Privacy by Design Cheat Sheet

Privacy by Design (PbD) a apărut din ce în ce mai des în discuțiile privind securitatea datelor. Alexandra Ross, Guru al confidențialității, o aduce adesea în discuție în cadrul consultărilor sale cu clienții săi de înaltă tehnologie. Cele câteva principii de bază ale sale au fost adoptate de agențiile guvernamentale din SUA și de alții ca politici de facto de bune practici.

PbD are aproximativ 20 de ani vechime și este creația lui Ann Cavoukian, fostul Comisar pentru Confidențialitatea Informațiilor & din Ontario, Canada. De ce nu am auzit cu toții mai multe despre el? PbD a fost acuzat că este vag, prea orientat spre consumator și că nu este tehnic. Sigur, nu este un standard tehnic formal precum ISO 27001 sau PCI DSS.

Obțineți cartea electronică gratuită Pen Testing Active Directory Environments EBook

„Acest lucru mi-a deschis cu adevărat ochii asupra securității AD într-un mod în care munca defensivă nu a făcut-o niciodată.”

Gândiți-vă la PbD ca la un sfat bun și solid pentru a vă ghida deciziile privind securitatea datelor. Standardele de securitate, oricât de complexe ar fi unele dintre ele, nu pot acoperi toate scenariile de securitate posibile, iar aici poate interveni PbD: este ca și cum ai avea un prieten priceput în materie de securitate a datelor la care să apelezi atunci când ești blocat în fața unei probleme.

Cele șapte principii

Iată principiile PbD cu câteva cuvinte scurte despre ceea ce înseamnă ele cu adevărat:

Proactiv, nu reactiv; preventiv, nu remedial

Ideea cheie din spatele acestui prim principiu este că ar trebui să vă gândiți la confidențialitatea datelor la începutul procesului de planificare a securității datelor – nu după o încălcare a datelor. Luați în considerare acest principiu ca un fel de „mood setter” pentru restul PbD. Gândiți-vă întotdeauna la confidențialitate (ABTP)!

Privacy as the Default Setting

Acesta este cel mai greu de înțeles pentru companii, în special în lumea high-tech, pentru a se obișnui cu acest principiu. Se presupune că ar trebui să oferiți consumatorilor protecția maximă a confidențialității ca bază de referință: de exemplu, opt-in explicit, garanții pentru protejarea datelor consumatorilor, partajare restricționată, colectare de date redusă la minimum și politici de păstrare în vigoare. Prin urmare, confidențialitatea implicită scade direct profilul de risc pentru securitatea datelor: cu cât aveți mai puține date, cu atât mai puțin dăunătoare va fi o încălcare a securității.

Privacy Embedded into Design

Aceasta este o altă problemă dificilă, în special pentru start-up-urile de înaltă tehnologie cu creștere rapidă. Confidențialitatea ar trebui să fie încorporată în proiectarea sistemelor IT și a practicilor de afaceri. Discutați cu un dezvoltator tipic de software, iar acesta este cel mai mult preocupat de finalizarea funcționalității de bază pentru produs. Tehnicile de securitate a datelor, cum ar fi criptarea și autentificarea, sunt, de obicei, lăsate pe plan secundar în graba de a pune funcțiile online. De asemenea, testarea celor mai frecvente vulnerabilități de hacking în software – de obicei, atacurile prin injecție – este adesea neglijată. Aceste principii le spun proiectanților că ar trebui să se gândească la confidențialitate ca la o caracteristică de bază a produsului.

Funcționalitate completă – sumă pozitivă, nu sumă zero

Ideea aici este că PbD nu va compromite obiectivele de afaceri. Practic, puteți avea confidențialitate, venituri și creștere. Nu sacrificați una pentru cealaltă. Gândiți-vă la aceasta ca ajutând la stabilirea unei culturi PbD în organizația dumneavoastră.

Securitate de la un capăt la altul – Protecție pe tot ciclul de viață

Protecția confidențialității urmărește datele, oriunde s-ar duce. Aceleași principii PbD se aplică atunci când datele sunt create pentru prima dată, împărtășite cu alții și, în cele din urmă, arhivate. Criptarea și autentificarea corespunzătoare ar trebui să protejeze datele până la final, când acestea sunt în cele din urmă șterse.

Vizibilitate și transparență – Păstrați-le deschise

Acesta este principiul care ajută la construirea încrederii cu consumatorii. Informațiile despre practicile dvs. de confidențialitate ar trebui să fie deschise și să fie scrise în non-legalee. Ar trebui să existe un mecanism clar de recurs pentru consumatori, iar liniile de responsabilitate în cadrul organizației trebuie să fie stabilite.

Respect pentru confidențialitatea utilizatorilor – Keep it User-Centric

Acest ultim principiu nu face decât să precizeze foarte clar că consumatorii dețin datele. Datele deținute de organizație trebuie să fie exacte, iar consumatorului trebuie să i se dea puterea de a face corecții. De asemenea, consumatorul este singurul care poate acorda și revoca consimțământul privind utilizarea datelor.