Privacy by Design (PbD) pojawia się coraz więcej w dyskusjach na temat bezpieczeństwa danych. Alexandra Ross, Guru prywatności, często podnosi go w jej konsultacji z jej klientów zaawansowanych technologicznie. Jej kilka podstawowych zasad zostało przyjętych przez amerykańskie agencje rządowe i inne jako de facto najlepsze praktyki polityczne.
PbD ma około 20 lat i jest pomysłem Ann Cavoukian, dawniej komisarza ds. prywatności w Ontario, Kanada. Dlaczego wszyscy nie słyszeliśmy o tym więcej? PbD został oskarżony o bycie niejasnym, zbyt zorientowanym na konsumenta i nie technicznym. Jasne, nie jest to formalny standard techniczny, jak ISO 27001 czy PCI DSS.
Get the Free Pen Testing Active Directory Environments EBook
Myśl o PbD jako o dobrej, solidnej poradzie, która pomoże Ci kierować Twoimi decyzjami dotyczącymi bezpieczeństwa danych. Standardy bezpieczeństwa, tak złożone jak niektóre z nich, nie są w stanie objąć każdego możliwego scenariusza bezpieczeństwa, i to jest miejsce, gdzie PbD może wkroczyć: to jak posiadanie przyjaciela znającego się na bezpieczeństwie danych, do którego możesz się udać, gdy utkniesz w problemie.
Siedem zasad
Oto zasady PbD i kilka krótkich słów o tym, co one naprawdę oznaczają:
Proaktywne, a nie reaktywne; zapobiegawcze, a nie naprawcze
Kluczowym założeniem pierwszej zasady jest to, że o prywatności danych należy myśleć na początku procesu planowania bezpieczeństwa danych, a nie po ich naruszeniu. Potraktuj tę zasadę jako swego rodzaju wyznacznik nastroju dla pozostałej części PbD. Zawsze myśl o prywatności (ABTP)!
Privacy as the Default Setting
To najtrudniejsza zasada dla firm, zwłaszcza w świecie zaawansowanych technologii, do ogarnięcia. Masz dać konsumentom maksymalną ochronę prywatności jako podstawę: na przykład, wyraźny opt-in, zabezpieczenia w celu ochrony danych konsumenta, ograniczone udostępnianie, zminimalizowane gromadzenie danych i polityki retencji w miejscu. Privacy by Default zatem bezpośrednio obniża profil ryzyka bezpieczeństwa danych: im mniej danych masz, tym mniej szkodliwe będzie naruszenie.
Privacy Embedded into Design
To jest kolejny trudny, szczególnie dla szybko rozwijających się startupów high-tech. Prywatność ma być wbudowana w projekt systemów informatycznych i praktyk biznesowych. Porozmawiaj z typowym twórcą oprogramowania, a on najbardziej martwi się o ukończenie podstawowej funkcjonalności produktu. Techniki bezpieczeństwa danych, takie jak szyfrowanie i uwierzytelnianie, są zwykle odkładane na bok w pośpiechu, byle tylko udostępnić funkcje w sieci. Testowanie pod kątem najczęstszych podatności oprogramowania na ataki hakerskie – zazwyczaj ataki typu injection – jest również często zaniedbywane. Zasady te mówią projektantom, że powinni myśleć o prywatności jako o podstawowej właściwości produktu.
Pełna Funkcjonalność – Suma Dodatnia, Nie Suma Zerowa
Pomysł jest taki, że PbD nie naruszy celów biznesowych. Zasadniczo, możesz mieć prywatność, przychody i wzrost. Nie poświęcasz jednego na rzecz drugiego. Pomyśl o tym jako o pomocy w ustanowieniu kultury PbD w swojej organizacji.
End-to-End Security – Full Lifecycle Protection
Ochrona prywatności podąża za danymi, gdziekolwiek się one znajdują. Te same zasady PbD mają zastosowanie, gdy dane są najpierw tworzone, udostępniane innym, a następnie archiwizowane. Odpowiednie szyfrowanie i uwierzytelnianie powinno chronić dane do samego końca, kiedy zostaną ostatecznie usunięte.
Widoczność i przejrzystość – Keep it Open
To jest zasada, która pomaga budować zaufanie konsumentów. Informacje o praktykach ochrony prywatności powinny być jawne i napisane w języku niespecjalnie prawniczym. Powinien istnieć jasny mechanizm odwoławczy dla konsumentów, a linie odpowiedzialności w organizacji muszą być ustanowione.
Respect for User Privacy – Keep it User-Centric
Ta ostatnia zasada po prostu czyni bardzo jasnym, że konsumenci są właścicielami danych. Dane przechowywane przez organizację muszą być dokładne, a konsument musi mieć prawo do wprowadzania poprawek. Konsument jest również jedyną osobą, która może udzielić i cofnąć zgodę na wykorzystanie danych.
.