什么是数据合规性？

数据合规性是遵循公司治理、行业组织和政府制定的法规的做法。这些法规规定了如何收集、使用、存储和管理敏感数据的协议，以及其他要求。许多数据合规性要求与数据治理和数据安全保护有关。

重要的是要了解数据合规性与数据安全性不同。

数据合规侧重于指南和规则，而数据安全包括机制、流程、程序和技术。数据合规性和数据安全有一个共同目标，即保护敏感数据和防止数据泄露。

我们需要学习以下合规：

• 通用数据保护条例 (GDPR)
• 1996 年健康保险流通与责任法案 (HIPAA)
• 支付卡行业数据安全标准 (PCI DSS)
• 2002 年萨班斯-奥克斯利法案 (SOX)
• 加州消费者隐私法 (CCPA)
• 个人信息保护和电子文件 (PIPEDA)
• 巴西通用数据保护法 (LGPD)
• 澳大利亚数据隐私条例
• 个人信息保护法 (POPI)
• 2002 年联邦信息安全管理法 (FISMA)
• 家庭教育权利和隐私法案 (FERPA)
• 格雷姆-里奇-比利利法案 (GLBA)

通用数据保护条例 (GDPR)

GDPR 是最新、范围最广的数据合规性法规之一，已添加到许多现有法规中。

它包括对与欧盟 (EU) 和欧洲经济区 (EEA) 的个体主体开展业务的任何组织的要求，无论其位置和数据主体的公民身份或居住地如何。

GDPR 侧重于人们了解企业拥有哪些数据以及公司如何处理数据的权利。它还指定了数据泄露报告的规则。

除了其他法规中的数据隐私要求外，GDPR 还包括特定要求，包括获得：

1996 年健康保险流通与责任法案 (HIPAA)

HIPAA 推动了国家标准的制定，以保护敏感的患者健康信息不会在未经患者同意或不知情的情况下被泄露。

卫生组织必须评估其数据的收集和管理方式，并制定保护措施以防止“不必要或不适当的”访问个人健康信息 (PHI)。

HIPAA 规定了行政、物理和技术法规，规定了确保 PHI 完整性所必须的机制和程序：

• 行政法规规定了风险评估的要求，以阐明与 PHI 完整性相关的潜在漏洞
• 物理法规侧重于为防止未经授权访问 PHI 而实施的措施
• 技术法规涉及在电子网络上传输 PHI 时确保数据安全的协议

支付卡行业数据安全标准 (PCI DSS)

支付卡行业安全委员会由 Visa、MasterCard、Discover、JCB International 和 American Express 创立，旨在制定、维护和执行一套安全标准，以保护持卡人数据免遭盗窃和欺诈。

PCI DSS 规范持卡人数据的存储、处理和传输，以通过防止数据泄露和其他形式的未经授权访问来确保其安全性和完整性

根据PCI DSS 数据合规规则，除非有合法的业务需要，否则不能存储持卡人数据

如果存储此数据，则必须对记录进行分类并以适当的保护措施进行处理

此外，如果数据通过开放的公共网络传输，则必须对其进行加密

2002 年萨班斯-奥克斯利法案 (SOX)

SOX 要求美国的上市公司遵守指导如何保留记录的法规。这包括使用安全系统及时备份关键信息和文档管理系统，以确保数据完整性。

根据 SOX 的数据合规性指令，必须监控、记录和审计以下内容：

• 内部控制
• 网络活动
• 数据库活动
• 登录活动
• 帐户活动
• 用户活动
• 信息获取

加州消费者隐私法 (CCPA)

与欧盟的 GDPR 非常相似，CCPA 适用于在加利福尼亚开展业务并收集消费者个人数据的大多数组织

CCPA 使消费者能够更好地控制企业收集的有关他们的个人信息，以及了解有关他们的信息是如何使用和共享的

CCPA 还加强了对消费者个人数据的保护，如果他们的信息因数据泄露而受到损害，消费者有权对公司采取行动。

如果组织未能“实施和维护合理的安全程序和做法”来保护消费者的个人信息，则可以提起损害赔偿诉讼。

个人信息保护和电子文件 (PIPEDA)

PIPEDA 适用于在加拿大经营并处理跨越省或国界的个人信息的所有企业。这包括在商业活动过程中收集、使用或披露的个人信息。

组织必须遵循核心原则，使个人能够了解其个人数据的管理方式。

PIPEDA 还赋予用户对其个人信息的控制权，包括同意其使用、能够访问和更正信息以及了解信息将受到保护。

✅为满足 PIPEDA 的数据合规要求，公司必须保护其控制下的个人信息，以避免丢失和被盗以及未经授权的访问、使用或修改。保障措施包括物理、技术和组织措施。

巴西通用数据保护法 (LGPD)

LGPD (Lei Geral de Prote o de Dados Pessoais) 是巴西版的 GDPR。

它将 40 多项法规整合到一个监管框架中，以管理个人数据在巴西的使用——线上和线下，私营和公共部门。

LGPD 保护巴西公民以及在巴西境内收集或处理其数据的任何个人。根据 LGPD 的数据合规要求，任何收集或处理个人信息的组织都必须采取技术和管理措施来保护这些数据免遭可能导致未经授权的访问、丢失或修改的数据泄露。

此外，组织必须记录个人数据在其整个生命周期中的处理。这包括对收集的内容、收集和处理的目的、保留时间以及数据共享方式的描述。

澳大利亚数据隐私条例

1988 年隐私法（隐私法）是澳大利亚的主要法律，涉及与处理个人信息相关的数据合规性。这包括公共和私人组织收集、使用、存储和披露个人信息。

隐私法中的澳大利亚隐私原则 (APP) 提供了与个人信息的收集、使用和披露相关的数据合规性指导。

根据《隐私法》，组织负责个人信息的数据治理、问责制和完整性。

个人信息保护法 (POPI)

南非的 POPI 指导企业必须如何组织、存储、保护和丢弃个人信息。POPI 还将默认同意从选择加入更改为选择退出。虽然公司不需要获得收集信息的许可，但他们不得与其他任何人分享收集到的信息或未经同意发送营销材料。

POPI 包括与个人信息处理、数据质量和数据保护相关的数据合规要求。

POPI 对数据泄露也有严厉的处罚

2002 年联邦信息安全管理法 (FISMA)

FISMA 保护政府信息、资产和信息系统免遭未经授权的访问、使用、披露、中断、修改或破坏。

它适用于美国联邦政府内的所有机构以及管理联邦计划的州机构，例如失业保险、学生贷款、医疗保险和医疗补助计划。

美国国家标准与技术研究院 (NIST) 提供了遵守 FISMA 的具体指南，包括：

• 实施风险管理计划
• 保护数据和信息系统免遭未经授权的访问、使用、披露、中断、修改或破坏
• 确保敏感信息的完整性、机密性和可用性
• 数据合规要求包括维护信息系统清单、根据风险级别对信息和信息系统进行分类，以及进行持续监控。

家庭教育权利和隐私法案 (FERPA)

FERPA 是一项美国联邦法律，旨在保护学生教育记录的隐私，包括成绩单、成绩单、纪律处分记录、联系方式和家庭信息以及课程表。

❌数据合规性规则禁止未经授权访问或披露源自教育记录的个人身份信息。

✅FERPA 的数据合规要求适用于任何公立或私立小学、中学、大专学校，以及根据美国教育部的适用计划获得资金的任何州或地方教育机构。

格雷姆-里奇-比利利法案 (GLBA)

GLBA 要求金融机构维护客户数据的安全性和机密性，并防止数据受到任何威胁。

GLBA 的数据合规要求涵盖非公开个人信息，包括社会安全号码、信用和收入历史记录、信用卡和银行卡帐号、电话号码、地址、姓名以及金融机构收到的任何其他非公开个人客户信息。

GLBA 数据合规性要求保护私人信息免受未经授权的访问。必须通知客户金融机构与第三方之间的私人信息共享。客户可以选择退出私人信息共享，并且必须跟踪用户活动，包括任何访问受保护记录的尝试。

如何确保数据合规？

注意遵循关键数据安全性和合规性策略对确保数据合规性大有帮助。将这四个基本数据合规性指南视为这些策略的核心：

• 持续检查与数据合规性相关的法律法规的变化。软件解决方案可用于提供有关更新的通知，但需要有人负责确保进行任何必要的更改。
• 识别并利用第三方专业知识。
• 寻找最佳技术和人员来支持数据合规计划。
• 创建确保员工支持数据合规计划的流程和政策。遵循与员工工作流程集成的数据合规最佳实践有助于使数据合规计划取得成功。

不要等待外部审计来评估数据合规性。定期内部审计是识别和补救数据合规性差距的最佳方式。

数据合规框架

数据合规性框架是一组指南和最佳实践，可帮助组织遵守法规要求。这些是围绕特定法律法规设计的，例如 PCI DSS、HIPAA 和 GDPR。

数据合规性框架为技术要求提供指导，例如：

它还提供了有关如何在整个组织内管理数据合规性以满足要求的指南。

*文章来源：egnyte

*原标题：什么是数据合规性？

*整理编辑：A隐小私(yinxiaosi00)