Підприємства зобов'язані дотримуватися певних законів для роботи. Як ви пам'ятаєте, правила - це правила, встановлені урядом або іншим органом влади для контролю того, як щось робиться. Зокрема, існують правила конфіденційності, щоб захистити користувача від збору, використання або передачі його інформації без його згоди. Правила також можуть описувати заходи безпеки, які необхідно вжити, щоб захистити приватну інформацію від загроз.
Три найвпливовіші галузеві правила, про які повинен знати кожен фахівець з безпеки:
- Загальний регламент захисту даних (GDPR)
- Стандарт безпеки даних індустрії платіжних карток (PCI DSS)
- Закон про звітність і безпеку медичного страхування (HIPAA)
GDPR
GDPR – це набір правил і положень, розроблених Європейським Союзом (ЄС), який надає власникам даних повний контроль над їхньою особистою інформацією. Відповідно до GDPR, типи особистої інформації включають ім'я, адресу, номер телефону, фінансову інформацію та медичну інформацію особи.
GDPR застосовується до будь-якого бізнесу, який обробляє дані громадян або резидентів ЄС, незалежно від того, де цей бізнес працює. Наприклад, американська компанія, яка обробляє дані відвідувачів свого веб-сайту з ЄС, підпадає під дію положень GDPR.
PCI DSS
PCI DSS – це набір стандартів безпеки, сформований великими організаціями фінансової індустрії. Це положення спрямоване на захист транзакцій з кредитними та дебетовими картками від крадіжки даних та шахрайства.
HIPAA
HIPAA – це закон США, який вимагає захисту конфіденційної інформації про здоров'я пацієнтів. HIPAA забороняє розголошення медичної інформації особи без її відома та згоди.
Примітка: Ці правила впливають на обробку даних у багатьох організаціях по всьому світу, навіть якщо вони були розроблені конкретними країнами.
Існує кілька інших законів про безпеку та дотримання конфіденційності. Яким з них повинна слідувати ваша організація, буде залежати від галузі та сфери повноважень. Незалежно від обставин, дотримання нормативних вимог є важливим для кожного бізнесу.