Неофіційний переклад
Забезпечення захисту персональних даних
у комерційних організаціях
(за матеріалами посібника для бізнесу Федеральної торгової комісії США)
Якісний план по захисту персональних даних базується на 5 основних принципах:
1. Здійснення інвентаризації. Необхідно знати, які персональні дані зберігаються у ваших архівах та на комп’ютерах.
2. Зменшення обсягів інформації, що зберігається. Необхідно зберігати тільки те, що потрібно вам для здійснення вашого бізнесу.
3. Зберігання інформації у захищеному від стороннього доступу місці. Необхідно захищати інформацію, яку зберігаєте.
4. Видалення даних. Необхідно ретельно ліквідувати те, що вам більше не потрібно.
5. Попереднє планування. Необхідно створити план реагування на випадки порушення безпеки даних.
Стаття 1. Здійснення інвентаризації
Ефективний захист даних починається з оцінки того, яку інформацію ви маєте, і з визначення того, хто має доступ до неї. Розуміння того, як персональні дані потрапляють до компанії, як переміщується всередині і як виходять з неї, а також, хто має або може мати доступ до них, є важливим для оцінки слабких місць в системі захисту даних. Тільки після дослідження, як персональні дані переміщуються, можливо визначити спосіби для їх захисту.
1. Інвентаризуйте всі комп’ютери, ноутбуки, флеш-диски, диски, домашні комп’ютери та інше обладнання для того, щоб визначити, чи зберігає ваша компанія конфіденційні дані. Також необхідно здійснити структурування даних, якими ви володієте, за типом та місцезнаходженням: файли з даними і комп’ютерні системи є основними носіями даних або ваша компанія отримує персональні дані багатьма способами – через веб-сайти, від підрядників, через кол-центри і тому подібне. Щодо даних, які зберігаються на ноутбуках, домашніх комп’ютерах персоналу та флеш-дисках, інвентаризація буде вважатися закінченою тільки після того, як буде перевірено всі конфіденційні дані, що повинні зберігатися.
2. Відслідковуйте персональні дані у вашій компанії шляхом розмов з відділами продаж, персоналом з відділу інформаційних технологій, відділом кадрів, бухгалтерією і іншими відділами, що надають послуги. Отримайте повну картину щодо того:
(a) Хто відправляє конфіденційні персональні дані у вашу компанію – чи отримуєте ви її від клієнтів?; компаній, що займаються кредитними картками?; банків чи інших фінансових інститутів?; кредитних бюро?; інших компаній?
(b) Як ваша компанію отримує персональні дані – вони потрапляють через: веб-сайти?; електронну пошту?; пошту?, передаються через касові апарати в магазинах?
(c) Який вид інформації ви отримуєте на кожній вхідній точці – чи отримуєте ви інформацію щодо кредитних карток через Інтернет?; чи зберігає ваш бухгалтерський відділ інформацію про рахунки клієнтів до запитання?
(d) Де ви зберігаєте інформацію, що отримуєте на кожній вхідній точці – чи це централізована електронна база даних на індивідуальних ноутбуках, на дисках чи дискетах, в папках, філіях?; Чи знаходяться будь-які файли з даними вдома у співробітників?
(e) Хто має або може мати доступ до даних – хто з працівників має дозвіл на доступ до даних?; чи може хтось ще отримати його?; як щодо компаній, які встановлюють та оновлюють програмне забезпечення, яке ви використовуєте обробки даних з кредитними картками?
3. Різні види даних – різні ризики. Звертайте особливу увагу на те, як ви зберігаєте дані, що ідентифікують особу: номери соціального захисту, інформацію щодо кредитних карт, фінансову інформацію та інші конфіденційні дані. Це те, що злодії використовують найчастіше для того, щоб здійснити шахрайство чи крадіжку.
Стаття 2. Зменшення обсягів інформації, що зберігається
Якщо для вашого бізнесу не має необхідності в силу дії законодавства у зберіганні персональних даних, не зберігайте їх. А краще, не збирайте їх. Якщо ж в силу дії законодавства для вашого бізнесу вам необхідні певні конфіденційні персональні дані, зберігайте їх тільки до тих пір, допоки вони вам необхідні.
1. Використовуйте номери соціального захисту тільки для необхідних та законних цілей, наприклад, для звітів про податки із сум, що виплачуються найманим працівникам.
2. Закон вимагає від вас скоротити чеки по кредитних та дебетних картках, які надаються в електронному вигляді вашим клієнтам. Ви можете включити не більше ніж п’ять останніх значень картки, і повинні видалити дату закінчення.
3. Не зберігайте дані щодо кредитних карток клієнтів, якщо ці дані не потрібні для вашого бізнесу. Наприклад, не зберігайте номер рахунку та дату закінчення, якщо не маєте суттєвої потреби для зберігання таких даних. Зберігання такої інформації, або зберігання її довше ніж це необхідно – підвищує ризик того, що дані можуть бути використані завдяки крадіжчі чи шахрайству.
4. Перевіряйте стандартні налаштування вашого програмного забезпечення, яке зчитує номери кредитних карток клієнтів і обробляє трансакції. Іноді воно налаштоване на постійне зберігання даних. Змініть стандартні налаштування, для того щоб впевнитись, що ви не зберігаєте дані, які вам не потрібні.
5. Якщо необхідно зберігати дані для вашого бізнесу або у силу дії законодавства, розробіть задокументовану політику такого зберігання для того, щоб визначити, які дані повинні зберігатися, як захистити їх, як довго їх зберігати і як розпорядитись ними, забезпечуючи безпеку таких даних, коли вони вам більше не потрібні.
Стаття 3. Зберігання інформації у захищеному від стороннього доступу місці
Який найкращий спосіб захисту конфіденційних персональних даних, які необхідно зберігати? Це залежить від виду даних та того, як вони зберігаються. Найбільш ефективні плани зберігання даних базуються на ключових елементах: фізична безпека, електронна безпека, навчання персоналу та практика щодо безпеки підрядників та постачальників послуг...
