Adatvédelem vs. adatbiztonság: mi az alapvető különbség?

az adatokat gyűjtő vagy kezelő szervezetek—és azok tulajdonosai-esetében a személyes adatokat és az adatok biztonságát nem szabad félvállról venni. Ezek az elsődleges aggályok az alapvetően érzékeny információk, például a személyazonosság, a pénzügyek és az egészségügyi nyilvántartások védelmének folyamatában. Nélkülük a kiberbűnözők és más rosszindulatú szereplők megdöbbentő mennyiségű potenciálisan káros adathoz férnének hozzá. Azonban nem mindenki ismeri fel vagy érti meg az adatvédelem és a biztonság közötti különbséget. Ennek eredményeként a kifejezéseket gyakran helytelenül használják vagy összekeverik, mint ugyanazt.
tehát mi az adatvédelem és a biztonság?

Adatvédelem vs. biztonság

az adatvédelem és a biztonság közötti különbség abból adódik, hogy mely adatokat védjük, hogyan védjük, kitől védjük, és ki a felelős a védelemért. A biztonság az adatok rosszindulatú fenyegetésekkel szembeni védelméről szól, míg az adatvédelem az adatok felelősségteljes felhasználásáról szól.

nyilvánvaló, hogy az adatbiztonság az érzékeny adatok biztonságával foglalkozik. Ahol az adatvédelem és a biztonság kezd különbözni, az az, hogy kitől vagy mitől védik az adatokat. Az adatbiztonság elsősorban az adatokhoz való jogosulatlan hozzáférés megakadályozására összpontosít, megsértések vagy szivárgások útján, függetlenül attól, hogy ki az illetéktelen fél. Ennek elérése érdekében a szervezetek olyan eszközöket és technológiákat használnak, mint a tűzfalak, a felhasználói hitelesítés, a hálózati korlátozások és a belső biztonsági gyakorlatok, hogy megakadályozzák az ilyen hozzáférést. Ez magában foglalja az olyan biztonsági technológiákat is, mint a tokenizálás és a Titkosítás az adatok további védelme érdekében, olvashatatlanná téve azokat—ami abban az esetben, ha megsértés történik, megakadályozhatja a számítógépes bűnözőket abban, hogy potenciálisan hatalmas mennyiségű érzékeny adatot tárjanak fel.

az Adatvédelem azonban annak biztosításával foglalkozik, hogy a szervezet által feldolgozott, tárolt vagy továbbított érzékeny adatokat megfelelő módon és az érzékeny adatok tulajdonosának beleegyezésével fogyasztják el. Ez azt jelenti, hogy előzetesen tájékoztatjuk az egyéneket arról, hogy milyen típusú adatokat gyűjtünk, milyen célból és kivel osztjuk meg azokat. Miután ezt az átláthatóságot biztosították, az egyénnek el kell fogadnia a Felhasználási Feltételeket, lehetővé téve az adatokat fogyasztó szervezet számára, hogy azokat a megadott célokkal összhangban használja.

tehát az adatvédelem kevésbé az adatok rosszindulatú fenyegetésekkel szembeni védelméről szól, mint arról, hogy felelősségteljesen, az ügyfelek és a felhasználók kívánságainak megfelelően használják fel, hogy megakadályozzák, hogy rossz kezekbe kerüljenek. De ez nem azt jelenti, hogy nem tartalmazhat biztonsági típusú intézkedéseket a magánélet védelmének biztosítása érdekében. Más közös adatvédelmi rendelkezések például az arra irányuló erőfeszítések, hogy megakadályozzák az érzékeny adatoknak az érintetthez vagy természetes személyhez való kapcsolódását—mint például a személyes adatok azonosításának megszüntetése, azok elhomályosítása vagy különböző helyeken történő tárolása az újbóli azonosítás valószínűségének csökkentése érdekében.

túl gyakran használják a biztonság és a magánélet kifejezéseket felcserélhetően, de láthatjuk, hogy valójában különböznek egymástól—bár néha nehéz megkülönböztetni őket. Míg a biztonsági ellenőrzések az Adatvédelmi megfontolások kielégítése nélkül is teljesíthetők, az adatvédelmi aggályokat lehetetlen kezelni anélkül, hogy először hatékony biztonsági gyakorlatokat alkalmaznának. Más szavakkal, az adatvédelem korlátozza a hozzáférést, míg a biztonság az a folyamat vagy alkalmazás, amely korlátozza ezt a hozzáférést. Más módon fogalmazva: a biztonság védi az adatokat, a magánélet pedig az identitást.

CTA-Download-Privacy-Solutions

Adatvédelem és biztonság a gyakorlatban

nézzünk meg egy hipotetikus példát ezekre a fogalmakra. Amikor letölt egy mobilalkalmazást az okostelefonjára, valószínűleg egy adatvédelmi megállapodást kell kérnie, amelyhez a telepítés megkezdése előtt hozzá kell járulnia. Innentől kezdve az alkalmazás hozzáférést kérhet a telefonján tárolt bizonyos információkhoz, például a névjegyekhez, a helyadatokhoz vagy a fényképekhez. Miután úgy döntött, hogy megadja az alkalmazásnak ezeket az engedélyeket, akkor felelős az adatok biztonságáért és az adatok magánéletének védelméért—ami nem mindig történik meg.
Ha például az alkalmazás fejlesztője megfordult, és eladta az Ön által megadott információkat egy harmadik félnek vagy marketingcégnek az Ön engedélye nélkül, az sértené az Ön magánéletét. Ha az alkalmazás készítője megsértést szenvedne, az információit kiberbűnözők elé tárva, az a magánélet újabb megsértése lenne, de biztonsági hiba is lenne. Mindkét esetben a fejlesztő nem védte meg a magánéletét.

Adatvédelem és biztonság vs. Compliance

most, hogy alapvető ismeretekkel rendelkezik az adatvédelem és a biztonság közötti különbségről, nézzünk meg néhány közös szabályozást, amelyek segítenek iránymutatásokat adni mindegyik fenntartásához és az Adatvédelmi környezet kialakításához.

a Payment Card Industry Data Security Standard (PCI DSS) az érzékeny fizetési kártyaadatok és a kártyabirtokos adatai védelmére szolgáló szabályok összessége. Bár elsősorban a fizetési adatok feldolgozásának, tárolásának és továbbításának biztonsági ellenőrzéseinek egységesítésére vonatkozik, a fizetésekhez gyakran kapcsolódó személyes adatokra, például nevekre és címekre vonatkozó intézkedéseket is tartalmaz. Ez vonatkozik a bankokra, kereskedőkre, harmadik felekre és minden más entitásra, amely a főbb fizetési kártyamárkák kártyabirtokosainak adatait kezeli.

Icon-for-GDPR-personal-data-EU

Az Európai Unió általános adatvédelmi rendelete (GDPR) egy nemzetközi szabvány az uniós polgárok magánéletének védelmére. Ez a törvény meghatározza azokat a fontos fogalmakat és meghatározásokat, amelyek esetében az adatokat védeni kell (érintettek), milyen típusú adatokat (személyes adatok), és hogyan kell ezeket az adatokat kezelni és biztosítani. E rendelet hatálya alá tartozik minden olyan jogalany, amely az uniós polgárok adatait gyűjti.

Icon-for-CCPA-California-Consumer-Privacy

A California Consumer Privacy Act (CCPA) az Egyesült Államok irányadó törvénye, amely szabályozza, hogy a szervezetek hogyan dolgozhatják fel a kaliforniai állampolgárok és háztartásaik adatait. A GDPR-hez hasonlóan dokumentálja, hogy mely adatok védettek, és részletezi az adatok védelmének követelményeit. Minden szervezetnek, amely a kaliforniai adatokat kezeli, be kell tartania ezt az alapszabályt.

az egészségbiztosítási hordozhatóságról és elszámoltathatóságról szóló törvény (HIPAA) az Egyesült Államokban a betegek érzékeny egészségügyi információinak védelmével foglalkozik.ez a rendelet különösen összetett a rendelkezésre álló egészségügyi adatok hatalmas mennyisége és sokfélesége miatt—a beteg születési dátumától kezdve az előírt gyógyszerekig és Röntgensugarakig. Mind fizikai, mind digitális formában létezik, amelyeket másképp kell védeni, ami lehetetlenné teszi a magán-egészségügyi információk biztosítását az “egy mindenki számára megfelelő” megközelítéssel.

bár a bírságok és egyéb költséges büntetések elkerülése érdekében fontos, hogy megfeleljen az egyes szabályozások követelményeinek, érdemes megjegyezni, hogy a minimális megfelelési kötelezettségek teljesítése nem mindig eredményez megfelelő biztonsági vagy adatvédelmi intézkedéseket. Azáltal, hogy a hatékony adatvédelmi és biztonsági ellenőrzések végrehajtását helyezi előtérbe—ahelyett, hogy egyszerűen megfelelne a minimális szabályozási követelményeknek—, a szervezetek gyakran túllépik ugyanezeket a kötelezettségeket, miközben javítják biztonsági helyzetüket és jobban pozícionálják magukat a jövőbeli szabályozások előrejelzésére. A tokenizálás hatékony módszert kínál erre.

tokenizálás az adatvédelemhez és biztonsághoz

a tokenizálás egyik egyedülálló tulajdonsága—és az egyik legnagyobb erőssége—az, hogy képes kielégíteni mind az Adatvédelmi, mind a biztonsági aggályokat. Az információk álnevesítésének képessége révén a tokenizálás biztonsági hibabiztosként működhet az érzékeny adatok védelme érdekében jogsértés esetén, a megsértett rendszerben tárolt adatokat olvashatatlanná téve a számítógépes bűnözők számára. Valójában az álnevesítés deszenzitizálja az adatokat azáltal, hogy azonosítja azokat, és megakadályozza, hogy visszatérjenek eredeti, érzékeny formájába.

mivel a tokenizálás eltávolítja az érzékeny adatokat a belső rendszerekből, gyakorlatilag kiküszöböli az adatlopás kockázatát, így különösen hasznos eszköz a kockázatcsökkentéshez és a megfelelőséghez mind az Adatvédelmi, mind a biztonsági szempontok szempontjából. Tehát még akkor is, ha az adatvédelem védelme érdekében létrehozott biztonsági rendszerek veszélybe kerülnek, az érzékeny információk titkossága nem.

További információ a tokenizációról és arról, hogy hogyan felel meg mind a biztonsági, mind az Adatvédelmi aggályoknak, nézze meg az alábbi “Hogyan válasszunk Tokenizációs megoldást” e-könyvünket.

CTA-PCI-Ebook--Hogyan válasszuk ki-Tokenizáció-megoldás

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.