O que são regulamentações específicas do setor?

Regulamentações específicas do setor se aplicam a setores específicos, como saúde e finanças. O objetivo principal é proteger dados confidenciais; as leis variam de acordo com os requisitos do setor.

• HIPAA (Lei de Portabilidade e Responsabilidade de Seguro Saúde): Específico para o setor de saúde; projetado para proteção de dados de saúde do paciente. 
• PCI DSS (Padrão de Segurança de Dados do Setor de Cartões de Pagamento): Indústria financeira; projetada para proteção de dados do titular do cartão durante as transações.
• GDPR (Regulamento Geral de Proteção de Dados): Aplicável a todos os estados membros da UE e rege a coleta e o processamento de dados. Também se aplica aos membros não pertencentes à UE do EEE (Noruega, Islândia e Liechtenstein).

A conformidade regulatória é uma diretriz para suas estruturas de segurança. Você deve cumprir os requisitos regulamentares para segurança cibernética implementando controles de segurança e pensando sobre suas políticas. 

É vital que você cumpra os regulamentos para evitar ameaças à segurança cibernética, como violações de dados, e, posteriormente, evitar as implicações financeiras e de reputação.

• HIPAA: Para o setor de saúde e foca na proteção das informações de saúde do paciente, com privacidade e confidencialidade sendo os dois aspectos principais. 
• PCI DSS: Regulamentação do setor financeiro que exige que os provedores protejam os dados do titular do cartão durante as transações; você precisa disso para evitar fraudes e para segurança de dados. Esta regra se aplica a todas as entidades que lidam com dados do titular do cartão.

Aprenda as diferenças entre esses dois para garantir que você se concentre no que se aplica ao seu setor e modelo de negócios.

A conformidade com HIPAA para SaaS envolve o processamento e armazenamento de dados PHI em seus aplicativos baseados em nuvem. Isso abrange:

• Criptografia de dados
• Controles de acesso
• Trilhas de auditoria
• Acordos de associados de negócios com clientes

Você pode começar observando os recursos de personalização do seu provedor de SaaS e implementar os controles de segurança necessários.

O PCI-DSS torna obrigatória a manutenção de um ambiente seguro ao lidar com informações de cartão de pagamento, e sua intenção é prevenir fraudes. O regulamento foi criado por empresas de cartão de crédito e exige que você faça o seguinte:

• Proteja sua rede: Proteja os dados armazenados e altere suas configurações padrão. Você também precisa instalar firewalls. 
• Proteja os dados do titular do cartão: Criptografe a transmissão de dados durante o processo de transferência e garanta que nenhum dado confidencial seja armazenado; fazer o contrário é contra as regras.
• Manter a segurança: Use software antivírus e mantenha seus sistemas e aplicativos atualizados. 
• Controlar acessos: Defina parâmetros de acesso do usuário e atribua IDs exclusivos para cada pessoa na nuvem. 
• Monitoramento e teste: Test your security measures and track access to avoid breaches.
• Security policy: Draw up a security policy and revisit it frequently to make changes.

Follow these steps for SaaS GDPR compliance: 

• Minimization: Collect necessary personal data and only store it for as long as you need.

• Consentimento: Get explicit consent from users before you collect or process data. 
• Data subject rights: Give individuals access to their data and let them rectify and erase it if they wish. 
• Proteção de dados por design: Considere a privacidade durante toda a fase de design do seu produto. 
• Notificação de violação de dados: Relate todas as violações em até 72 horas e implemente medidas para minimizar seus efeitos. 

Independentemente de onde você opere na UE, o GDPR é obrigatório. Países vizinhos, como o Reino Unido e a Suíça, também têm suas próprias leis a cumprir.

Lembre-se: 

A conformidade é um processo contínuo e você deve revisar regularmente suas medidas de segurança.