Was sind Datenkonformitätsstandards?
Die Einhaltung von Datenkonformität geht mit präzisen Vorschriften und steigenden Bußgeldern einher, aber wie wissen Sie, welche Standards und Vorschriften zu befolgen sind und welche Prozesse zu implementieren sind?
Lassen Sie uns zuerst klären, was Datenkonformität ist. Datenkonformität, kurz gesagt, ist die Anwendung spezifischer Vorschriften, wie HIPAA oder DSGVO, die sicherstellen, dass die verarbeiteten Daten so gespeichert, organisiert und verwaltet werden, dass es kaum oder gar keine Möglichkeit für Verstöße oder Missbrauch gibt. Schauen wir uns das genauer an.
Was ist Datenkonformität?
Datenkonformität ist der Prozess, der sicherstellt, dass Organisationen und ihre Systeme rechtliche, regulatorische und betriebliche Datenanforderungen erfüllen. Es beinhaltet die Etablierung von Kontrollen, um die Datenschutz, Integrität und Verfügbarkeit zu schützen und Datenmissbrauch zu verhindern. Es beinhaltet auch die Entwicklung von Richtlinien und Verfahren, die regeln, wie Organisationen und Einzelpersonen mit Daten umgehen. Unternehmen profitieren von der Datenkonformität, da sie ihnen hilft, effiziente Systeme für das Datenmanagement zu erstellen und zu erhalten.
Unternehmen investieren in Datenkonformität, um die Daten ihrer Kunden zu schützen und sicherzustellen, dass sie den Branchenvorschriften entsprechen. Die Vorschriften sind notwendig, um das Recht der Kunden auf Privatsphäre, Sicherheit und Datenrichtigkeit zu schützen. Die Einhaltung dieser Vorschriften hilft Unternehmen, ihren Ruf zu wahren und Vertrauen bei ihren Kunden aufzubauen, sowie das Unternehmen vor dem Risiko von Strafen und Bußgeldern zu schützen. Die Investition in Datenkonformität hilft Unternehmen auch, ihre Haftung in Verbindung mit Datenverletzungen und anderen Cyber-Vorfällen zu reduzieren.
Schließlich kann die Investition in Datenkonformität Unternehmen dabei helfen, ihre Effizienz und Rentabilität zu steigern. Gute Praktiken für Datenkonformität helfen Unternehmen sicherzustellen, dass ihre Daten sicher, aktuell und korrekt sind, was helfen kann, kostspielige Fehler und Irrtümer in ihren Abläufen zu minimieren. Darüber hinaus kann eine effektive Datenkonformität die Menge an Zeit und Geld reduzieren, die sie für das Finden, Korrigieren und Ersetzen von Daten aufwenden.
Einige Beispiele für Datenkonformität sind:
- Implementierung von Richtlinien für die Datenspeicherung und -wartung
- Erstellen von Datenzugriffskontrollen
- Schulung der Mitarbeiter in Bezug auf Datenschutz und -sicherheit
- Einrichtung von Verfahren für den Datenaustausch und -transfer
- Aufbau von Systemen zur Datenarchivierung und -entsorgung
- Verwendung von Verschlüsselung zum Schutz von Daten
- Durchführung von Sicherheitsüberprüfungen und Audits
Wie wirkt sich Datenkonformität auf mein Unternehmen aus?
Die Datenkonformität beeinflusst, wie Sie Informationen als Teil Ihrer Geschäftstätigkeit speichern, übertragen und verwenden. Im Großen und Ganzen ist die Datenkonformität der Schnittpunkt von Verbraucher-/Patienten-/Kunden Datenschutz”Schutzrechte” und Informationsrechte gegen die ordnungsgemäße geschäftliche Nutzung von Informationen, die unter diese Datenschutzrechte fallen könnten.
Damit Sie Ihre Verpflichtungen in Bezug auf “Datenkonformität” bestimmen können, müssen Organisationen einige entscheidende Fragen beantworten:
- Wie schützen Sie Ihre Daten: vor unbefugter Nutzung oder Offenlegung?
- Wie müssen diese Daten geschützt werden: durch technische, administrative oder physische Maßnahmen?
- Wie werden diese Informationen für Geschäfts- oder Kunden-/Klienten-/Patientendienste verwendet?
Sicherheit ist eine wichtige Komponente eines Compliance-Regimes. Darüber hinaus haben viele staatliche und branchenspezifische Standards und Vorschriften den Datenschutz und die Datensicherheit als ihren Schwerpunkt (z.B. DSGVO, PCI DSS, etc.). Organisationen müssen in der Lage sein, Cyber-Risikomanagement Governance und Compliance gegenüber Prüfern, Aufsichtsräten, Geschäftsleitungen, Regulierungs- und Compliance-Stellen, unter anderem, nachzuweisen.
Compliance ist aus verschiedenen Gründen entscheidend für den Betrieb eines Unternehmens:
- Individuelle Rechte: Wie später im Beitrag abgedeckt, überschneidet sich das Management von Informationen für Geschäftszwecke mit den Rechten von Einzelpersonen, ihre Informationen zu verwalten, zu kontrollieren und darauf zuzugreifen. Verschiedene Branchen fordern zusätzliche Schutzvorschriften auf der Grundlage anderer Konzepte von individuellen Rechten.
- Ethik und Datenschutz: Einer der wesentlichen Aspekte eines Datenkonformitätsrahmens ist die Ethik der Wahrung der Benutzerprivatsphäre. Gesundheitswesen, Einzelhandel, Finanzen und andere Branchen haben Vorschriften, die die Benutzerprivatsphäre als heilig und grundlegende Bestandteile ihres Betriebs definieren.
- Geschäftliche Nutzung: Abgesehen vom Datenschutz vor unbefugter Offenlegung, überschneidet sich die Datenkonformität auch mit der ordnungsgemäßen geschäftlichen Nutzung. Während einige Datenschutzbestimmungen strenger als andere sind, je nachdem, wo sie Rechtsprechung haben, heben viele Rahmenbedingungen hervor, wie ein Unternehmen Informationen nutzen kann und wie es nicht darf. Einige dieser Rahmenbedingungen (wie die Allgemeine Datenschutzverordnung GDPR) legen auch strenge Richtlinien fest, wie lange Informationen genutzt werden können und unter welchen Umständen.
- Einwilligung: Im Anschluss an den vorherigen Listenpunkt ist die Einwilligung ein integraler Bestandteil der Konformität. Einige Rahmenbedingungen verlangen, dass Sie Opt-Out-Informationen für Marketing- oder Geschäftszwecke bereitstellen, während noch strengere Rahmenbedingungen verlangen, dass Unternehmen eine nachweisbare, dokumentierte Einwilligung erhalten.
Wie definieren verschiedene Vorschriften die Datenkonformität?
Nicht alle Informationen sind gleichwertig und nicht alle Konformitätsrahmen und -vorschriften verlangen den gleichen Grad an Informationsschutz.
Einige der wesentlichen Konformitätsstandards und -vorschriften, die sich auf Unternehmen auswirken, sind:
- HIPAA: Die Abdeckung von Gesundheitsinformationen für Patienten, die mit Krankenhäusern, Versicherungen oder jemandem zusammenarbeiten, der im Zusammenhang mit der Bereitstellung von Gesundheitsleistungen steht, HIPAA-Konformitätsanforderungen definieren Konformität strikt in Bezug auf geschützte Gesundheitsinformationen (PHI) oder Informationen im Zusammenhang mit der Pflege oder Zahlung von Informationen im Zusammenhang mit der Pflege. Nach HIPAA dürfen Unternehmen PHI niemals an Dritte außer dem Patienten weitergeben, ohne eine strenge, dokumentierte Einwilligung. Dafür ist eine gut dokumentierte “”Third-Party-Risikomanagement (TPRM) Richtlinien und Verfahren. Ebenso muss diese Information überall dort geschützt werden, wo sie sich befindet – einschließlich Datenbanken, Arbeitsstationen/Mobilgeräten, Servern und sogar während der Übertragung zwischen verschiedenen Parteien. Die meisten konformen Technologien bieten Möglichkeiten, Informationen zur Nutzung zu sichern, so dass Unternehmen nicht auf verschlüsselte E-Mails oder andere ältere Technologien angewiesen sein müssen.
- Payment Card Industry Data Security Standard (PCI DSS): PCI-Konformität deckt im Wesentlichen Kreditkartenzahlungen und den Schutz von Zahlungsinformationen während Einkäufen ab. Während HIPAA die Einhaltung in Bezug auf PHI vorschreibt, konzentriert sich PCI DSS speziell auf Zahlungsinformationen am Verkaufsort, einschließlich Kreditkartennummern, Namen, Adressen, Telefonnummern usw. Im Gegensatz zu HIPAA, das von der Bundes- und Landesregierung reguliert wird, ist PCI eine Erfindung der großen Kreditkartenunternehmen (Visa, Mastercard und American Express) und wird durch Strafen für nicht konforme Händler oder Zahlungsabwickler durchgesetzt. Strafen können in diesem Fall die Verhängung von zusammengesetzten Geldstrafen für jeden Vorfall von Nichteinhaltung und den Verlust eines Händlerkontos (was es schwierig, wenn nicht unmöglich macht, Kreditkartentransaktionen durchzuführen) vorsehen.
- Allgemeine Datenschutzverordnung (DSGVO): Die DSGVO wird allgemein als eines der strengsten Informationsprivatsphärengesetze der Welt angesehen. Mit Zuständigkeit für die gesamte Europäische Union und mehrere weitere teilnehmende Länder fordert die DSGVO von Unternehmen, strenge Kontrollen über Benutzerdaten aufrechtzuerhalten. Dies beinhaltet Anforderungen an die Berichterstattung über die ordnungsgemäße Verwendung dieser Informationen (und die Nutzung von Verbraucherdaten nur auf der Grundlage strenger Geschäftsanforderungen), die Bereitstellung leicht zugänglicher Methoden für Verbraucher, um Zugang zu ihren Informationen zu erhalten und deren Löschung zu beantragen, und dokumentierte Zustimmung bei jedem Punkt, an dem ein Verbraucher einen neuen Antrag auf Verbraucherinformationen stellt. Diese letzte Anforderung fordert auch von Unternehmen, dem Kunden detaillierte Gründe für die Datenerhebung zu liefern (egal ob für Analysen, wiederkehrende Zahlungen, E-Mail-Marketing oder dutzende andere Situationen).
- California Consumer Privacy Act (CCPA): Der CCPA ist in vielerlei Hinsicht an die DSGVO angelehnt. Der CCPA, der sich auf Einwohner Kaliforniens und Unternehmen, die im Bundesstaat tätig sind, bezieht, definiert personenbezogene Daten als alltägliche Dinge wie Namen, Adressen, Telefonnummern, E-Mail-Adressen und dergleichen. Der CCPA definiert Anforderungen für Unternehmen, Opt-Out-Maßnahmen bereitzustellen, damit Verbraucher aufhören können, Geschäftsaktionen zu empfangen oder daran teilzunehmen, oder Ihr Unternehmen davon abhalten können, diese Informationen an Dritte zu verkaufen.
Ein entscheidender Unterschied zwischen GDPR und CCPA (und vielen US-Regulierungen) besteht darin, dass GDPR ein “Opt-In” Gesetz ist, das Unternehmen erfordert, die Zustimmung einzuholen, bevor sie irgendetwas mit den Daten machen. Im Gegensatz dazu sind CCPA und die meisten anderen Geschäftsregulierungen “Opt-Out”, bei denen Ihr Unternehmen Verbraucherinformationen verwenden kann, bis speziell aufgefordert wird, dies zu stoppen.
- Der Sarbanes-Oxley Act (SOX): SOX unterscheidet sich etwas von Verbraucher- oder Patienten-Regulierungen, da es Unternehmen verpflichtet, Berichte und Dokumentationen über Sicherheit, Risiko und Prüfung, die Ihr Unternehmen umsetzt, bereitzustellen. Insbesondere fordert SOX Unternehmen auf, ihre Finanz- und Sicherheitsinformationen zu offenbaren, insbesondere ihre Sicherheitspläne, -richtlinien und -umsetzung.
- FedRAMP: Das Federal Risk and Authorization Management Program (FedRAMP) ist ein Satz von Vorschriften, der definiert, wie Cloud-Anbieter Informationen schützen, die bei der Dienstleistung von Bundesbehörden erstellt oder verwendet werden. Der Datenschutz für FedRAMP-konforme Unternehmen hängt von der Sensibilität dieser Informationen ab. Beispielsweise erfordern selbst sensible, aber öffentlich zugängliche Informationen spezielle Schutzmaßnahmen während der Speicherung, Weitergabe oder E-Mail. Darüber hinaus erhöhen geschützte Informationen unter anderen Rahmenbedingungen (PHI oder Zahlungsinformationen) die FedRAMP-Anforderungen entsprechend.”
Andere Frameworks gelten für spezifische Unternehmen oder Branchen, die in der Regel von professionellen Organisationen oder den Unternehmen selbst entwickelt werden. Beispielsweise hat das National Institute of Standards and Technology (NIST) mehrere Compliance-Dokumente für verschiedene Bereiche der Bundesregierung entwickelt, und Adobe hat das Common Control Framework (CCF) veröffentlicht, um Governance, Risk und Compliance (GRC) zu unterstützen. Darüber hinaus bietet die Internationale Organisation für Normung (ISO) hunderte von technischen Leitlinien für Sicherheit, Betrieb und Interoperabilität an, die Compliance-Frameworks entweder ausleihen oder ganzheitlich darauf aufbauen.
Obwohl es für jedes Framework spezifische Anforderungen gibt (oben aufgeführt), enthalten die meisten Vorschriften allgemeine Sicherheits- und Datenschutzmaßnahmen. Diese beinhalten Folgendes:
- Verschlüsselung: Alle Verbraucher-, Patienten- oder andere geschützte Datentypen müssen (in der Regel) entweder mit den Algorithmen AES-128 oder AES-256 verschlüsselt werden, wenn sie auf einem Server gespeichert sind, oder mit TLS 1.2+, wenn sie während einer Dateiübertragung unterwegs sind.
- E-Mail-Schutz: Da Informationen verschlüsselt werden müssen, sind E-Mails in der Regel gleichermaßen reguliert. Da die Umsetzung von E-Mail-Compliance durch Verschlüsselung eine Herausforderung in Bezug auf Benutzererfahrung und Geschäftsflexibilität darstellt, verwenden viele Unternehmen sichere Links zurück zu internen, geschützten Servern.
- Audit-Protokollierung: Der Datenschutz beinhaltet fast immer Anforderungen an die Kontrolle, wie Personen auf Informationen zugreifen und Aufzeichnungen über System- und Dateizugriffsereignisse haben. Die meiste Compliance besteht aus Audit-Protokollen darüber, wie Informationen genutzt, bewegt und gespeichert werden.
Damit ist jedoch nicht gesagt, dass Sie bei der Vorbereitung auf Compliance-Audits von Grund auf neu beginnen müssen. Einige vorbereitende Schritte beinhalten Folgendes:
- Im Voraus vorbereiten: Wenn Sie wissen, dass Sie regelmäßig Audits durchlaufen werden, sollten Sie sich rechtzeitig vorbereiten. Dazu gehört das Bereitstellen von Dokumenten, technischen Maßnahmen und Verwaltungsberichten. Auch wenn Sie nicht zu 100% konform sind, zeigt die Vorbereitung auf das Audit, wo Sie Ihre Infrastruktur anpassen müssen.
- Vorbereitung auf Anfragen zum Zugang von betroffenen Personen: Nach der DSGVO haben Verbraucher das Recht, Kopien aller von Ihrem Unternehmen gespeicherten und verwendeten Informationen zu verlangen. Darüber hinaus müssen Sie diese Informationen innerhalb einer angemessenen Frist bereitstellen, in der Regel zwischen 30 und 45 Tagen. Die Standardisierung dieses Prozesses im Voraus kann Ihnen nicht nur helfen, schnell zu reagieren, sondern auch die Einhaltung konsequent zu gewährleisten.
- Automatisierung nutzen: In einer modernen Welt der digitalen Sammlung und Verarbeitung müssen Unternehmen Automatisierung nutzen, um Dokumentationen, Kataloge und die Rationalisierung von Audits und Datenanfragen zu optimieren.
- Konforme Technologie implementieren: Es ist mittlerweile eine Grundtatsache, dass Unternehmen Cloud-Dienste nutzen, um ihre Geschäftsabläufe zu erweitern. Wenn Sie Compliance-Anforderungen haben, folgt daraus, dass jeder Dienst, den Sie implementieren, diese Anforderungen unterstützen muss.
- Schulung und Weiterbildung: Ihr Team sollte immer die richtige Schulung haben, um Compliance-Kontrollen in Ihrer spezifischen Infrastruktur umzusetzen und bei Bedarf Audits durchzuführen. Ebenso müssen Sie eine kontinuierliche Schulung unterstützen, um sicherzustellen, dass sie immer auf dem neuesten Stand in Bezug auf Compliance- oder Technologieänderungen sind. Dies beinhaltet ein robustes TPRM Programm.
Kiteworks Plattform erfüllt Datenkonformität
Die Kiteworks Plattform vereinigt, verfolgt, kontrolliert und sichert sensible Inhaltskommunikation. Sie bietet umfassende Datenkonformität durch Konformitäts- und Sicherheitsgovernance. Jede vertrauliche Datei, die in eine Organisation gesendet, geteilt oder übertragen wird, sowie innerhalb und außerhalb einer Organisation, wird verfolgt und kontrolliert.
Die wichtigsten Funktionen der Kiteworks Plattform umfassen:
- Sicherheit und Konformität: Kiteworks nutzt AES-256 Verschlüsselung für Daten im Ruhezustand und TLS 1.2+ für Daten während der Übertragung. Seine gehärtete virtuelle Appliance, granulare Kontrollen, Authentifizierung und andere Sicherheitsstapelintegrationen, sowie umfassende Protokollierung und Audit-Berichterstattung ermöglichen es Organisationen, die Einhaltung von Sicherheitsstandards leicht und schnell zu demonstrieren. Seine Out-of-the-Box-Konformitätsberichterstattung für Industrie- und Regierungsvorschriften und -standards, wie HIPAA, PCI DSS, SOC 2, und GDPR, sind von entscheidender Bedeutung. Darüber hinaus rühmt sich Kiteworks mit Zertifizierungen und Konformität mit verschiedenen Standards, die unter anderem FedRAMP, FIPS (Federal Information Processing Standards), FISMA (Federal Information Security Management Act), “”CMMC (Cybersecurity Maturity Model Certification) und IRAP (Information Security Registered Assessors Program).
- Audit-Protokollierung: Mit den unveränderlichen Audit-Protokollen der Kiteworks-Plattform können Organisationen darauf vertrauen, dass Angriffe früher erkannt werden und sie die richtige Beweiskette für forensische Untersuchungen aufrechterhalten. Da das System Einträge aus allen Komponenten zusammenführt und standardisiert, spart sein vereinheitlichtes Syslog und seine Alarme den Sicherheitsbetriebszentren (SOC) Teams wertvolle Zeit und hilft Compliance-Teams, sich auf Audits vorzubereiten.
- Dokumentation der Einwilligung: Viele Frameworks wie die DSGVO fordern eine dokumentierte Einwilligung zur Datenerhebung und zu jeder Anfrage auf Zugriff auf personenbezogene Daten. Organisationen benötigen eine Plattform, die diesen Prozess automatisiert. Kiteworks bietet umfangreiche Berichterstattung und Protokollierung aller Einwilligungsformulare und Datenanfragen, damit Organisationen kontinuierlich die Einhaltung von Datenschutzbestimmungen nachweisen können.
- Einzeln-tenant Cloud-Umgebung: Dateiübertragungen, Dateispeicherung und Benutzerzugriffe erfolgen auf einer dedizierten Kiteworks-Instanz, die vor Ort, auf den Infrastructure-as-a-Service (IaaS)-Ressourcen einer Organisation oder als private, einzelne Instanz von Kiteworks in der Cloud auf dem Kiteworks Cloud-Server bereitgestellt wird. Das bedeutet, dass es keine gemeinsame Laufzeitumgebung, gemeinsame Datenbanken oder Repositories, gemeinsame Ressourcen oder Möglichkeiten für übergreifende Cloud-Verstöße oder Angriffe gibt.
- Nahtlose Automatisierung und MFT: Die Kiteworks-Plattform unterstützt Managed File Transfer (MFT) Automatisierung, um den Inhaltstransfer in und aus sicheren Dateiübertragungen und anderen Repositories wie Dateifreigaben und AWS S3 zu erleichtern.
- Sichtbarkeit und Verwaltung: Das CISO-Dashboard in Kiteworks gibt Organisationen einen Überblick über ihre Informationen: wo sie sich befinden, wer darauf zugreift, wie sie genutzt werden und ob Sendungen, Freigaben und Übertragungen von Daten den Vorschriften und Standards entsprechen. Das CISO-Dashboard ermöglicht es Unternehmensführern, informierte Entscheidungen zu treffen und gleichzeitig eine detaillierte Ansicht der Compliance zu bieten.
Wenn Sie mehr über die Kiteworks-Plattform und ihre umfassenden Daten-Compliance-Funktionen erfahren möchten, planen Sie eine individuelle Demo.