روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ دولت بسیاری از کشورها در حال سخت گرفتن قوانینی است که با دادههای شخصی سر و کار دارند. در عین حال تعداد نشت دادهها نیز سال به سال رو به افزایش است. اگر حدود ده سال پیش نهایت خسارت مالی که یک شرکت میتوانست متحمل شود مبلغی بود که در شکایت دادگاهی طرح میشد و اعتبارش خدشهدار میگشت الان شدیدترین جریمهها همین قوانین تنظیمشده هستند. از این رو تصمیم داریم با نشر این مطلب یک سری توصیهها ارائه دهیم که به شما کمک خواهد کرد پروسهی جمعآوری، ذخیره و انتقال دادههای شخصاً قابلشناسایی را در شرکتتان به طور امنی ساماندهی نمایید.
جمعآوری دادههای شخصی
اولین چیز مهم: فقط اگر به اندازه کافی بستر قانونی برایتان فراهم است دست به جمعآوری داده بزنید. جمعآوری داده شاید به طور رسمی توسط قانون کشوری که در آن شرکت فعالیت میکند ارائه شود؛ قراردادی با مفادی که واضحاً در آن قید شده پردازش PII مجاز است یا سوژه PII به صورت الکترونیکی یا کاغذی رضایت خود را اعلام کرده. بعلاوه:
- در مورد کسب رضایت از پردازش و ذخیره PII حتماً شاهد داشته باشید که موقع طرح دعوی یا بازرسیهای رگولاتور به مشکل برنخورید.
- دادههایی را که واقعاً برای پروسههای کاریتان نیاز نیست جمع نکنید (داده نباید «محض احتیاط» جمع شود).
- اگر دادههایی که برای کار نیاز نیستند به دلیل برخی اشتباهات یا سوءتفاهم جمع شوند باید فوراً آنها را امحا کنید.
ذخیره داده شخصی
اگر دادههای شخصی جمع میکنید مهم است که بدانید کجا ذخیره میشوند؛ چه کسی بدانها دسترسی دارد؛ و چطور پردازش میگردند. برای انجام این کار بهتر است نوعی نقشه بسازید که در آن همه پروسههای مرتبط با PII ثبت شود. سپس عقلانی است که قوانین سفت و سختی برای ذخیره و پردازش دادهها تعیین کنید و همچنین مدام روند بکارگیری هر دو را زیر نظر بگیرید. همچنین توصیه میکنید:
- PII را منحصراً روی مدیایی که برای بیگانهها قابلیت دسترسی ندارد ذخیره کنید.
- دسترسی به PII را به تعداد کمی از کارمندان محدود کنید (فقط باید در دسترسی آنهایی باشد که واقعاً برای مقاصد کاری بدان نیاز دارند).
- دادههایی را که دیگر برای پروسههای کاری الزامی نیستند فوراً پاک کنید.
- اگر جریان کاری نیازمند ذخیره کردن داکیومنتهای کاغذی باشد باید در محلهای امن قرار گیرند (برای مثال صندوقهای قفلدار).
- داکیومنتهای کاغذی غیرضروری باید با خردکن از بین بروند.
- اگر به دادهها آنطور که هستند نیازی نباشد باید گمنام شوند (یعنی بدون شناساگر منحصر به فرد؛ که بدینترتیب اگر نشتی صورت گرفت نشود سوژه را گیر انداخت).
- اگر به دلیل پروسههای کاریتان ممکن نیست دادهها را گمنام کنید باید آنها را دستکم شبه ناشناس کنید- یعنی PII را به رشته منحصر به فرد تبدیل کنید تا شناسایی سوژه بدون اطلاعات اضافی محال شود.
- از ذخیره PII روی دستگاههای کاری و خارجی یا فلش درایوها جلوگیری کنید (آنها قابلیت این را دارند که سرقت شوند و دادههای کامپیوتری هم میتوانند به دست مهاجمین بیافتند).
- PII واقعی نباید روی زیرساخت آزمایشی نه ذخیره شود و نه پردازش.
- نباید از خدمات جدید برای ذخیره یا پردازش داده استفاده کرد مگر مطمئن شوید معیارهای پایه امنیتی را لحاظ میکنند.
انتقال دادههای شخصی
همه پروسههای مرتبط با انتقال دادههای شخصی باید توسط دپارتمان امنیتی هم ثبت و هم تأیید گردد. یا اینکه افسر بخش حفاظتی باید این کار را بر عهده گیرد. همه کارمندانی که به PII دسترسی دارند باید نسبت به نحوه مدیریت دادهها در شرکت شما –که خدمات طرفسوم یا سازمانی میتوانند برای آن استفاده شوند و چنین دادههایی برای آن میتوانند مورد انتقال قرار گیرند- اشراف کامل داشته باشند. همچنین اطمینان حاصل کنید که:
- پیمانکاران فرعی (برای مثال سرویسهای MSP) به حقوق ادمین برای سیستمهای حاوی PII دسترسی ندارند.
- دسترسی به دادهها بر پایه فراسرزمینی محدود شده (دادههای شهروندان یک کشور نباید برای کشورهای دیگر قابل دسترسی باشد مگر مبدل داده بینامرزی تنظیم نشده باشد).
- موقع انتقال PII رمزگذاری همیشه استفاده شود (این خصوصاً زمانیکه دادهها به صورت ایمیل ارسال میشوند معنا پیدا میکند).
- موقع انتقال دادههای شخصی به سازمانهای طرف سوم، DPA (توافق پردازش داده[1]) امضا میشود.
- شما قانوناً حق دارید PII را به طرفهای سوم انتقال دهید (یعنی باید سوژه PII باید رضایت داشته باشد یا این نکته از سوی کنتراتور یا مجری قانون قید شده باشد).
البته نه این توصیهها و نه قوانین سفت و سخت نمیتواند جبران خطاهای انسانی را بکند. از این رو از بین موارد دیگر میتوانیم توصیه کنیم به صورت دورهای آموزشهای آگاهی امنیت برگزار کنید. هچنین خوب است اگر پلتفرمهای یادگیری را انتخاب کنید که درسهایی مرتبط با حریم خصوصی دارند یا مشخصاً با دادههای شخصی سر و کار دارند.
[1] data processing agreement
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
