22 Apr, 2025
Předplatit!!
8 minut čtení

7 Klíčová nařízení o shodě týkající se ukládání dat

Komentář k blogu:

Jak se vyvíjejí postupy ukládání dat, mění se i regulační rámce, které je řídí. S rychlou digitální transformací se dodržování předpisů souvisejících s ukládáním dat stalo zásadní odpovědností organizací v různých odvětvích. Pro vedoucí pracovníky C-suite, datové manažery a IT profesionály je pochopení těchto předpisů zásadní pro zajištění souladu, zmírnění rizik a ochranu cenných datových aktiv. Tento blog nastiňuje sedm klíčových předpisů pro dodržování předpisů, které by každá organizace měla znát, aby zajistila, že bude spravovat data odpovědně a legálně.

Zde je několik klíčových předpisů, které ovlivňují ukládání dat:

Mezinárodní předpisy

1. Standard zabezpečení dat v odvětví platebních karet (PCI DSS)

Standard pro zabezpečení dat v odvětví platebních karet (PCI DSS), který v roce 2004 zavedly hlavní značky karet jako Visa a Mastercard, je soubor bezpečnostních standardů navržených k ochraně transakcí kreditními a debetními kartami před podvody a krádeží dat. Shoda s PCI DSS, řízená Radou pro bezpečnostní standardy odvětví platebních karet (PCI SSC), je pro podniky zpracovávající karetní transakce povinná, i když je vynucována spíše smlouvami než zákonem. Vztahuje se na jakoukoli organizaci, která uchovává, zpracovává nebo přenáší data držitelů karet. Organizace musí udržovat bezpečné úložiště dat, šifrování a robustní řízení přístupu, aby zajistily, že data držitelů karet nebudou ohrožena. Shoda s PCI DSS je rozdělena do čtyř úrovní na základě objemu transakcí podniku s různými požadavky na roční hodnocení a skenování zranitelnosti.

2. ISO / IEC 27001

ISO/IEC 27001 je mezinárodní norma, která popisuje osvědčené postupy pro systémy řízení bezpečnosti informací, zřízené Mezinárodní organizací pro normalizaci (ISO) a Mezinárodní elektrotechnickou komisí (IEC). Poskytuje organizacím rámec pro zavádění, implementaci, údržbu a neustálé zlepšování procesů zabezpečení dat. Cílem je chránit důvěrnost, integritu a dostupnost informací ve všech formách – ať už digitální, papírové nebo procesně orientované. ISO 27001 zahrnuje 14 částí bezpečnostních kontrol, které pokrývají oblasti jako řízení přístupu, řízení rizik, kryptografie a fyzická bezpečnost. Certifikace prokazuje závazek organizace k ochraně dat a dodržování předpisů. Proces certifikace zahrnuje vybudování ISMS, identifikaci a ošetření rizik, implementaci kontrol a podstoupení auditů akreditovanými orgány.

Předpisy USA

1. Kalifornský zákon o ochraně soukromí spotřebitelů (CCPA)

Kalifornský zákon na ochranu soukromí spotřebitelů (CCPA), přijatý v roce 2018, je zákon o ochraně osobních údajů určený k ochraně osobních údajů obyvatel Kalifornie. Často ve srovnání s nařízením GDPR EU poskytuje spotřebitelům různá práva, včetně možnosti odmítnout prodej jejich osobních údajů, práva na přístup k jejich informacím a jejich vymazání a ochranu před diskriminací při výkonu těchto práv. Zákon také obsahuje konkrétní ustanovení na ochranu údajů nezletilých a vyžaduje, aby podniky zobrazovaly jasné odkazy „Neprodávejte mé osobní údaje“. Vztahuje se na ziskové subjekty, které splňují určité limity, například mají roční tržby vyšší než 25 milionů USD nebo zpracovávají údaje od 100,000 7,500 nebo více obyvatel Kalifornie. Některá odvětví, jako je zdravotnictví, jsou vyňata z ustanovení CCPA při nakládání s chráněnými zdravotními informacemi (PHI), které se řídí jinými předpisy, jako je HIPAA. Podniky související se zdravím mimo tyto kategorie však mohou stále podléhat požadavkům zákona CCPA. Nedodržení může vést k pokutě až XNUMX XNUMX USD za porušení. CCPA vytvořil precedens, který může ovlivnit podobnou legislativu v jiných státech.

2. Kalifornský zákon o ochraně osobních údajů (CPRA)

Kalifornský zákon o ochraně osobních údajů (CCPA 2.0 nebo Proposition 24) je zákon specifický pro Kalifornii, který posiluje a navazuje na Kalifornský zákon na ochranu soukromí spotřebitelů (CCPA). Zákon CPRA byl přijat, aby reagoval na obavy, že zákon CCPA nezašel dostatečně daleko, aby chránil práva na soukromí subjektů údajů. CPRA zavádí nové definice, kategorie podniků a práva pro spotřebitele, včetně práva znát, vymazat, opravit a omezit použití jejich citlivých osobních údajů. Rovněž posiluje požadavky na minimalizaci dat, profilování a hodnocení rizik. CPRA se vztahuje na firmy působící v Kalifornii nebo spolupracující s obyvateli Kalifornie za předpokladu, že splňují specifické limity. I když má mnoho podobností s CCPA, CPRA zavádí přísnější předpisy týkající se citlivých údajů, souhlasu a sdílení údajů třetích stran s cílem poskytnout spotřebitelům silnější ochranu soukromí. Sankce za porušení zůstávají vysoké, přičemž pokuty dosahují až 7,500 XNUMX USD za úmyslné porušení.

3. Zákon o přenositelnosti a odpovědnosti v oblasti zdravotního pojištění (HIPAA)

Zákon HIPAA (Health Insurance Portability and Accountability Act) stanoví předpisy pro organizace ve zdravotnickém sektoru na ochranu citlivých informací o pacientech v USA. HIPAA vyžaduje, aby poskytovatelé zdravotní péče a jejich obchodní partneři zavedli bezpečnostní opatření pro elektronické chráněné zdravotní informace (ePHI). To zahrnuje řízení přístupu, šifrování, uchovávání ePHI po dobu nejméně šesti let a udržování auditních záznamů přístupu k těmto záznamům. Porušení může vést k pokutám v rozmezí od 100 do 50,000 XNUMX USD za porušení.

4. Sarbanes-Oxley Act (SOX)

Sarbanes-Oxley Act (SOX) je americký federální zákon přijatý v roce 2002 na ochranu investorů před podvodným finančním výkaznictvím korporací. Zaměřuje se především na firemní finanční transparentnost a odpovědnost. Má to však také významné důsledky pro ukládání dat. SOX si klade za cíl zvýšit transparentnost finančních informací, zlepšit správu a řízení společnosti a zajistit přesnost finančních zpráv. Podle SOX musí společnosti uchovávat finanční záznamy, včetně e-mailů, po dobu nejméně pěti let. Systémy ukládání dat musí zajistit, aby záznamy byly odolné proti neoprávněné manipulaci, pravidelně zálohované a přístupné pro audity. Porušení SOX může vést k vysokým pokutám a dokonce k uvěznění vedoucích pracovníků, což podtrhuje potřebu bezpečných a vyhovujících infrastruktur pro ukládání dat.

Předpisy EU

1. Obecné nařízení o ochraně osobních údajů (GDPR)

Obecné nařízení o ochraně osobních údajů (GDPR), které EU uzákonila v roce 2018, chrání soukromí a osobní údaje občanů EU a vztahuje se na jakoukoli organizaci, která tyto údaje zpracovává, bez ohledu na místo. Poskytuje jednotlivcům práva, jako je přístup, oprava, vymazání a námitka proti zpracování údajů, přičemž zdůrazňuje zásady, jako je zákonnost, minimalizace údajů a bezpečnost. GDPR pokrývá přímé i nepřímé osobní identifikátory a uplatňuje přísnou ochranu citlivých údajů, zejména ve zdravotnictví. Nedodržení může vést k vysokým pokutám – až 20 milionů EUR nebo 4 % ročního celosvětového obratu, podle toho, která hodnota je vyšší, s vymáháním řízeným dozorovými orgány v každém státě EU/EHP a dozorem zajišťovaným Evropským výborem pro ochranu údajů (EDPB). .

2. Zákon EU o umělé inteligenci

Zákon EU o umělé inteligenci je prvním komplexním zákonem o umělé inteligenci na světě, jehož cílem je zajistit, aby technologie umělé inteligence v EU byly bezpečné, etické a respektovaly základní práva. Klasifikuje systémy umělé inteligence do čtyř kategorií na základě rizika: nepřijatelné (zakázané), vysoké (přísně regulované, jako je zdravotní péče a vymáhání práva), omezené (vyžadující transparentnost) a minimální (malé nebo žádné regulace). Vysoce rizikové systémy umělé inteligence musí být transparentní, vysvětlitelné a musí podléhat lidskému dohledu. Zákon navrhuje, aby byla prosazována evropská rada pro umělou inteligenci a společnostem, které pravidla poruší, hrozí pokuta až do výše 6 % jejich celosvětového obratu nebo 30 milionů eur.

Předpisy specifické pro konkrétní zemi nebo region mohou mít širší dopad na společnosti působící v jiných částech světa. To platí zejména tehdy, když společnosti v jedné zemi obchodují se subjekty v jiné zemi, na kterou se vztahuje nařízení. Třebaže GDPR není zákon USA, má významné důsledky pro americké společnosti, které obchodují s obyvateli EU.

Závěrem

Navigace ve složitých předpisech pro ukládání dat může být pro organizace skličující. Pochopení těchto klíčových předpisů – GDPR, HIPAA, PCI DSS, SOX, CCPA, FISMA a EU AI Act – je však zásadní pro ochranu citlivých informací a pověsti vaší firmy a pro vyhnutí se nákladným sankcím. Zavedením proaktivních strategií dodržování předpisů, začleněním těchto předpisů do každodenního provozu a neustálým informováním o předpisech a jejich aktualizacích, pravidelnými audity, školením zaměstnanců a investicemi do robustních řešení správy dat mohou organizace zmírnit rizika spojená s úniky dat a zároveň posílit důvěru ve své zákazníky. .

Zjistěte více: Úplný průvodce nabízí kroky k zajištění souladu s předpisy o ochraně osobních údajů spotřebitelů a ochranu vaší firmy před nákladným porušováním. Přečtěte si to hned!

Senior Executive - Product Marketing

Vishnu Jayan je technologický blogger a vedoucí produktového marketingu ve společnosti Solix Technologies se specializací na správu podnikových dat, správu, zabezpečení a dodržování předpisů. Titul MBA získal na ICFAI Business School Hyderabad. Vytváří blogy, články, e-knihy a další marketingové materiály, které upozorňují na nejnovější trendy ve správě dat a dodržování ochrany osobních údajů. Vishnu má prokazatelné zkušenosti s jízdou vede a provozem na Solix. Je nadšený z toho, že pomáhá firmám prosperovat tím, že vyvíjí strategie určování polohy a zasílání zpráv pro GTM, provádí průzkum trhu a podporuje zapojení zákazníků. Jeho práce podporuje poslání společnosti Solix poskytovat inovativní softwarová řešení pro bezpečnou a efektivní správu dat.