AB mahremiyet konusunda ciddileşiyor, ancak çok fazla şirket riski görmezden geliyor


Vatandaş geliştiricilerin becerilerini artırarak ve ölçeklendirerek başarılı bir şekilde yenilik yapmayı ve verimliliğe nasıl ulaşılacağını öğrenmek için Low-Code/No-Code Summit’teki isteğe bağlı oturumlara göz atın. İzle şimdi.


Çoğu teknoloji çalışanına güvenlik ve mahremiyet arasındaki farkı sorarsanız, asıl işleri bu ekiplerden birinde çalışmak olmadığı sürece muhtemelen size farkı söyleyemeyecektir. Artık hayatımızın ne kadarının çevrimiçi olduğu göz önüne alındığında, bu, özellikle Avrupa düzenleyicilerinden kurumsal sorumluluğa ve milyonlarca dolarlık para cezalarına yol açabilecek bir sorundur. Bu artan odaklanma ile güvenlik ve gizlilik arasındaki fark nedir ve çalışanlar bu konular hakkında nasıl düşünmeli?

Başlamak için Twitter’a bakalım duyuru Bu yaz, bir bilgisayar korsanı sisteminde altı aydan fazla bir süredir bulunuyordu ve 5,4 milyon hesaptan kullanıcı verilerini satmayı teklif ediyordu. (2020’de Floridalı bir genç de hesapları devralmakla suçlandı). Twitter’ın sistemini ihlal eden bilgisayar korsanları bir güvenlik sorunu oluşturuyor. Ancak bu bilgisayar korsanları milyonlarca veya milyarlarca kayda erişmiş olabileceğinden, bu aynı zamanda bir gizlilik sorunudur.

Bu yaz Meta, İrlanda’nın GDPR (Genel Veri Koruma Yönetmeliği) otoritesi tarafından 403 milyon dolar para cezasına çarptırıldı. Geçen yıl, Avrupalı ​​düzenleyiciler Amazon’a 888 milyon dolar para cezası verdi. Bu, büyük platformlar için büyük bir sorundur, ancak bugün hemen hemen her şirketi vurabilir: California, CCPA’yı (California Tüketici Gizliliği Yasası) ihlal ettiği için yakın zamanda Sepora’ya 1,2 milyon dolar para cezası verdi.

Para cezalarının ve ihlallerin etkisini azaltmak istiyorsak, yazılım şirketlerinin güvenlik kadar gizliliğe de odaklanması ve çalışanlarının aradaki farkı bilmesini sağlamamız gerekiyor. Doktora giderseniz, doktorunuz tam olarak hangi HIPAA düzenlemelerinin açıklamalarına izin verdiğini bilir. Yoldaki herhangi bir kamyon şoförü, DoT Hizmet Saatleri düzenlemelerine göre tam olarak kaç saat araç kullanabileceklerini bilir. Ancak teknoloji çalışanlarına CCPA kapsamında neleri yapıp neleri yapamayacaklarını sorarsanız, çoğu kısaltmayı tanımayabilir bile.

Etkinlik

Akıllı Güvenlik Zirvesi

Yapay zeka ve makine öğreniminin siber güvenlikteki kritik rolünü ve sektöre özel vaka incelemelerini 8 Aralık’ta öğrenin. Ücretsiz geçişiniz için bugün kaydolun.

Şimdi üye Ol

Gizlilik, kuruluşunuza güven oluşturmakla ilgilidir. Bu, kişisel bilgileri nasıl ele aldığınız ve bu verileri sorumlu bir şekilde ve tüketicilerin sizden yapmanızı bekledikleri doğrultusunda ele aldığınızdan emin olmanızla ilgilidir.

GDPR’de TL;DR

GDPR yönergeler, verilerin, kullanıcıların bilgilerinin düzeltilmesini, “unutulma hakkı” kapsamında silinmesini veya şirketin kullanıcı hakkında hangi verileri topladığını bilmesi için erişilmesini talep edebilmelerini sağlayacak şekilde saklanmasını gerektirir. diğer çeşitli gizlilik hakları talepleri ile. Ancak veriler bağlantısız birden çok veritabanında depolandığında, istekler birden fazla adım ve veritabanları arasında koordinasyon gerektirdiğinden uyumlu kalmak çok daha zordur.

Kurallar aynı zamanda verilerin nerede saklandığına da odaklanarak ABD ve Avrupa ülkeleri arasındaki veri akışını düzenlemeyi amaçlar. Facebook bu politikayla mücadele ediyor, ancak yemin ediyor “Meta birAvrupa’yı terk etmekle kesinlikle tehdit etmemek” Bu yeni düzenlemelere hazırlanmak için şirketlerin, düzenleyicilerle uyumu göstermek için kapsamlı bir veri işleme faaliyetleri kaydına ve bir veri envanterine sahip olduklarından emin olmaları gerekir.

Gizlilik farkındalığı için on sütun

Şirketinizde sürekli eğitim vermek, kişisel tanımlanabilir bilgilere (PII) erişen tüm çalışanlar için çok önemlidir. Yeni para cezaları ve güncellenen politikalar hakkındaki duyuruların hızı göz önüne alındığında, personelinizi sık sık güncellemeniz gerekebilir.

Fivetran’da en az 12 ayda bir şirket genelinde eğitim veriyorum, ancak yasal gereklilikler için ek takviye yıl boyunca süren bir iş. Farkındalık, uzun bir yasal gereksinimler listesi yerine gizliliğin temel yönlerinin öğretilmesini ve bu ilkelerin her ekip ve ekip üyesine nasıl uygulanacağını açıklamayı içerir. Odak alanları içeren bir kontrol listem var. İşte insanların bilmesi gerekenler.

  • Hesap verebilirlik: Kıdemli liderliğin, bir kuruluşun gizlilik uyumluluğundan nihai olarak sorumlu tek bir kişiyi belirlemesi gerekir. Birçok şirket bir Veri Gizliliği Görevlisi atayacak, ancak ne olursa olsun amaç, GDPR (ve diğer yasal düzenlemeler) uyumluluğuna odaklanmış ve sorumlu birine sahip olmaktır.
  • Amaçların Belirlenmesi: Şirketler, gizlilik bildirimlerinde müşteri verilerini nasıl kullanacaklarını belirtmeli, ancak aynı zamanda tüketici beklentilerini de dikkate almalıdır. Çoğu insan, bir mağazanın güvenlik kamerasından alınan video kayıtlarına yalnızca izinsiz girildiğinde erişilmesini bekler. Ancak kamera, şirketin ana sayfasına canlı yayın yapıyorsa bu, müşterileri şaşırtabilir ve gizlilikle ilgili endişelere yol açabilir.
  • Rıza: Uygun rıza temel bir gerekliliktir. Ancak, veri sahiplerinin rızalarını geri alma hakkına da sahip olduğunu ve veri sistemlerinizin bu özelliği desteklemesi gerektiğini unutmayın.
  • Sınırlı Toplama: Mümkün olduğu kadar çok veri toplamak cazip gelse de, ne kadar çok toplarsanız, riskiniz o kadar artar. Tanımladığınız amaçlara dayalı olarak işinizde gerçekten kullanabileceğiniz verileri izlemeye ve toplamaya odaklanın.
  • Kullanım, İfşa ve Saklamanın Sınırlandırılması: Gizlilik yasaları, şirketlerin verilere erişimi belirlenen amaçlarla sınırlamasını ve yetkili olmayan personele ifşa edilmesini önlemesini gerektirir. Ancak çok sayıda şirket, genel çalışanların kişisel verilere erişmesine hâlâ izin veriyor. Bir bilgisayar korsanı, güvenliği ihlal edilmiş bir hesap kullanarak bir sisteme girdiğinde, dahili erişimi ihtiyacı olanlarla sınırlayarak verebilecekleri zararın boyutunu en aza indirebilirsiniz. Ayrıca, yerel saklama yasalarını ve haklı ticari amaçları göz önünde bulundurarak verileri gerekenden daha uzun süre saklamayın ve yasal bir bildirim alırsanız nasıl yanıt vereceğinizi düşünün.
  • Doğruluk: Müşteri verilerinin doğru olduğundan emin olmak yasal bir gerekliliktir ve başarı için bir iş önceliğidir. Birden çok kaynaktan gelen verileri entegre ederken doğruluk da bir önceliktir, bu nedenle süreçlerinizin ve verilerinizin güvenilirliğini doğrulayabildiğinizden emin olun.
  • Önlemler: Hem gizlilik hem de güvenlik açısından verilere erişim için uygun yönetişime ve önlemlere sahip olduğunuzdan emin olun. Bunu, topladığınız tüketici verilerinin gizliliğini, bütünlüğünü ve kullanılabilirliğini koruyacak BT güvenlik programlarından “CIA üçlüsünü” kullanarak düşünün.
  • Açıklık: Şirketinizin müşteri verilerini kullanmanın benzersiz bir yolu varsa, bu politikaları Hizmet Şartları sözleşmesine gömmeyin; eninde sonunda birileri fark edecek. Meta, tüketiciler telefonlarında konum izlemeyi kapattıktan sonra şirket, kullanıcıları IP adreslerine göre coğrafi olarak izlediği için kullanıcılara 37,5 milyon dolar ödemeyi kabul etti. Veri uygulamalarınız konusunda şeffaf olun ve açık, özlü, sade İngilizce ifadeler kullanan politikalarda bilgi sağlayın.
  • Bireysel Erişim: Talep üzerine, veri sahiplerine kişisel bilgilerinin varlığı, kullanımı ve ifşası söylenmeli ve bu bilgilere erişebilmeli ve bu bilgilerin doğruluğuna itiraz edebilmelidir. Kuruluşlar, bu tür gizlilik hakları taleplerini ele almaya hazır olmalıdır.
  • Zorlayıcı Uyumluluk: Nihayetinde, GDPR ve CCPA kapsamındaki herkes, bir şirketin bu düzenlemelere uygunluğuna itiraz etme hakkına sahiptir. Bir şirkete itiraz edilirse, ilgili politikalar ve prosedürler dahil olmak üzere geçerli gizlilik gerekliliklerine uyum göstermesi istenebilir. Böyle bir talebe nasıl yanıt vereceğinizi canlandırmak için gizlilik ekibinizle birlikte çalışmak, düzenleyiciler aramaya başlamadan önce veri gizliliği programınızdaki boşlukları ortaya çıkarmanıza yardımcı olacaktır.

Modern işletmeler için verilerin önemi ile çalışanların gizlilik yasasına aşina olmasını sağlamak, bir olay durumunda şirketinizi çok daha iyi bir konuma getirecektir. Verilerin nasıl yakalanıp depolandığını düşünmek, riskleri en aza indirmeye yardımcı olacaktır. Gizlilik, şirketinizin güvenilir bir ortak olduğunuza ve onların çıkarlarını düşündüğünüze dair tüketicilere verdiği sözdür. Gizlilik konusunda farkındalık oluşturmak için, veri işleme ekiplerinin veri gizliliği sorumluluklarını tıpkı bir doktorun HIPAA gerekliliklerini bildiği gibi bilmesini sağlamak için yukarıdaki kontrol listesini kullanın.

Seth Batey, Fivetran’ın kıdemli gizlilik danışmanıdır..

DataDecisionMakers

VentureBeat topluluğuna hoş geldiniz!

DataDecisionMakers, veri işini yapan teknik kişiler de dahil olmak üzere uzmanların verilerle ilgili içgörüleri ve yenilikleri paylaşabileceği yerdir.

En yeni fikirler ve güncel bilgiler, en iyi uygulamalar ile veri ve veri teknolojisinin geleceği hakkında okumak istiyorsanız DataDecisionMakers’ta bize katılın.

Kendi makalenizle katkıda bulunmayı bile düşünebilirsiniz!

DataDecisionMakers’dan Daha Fazlasını Okuyun




Kaynak : https://venturebeat.com/security/eu-gets-serious-on-privacy-but-too-many-companies-ignore-the-risk/

Yorum yapın

SMM Panel PDF Kitap indir