مقررات داده در سراسر جهان
در دنیای بیش از حد متصل ما، امنیت داده ها و امنیت سایبری به دغدغه های اصلی سازمان ها در هر اندازه و در همه صنایع تبدیل شده است. دولتها در سراسر جهان با اجرای مقرراتی برای حفاظت از اطلاعات حساس و مبارزه با تهدیدات سایبری واکنش نشان دادهاند. آنقدر که همگام شدن با همه آنها کمی سخت می شود!
در این مقاله، ما فهرستی از برخی از مقررات کلیدی حفاظت از داده ها، چارچوب های امنیت سایبری و استانداردهای امنیت داده های خاص صنعت را از گوشه و کنار جهان بررسی خواهیم کرد.
از GDPR گسترده در اروپا گرفته تا HIPAA که به صورت خاص در بخشی در ایالات متحده میباشد، ما فهرستی آسان و قابل درک با توضیحاتی را گردآوری کرده ایم که به شما اطمینان می دهد که به دانش لازم برای پیمایش در دنیای پیچیده حفاظت از داده ها نیاز دارید.
مقررات عمومی حفاظت از داده ها
GDPR (EU)
نام کامل: مقررات عمومی حفاظت از داده ها
دامنه: همه سازمان هایی در سراسر جهان که داده های شخصی ساکنان اتحادیه اروپا را پردازش می کنند.
توضیحات: GDPR سخت ترین و پیچیده ترین مقررات حفاظت از داده های شخصی در جهان است. شرکت ها موظف به محافظت از داده های شخصی شهروندان اتحادیه اروپا هستند و نمی توانند بدون رضایت آنها، آن را جمع آوری یا پردازش کنند.
CCPA (ایالات متحده آمریکا)
نام کامل: قانون حفظ حریم خصوصی مصرف کنندگان کالیفرنیا
دامنه: CCPA در درجه اول مشاغل متوسط و بزرگ فعال در کالیفرنیا را هدف قرار می دهد، صرف نظر از اینکه کسب و کار در کجا واقع شده است. ارزیابی اینکه آیا الزامات “عملیات در کالیفرنیا” کار آسانی نیست.
توضیحات: CCPA اولین قانون جامع حریم خصوصی مصرف کننده در ایالات متحده است. این حق را به مصرفکنندگان میدهد که بدانند چه اطلاعات شخصی جمعآوری میشود، حق حذف آن اطلاعات و حق انصراف از فروش دادههای حساس خود را دارند.
در 1 ژانویه 2023، قانون حقوق حفظ حریم خصوصی کالیفرنیا در سال 2020 (CPRA) CCPA را گسترش داد و به مصرفکنندگان اجازه داد تا از اشتراکگذاری دادههای شخصی خود توسط مشاغل جلوگیری کنند، دادههای نادرست را تصحیح کنند، و استفاده کسبوکارها از “اطلاعات شخصی حساس” را محدود کنند. این قانون آژانس اختصاصی حفاظت از حریم خصوصی کالیفرنیا را تأسیس کرد.
PIPEDA (Canada)
PIPEDA ممکن است به زودی با قانون حفاظت از حریم خصوصی مصرف کننده (CPPA) جایگزین شود – از ژوئن 2023، این قانون در مجلس عوام دومین قرائت را به تصویب رساند.
نام کامل: قانون حفاظت از اطلاعات شخصی و اسناد الکترونیکی
محدوده: سازمان هایی که در کانادا فعالیت می کنند یا سازمان هایی که در خارج از کانادا واقع شده اند و از اطلاعات شخصی در ارتباط با فعالیت های تجاری در داخل کانادا استفاده می کنند.
توضیحات: PIPEDA یک قانون حفظ حریم خصوصی در کانادا است که قوانینی را برای جمع آوری، استفاده و افشای اطلاعات شخصی در فعالیت های تجاری تعیین می کند. این برای سازمان های بخش خصوصی در طول فعالیت های انتفاعی و تجاری قابل اجرا است.
DPA 2018 (بریتانیا)
نام کامل: قانون حفاظت از داده ها
دامنه: سازمان هایی (شامل دولتی و غیرانتفاعی) که داده های شخصی را در بریتانیا پردازش می کنند
توضیحات: قانون حفاظت از داده 2018 اصول GDPR را در بر می گیرد و حقوق و مسئولیت های مختلفی را در مورد داده های شخصی تعیین می کند. سازمانها را ملزم میکند که اقدامات فنی و سازمانی مناسب را برای حفاظت از دادههای شخصی اجرا کنند.
قانون حفظ حریم خصوصی (استرالیا)
دامنه: سازمانهای دولتی استرالیا، مشاغل و سازمانهای غیرانتفاعی با گردش مالی سالیانه مشخص، اما همچنین سازمانهای کوچکتر تحت شرایط خاص (ارائهدهندگان مراقبتهای بهداشتی بخش خصوصی، سازمانهای گزارشدهی اعتبار و سایرین)
توضیحات: قانون حفظ حریم خصوصی، قانون اصلی حفاظت از داده ها در استرالیا است. هدف اصلی آن حفاظت از حریم خصوصی افراد و اطمینان از اینکه اطلاعات شخصی آنها به شیوه ای منصفانه و شفاف مدیریت می شود و سازمان ها اقدامات معقولی را برای حفظ امنیت داده ها انجام می دهند، است.
پوپیا (آفریقای جنوبی)
نام کامل: قانون حفاظت از اطلاعات شخصی
دامنه: هر نهاد خصوصی یا عمومی که در آفریقای جنوبی مقیم است یا در آفریقای جنوبی مقیم نیست اما اطلاعات شخصی را در آفریقای جنوبی پردازش می کند، در محدوده POPIA قرار می گیرد.
توضیحات: هدف POPIA محافظت از داده های شخصی در برابر سرقت، سوء استفاده و اقدامات مخرب است. POPIA شرایطی را بیان می کند که تحت آن هر شخص یا سازمانی می تواند به طور قانونی اطلاعات حساس را پردازش کند.
مقررات امنیت سایبری
NIS2 (EU)
کشورهای عضو اتحادیه اروپا تا سپتامبر 2024 فرصت دارند الزامات NIS2 را در قوانین ملی خود پیاده کنند.
نام کامل: دستورالعمل امنیت شبکه و اطلاعات
دامنه: همه سازمانهایی که در بخشها و صنایع «ضروری» و «مهم» مشخص شدهاند، از جمله ارائهدهندگان خدمات دیجیتالی آنها، تحت محدوده NIS2 قرار دارند.
توضیحات: NIS در سال 2016 به عنوان اولین دستورالعمل امنیت سایبری اتحادیه اروپا معرفی شد. هدف NIS2 به روز شده ایجاد یک سطح استاندارد حفاظت در سراسر اتحادیه اروپا با اجرای الزامات و اقدامات امنیت سایبری در همه کشورهای عضو اتحادیه اروپا است. بخشهای آسیبدیده را فهرست میکند، الزامات امنیتی را شناسایی میکند، تعهدات گزارشدهی را یکسان میکند، و اقدامات اجرایی و تحریمها را معرفی میکند.
همه اینها برای محافظت از زیرساخت های حیاتی و شهروندان اتحادیه اروپا در برابر حملات سایبری است.
قانون امنیت سایبری (EU)
نام کامل: مقررات (EU) 2019/881
حوزه: کشورهای عضو اتحادیه اروپا، ENISA، نهادهای صدور گواهینامه، و سازمان ها و مشاغلی که محصولات و خدمات ICT را در اتحادیه اروپا توسعه، تولید یا ارائه می کنند.
توضیحات: قانون امنیت سایبری اتحادیه اروپا به آژانس امنیت سایبری اتحادیه اروپا (ENISA) یک مأموریت دائمی می دهد و یک چارچوب گواهی برای محصولات و خدمات ICT ایجاد می کند تا از قابلیت اطمینان آنها اطمینان حاصل شود. این برنامه همکاری بین کشورهای عضو اتحادیه اروپا را برای تقویت شیوه های امنیت سایبری و به اشتراک گذاری اطلاعات ترویج می کند.
CMMC (ایالات متحده آمریکا)
اجرای کامل به تعویق افتاده است و انتظار می رود در سال 2025 باشد.
نام کامل: گواهینامه مدل بلوغ امنیت سایبری
محدوده: همه پیمانکاران و پیمانکاران فرعی وزارت دفاع ایالات متحده (DoD).
توضیحات: CMMC چارچوبی است که توسط وزارت دفاع راه اندازی شده است تا از اطلاعات طبقه بندی نشده کنترل شده ای که با پیمانکاران و پیمانکاران فرعی خود به اشتراک می گذارد در برابر حملات سایبری محافظت کند.
مقررات حفاظت از داده های خاص در صنعت
HIPAA (ایالات متحده آمریکا)
نام کامل: قانون قابل حمل و پاسخگویی بیمه سلامت
صنعت: بهداشت و درمان
حوزه: ارائه دهندگان مراقبت های بهداشتی درگیر در صنعت مراقبت های بهداشتی در ایالات متحده و شرکای تجاری شخص ثالث آنها که به اطلاعات بهداشتی محافظت شده دسترسی دارند.
توضیحات: هدف اصلی HIPAA ایجاد استانداردهای ملی برای تبادل الکترونیکی اطلاعات مراقبت های بهداشتی و حفاظت از محرمانه بودن بیماران است. هدف آن حفظ حریم خصوصی و امنیت اطلاعات سلامت شخصی و در عین حال امکان تبادل کارآمد و ایمن داده های پزشکی است.
PCI DSS (ایالات متحده آمریکا)
نام کامل: استاندارد امنیت داده صنعت کارت پرداخت
صنعت: امور مالی
دامنه: PCI DSS به طور جهانی برای همه نهادهایی که داده های دارنده کارت را پردازش، انتقال یا ذخیره می کنند، اعمال می شود.
توضیحات: PCI DSS مجموعه ای از قوانین و فرآیندهایی است که برای محافظت از داده های حساس دارندگان کارت در برابر نقض داده ها و کلاهبرداری طراحی شده است. این به بازرگانان میگوید که چگونه اطلاعات کارت پرداخت مشتریان خود را به صورت ایمن و ایمن مدیریت کنند، بنابراین به دست افراد نادرست نیفتد.
DORA (EU)
DORA در حال حاضر در دوره آماده سازی 24 ماهه خود است و در ژانویه 2025 قابل اجرا خواهد بود.
نام کامل: قانون مقاومت عملیاتی دیجیتال
صنعت: امور مالی
دامنه: DORA برای نهادهای مالی درگیر در سیستم مالی اتحادیه اروپا و ارائه دهندگان خدمات فناوری اطلاعات و ارتباطات که از آنها حمایت می کنند اعمال می شود. این حتی برای شرکت هایی که در خارج از اتحادیه اروپا مستقر هستند نیز صادق است.
توضیحات: هدف DORA تقویت انعطاف پذیری دیجیتال در اتحادیه اروپا است. مجموعه ای از قوانین برای مدیریت ریسک های مرتبط با ICT در صنعت مالی ایجاد می کند. با انجام این کار، تلاشهای امنیت داده در سراسر کشورهای عضو اتحادیه اروپا هماهنگ میشود.
GLBA (ایالات متحده آمریکا)
نام کامل: قانون Gramm-Leach-Bliley
صنعت: امور مالی
دامنه: قانون Gramm-Leach-Bliley برای طیف گسترده ای از موسسات مالی در ایالات متحده اعمال می شود.
توضیحات: قانون Gramm–Leach–Bliley یک قانون ایالات متحده است که بر رسیدگی به اطلاعات شخصی غیرعمومی توسط بانکها و مؤسسات مالی، شرکتهای بیمه و ارائهدهندگان خدمات مالی نظارت میکند. یکی از مؤلفههای کلیدی، قانون حفظ حریم خصوصی است که مؤسسات مالی را ملزم میکند تا به مشتریان اطلاعیههای حریم خصوصی واضح و مختصری ارائه دهند که شیوههای به اشتراکگذاری اطلاعات مؤسسه را توضیح میدهد.
TISAX (آلمان)
نام کامل: Trusted Information Security Assessment Exchange
دامنه: گواهینامه TISAX برای همه سازمان هایی که با اکثر بازیگران اصلی صنعت خودروسازی آلمان تجارت می کنند، لازم است.
توضیحات: TISAX توسط انجمن صنعت خودرو آلمان (VDA) توسعه داده شده است و یک ارزیابی و فرآیند تبادل مشترک را فراهم می کند و از سطح بالایی از امنیت داده ها و محرمانه بودن در زنجیره تامین خودرو اطمینان می دهد.
Safetica را برای مطابقت با مقررات بدون زحمت اجرا کنید
با Safetica، مطابقت با الزامات مختلف نظارتی آسان است. به راحتی داده های حساس شما را شناسایی و طبقه بندی می کند و مطمئن می شود که در برابر سوء استفاده و نقض محافظت می شود. Safetica به شما امکان می دهد سیاست های امنیتی خود را تنظیم کنید، بنابراین می توانید دسترسی به فایل های حساس خود را محدود کنید. همچنین می توانید ممیزی های امنیتی را برای مشاهده وضعیت امنیت داده ها در سازمان خود انجام دهید. و در صورت وجود تهدید امنیتی، به صورت لحظه ای به شما اطلاع داده می شود.
در صورتی که این مقاله پیشگیری ازدست دادن اطلاعات در موسسات بیمه، برای شما مفید و آموزنده بود، پیشنهاد میشود برای اطلاع از سایر مقالات مستر لایسنس به صفحه وبلاگ مستر لایسنس مراجعه نمایید.