پرش به محتوای اصلی

چگونه به صورت امن با داده های شخصی کار کنیم؟

چگونه به صورت امن با داده های شخصی کار کنیم؟

چگونه در یک شرکت، اطلاعات شناسایی شخصی (Personally Identifiable Information - PII)1 را با حداقل خطرات ذخیره و پردازش کنیم؟

دولت های بسیاری از کشورها در حال تشدید قوانینی هستند که کار با داده های شخصی را تنظیم می کند. با این وجود، تعداد نشت داده ها سالیانه در حال افزایش است. تا ده سال پیش، شدیدترین خسارات مالی که ممکن بود یک شرکت متحمل شود، دعاوی حقوقی و عواقب آسیب به شهرت آن بود. اما این روزها جریمه های نظارتی در حادثه ی از دست رفتن داده ها می توانند بخش قابل توجهی از زیان یک شرکت را تشکیل دهند. بنابراین، ما تصمیم گرفتیم مجموعه ای از نکات را منتشر کنیم که به شرکت شما در سازماندهی فرآیندهای امن برای جمع آوری، ذخیره سازی و انتقال اطلاعات شناسایی شخصی (PII) کمک می کند.

جمع آوری داده های شخصی

اولین نکته مهم: داده ها را تنها در صورتی جمع آوری کنید که دلایل قانونی کافی برای این کار داشته باشید.

قوانین جمع آوری داده ها ممکن است به طور رسمی توسط قانون کشوری که شرکت شما در آن فعالیت می کند، ارائه شده باشد. قراردادی با شرایطی که به وضوح امکان پردازش PII را فراهم می کند. یا رضایت نامه سوژه PII به صورت الکترونیکی یا کاغذی. بعلاوه:

  • مدارکی دال بر کسب مجوز برای پردازش و ذخیره PII داشته باشید که در زمان دعاوی قانونی یا بازرسی ها بتوانید از آن استفاده کنید.
  • داده هایی را که واقعا برای فرآیندهای کاری شما مورد نیاز نیستند جمع آوری نکنید. (داده ها نباید صرفا برای احتیاط جمع آوری شوند.)
  • اگر داده‌ هایی که برای کار لازم نیست به اشتباه جمع‌ آوری کردید، فورا آن ها را حذف کنید.

ذخیره سازی داده های شخصی

اگر داده های شخصی را جمع آوری می کنید، بسیار مهم است که بدانید آن ها کجا ذخیره شده اند، چه کسی به آن ها دسترسی دارد و چگونه پردازش می شوند. برای انجام این کار، ممکن است به ایجاد نوعی «نقشه» نیاز داشته باشید که در آن تمام فرآیندهای مربوط به PII ثبت شوند. سپس، مقررات سختگیرانه ای برای ذخیره سازی و پردازش داده ها ایجاد کنید و به طور مداوم بر اجرای هر دو نظارت داشته باشید. موارد زیر را نیز توصیه می کنیم:

  • PII را منحصرا در بستری ذخیره کنید که افراد غریبه هیچ گونه دسترسی ای به آن نداشته باشند.
  • مجوز دسترسی به PII را فقط به تعداد کمی از کارمندان دهید. (فقط باید برای افرادی در دسترس باشد که واقعا به دلایل کاری به آن نیاز دارند).
  • به سرعت داده هایی را که مدتهاست دیگر برای فرآیندهای کاری لازم نیستند حذف کنید.
  • اگر در فرایند کار به ذخیره سازی اسناد کاغذی نیاز دارید، باید آنها را در مکان های امن (مانند گاوصندوق ها) قرار دهید.
  • اسناد کاغذی غیر ضروری را با استفاده از دستگاه های خردکن از بین ببرید.
  • اگر به داده ‌ها آن ‌طور که هستند نیازی نیست، باید به داده های ناشناس تبدیل شوند (شناسه ‌های منحصربه‌فرد آن ها باید برداشته شود، به طوری که حتی در صورت نشت، شناسایی آن ها ممکن نباشد).
  • اگر در فرآیندهای کاری شما، امکان ناشناس کردن داده ها وجود ندارد، باید به صورت شبه ناشناس باشند (تبدیل PII به یک رشته منحصربه‌فرد بطوریکه شناسایی آن بدون وجود اطلاعات اضافی غیر ممکن باشد).
  • از ذخیره PII در هارد اکسترنال، فلش یا دستگاه هایی که در محیط کار به راحتی قابل استفاده هستند جلوگیری کنید (ممکن است به سرقت بروند یا گم شوند، در این صورت مهاجم به راحتی می تواند به داده ها دسترسی پیدا کند).
  • PII واقعی را در برنامه ها و زیر ساخت های آزمایشی ذخیره یا پردازش نکنید.
  • تا زمانیکه از امنیت سرویس‌ های جدید مطمئن نشده اید از آن برای ذخیره‌ سازی و پردازش داده‌ ها استفاده نکنید.

انتقال داده های شخصی

تمام فرآیندهای مربوط به انتقال داده ‌های شخصی باید توسط بخش امنیتی یا مامور حفاظت داده ‌ها (در صورت وجود) ثبت و تایید شوند. همه کارکنانی که به PII دسترسی دارند باید دستورالعمل‌ های واضحی در مورد نحوه مدیریت داده‌ ها در شرکت شما داشته باشند، اینکه از کدام شرکت یا سرویس های شخص ثالث می ‌توان برای این کار استفاده کرد، و این داده‌ ها را به چه کسانی می ‌توان انتقال داد. علاوه بر این، مطمئن شوید که:

  • پیمانکاران فرعی (به عنوان مثال، خدمات MSP) نباید با دسترسی Administrator به سیستم های حاوی PII دسترسی داشته باشند.
  • دسترسی به داده ‌ها خارج از منطقه جغرافیایی محدود باشد (داده‌ های شهروندان یک کشور نباید از کشورهای دیگر در دسترس باشد).
  • هنگام انتقال، PII همیشه باید رمزگذاری شده باشد (به ویژه هنگام ارسال داده ها از طریق ایمیل).
  • هنگام انتقال داده ها از شرکت شما به سازمان های شخص ثالث باید قرارداد پردازش داده ها (DPA) امضا شود.
  • شما این حق قانونی را دارید که PII را به اشخاص ثالث منتقل کنید (به این معنا که، رضایت واضحی از سوژه PII برای این کار وجود داشته باشد، یا این در یک قرارداد مشخص شده باشد یا توسط قانون الزامی شده باشد).

البته این نکات و مقررات سختگیرانه نمی توانند احتمال خطای انسانی را از بین ببرند. بنابراین، توصیه می ‌کنیم به صورت دوره ‌ای آموزش های آگاهی از امنیت برگزار کنید. توصیه می ‌شود پلتفرم ‌های آموزشی ای را انتخاب کنید که دارای درس ‌های مرتبط با حریم خصوصی و کار با داده‌ های شخصی هستند.


1- اطلاعات شناسایی شخصی (PII) شامل اطلاعاتی است که به تنهایی یا همراه سایر داده ‌های مرتبط، می‌ تواند برای شناسایی یک شخص استفاده شود.

تبلیغات

طراحی و قالب سایت بازی و سرگرمی

مناسب برای فروشگاه های اسباب بازی و موزیک و فیلم
فروش ویژه پاییزی آنتی ویروس نود 32 و کسپرسکی
Logo-Samandehi Logo-Enamad