För organisationer som samlar in eller hanterar data—och individer som äger it—bör privata data och säkerheten för dessa data inte tas lätt på. De är primära problem när man åtar sig processen att skydda grundläggande känslig information som identiteter, Ekonomi och hälsojournaler. Utan dem skulle cyberbrottslingar och andra skadliga aktörer ha tillgång till svindlande mängder potentiellt skadliga data. Men inte alla känner igen eller förstår skillnaden mellan datasekretess och säkerhet. Som ett resultat används termerna ofta felaktigt eller förvirrade som samma sak.
Så, vad är datasekretess och säkerhet?
Sekretess vs. säkerhet
skillnaden mellan integritet och säkerhet beror på vilka data som skyddas, hur de skyddas, från vem de skyddas och vem som är ansvarig för det skyddet. Säkerhet handlar om att skydda data från skadliga hot, medan integritet handlar om att använda data på ett ansvarsfullt sätt.
självklart handlar datasäkerhet om att säkra känsliga data. Där datasekretess och säkerhet börjar skilja sig är i vem eller vad de skyddar data från. Datasäkerhet är främst inriktat på att förhindra obehörig åtkomst till data, via överträdelser eller läckor, oavsett vem den obehöriga parten är. För att uppnå detta använder organisationer verktyg och teknik som brandväggar, användarautentisering, nätverksbegränsningar och intern säkerhetspraxis för att avskräcka sådan åtkomst. Detta inkluderar också säkerhetsteknologier som tokenisering och kryptering för att ytterligare skydda data genom att göra det oläsligt—vilket, i det fall ett brott inträffar, kan hindra cyberbrottslingar från att potentiellt exponera massiva volymer känslig data.
Sekretess handlar dock om att se till att de känsliga uppgifter som en organisation behandlar, lagrar eller överför intas följsamt och med samtycke från ägaren av den känsliga informationen. Detta innebär att informera individer i förväg om vilka typer av data som kommer att samlas in, för vilket syfte och med vem det kommer att delas. När denna öppenhet har tillhandahållits måste en individ godkänna användarvillkoren, så att organisationen som tar in data kan använda den i linje med dess angivna syften.
så, integritet handlar mindre om att skydda data från skadliga hot än det handlar om att använda det på ett ansvarsfullt sätt, och i enlighet med kundernas och användarnas önskemål, för att förhindra att det hamnar i fel händer. Men det betyder inte att det inte också kan innehålla säkerhetsåtgärder för att säkerställa att integriteten skyddas. Till exempel är ansträngningar för att förhindra att känsliga uppgifter kopplas till den registrerade eller fysiska personen—som att avidentifiera personuppgifter, fördunkla dem eller lagra dem på olika platser för att minska sannolikheten för återidentifiering-andra vanliga integritetsbestämmelser.
för ofta används termerna säkerhet och integritet omväxlande, men du kan se att de faktiskt är olika—men ibland svåra att skilja mellan. Medan säkerhetskontroller kan uppfyllas utan att också uppfylla integritetshänsyn, är integritetsfrågor omöjliga att ta itu med utan att först använda effektiva säkerhetsmetoder. Med andra ord begränsar Sekretess åtkomst, medan säkerhet är processen eller applikationen för att begränsa den åtkomsten. Sätt på ett annat sätt, säkerhet skyddar data och integritet skyddar identitet.
datasekretess och säkerhet i praktiken
låt oss titta på ett hypotetiskt exempel på dessa begrepp. När du laddar ner en mobilapplikation på din smartphone uppmanas du förmodligen med ett integritetsavtal som du måste godkänna innan installationen börjar. Därifrån kan appen också be om åtkomst till viss information som lagras på din telefon, till exempel dina kontakter, platsdata eller foton. När du väl har bestämt dig för att ge appen dessa behörigheter är den då ansvarig för att säkra dina data och skydda integriteten för dessa data—vilket inte alltid händer.om till exempel utvecklaren av den appen vände sig om och sålde informationen du gav den till en tredje part eller marknadsföringsföretag utan ditt tillstånd, skulle det vara ett brott mot din integritet. Om appmakaren skulle drabbas av ett brott och utsätta din information för cyberbrottslingar, skulle det vara ett annat brott mot din integritet, men det skulle också vara ett säkerhetsfel. I båda fallen misslyckades utvecklaren att skydda din integritet.
datasekretess och säkerhet vs. Compliance
nu när du har en grundläggande förståelse för skillnaden mellan datasekretess och säkerhet, låt oss titta på några gemensamma regler som syftar till att ge riktlinjer för att upprätthålla varje och hur de bildar dataskyddslandskapet.
payment Card Industry data Security Standard (PCI DSS) är en uppsättning regler för att skydda känslig betalkortsinformation och kortinnehavardata. Även om det främst handlar om att standardisera säkerhetskontrollerna för bearbetning, lagring och överföring av betalningsdata, innehåller det också åtgärder för personlig information som ofta är förknippade med betalningar, till exempel namn och adresser. Det gäller banker, handlare, tredje part och alla andra enheter som hanterar kortinnehavardata från de stora betalkortsvarumärkena.
Europeiska unionens allmänna dataskyddsförordning (GDPR) är en internationell standard för att skydda EU-medborgarnas integritet. Denna lag fastställer viktiga termer och definitioner för vars data ska skyddas (registrerade), vilka typer av data som medför (personuppgifter) och hur dessa data ska hanteras och säkras. Varje enhet som samlar in uppgifter om EU-medborgare omfattas av denna förordning.
California Consumer Privacy Act (CCPA) är riktmärket USA: s lag som reglerar hur organisationer får behandla data från Kaliforniens medborgare och deras hushåll. I likhet med GDPR dokumenterar den vilka data som skyddas och specificerar kraven för att skydda dessa data. Alla organisationer som hanterar data från kalifornier måste följa denna stadga.
Health Insurance Portability and Accountability Act (HIPAA) handlar om att skydda känslig hälsoinformation för patienter över hela USA.Denna förordning är särskilt komplex på grund av den stora mängden och mångfalden av tillgängliga hälsovårdsdata—allt från en patients födelsedatum till dess föreskrivna medicinering och röntgenstrålar. Det finns också i både fysiska och digitala former som måste skyddas annorlunda, vilket gör det omöjligt att säkerställa privat hälsoinformation med en ”one size fits all” – strategi.
även om det är viktigt att uppfylla kraven i varje förordning som är relevant för din organisation för att undvika böter och andra kostsamma påföljder, är det också värt att notera att uppfyllande av minimikrav för efterlevnad inte alltid resulterar i tillräckliga säkerhets-eller integritetsåtgärder. Genom att prioritera genomförandet av effektiv datasekretess och säkerhetskontroller—snarare än att bara uppfylla minimikrav—kommer organisationer ofta att överskrida samma skyldigheter samtidigt som de förbättrar sin säkerhet och bättre positionerar sig för att förutse framtida regler. Tokenisering ger en effektiv metod för att göra just det.
tokenisering för datasekretess och säkerhet
en av de unika sakerna med tokenisering—och en av dess största styrkor-är dess potential att tillgodose både datasekretess och säkerhetsproblem. Genom sin förmåga att pseudonymisera information kan tokenisering fungera som en säkerhetsfelsäker för att skydda känslig data i händelse av ett brott, vilket gör att data som lagras i det kränkta systemet oläsligt för cyberbrottslingar. I själva verket desensibiliserar pseudonymisering data genom att avidentifiera den och förhindra att den återgår till sin ursprungliga, känsliga form.
eftersom tokenisering tar bort känsliga data från interna system kan det praktiskt taget eliminera risken för datastöld, vilket gör det till ett särskilt användbart verktyg för riskminskning och efterlevnad när det gäller både datasekretess och säkerhetshänsyn. Så även om säkerhetssystemen som inrättats för att skydda datasekretessen äventyras, gör inte integriteten för den känsliga informationen det.
För mer information om tokenization och hur det uppfyller både säkerhets-och integritetsfrågor, kolla in vår ”Hur man väljer en Tokenization Solution” ebook nedan.