« Les données sont le nouveau pétrole » – Une citation surutilisée de nos jours, mais malheureusement, elle est vraie et résonne avec la philosophie sous-jacente à toute mise en œuvre de la sécurité de l’information.
La poussée vers la digitalisation à travers le monde signifie que diverses industries telles que la vente au détail, la santé, la restauration, etc. ont migré une part importante de leurs activités / services vers le mode en ligne. Cela oblige les consommateurs à partager leurs données personnelles ou sensibles (par exemple, numéros de carte, numéros SSN, dossiers médicaux, données d’identification, etc.) sur ces canaux en ligne. Toutes ces données sensibles attirent les hackers et les utilisateurs malveillants comme des abeilles vers le miel, car une base de données contenant des données sensibles se vend à des prix exorbitant sur le darknet.
Ainsi, la protection et le maintien de la confidentialité de ces données devient la responsabilité principale de toute organisation. Cette responsabilité est définie par l’industrie comme un terme unique connu sous le nom de « confidentialité des données ».
Compte tenu de la criticité et de la sensibilité de la confidentialité des données, les gouvernements du monde entier ont fourni des lignes directrices pour réglementer le traitement et la protection de ces données par les organisations relevant de leurs juridictions respectives. Voici quelques-unes des lois sur la confidentialité bien connues à travers le monde :
- Philippines – Loi de 2012 sur la protection des données
- Singapour – Loi de 2012 sur la protection des données personnelles (PDPA)
- Europe – Règlement général sur la protection des données (RGPD)
- Royaume-Uni – Loi sur la protection des données
- États-Unis – HIPAA
- Inde – Projet de loi 2019 sur la protection des données personnelles (pas encore une loi)
Aux États-Unis, parallèlement à la HIPAA, des lois sur la protection étatique de la vie privée telles que la California Consumer Protection Act (CCPA), Nevada SB 220, Massachusetts Data Protection Law, etc. sont également imposées.
Toutes ces réglementations sont très étendues et large et nécessitent des experts en la matière tels que ControlCase pour vous aider à naviguer dans la mise en œuvre et le maintien. Cependant, les bonnes pratiques peuvent être utilisées comme un barème prêt par toute organisation pour commencer son voyage de « maintien de la confidentialité des données »
- Accepter et stocker uniquement les informations nécessaires à la réalisation des opérations de l’activité respectives. Évitez de prendre des informations personnelles supplémentaires inutiles.
- S’assurer que l’architecture et la mise en œuvre du système de confidentialité des données sont finalisées après avoir engagé des experts en la matière pour identifier la meilleure approche pour les organisations respectives. L’approche de chaque organisation peut varier en fonction du nombre d’enregistrements, de l’étendue de l’exposition, de la probabilité d’attaques, etc.
- Assurez-vous du consentement du consommateur est acquis avant le stockage de toute information personnelle ou sensible.
- S’assurer que des procédures sont mis en place pour supprimer toutes les données de tout consommateur qui choisit son « droit d’oublier
- Assurez-vous que votre site comporte une section qui décrit la posture de contrôle utilisée et les réglementations respectées pour protéger les données personnelles en tant qu’assurance pour le consommateur.
- Exécutez un scan des données à l’échelle de l’entreprise pour identifier les emplacements connus et inconnus où sont stockées des données sensibles / personnelles.
- Assurez-vous que des contrôles de cryptage sont présents pour la transmission et le stockage des informations sensibles ou personnelles avec des méthodes de gestion des clés solides.
- Les bonnes pratiques de sécurité telles que le contrôle d’accès basé sur les rôles, l’authentification à deux facteurs pour accéder aux systèmes de production, la surveillance IDS / IPS, le renforcement du système et la mise à jour des derniers correctifs, la suppression des composants systèmes obsolètes, etc. doivent être suivies.
- Effectuer des évaluations / audits annuels par des tiers avec des sociétés d’audit SME telles que ControlCase, pour valider la confidentialité des données et la sécurité de l’organisation par rapport aux réglementations applicables en matière de confidentialité des données, pour confirmer son adhésion.
- En cas de lacunes ou de vulnérabilités, demander l’aide des SME pour élaborer un plan d’action correctif.
Les implémentations de base ci-dessus indiqués doivent être la priorité absolue car une violation résultant du non-respect des réglementations entraînerait :
- Mauvais article de presse et perte de réputation de l’organisation
- Contentieux et litiges
- De lourdes sanctions allant jusqu’à environ des millions de dollars.
Alors, commencez par les bases de notre barème prêt et engagez-vous avec une SME pour travailler sur votre parcours de confidentialité des données. Parce que, comme le dit notre slogan – “Désormais tout est privé !!!!”
Ceci conclut notre première partie de cette série, veuillez rester à l’écoute avec nous pour les prochains articles de cette série qui décortiqueront davantage la confidentialité des données.