Prywatność danych a bezpieczeństwo danych: jaka jest podstawowa różnica?

w przypadku organizacji, które zbierają dane lub zarządzają nimi—oraz osób, które są ich właścicielami—nie należy lekceważyć danych prywatnych i ich bezpieczeństwa. Są to podstawowe obawy przy podejmowaniu procesu ochrony zasadniczo wrażliwych informacji, takich jak tożsamość, Finanse i dokumentacja zdrowotna. Bez nich cyberprzestępcy i inne złośliwe podmioty mieliby dostęp do ogromnej ilości potencjalnie szkodliwych danych. Jednak nie wszyscy dostrzegają lub rozumieją różnicę między prywatnością danych a bezpieczeństwem. W rezultacie terminy są często używane nieprawidłowo lub mylone jako to samo.
czym jest prywatność i bezpieczeństwo danych?

Prywatność a Bezpieczeństwo

różnica między prywatnością a bezpieczeństwem sprowadza się do tego, które dane są chronione, w jaki sposób są chronione, przed kim są chronione i kto jest odpowiedzialny za tę ochronę. Bezpieczeństwo polega na ochronie danych przed złośliwymi zagrożeniami, podczas gdy prywatność polega na odpowiedzialnym wykorzystywaniu danych.

oczywiście bezpieczeństwo danych dotyczy zabezpieczenia danych wrażliwych. Tam, gdzie prywatność i bezpieczeństwo danych zaczynają się różnić, to od kogo lub od czego chronią dane. Bezpieczeństwo danych koncentruje się przede wszystkim na zapobieganiu nieautoryzowanemu dostępowi do danych, poprzez naruszenia lub wycieki, niezależnie od tego, kto jest nieautoryzowaną stroną. Aby to osiągnąć, organizacje używają narzędzi i technologii, takich jak zapory sieciowe, uwierzytelnianie użytkowników, ograniczenia sieci i wewnętrzne praktyki bezpieczeństwa, aby powstrzymać taki dostęp. Obejmuje to również technologie bezpieczeństwa, takie jak tokenizacja i Szyfrowanie, aby jeszcze bardziej chronić dane, czyniąc je nieczytelnymi—co w przypadku naruszenia może powstrzymać cyberprzestępców przed potencjalnie ujawnieniem ogromnych ilości poufnych danych.

Prywatność dotyczy jednak zapewnienia, że dane wrażliwe, które organizacja przetwarza, przechowuje lub przesyła, są spożywane zgodnie z przepisami i za zgodą właściciela tych danych wrażliwych. Oznacza to uprzednie informowanie osób o tym, jakie rodzaje danych będą gromadzone, w jakim celu i komu będą udostępniane. Po zapewnieniu tej przejrzystości jednostka musi zgodzić się na warunki użytkowania, pozwalając organizacji pobierającej dane na wykorzystanie ich zgodnie z określonymi celami.

tak więc prywatność nie polega na ochronie danych przed złośliwymi zagrożeniami, niż na ich odpowiedzialnym wykorzystywaniu, zgodnie z życzeniami klientów i użytkowników, aby zapobiec wpadnięciu ich w niepowołane ręce. Ale to nie znaczy, że nie może również obejmować środków bezpieczeństwa w celu zapewnienia ochrony prywatności. Innymi wspólnymi przepisami dotyczącymi prywatności są na przykład działania mające na celu zapobieganie powiązaniu danych wrażliwych z osobą, której dane dotyczą, lub z osobą fizyczną—takie jak dezidentyfikacja danych osobowych, zaciemnianie ich lub Przechowywanie w różnych miejscach w celu zmniejszenia prawdopodobieństwa ponownej identyfikacji.

zbyt często terminy Bezpieczeństwo i prywatność są używane zamiennie, ale widać, że w rzeczywistości są różne – choć czasami trudno je rozróżnić. Podczas gdy kontrole bezpieczeństwa można przeprowadzić bez uwzględniania kwestii prywatności, obawy dotyczące prywatności są niemożliwe do rozwiązania bez uprzedniego zastosowania skutecznych praktyk bezpieczeństwa. Innymi słowy, prywatność ogranicza dostęp, podczas gdy bezpieczeństwo to proces lub aplikacja ograniczająca ten dostęp. Innymi słowy, bezpieczeństwo chroni dane, a Prywatność chroni tożsamość.

CTA-Dowload-Privacy-Solutions

prywatność i bezpieczeństwo danych w praktyce

spójrzmy na hipotetyczny przykład tych pojęć. Po pobraniu aplikacji mobilnej na smartfona prawdopodobnie zostaniesz poproszony o zawarcie umowy o ochronie prywatności, na którą musisz wyrazić zgodę przed rozpoczęciem instalacji. Stamtąd aplikacja może również poprosić o dostęp do pewnych informacji przechowywanych w telefonie, takich jak kontakty, dane o lokalizacji lub zdjęcia. Po decyzji o przyznaniu aplikacji tych uprawnień, jest ona odpowiedzialna za zabezpieczenie danych i ochronę prywatności tych danych-co nie zawsze się zdarza.
Jeśli, na przykład, twórca tej aplikacji odwrócił się i sprzedał Informacje przekazane przez ciebie stronie trzeciej lub firmie marketingowej bez Twojej zgody, byłoby to naruszeniem Twojej prywatności. Gdyby twórca aplikacji doznał naruszenia, narażając Twoje informacje na cyberprzestępców, byłoby to kolejnym naruszeniem Twojej prywatności, ale byłoby to również awarią zabezpieczeń. W obu przypadkach deweloper nie chroni Twojej prywatności.

prywatność i bezpieczeństwo danych vs. Zgodność

teraz, gdy masz podstawową wiedzę na temat różnicy między prywatnością danych a bezpieczeństwem, przyjrzyjmy się kilku powszechnym regulacjom zaprojektowanym w celu zapewnienia wytycznych dotyczących utrzymania każdego z nich i sposobu, w jaki tworzą one krajobraz ochrony danych.

Payment Card Industry Data Security Standard (PCI DSS) to zbiór zasad ochrony poufnych informacji o kartach płatniczych i danych posiadacza karty. Chociaż chodzi przede wszystkim o standaryzację kontroli bezpieczeństwa przetwarzania, przechowywania i przesyłania danych dotyczących płatności, obejmuje ona również środki dotyczące danych osobowych często związanych z płatnościami, takie jak nazwiska i adresy. Dotyczy to banków, sprzedawców, stron trzecich i wszystkich innych podmiotów, które obsługują dane posiadacza karty od głównych marek kart płatniczych.

Icon-for-GDPR-personal-data-EU

ogólne rozporządzenie Unii Europejskiej o ochronie danych (RODO) jest międzynarodowym standardem ochrony prywatności obywateli UE. Ustawa ta ustanawia ważne terminy i definicje, dla których dane powinny być chronione (osoby, których dane dotyczą), jakie rodzaje danych, które pociągają za sobą (dane osobowe) oraz w jaki sposób dane te powinny być zarządzane i zabezpieczane. Każdy podmiot, który gromadzi dane obywateli UE, podlega niniejszemu rozporządzeniu.

Icon-for-CCPA-California-Consumer-Privacy

the California Consumer Privacy Act (CCPA) jest wzorcowym prawem Stanów Zjednoczonych regulującym sposób, w jaki organizacje mogą przetwarzać dane obywateli Kalifornii i ich gospodarstw domowych. Podobnie jak w przypadku RODO, dokumentuje On, które dane są chronione i wyszczególnia wymagania dotyczące ich ochrony. Wszystkie organizacje, które obsługują Dane od Kalifornijczyków, muszą przestrzegać tego statutu.

ustawa Health Insurance Portability and Accountability Act (HIPAA) zajmuje się ochroną wrażliwych informacji zdrowotnych pacjentów w Stanach Zjednoczonych.rozporządzenie to jest szczególnie złożone ze względu na ogromną ilość i różnorodność dostępnych danych dotyczących opieki zdrowotnej—od daty urodzenia pacjenta po przepisane leki i zdjęcia rentgenowskie. Istnieje również w formie fizycznej i cyfrowej, która wymaga odmiennej ochrony, co uniemożliwia uzyskanie prywatnych informacji zdrowotnych przy zastosowaniu podejścia „uniwersalnego”.

chociaż ważne jest, aby spełnić wymagania każdego Rozporządzenia właściwego dla Twojej organizacji, aby uniknąć grzywien i innych kosztownych kar, warto również zauważyć, że spełnienie minimalnych obowiązków w zakresie zgodności nie zawsze skutkuje odpowiednimi środkami bezpieczeństwa lub prywatności. Poprzez priorytetowe traktowanie wdrażania skutecznych środków ochrony prywatności i bezpieczeństwa danych—zamiast po prostu spełniać minimalne wymogi regulacyjne-organizacje często przekraczają te same obowiązki, a jednocześnie poprawiają swoją pozycję w zakresie bezpieczeństwa i lepiej przygotowują się do przewidywania przyszłych przepisów. Tokenizacja zapewnia skuteczną metodę robienia właśnie tego.

tokenizacja w zakresie prywatności i bezpieczeństwa danych

jedną z unikalnych cech tokenizacji—i jedną z jej największych mocnych stron—jest jej potencjał do zaspokojenia zarówno problemów związanych z prywatnością danych, jak i bezpieczeństwem. Dzięki możliwości pseudonimizacji informacji tokenizacja może działać jako zabezpieczenie bezpieczeństwa w celu ochrony wrażliwych danych w przypadku naruszenia, czyniąc dane przechowywane w naruszonym systemie nieczytelnym dla cyberprzestępców. W efekcie pseudonimizacja znieczula dane, deidentyfikując je i uniemożliwiając ich powrót do pierwotnej, wrażliwej formy.

ponieważ tokenizacja usuwa wrażliwe dane z systemów wewnętrznych, może praktycznie wyeliminować ryzyko kradzieży danych, co czyni go szczególnie użytecznym narzędziem do redukcji ryzyka i zgodności zarówno pod względem prywatności, jak i bezpieczeństwa danych. Tak więc nawet jeśli Systemy bezpieczeństwa ustanowione w celu ochrony prywatności danych zostaną naruszone, prywatność tych poufnych informacji nie zostanie naruszona.

aby uzyskać więcej informacji na temat tokenizacji i sposobu, w jaki spełnia ona zarówno wymogi bezpieczeństwa, jak i prywatności, zapoznaj się z poniższym e-bookiem „jak wybrać rozwiązanie do tokenizacji”.

CTA-PCI-Ebook--How-to-Choose-Tokenization-Solution

admin

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.