Per le organizzazioni che raccolgono o gestiscono i dati—e gli individui che ne sono proprietari—i dati privati e la sicurezza di tali dati non dovrebbero essere presi alla leggera. Sono preoccupazioni primarie quando si intraprende il processo di protezione di informazioni fondamentalmente sensibili come identità, finanze e cartelle cliniche. Senza di loro, i criminali informatici e altri attori malintenzionati avrebbero accesso a quantità impressionanti di dati potenzialmente dannosi. Tuttavia, non tutti riconoscono o comprendono la differenza tra privacy e sicurezza dei dati. Di conseguenza, i termini sono spesso usati in modo errato o confusi come la stessa cosa.
Quindi, quali sono la privacy e la sicurezza dei dati?
Privacy vs Sicurezza
La differenza tra privacy e sicurezza si riduce a quali dati vengono protetti, come vengono protetti, da chi vengono protetti e chi è responsabile di tale protezione. La sicurezza riguarda la protezione dei dati da minacce dannose, mentre la privacy riguarda l’utilizzo dei dati in modo responsabile.
Ovviamente, la sicurezza dei dati riguarda la protezione dei dati sensibili. Dove la privacy e la sicurezza dei dati iniziano a differire è in chi o da cosa stanno proteggendo i dati. La sicurezza dei dati si concentra principalmente sulla prevenzione dell’accesso non autorizzato ai dati, tramite violazioni o perdite, indipendentemente da chi sia la parte non autorizzata. Per raggiungere questo obiettivo, le organizzazioni utilizzano strumenti e tecnologie come firewall, autenticazione degli utenti, limitazioni di rete e pratiche di sicurezza interna per scoraggiare tale accesso. Ciò include anche tecnologie di sicurezza come la tokenizzazione e la crittografia per proteggere ulteriormente i dati rendendoli illeggibili, il che, nel caso in cui si verifichi una violazione, può impedire ai criminali informatici di esporre potenzialmente enormi volumi di dati sensibili.
La privacy, tuttavia, si occupa di garantire che i dati sensibili elaborati, archiviati o trasmessi da un’organizzazione vengano ingeriti in modo conforme e con il consenso del proprietario di tali dati sensibili. Ciò significa informare gli individui in anticipo su quali tipi di dati saranno raccolti, per quale scopo e con chi saranno condivisi. Una volta fornita questa trasparenza, un individuo deve quindi accettare i termini di utilizzo, consentendo all’organizzazione che ingerisce i dati di utilizzarli in linea con i suoi scopi dichiarati.
Quindi, la privacy è meno sulla protezione dei dati da minacce dannose che sull’utilizzo responsabile e in conformità con i desideri di clienti e utenti, per evitare che cada nelle mani sbagliate. Ma ciò non significa che non possa includere anche misure di sicurezza per garantire che la privacy sia protetta. Ad esempio, gli sforzi per impedire il collegamento di dati sensibili alla persona interessata o alla persona fisica, come la de—identificazione dei dati personali, l’offuscamento o la memorizzazione in luoghi diversi per ridurre la probabilità di una nuova identificazione, sono altre disposizioni comuni sulla privacy.
Troppo spesso, i termini sicurezza e privacy sono usati in modo intercambiabile, ma si può vedere che sono in realtà diversi—anche se a volte difficile distinguere tra. Mentre i controlli di sicurezza possono essere soddisfatti senza soddisfare anche considerazioni sulla privacy, i problemi di privacy sono impossibili da affrontare senza prima impiegare pratiche di sicurezza efficaci. In altre parole, la privacy limita l’accesso, mentre la sicurezza è il processo o l’applicazione per limitare tale accesso. In altre parole, la sicurezza protegge i dati e la privacy protegge l’identità.
Privacy e sicurezza dei dati in pratica
Diamo un’occhiata ad un ipotetico esempio di questi concetti. Quando scarichi un’applicazione mobile sullo smartphone, probabilmente ti viene richiesto un accordo sulla privacy a cui devi acconsentire prima che inizi l’installazione. Da lì, l’app potrebbe anche chiedere l’accesso a determinate informazioni memorizzate sul telefono, come i contatti, i dati sulla posizione o le foto. Una volta che hai deciso di concedere all’app queste autorizzazioni, è responsabile della protezione dei tuoi dati e della protezione della privacy di tali dati, cosa che non sempre accade.
Se, ad esempio, lo sviluppatore di tale app si è girato e ha venduto le informazioni che hai dato a una terza parte o società di marketing senza il tuo permesso, ciò sarebbe una violazione della tua privacy. Se il produttore di app dovesse subire una violazione, esponendo le tue informazioni ai criminali informatici, sarebbe un’altra violazione della tua privacy, ma sarebbe anche un errore di sicurezza. In entrambi i casi, lo sviluppatore non è riuscito a proteggere la tua privacy.
Privacy e sicurezza dei dati vs. Compliance
Ora che avete una conoscenza di base della differenza tra privacy e sicurezza dei dati, diamo un’occhiata ad alcuni regolamenti comuni progettati per contribuire a fornire linee guida per il mantenimento di ogni e come formano il panorama di protezione dei dati.
Lo standard PCI DSS (Payment Card Industry Data Security Standard) è un insieme di regole per la protezione delle informazioni sensibili sulle carte di pagamento e dei dati dei titolari. Sebbene si occupi principalmente di standardizzare i controlli di sicurezza per l’elaborazione, l’archiviazione e la trasmissione dei dati di pagamento, include anche misure per le informazioni personali spesso associate ai pagamenti, come nomi e indirizzi. Si applica a banche, commercianti, terze parti e tutte le altre entità che gestiscono i dati dei titolari di carta dai principali marchi di carte di pagamento.
Il Regolamento generale sulla protezione dei dati dell’Unione Europea (GDPR) è uno standard internazionale per proteggere la privacy dei cittadini dell’UE. Questa legge stabilisce termini e definizioni importanti per i quali i dati dovrebbero essere protetti (soggetti interessati), quali tipi di dati ciò comporta (dati personali) e come tali dati dovrebbero essere gestiti e protetti. Qualsiasi entità che raccolga i dati dei cittadini dell’UE è soggetta al presente regolamento.
Il California Consumer Privacy Act (CCPA) è la legge statunitense di riferimento che regola il modo in cui le organizzazioni sono autorizzate a trattare i dati dei cittadini della California e delle loro famiglie. Analogamente al GDPR, documenta quali dati sono protetti e specifica i requisiti per la protezione di tali dati. Tutte le organizzazioni che gestiscono i dati provenienti da californiani devono aderire a questo statuto.
L’Health Insurance Portability and Accountability Act (HIPAA) si occupa di proteggere le informazioni sanitarie sensibili dei pazienti negli Stati Uniti Questo regolamento è particolarmente complesso a causa della grande quantità e varietà di dati sanitari disponibili, dalla data di nascita di un paziente ai farmaci prescritti e ai raggi X. Esiste anche in forme fisiche e digitali che devono essere protette in modo diverso, il che rende impossibile garantire le informazioni sanitarie private con un approccio “one size fits all”.
Sebbene sia importante soddisfare i requisiti di ogni regolamento pertinente alla tua organizzazione al fine di evitare multe e altre costose sanzioni, vale anche la pena notare che soddisfare gli obblighi minimi di conformità non sempre comporta misure di sicurezza o privacy adeguate. Dando priorità all’implementazione di efficaci controlli sulla privacy e sulla sicurezza dei dati, piuttosto che semplicemente soddisfare i requisiti normativi minimi, le organizzazioni spesso supereranno quegli stessi obblighi migliorando al contempo la loro sicurezza e posizionandosi meglio per anticipare le normative future. La tokenizzazione fornisce un metodo efficace per fare proprio questo.
Tokenizzazione per la privacy e la sicurezza dei dati
Una delle cose uniche della tokenizzazione—e uno dei suoi maggiori punti di forza—è il suo potenziale per soddisfare sia la privacy dei dati che i problemi di sicurezza. Attraverso la sua capacità di pseudonimizzare le informazioni, la tokenizzazione può agire come un failsafe di sicurezza per proteggere i dati sensibili in caso di violazione, rendendo illeggibili ai criminali informatici i dati memorizzati nel sistema violato. In effetti, la pseudonimizzazione desensibilizza i dati deidentificandoli e impedendo che vengano restituiti alla loro forma originale e sensibile.
Poiché la tokenizzazione rimuove i dati sensibili dai sistemi interni, può virtualmente eliminare il rischio di furto di dati, rendendolo uno strumento particolarmente utile per la riduzione del rischio e la conformità sia in termini di privacy dei dati che di sicurezza. Quindi, anche se i sistemi di sicurezza stabiliti per proteggere la privacy dei dati diventano compromessi, la privacy di tali informazioni sensibili non lo fa.
Per ulteriori informazioni sulla tokenizzazione e su come soddisfa i problemi di sicurezza e privacy, consulta il nostro ebook “Come scegliere una soluzione di tokenizzazione” di seguito.
