaan kaikkiin tahoihin, jotka keräävät EU: n kansalaisten tietoja.
California Consumer-Privacy Act (CCPA) on Yhdysvaltojen vertailulaki, joka säätelee, miten organisaatiot saavat käsitellä Kalifornian kansalaisten ja heidän kotitalouksiensa tietoja. GDPR: n tapaan se dokumentoi suojattavat tiedot ja tarkentaa niiden suojaamista koskevat vaatimukset. Kaikkien kalifornialaisten tietoja käsittelevien organisaatioiden on noudatettava tätä ohjesääntöä.
Health Insurance Portability and Accountability Act (HIPAA) on huolissaan potilaiden arkaluonteisten terveystietojen suojelemisesta kaikkialla Yhdysvalloissa.tämä asetus on erityisen monimutkainen, koska saatavilla on valtava määrä ja monipuolista terveydenhuoltotietoa—kaikkea potilaan syntymäajasta sen määräämiin lääkkeisiin ja röntgenkuviin. Sitä on myös sekä fyysisissä että digitaalisissa muodoissa, joita on suojattava eri tavoin, mikä tekee yksityisten terveystietojen turvaamisen mahdottomaksi saavuttaa ”yksi koko sopii kaikille” – lähestymistavalla.
vaikka on tärkeää täyttää kunkin organisaation kannalta merkityksellisen asetuksen vaatimukset sakkojen ja muiden kalliiden seuraamusten välttämiseksi, on myös syytä huomata, että vähimmäisvaatimusten noudattaminen ei aina johda riittäviin turvallisuus-tai tietosuojatoimenpiteisiin. Priorisoimalla tehokkaan tietosuojan ja tietoturvavalvonnan toteuttamista—sen sijaan, että vain täytettäisiin lakisääteiset vähimmäisvaatimukset—organisaatiot ylittävät usein samat velvoitteet ja parantavat samalla turvallisuuttaan ja asemoituvat paremmin ennakoimaan tulevia säädöksiä. Tokenization tarjoaa tehokkaan menetelmän tehdä juuri niin.
Tokenization for Data Privacy and Security
yksi tokenizationin ainutlaatuisista asioista—ja yksi sen suurimmista vahvuuksista—on sen potentiaali tyydyttää sekä tietosuojaan että tietoturvaan liittyviä huolenaiheita. Kautta sen kyky pseudonymisoida tietoja, tokenization voi toimia turvallisuus vikaturvallisuus suojata arkaluonteisia tietoja, jos rikkomus, jolloin tallennetut tiedot murrettu järjestelmä lukukelvoton tietoverkkorikollisille. Itse asiassa pseudonymisointi turruttaa tiedon deidentifioimalla sen ja estämällä sen palauttamisen alkuperäiseen, arkaluonteiseen muotoonsa.
koska tokenisointi poistaa arkaluonteiset tiedot sisäisistä järjestelmistä, se voi käytännössä poistaa tietovarkausriskin, jolloin se on erityisen hyödyllinen väline riskien vähentämisessä ja noudattamisessa sekä tietosuojan että turvallisuuden kannalta. Joten vaikka tietoturvan suojaamiseksi perustetut turvajärjestelmät vaarantuisivat, kyseisen arkaluonteisen tiedon yksityisyys ei vaarannu.
lisätietoja tokenizationista ja siitä, miten se täyttää sekä turvallisuus-että yksityisyysasiat, tutustu alla olevaan ”How to Choose a Tokenization Solution” – e-kirjaamme.