سازمان هایی که برای قوانین حریم خصوصی داده های آتی آماده نیستند | دانش مرکز داده

بر اساس گزارش جدید CYTRIO با تمرکز بر GDPR و قانون حفظ حریم خصوصی مصرف کنندگان کالیفرنیا (CCPA) و قانون حقوق حفظ حریم خصوصی کالیفرنیا (CPRA) درخواست دسترسی موضوع داده به داده ها (DSAR) اکثر سازمان ها هنگام رعایت استانداردهای انطباق آتی برای حفظ حریم خصوصی داده ها مجهز نیستند. الزامات.

با این حال، نتایج همچنین نشان داد که شرکت‌های ناسازگار با حرکت به سمت فرآیندهای خودکار در حال حرکت به سمت منحنی بلوغ انطباق هستند.

یک مانع اصلی برای تقریباً همه سازمان های مورد بررسی، هزینه و پیچیدگی راه حل های مدیریت حریم خصوصی داده ها است.

ویجی باسانی، مدیر عامل CYTRIO، می‌گوید نگران‌کننده‌ترین یافته‌های نظرسنجی این بود که 52 درصد از پاسخ‌دهندگانی که گفته‌اند باید از CCPA و CPRA پیروی کنند، مکانیسمی برای مصرف‌کنندگان برای استفاده از حقوق حریم خصوصی داده‌هایشان ارائه نمی‌دهند.

او می‌گوید: «این بدان معناست که بیش از نیمی از شرکت‌ها ترجیح می‌دهند حریم خصوصی داده‌ها را نادیده بگیرند و احساس نمی‌کنند که نیازی به احترام به حقوق مصرف‌کنندگان و مشتریانشان ندارند.»

سازمان‌هایی که هنوز از فرآیندهای دستی مستعد خطا و زمان‌بر برای الزامات GDPR و DSAR استفاده می‌کنند، می‌توانند این کار را انجام دهند زیرا حجم بسیار کمی (یک تا پنج در سال) درخواست داده را دریافت می‌کنند.

بسانی می‌گوید: «این می‌تواند ناشی از عدم آگاهی مصرف‌کنندگان از حقوق داده‌های خود، مانند حق دسترسی، حق حذف یا عدم فروش اطلاعات من، و عدم اجرای فعال و جریمه برای عدم رعایت در ایالات متحده باشد.»

برایان کانینگهام، عضو شورای مشورتی شرکت Theon Technology، توضیح می‌دهد که بسیاری از برنامه‌های انطباق عمدتاً توسط وکلا یا متخصصان مالی که برای ارزیابی فن‌آوری مجهز نیستند و اغلب در پذیرش فناوری جدید «تا حدودی مضحک» اجرا می‌شوند.

او می‌گوید: «آنها همچنین به شدت ریسک گریز هستند و تا حدی به دلیل عدم درک آنها، شک دارند که فرآیندهای خودکار می‌توانند بدون نظارت دستی و انسانی، انطباق را تضمین کنند.

علاوه بر این، با وجود بسیاری از فروشندگان که برای توسعه و فروش راه حل ها تلاش می کنند، فناوری های بسیار کارآمد، قابل اعتماد و مقرون به صرفه برای انجام این نوع کارها هنوز به راحتی در دسترس نیستند.

مجتمع راه حل های مدیریت حریم خصوصی، پرهزینه

بسانی می گوید که اکثر راه حل های مدیریت حریم خصوصی داده های نسل اول، قابلیت های اتوماسیون جریان کار موثری را ارائه می دهند، اما قابلیت کشف خودکار داده ها را ارائه نمی دهند.

کشف داده ها و شناسایی تمام داده های اطلاعات شخصی (PI) متعلق به یک فرد خاص، وقت گیرترین کار است.

یک شرکت معمولی بیت‌ها و تکه‌هایی از داده‌های PI را در بسیاری از فروشگاه‌های داده ذخیره می‌کند، از جمله پایگاه‌های داده ساختاریافته و ذخیره‌سازی داده‌های بدون ساختار، مانند SharePoint، Office 365، Mailchimp، AWS S3، و غیره، و همچنین برنامه‌های SaaS مانند Salesforce. HubSpot و Shopify، “او توضیح می دهد.

توسعه فناوری برای کشف داده های PI در برنامه های کاربردی ساختاریافته، بدون ساختار و نرم افزار به عنوان سرویس (SaaS) آسان نیست و نیاز به سرمایه گذاری قابل توجهی دارد.

بسانی می گوید: «تهیه ابزارهای فناوری که این کار را انجام می دهند پرهزینه هستند و برای استقرار زمان می برد. “این نیاز به ذینفعان مختلف داده دارد تا در طول استقرار همکاری کنند و به درخواست داده پاسخ دهند.”

به گفته کلود مندی، مبشر ارشد امنیت داده در Symmetry Systems، برای پاسخگویی مؤثر به درخواست‌های موضوع داده، راه‌حل‌ها باید در طیف گسترده و حجم قابل‌توجهی از انواع فروشگاه داده و محیط‌های ابری قابل مشاهده باشند.

او می‌گوید: «مجوزها و ادغام‌های مورد نیاز برای پاسخ به این درخواست‌ها چالشی از پیچیدگی و مقیاس هستند.

علاوه بر هزینه بیشتر راه‌حل‌ها، این واقعیت است که بسیاری از سازمان‌ها رویکرد سنتی SaaS را اتخاذ کرده‌اند و از آنها می‌خواهند این داده‌ها را در تنها محیط ارائه‌دهنده راه‌حل فهرست‌بندی کنند و هزینه‌های ذخیره‌سازی و شبکه را افزایش دهند.

کلیدهای مدیریت کل نگر حریم خصوصی داده ها

از دیدگاه باسانی، یک خط‌مشی کل‌نگر حفظ حریم خصوصی داده‌ها باید هم شامل ارتباطات بیرونی باشد که به‌طور واضح به مصرف‌کنندگان از جمع‌آوری داده‌های PI آنها اطلاع می‌دهد و هم به کاربران داخلی و شرکا در مورد نیاز به احترام به حریم خصوصی و رعایت مقررات حریم خصوصی داده‌ها آموزش می‌دهد.

او می‌گوید: «درباره اینکه چه داده‌های PI جمع‌آوری می‌شود، رضایت مصرف‌کنندگان را دریافت کنید، نحوه استفاده، اشتراک‌گذاری، ذخیره و پردازش داده‌ها را به اشتراک بگذارید. “یک خط مشی حفظ حریم خصوصی باید به وضوح بیان کند که مصرف کننده چه حقوق خاصی در مورد داده های شخصی خود که توسط شرکت جمع آوری شده است، دارد.”

همچنین باید مکانیسمی آسان برای مصرف کننده فراهم کند تا از حقوق حریم خصوصی داده خود استفاده کند، مانند حق دسترسی یا حذف اطلاعات خود.

ذینفعان عبارتند از تیم های قانونی و انطباق، صاحبان داده ها، پردازشگرهای داده و کاربران داده در یک سازمان.

مندی از Symmetry Systems می گوید که یک سیاست حفظ حریم خصوصی داده ها باید همیشه با درک دقیق و دقیق اطلاعات شخصی که یک سازمان جمع آوری، استفاده، ذخیره و به اشتراک می گذارد، شروع شود.

او می‌گوید: «تنها از طریق درک دقیق اطلاعات است که سازمان‌ها می‌توانند به طور قابل اعتماد و شفاف یک خط‌مشی حفظ حریم خصوصی داده‌ها ایجاد کنند که منعکس‌کننده شیوه‌های واقعی آنها باشد».

اصلاح خط مشی از حالت واقعی به حالت مطلوب، مستلزم مشارکت تیم های مشاور عمومی، امنیت، حریم خصوصی و داده است.

مندی می افزاید: «مهم ترین آنها ذینفعان تجاری هستند که می توانند نحوه استفاده از اطلاعات شخصی و چرایی ضروری بودن آن را توضیح دهند.

الزامات انطباق احتمالاً در سال 2023 رشد می کند

گزارش CYTRIO در حالی منتشر می شود که در پی اقدامات کالیفرنیا، کلرادو، ویرجینیا و اخیراً یوتا، تعداد فزاینده ای از ایالت ها قوانین حفظ حریم خصوصی خود را بررسی می کنند.

بسانی می‌گوید: «ما باید انتظار داشته باشیم که رعایت حریم خصوصی داده‌ها در سال 2023 در چندین ایالت ادامه داشته باشد.

او خاطرنشان می‌کند که با شروع اجرا در چندین ایالت، علاوه بر CPRA که در 1 ژانویه 2023 اعمال می‌شود، آموزش مصرف‌کنندگان در مورد حقوق حفظ حریم خصوصی داده‌هایشان افزایش می‌یابد.

او می‌گوید: «از آنجایی که CPPA توجه خود را به اجرای CPRA با منابع بسیار بیشتر معطوف می‌کند، انتظار داریم افزایش معنی‌داری در اقدامات اجرایی CPRA و جریمه‌های تحت CCPA/CPRA افزایش یابد.

بسانی می افزاید، افزایش تعداد جریمه های CCPA/CPRA و پوشش رسانه ای منجر به آموزش بیشتر مصرف کننده در مورد حقوق حریم خصوصی داده ها می شود.

او می گوید: «ما شاهد این بودیم که تحت GDPR در اروپا اتفاق بیفتد، و شاهد این اتفاق با CCPA/CPRA خواهیم بود. “حقوق کارکنان برای حفظ حریم خصوصی داده ها تحت CPRA باید تعداد شکایات و جریمه های احتمالی برای عدم رعایت طبق CPRA را افزایش دهد.”

مندی پوت، مدیر اصلی استراتژی، حریم خصوصی و ریسک در کوالفایر می‌افزاید: با توسعه بیشتر ایالت‌ها از قوانین حریم خصوصی ایالتی، چشم‌انداز حریم خصوصی پیچیده‌تر می‌شود.

او می‌گوید: «سازمان‌ها ممکن است برای همگام شدن با الزامات جدید – درک کاربردپذیری و تعیین الزامات گزارش‌دهی، مشکل پیدا کنند.

از دیدگاه او، بهترین راه‌حل، اتخاذ یک برنامه جامع حفظ حریم خصوصی داده‌ها با هدف اجرای دقیق‌ترین مجموعه الزامات کنترل حریم خصوصی است، به گونه‌ای که آنها از قوانین حریم خصوصی فعلی و آینده پیروی کنند.

او خاطرنشان می کند: “به جای اعمال این برنامه برای سیستم های خاص یا زیرمجموعه خاصی از داده ها، حریم خصوصی باید بطور کلی در سراسر سازمان اجرا شود تا از پوشش مناسب اطمینان حاصل شود.”

داستان کامل را در سایت خواهر ما Dark Reading بخوانید.