افزایش و بهبود امنیت اطلاعات شخصی با قوانین GDPR

۱۶ دی ۱۳۹۷ ۱۳۵۹

“آیین نامه حفاظت از اطلاعات عمومی” (GDPR) اتحادیه اروپا در تاریخ ۵ می ۲۰۱۸ به اجرا درآمده و کمپانی های بسیاری ملزم به پیاده سازی استانداردهای GDPR را در سامانه های مدیریت اطلاعات خود هستند. به همین دلیل، معمولا سوالات زیر در ذهن شکل افراد می گیرد :

  • GDPR چیست و ارتباط آن با افراد حقیقی و حقوقی چه می باشد؟
  • GDPR چگونه از اطلاعات شخصی محافظت می کند؟

به همین دلیل تیم داهوا توضیحاتی درباره GDPR به شما ارائه می دهد

 افزایش و بهبود امنیت اطلاعات شخصی با قوانین GDPR

پیش زمینه GDPR

در سال ۱۹۹۵، اتحادیه اروپا آیین نامه ای مبنی بر محافظت از داده ها(که زین پس با نام “آیین نامه” از آن یاد می شود) صادر کرد، و در آن استاندارد های مورد نیاز به جهت محافظت از اطلاعات شخصی شهروندان کشور های عضو اتحادیه اروپا را اعلام کرد. در آن زمان، اطلاعات شخصی به اسم، آدرس و یک سری اطلاعات مالی ساده، محدود میشد. هرچند بعد از گذشت ۲۰ سال و پیشرفت تکنولوژی، داده های عظیم و محاسبات ابری، ساختار اطلاعات شخصی را به کلی تغییر دادند. درست است که امروزه کاربران از خدمات آنلاین بسیاری بهره گرفته و از کیفیت آن لذت می برند، اما همچنان نگران اطلاعات شخصی و حریم خصوصی خود هستند. از همین رو اتحادیه اروپا در راستای پاسخگویی به نیاز اعضای خود، در تاریخ ۵ خرداد ۱۳۹۵، و پس از جلسات و گفتگو های بسیار، آیین نامه GDPR را تصویب کرد. تاریخ اجرای این آیین نامه ۵ خرداد ۱۳۹۷ در نظر گرفته شد و از این رو شرکت های امنیتی، با یک چالش بزرگ و جدید در زمینه امنیت اطلاعات روبرو هستند.

کاربرد GDPR

ممکن است تصور کنید که GDPR شامل حال کمپانی های خارج از اروپا نمی شود، اما  سخت در اشتباه هستید. این قوانین نه تنها شامل حال کمپانی های داخلی می شوند، بلکه کمپانی های خارج از اروپا نیز که به اعضای اتحادیه اروپا خدمات و یا کالا می فروشند، باید از آن پیروی کرده و استانداردهای لازم را پیاده کنند. به عبارت دیگر، تفاوتی نمی کند که کمپانی مورد نظر در کدام نقطه از جهان قرار گرفته باشد، مادامی که به شهروندان کشورهایی که عضو اتحادیه اروپا هستند خدمات یا کالا بفروشند، ملزم به پیروی از قوانین GDPR می باشند.

الزامات پیاده سازی GDPR برای کمپانی ها

روش عملکرد GDPR در محافظت از اطلاعات شخصی افراد، در کمپانی هایی که خدمات تجاری و اینترنتی ارائه می کنند :

با توجه به محتویات و فرایند پردازش داده ها، شرکت ها می بایست موارد زیر را رعایت کنند :
قانون مندی : کلیه اطلاعات شخصی که در زمینه امور تجاری مورد استفاده قرار گرفته، پردازش شده و تبادل می شود، می بایست الزامات قانونی را دارا باشند.
عدالت : در خلال بهروه وری و پردازش داده های شخصی، منافع هر دو طرف باید به طور کامل رعایت شود. سوء استفاده از داده های شخصی در جهت منافع تجاری به هر شکلی قدغن می باشد.
شفافیت : مشتری باید نسبت به اهداف، محدوده و رسانه هایی که داده ها در آن ها پردازش می شوند، کاملا آگاه باشد. هرگونه پردازش و تبادل اطلاعات بدون اطلاع مشتری، قدغن می باشد.
آیین نامه GDPR همچنین بر روی محدودیت های دسته بندی شده، به حداقل رساندن داده ها، دقت، محدودیت فضای ذخیره سازی، تکامل و رازداری، و سامانه پاسخ گویی پذیری تاکید می کند.

شرکت ها می بایست دارای یک سامانه داخلی پاسخ گویی و مسئولیت پذیری باشند.

این سامانه شامل مدیریت پردازش ها و امنیت داده ها، روش های تشخیص نشت اطلاعات، سیاست های اعلان نفوذ، و غیر می باشد.

مامور حفاظت از داده ها : شرکت ها باید یک نفر به عنوان مسئول حفاظت از داده ها و همچنین ارتباط با موسسه نظارت بر امنیت داده ها مشخص کنند. این شخص می بایست به کمیته GDPR گزارش دهد و حق نظارت و بررسی کلیه فرایند پردازش داده ها را دارد.
مدیریت مستند : شرکت ها می بایست کلیه رویداد های پردازش داده ها را مستند سازی کرده و این مستندات باید قابل جستجو بر اساس عملکرد باشند. مدیریت مستند، نه تنها یک فرایند داخلی است، بلکه ابزاری است برای اعمال سیاست های سازمان نظارت.
ارزیابی آسیب پذیری داده ها و مشاوره قبلی : با توجه به وجود خطرات و تهدیداتی که متوجه فرایند پردازش و تبادل اطلاعات است، شرکت ها می بایست قبل از هرگونه فعالیت، میزان آسیب پذیری سیستم خود را ارزیابی کرده، و در صورتی که با خطرات زیادی روبرو هستند و هیچ گونه راه کاری برای کاهش خطرات ندارند، ملزم به برقراری ارتباط با موسسه نظارت و دریافت مشاوره های کاربردی هستند.
قدرت عکس العمل : شرکت ها می بایست دارای یک مکانیزم جامع باشند که به هنگام بروز حادثه و نفوذ به شبکه، بلافاصله عکس العمل مناسب را نشان دهند.
معیار های تضمین امنیت : شرکت ها برای تضمین امنیت داده ها، ملزم به پیروی از نکات زیر می باشند :

  • ذخیره داده ها با نام مستعار و به صورت ناشناس
  • تضمین بلند مدت محرمانه بودن داده ها، تمامیت داده ها، بهره وری و قابلیت بازیابی سیستماتیک
  • قابلیت بازیابی و دسترسی بی درنگ به داده هایی که در اثر بروز خطاهای سیستمی و سخت افزاری از بین رفته اند
  • ایجاد یک سامانه ارزیابی و سنجش دوره ای به جهت تضمین امنیت و کارایی سیستم

 

افزایش و بهبود امنیت اطلاعات شخصی با قوانین GDPR

حقوق فردی تحت آیین نامه GDPR

آیین نامه GDPR، بیش از پیش حقوق فردی را رعایت کرده و به آن احترام میگذارد و ما را قادر می سازد که حقوق خود را در مورد داده های شخصی بهتر بشناسیم و از آن محافظت کنیم

حقوقی که GDPR برای افراد قائل می شود :

آیین نامه GDPR حقوق ارزشمندی برای افراد قائل می شود و با اعمال قوانین سخت گیرانه با جزئیات دقیق، به ما حق آگاهی، دسترسی، اعتراض، تبادل و حذف داده ها را ارائه می کند :

حق آگاهی : کنترل کننده داده ها می بایست به صورت واضح و مختصر، افراد را در جریان نحوه جمع آوری و پردازش داده ها قرار دهد.
حق دسترسی : کنترل کننده داده ها ملزم به ایجاد دسترسی به داده ها برای افراد است و بابت این موضوع نمی تواند هیچ گونه هزینه ای دریافت کند مگر اینکه درخواست فرد بیش از حد و ورای دسترسی شرکت باشد.
حق اعتراض : صاحبان داده ها، به طور دائمی حق اعتراض به نحوه کنترل و پردازش داده ها را دار می باشند و همیشه می توانند به بهره وری اقتصادی از داده ها اعتراض کنند. این آیین نامه همچنین افراد را قادر می سازد که پردازش داده ها را متوقف کنند، به عنوان مثال زمانی که اعتراض یا شکایتی از کنترل کننده میشود ولی درخواستی مبنی بر حذف داده ها وجود ندارد، کنترل کننده دیگر نمیتواند داده های مربوطه را جمع آوری و پردازش کند.
حق تبادل : افراد باید بتوانند داده های خود را به طور کامل و یک پارچه از یک سرویس دهنده اطلاعاتی، به یک سرویس دهنده دیگر منتقل کنند. این موضوع بع این معنی است که افراد نسبت به داده های خود دارای اختیارات تام می باشند.
حق حذف : افراد می توانند از کنترل کننده بخواهند که داده های آن ها را حذف کرده و آن ها را منتشر نکند. این قانون به جهت کاهش خطرات موجود در نگهداری داده های عظیم و همچنین ارج نهادن به حقوق افراد وضع شده است.

جریمه های سخت گیرانه GDPR

در راستای اعمال آیین نامه امنیتی فوق و همچنین الزام شرکت ها برای اجرای آن، یک سری جریمه های سخت گیرانه برای شرکت های خاطی در نظر گرفته شده است. این جریمه ها متوجه تیم مدیریت شرکت هایی است که قوانین مربوطه را رعایت نمی کنند. با توجه به میزان فعالیت و درصد خطا، جریمه شرکت ها به دو سطح تقسیم می شود :

  • ۱۰ میلیون یورو یا ۲% از درآمد سالانه
  • ۲۰ میلیون یورو یا ۴% از درآمد سالانه

جرائم سخت گیرانه، شرکت ها را وادار میسازد که از قوانین پیروی کرده و حقوق افراد را رعایت کنند. موضوع کلیدی رعایت قوانین این است که شرکت ها می توانند داده ها را بهتر مدیریت کرده و از نفوذ جلوگیری کنند و کنترل بهتری نسبت به فرایند پردازش داده ها داشته باشند.

انطباق داهوا با GDPR

شرکتت فن آوری های داهوا، تامین کننده برتر راه کار های امنیتی در صنعت حفاظت الکترونیک در جهان، همواره به حفظ اطلاعات و حریم شخصی کاربران متعهد بوده است. از آن جایی که تاریخ اجرای آیین نامه GDPR فرا رسیده و ضبط تصاویر شامل داده های شخصی نیز می باشد، داهوا نیز بر حفاظت از داده های شخصی تاکید بیشتری می کند. محصولات داهوا، بر مبنای اصول “قانون مندی، عدالت و شفافیت تولید می شوند. این محصولات همچنین به طور جامع داده های شخصی را حفاظت کرده و این داده ها را به صورت ناشناس و با نام های مستعار ذخیره می کنند. با توجه به سیستم مدیریت داده ها، داهوا همواره تلاش می کند که از طریق تکمیل سامانه داخلی مدیریت داده ها و بهبود شیوه پاسخ گویی و عکس العمل، سامانه حفاظت از داده های خود را بهبود ببخشد.

استفاده از محصولات داهوا، به شما کمک می کند تا آیین نامه GDPR را بهتر درک کنید و از حقوق خود با خبر شوید. ما نیز تلاش می کنیم تا سامانه امنیتی خود را بهبود بخشیده و هر روز راه کار هایی ایمن تر ارائه دهیم.

دیدگاه ها

سوالات و نظرات خود را با ما به اشتراک بگزارید.
whatsapp call واتساپ اینستاگرام ایران داهوا اینستاگرام تلگرام ایران داهوا تلگرام لیست قیمت فروشگاه اینترنتی