什麼是數據合規性？

數據合規性是遵循公司治理、行業組織和政府制定的法規的做法。這些法規規定瞭如何收集、使用、存儲和管理敏感數據的協議，以及其他要求。許多數據合規性要求與數據治理和數據安全保護有關。

重要的是要瞭解數據合規性與數據安全性不同。

數據合規側重於指南和規則，而數據安全包括機制、流程、程序和技術。數據合規性和數據安全有一個共同目標，即保護敏感數據和防止數據泄露。

我們需要學習以下合規：

• 通用數據保護條例 (GDPR)
• 1996 年健康保險流通與責任法案 (HIPAA)
• 支付卡行業數據安全標準 (PCI DSS)
• 2002 年薩班斯-奧克斯利法案 (SOX)
• 加州消費者隱私法 (CCPA)
• 個人信息保護和電子文件 (PIPEDA)
• 巴西通用數據保護法 (LGPD)
• 澳大利亞數據隱私條例
• 個人信息保護法 (POPI)
• 2002 年聯邦信息安全管理法 (FISMA)
• 傢庭教育權利和隱私法案 (FERPA)
• 格雷姆-裡奇-比利利法案 (GLBA)

通用數據保護條例 (GDPR)

GDPR 是最新、范圍最廣的數據合規性法規之一，已添加到許多現有法規中。

它包括對與歐盟 (EU) 和歐洲經濟區 (EEA) 的個體主體開展業務的任何組織的要求，無論其位置和數據主體的公民身份或居住地如何。

GDPR 側重於人們瞭解企業擁有哪些數據以及公司如何處理數據的權利。它還指定瞭數據泄露報告的規則。

除瞭其他法規中的數據隱私要求外，GDPR 還包括特定要求，包括獲得：

1996 年健康保險流通與責任法案 (HIPAA)

HIPAA 推動瞭國傢標準的制定，以保護敏感的患者健康信息不會在未經患者同意或不知情的情況下被泄露。

衛生組織必須評估其數據的收集和管理方式，並制定保護措施以防止“不必要或不適當的”訪問個人健康信息 (PHI)。

HIPAA 規定瞭行政、物理和技術法規，規定瞭確保 PHI 完整性所必須的機制和程序：

• 行政法規規定瞭風險評估的要求，以闡明與 PHI 完整性相關的潛在漏洞
• 物理法規側重於為防止未經授權訪問 PHI 而實施的措施
• 技術法規涉及在電子網絡上傳輸 PHI 時確保數據安全的協議

支付卡行業數據安全標準 (PCI DSS)

支付卡行業安全委員會由 Visa、MasterCard、Discover、JCB International 和 American Express 創立，旨在制定、維護和執行一套安全標準，以保護持卡人數據免遭盜竊和欺詐。

PCI DSS 規范持卡人數據的存儲、處理和傳輸，以通過防止數據泄露和其他形式的未經授權訪問來確保其安全性和完整性

根據PCI DSS 數據合規規則，除非有合法的業務需要，否則不能存儲持卡人數據

如果存儲此數據，則必須對記錄進行分類並以適當的保護措施進行處理

此外，如果數據通過開放的公共網絡傳輸，則必須對其進行加密

2002 年薩班斯-奧克斯利法案 (SOX)

SOX 要求美國的上市公司遵守指導如何保留記錄的法規。這包括使用安全系統及時備份關鍵信息和文檔管理系統，以確保數據完整性。

根據 SOX 的數據合規性指令，必須監控、記錄和審計以下內容：

• 內部控制
• 網絡活動
• 數據庫活動
• 登錄活動
• 帳戶活動
• 用戶活動
• 信息獲取

加州消費者隱私法 (CCPA)

與歐盟的 GDPR 非常相似，CCPA 適用於在加利福尼亞開展業務並收集消費者個人數據的大多數組織

CCPA 使消費者能夠更好地控制企業收集的有關他們的個人信息，以及瞭解有關他們的信息是如何使用和共享的

CCPA 還加強瞭對消費者個人數據的保護，如果他們的信息因數據泄露而受到損害，消費者有權對公司采取行動。

如果組織未能“實施和維護合理的安全程序和做法”來保護消費者的個人信息，則可以提起損害賠償訴訟。

個人信息保護和電子文件 (PIPEDA)

PIPEDA 適用於在加拿大經營並處理跨越省或國界的個人信息的所有企業。這包括在商業活動過程中收集、使用或披露的個人信息。

組織必須遵循核心原則，使個人能夠瞭解其個人數據的管理方式。

PIPEDA 還賦予用戶對其個人信息的控制權，包括同意其使用、能夠訪問和更正信息以及瞭解信息將受到保護。

✅為滿足 PIPEDA 的數據合規要求，公司必須保護其控制下的個人信息，以避免丟失和被盜以及未經授權的訪問、使用或修改。保障措施包括物理、技術和組織措施。

巴西通用數據保護法 (LGPD)

LGPD (Lei Geral de Prote o de Dados Pessoais) 是巴西版的 GDPR。

它將 40 多項法規整合到一個監管框架中，以管理個人數據在巴西的使用——線上和線下，私營和公共部門。

LGPD 保護巴西公民以及在巴西境內收集或處理其數據的任何個人。根據 LGPD 的數據合規要求，任何收集或處理個人信息的組織都必須采取技術和管理措施來保護這些數據免遭可能導致未經授權的訪問、丟失或修改的數據泄露。

此外，組織必須記錄個人數據在其整個生命周期中的處理。這包括對收集的內容、收集和處理的目的、保留時間以及數據共享方式的描述。

澳大利亞數據隱私條例

1988 年隱私法（隱私法）是澳大利亞的主要法律，涉及與處理個人信息相關的數據合規性。這包括公共和私人組織收集、使用、存儲和披露個人信息。

隱私法中的澳大利亞隱私原則 (APP) 提供瞭與個人信息的收集、使用和披露相關的數據合規性指導。

根據《隱私法》，組織負責個人信息的數據治理、問責制和完整性。

個人信息保護法 (POPI)

南非的 POPI 指導企業必須如何組織、存儲、保護和丟棄個人信息。POPI 還將默認同意從選擇加入更改為選擇退出。雖然公司不需要獲得收集信息的許可，但他們不得與其他任何人分享收集到的信息或未經同意發送營銷材料。

POPI 包括與個人信息處理、數據質量和數據保護相關的數據合規要求。

POPI 對數據泄露也有嚴厲的處罰

2002 年聯邦信息安全管理法 (FISMA)

FISMA 保護政府信息、資產和信息系統免遭未經授權的訪問、使用、披露、中斷、修改或破壞。

它適用於美國聯邦政府內的所有機構以及管理聯邦計劃的州機構，例如失業保險、學生貸款、醫療保險和醫療補助計劃。

美國國傢標準與技術研究院 (NIST) 提供瞭遵守 FISMA 的具體指南，包括：

• 實施風險管理計劃
• 保護數據和信息系統免遭未經授權的訪問、使用、披露、中斷、修改或破壞
• 確保敏感信息的完整性、機密性和可用性
• 數據合規要求包括維護信息系統清單、根據風險級別對信息和信息系統進行分類，以及進行持續監控。

傢庭教育權利和隱私法案 (FERPA)

FERPA 是一項美國聯邦法律，旨在保護學生教育記錄的隱私，包括成績單、成績單、紀律處分記錄、聯系方式和傢庭信息以及課程表。

❌數據合規性規則禁止未經授權訪問或披露源自教育記錄的個人身份信息。

✅FERPA 的數據合規要求適用於任何公立或私立小學、中學、大專學校，以及根據美國教育部的適用計劃獲得資金的任何州或地方教育機構。

格雷姆-裡奇-比利利法案 (GLBA)

GLBA 要求金融機構維護客戶數據的安全性和機密性，並防止數據受到任何威脅。

GLBA 的數據合規要求涵蓋非公開個人信息，包括社會安全號碼、信用和收入歷史記錄、信用卡和銀行卡帳號、電話號碼、地址、姓名以及金融機構收到的任何其他非公開個人客戶信息。

GLBA 數據合規性要求保護私人信息免受未經授權的訪問。必須通知客戶金融機構與第三方之間的私人信息共享。客戶可以選擇退出私人信息共享，並且必須跟蹤用戶活動，包括任何訪問受保護記錄的嘗試。

如何確保數據合規？

註意遵循關鍵數據安全性和合規性策略對確保數據合規性大有幫助。將這四個基本數據合規性指南視為這些策略的核心：

• 持續檢查與數據合規性相關的法律法規的變化。軟件解決方案可用於提供有關更新的通知，但需要有人負責確保進行任何必要的更改。
• 識別並利用第三方專業知識。
• 尋找最佳技術和人員來支持數據合規計劃。
• 創建確保員工支持數據合規計劃的流程和政策。遵循與員工工作流程集成的數據合規最佳實踐有助於使數據合規計劃取得成功。

不要等待外部審計來評估數據合規性。定期內部審計是識別和補救數據合規性差距的最佳方式。

數據合規框架

數據合規性框架是一組指南和最佳實踐，可幫助組織遵守法規要求。這些是圍繞特定法律法規設計的，例如 PCI DSS、HIPAA 和 GDPR。

數據合規性框架為技術要求提供指導，例如：

它還提供瞭有關如何在整個組織內管理數據合規性以滿足要求的指南。

*文章來源：egnyte

*原標題：什麼是數據合規性？

*整理編輯：A隱小私(yinxiaosi00)