24 янв 2026
Подписывайся!!
8 минут на чтение

7 основных правил соответствия, касающихся хранения данных

Комментарий в блоге:

По мере развития практик хранения данных развиваются и регулирующие их нормативные базы. В условиях быстрой цифровой трансформации соблюдение нормативных актов, связанных с хранением данных, стало важнейшей обязанностью организаций в различных отраслях. Для руководителей высшего звена, специалистов по работе с данными и ИТ-специалистов понимание этих нормативных актов имеет решающее значение для обеспечения соответствия, снижения рисков и защиты ценных информационных активов. В этом блоге излагаются семь ключевых нормативных актов, которые должна знать каждая организация, чтобы гарантировать, что она управляет данными ответственно и законно.

Вот несколько основных правил соответствия, которые влияют на хранение данных:

Международные правила

1. Стандарт безопасности данных индустрии платежных карт (PCI DSS)

Стандарт безопасности данных индустрии платежных карт (PCI DSS), установленный в 2004 году такими крупными брендами карт, как Visa и Mastercard, представляет собой набор стандартов безопасности, разработанных для защиты транзакций по кредитным и дебетовым картам от мошенничества и кражи данных. Соответствие PCI DSS, регулируемое Советом по стандартам безопасности индустрии платежных карт (PCI SSC), является обязательным для предприятий, обрабатывающих транзакции по картам, хотя оно обеспечивается контрактами, а не законом. Он применяется к любой организации, которая хранит, обрабатывает или передает данные держателей карт. Организации должны поддерживать безопасное хранение данных, шифрование и надежный контроль доступа, чтобы гарантировать, что данные держателей карт не будут скомпрометированы. Соответствие PCI DSS делится на четыре уровня в зависимости от объема транзакций компании с различными требованиями к ежегодным оценкам и сканированиям уязвимостей.

2. ISO / IEC 27001

ISO/IEC 27001 — это международный стандарт, описывающий передовой опыт в области систем управления информационной безопасностью, разработанный Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC). Он предоставляет организациям основу для создания, внедрения, поддержания и постоянного улучшения своих процессов обеспечения безопасности данных. Цель состоит в защите конфиденциальности, целостности и доступности информации во всех формах — будь то цифровые, бумажные или ориентированные на процессы. ISO 27001 включает 14 разделов по контролю безопасности, охватывающих такие области, как контроль доступа, управление рисками, криптография и физическая безопасность. Сертификация демонстрирует приверженность организации защите данных и соблюдению нормативных требований. Процесс сертификации включает в себя создание ISMS, выявление и обработку рисков, внедрение контроля и прохождение аудитов аккредитованными органами.

Правила США

1. Закон штата Калифорния о конфиденциальности потребителей (CCPA)

Закон Калифорнии о защите персональных данных потребителей (CCPA), принятый в 2018 году, представляет собой закон о защите персональных данных, призванный защищать персональные данные жителей Калифорнии. Его часто сравнивают с GDPR ЕС. Он предоставляет потребителям различные права, включая возможность отказаться от продажи своих персональных данных, право на доступ к своей информации и ее удаление, а также защиту от дискриминации за осуществление этих прав. Закон также включает конкретные положения о защите данных несовершеннолетних и требует от предприятий отображать четкие ссылки «Не продавайте мою персональную информацию». Он применяется к коммерческим организациям, которые соответствуют определенным пороговым значениям, например, имеют годовой доход более 25 миллионов долларов или обрабатывают данные 100,000 7,500 или более жителей Калифорнии. Некоторые секторы, такие как здравоохранение, освобождаются от положений CCPA при работе с защищенной медицинской информацией (PHI), регулируемой другими нормативными актами, такими как HIPAA. Однако предприятия, связанные со здравоохранением, за пределами этих категорий все равно могут подпадать под требования CCPA. Несоблюдение требований может привести к штрафам в размере до XNUMX долларов за нарушение. CCPA создал прецедент, который может повлиять на аналогичное законодательство в других штатах.

2. Закон штата Калифорния о правах на неприкосновенность частной жизни (CPRA)

Закон Калифорнии о правах на неприкосновенность частной жизни (CCPA 2.0 или Предложение 24) — это закон, специфичный для Калифорнии, который усиливает и развивает Закон Калифорнии о защите прав потребителей (CCPA). CPRA был принят для решения проблем, связанных с тем, что CCPA не зашел достаточно далеко в защите прав субъектов данных на неприкосновенность частной жизни. CPRA вводит новые определения, категории предприятий и права для потребителей, включая право знать, удалять, исправлять и ограничивать использование своей конфиденциальной личной информации. Он также усиливает требования к минимизации данных, профилированию и оценке рисков. CPRA применяется к предприятиям, работающим в Калифорнии или взаимодействующим с жителями Калифорнии, при условии, что они соответствуют определенным пороговым значениям. Хотя он во многом похож на CCPA, CPRA вводит более строгие правила в отношении конфиденциальных данных, согласия и обмена данными со сторонними организациями, стремясь обеспечить более надежную защиту конфиденциальности для потребителей. Штрафы за нарушения остаются высокими, а штрафы достигают 7,500 долларов за преднамеренные нарушения.

3. Закон о переносимости и подотчетности медицинского страхования (HIPAA)

Закон о переносимости и подотчетности медицинского страхования (HIPAA) устанавливает правила для организаций в секторе здравоохранения по защите конфиденциальной информации пациентов в США. HIPAA требует от поставщиков медицинских услуг и их деловых партнеров внедрять меры безопасности для электронной защищенной медицинской информации (ePHI). Это включает в себя контроль доступа, шифрование, хранение ePHI в течение как минимум шести лет и ведение аудиторских журналов доступа к этим записям. Нарушения могут привести к штрафам в размере от 100 до 50,000 XNUMX долларов за нарушение.

4. Закон Сарбейнса-Оксли (SOX)

Закон Сарбейнса-Оксли (SOX) — федеральный закон США, принятый в 2002 году для защиты инвесторов от мошеннической финансовой отчетности корпораций. Он в первую очередь фокусируется на корпоративной финансовой прозрачности и подотчетности. Однако он также имеет значительные последствия для хранения данных. SOX направлен на повышение прозрачности в раскрытии финансовой информации, улучшение корпоративного управления и обеспечение точности финансовых отчетов. Согласно SOX, компании должны хранить финансовые записи, включая электронные письма, не менее пяти лет. Системы хранения данных должны гарантировать, что записи защищены от несанкционированного доступа, регулярно резервируются и доступны для аудита. Нарушения SOX могут привести к крупным штрафам и даже тюремному заключению для руководителей, что подчеркивает необходимость в безопасных и соответствующих требованиям инфраструктурах хранения данных.

Правила ЕС

1. Общие правила защиты данных (GDPR)

Общий регламент по защите данных (GDPR), принятый ЕС в 2018 году, защищает конфиденциальность и персональные данные граждан ЕС, применяясь к любой организации, которая обрабатывает эти данные, независимо от местоположения. Он предоставляет отдельным лицам такие права, как доступ, исправление, удаление и возражение против обработки данных, подчеркивая при этом такие принципы, как законность, минимизация данных и безопасность. GDPR охватывает как прямые, так и косвенные персональные идентификаторы и применяет строгие меры защиты к конфиденциальным данным, особенно в здравоохранении. Несоблюдение может привести к крупным штрафам — до 20 миллионов евро или 4% от годового мирового оборота, в зависимости от того, что больше, при этом обеспечение соблюдения осуществляется надзорными органами в каждом государстве ЕС/ЕЭЗ, а надзор обеспечивается Европейским советом по защите данных (EDPB).

2. Закон ЕС об искусственном интеллекте

Закон ЕС об ИИ — первый в мире всеобъемлющий закон об ИИ, направленный на обеспечение безопасности, этичности и уважения основных прав в технологиях ИИ в ЕС. Он классифицирует системы ИИ по четырем категориям в зависимости от риска: неприемлемые (запрещенные), высокие (строго регулируемые, как здравоохранение и правоохранительные органы), ограниченные (требующие прозрачности) и минимальные (незначительное регулирование или его отсутствие). Системы ИИ с высоким риском должны быть прозрачными, объяснимыми и подлежащими контролю со стороны человека. Закон предлагает создать Европейский совет по ИИ для обеспечения соблюдения правил, а компании, нарушающие правила, могут быть оштрафованы на сумму до 6% от их мирового оборота или 30 миллионов евро.

Правила, специфичные для конкретной страны или региона, могут иметь более широкое влияние на компании, работающие в других частях мира. Это особенно актуально, когда компании в одной стране ведут бизнес с субъектами в другой стране, подпадающими под действие правил. Например, хотя GDPR не является законом США, он имеет значительные последствия для компаний США, которые ведут бизнес с резидентами ЕС.

Резюме

Организациям может быть сложно разобраться в сложных правилах соблюдения требований хранения данных. Однако понимание этих ключевых правил — GDPR, HIPAA, PCI DSS, SOX, CCPA, FISMA и EU AI Act — имеет важное значение для защиты конфиденциальной информации и деловой репутации, а также для избежания дорогостоящих штрафов. Внедряя проактивные стратегии соответствия, включая эти правила в ежедневные операции и оставаясь в курсе правил и их обновлений, регулярно проводя аудиты, обучая сотрудников и инвестируя в надежные решения по управлению данными, организации могут снизить риски, связанные с утечками данных, одновременно укрепляя доверие своих клиентов.

Подробнее: Полное руководство предлагает практические шаги по обеспечению соблюдения правил конфиденциальности данных потребителей и защите вашего бизнеса от дорогостоящих нарушений. Прочтите сейчас!

Старший менеджер по маркетингу продукции

Вишну Джаян — технический блоггер и старший руководитель по маркетингу продуктов в Solix Technologies, специализирующийся на управлении корпоративными данными, управлении, безопасности и соответствии требованиям. Он получил степень магистра делового администрирования в ICFAI Business School в Хайдарабаде. Он создает блоги, статьи, электронные книги и другие маркетинговые материалы, освещающие последние тенденции в управлении данными и соблюдении требований конфиденциальности. У Вишну есть подтвержденный опыт привлечения лидов и трафика в Solix. Он увлечен тем, что помогает компаниям процветать, разрабатывая стратегии позиционирования и обмена сообщениями для GTM, проводя маркетинговые исследования и способствуя вовлечению клиентов. Его работа поддерживает миссию Solix по предоставлению инновационных программных решений для безопасного и эффективного управления данными.