Що таке галузеві норми?

Галузеві норми застосовуються до певних секторів, таких як охорона здоров'я та фінанси. Основною метою є захист конфіденційних даних; закони будуть відрізнятися залежно від вимог галузі.

• HIPAA (Закон про мобільність та відповідальність медичного страхування): Спеціально для галузі охорони здоров'я; призначений для захисту даних про здоров'я пацієнтів. 
• PCI DSS (Стандарт безпеки даних індустрії платіжних карток): Фінансова галузь; призначений для захисту даних власників карток під час транзакцій.
• GDPR (Загальний регламент про захист даних): Застосовується до всіх держав-членів ЄС і регулює збір і обробку даних. Також застосовується до країн ЄЕЗ, які не є членами ЄС (Норвегія, Ісландія та Ліхтенштейн).

Відповідність нормативним вимогам є керівництвом для ваших систем безпеки. Ви повинні дотримуватися нормативних вимог щодо кібербезпеки, впроваджуючи засоби контролю безпеки та продумуючи свою політику. 

Важливо дотримуватися нормативних вимог, щоб уникнути загроз кібербезпеки, таких як порушення безпеки даних, і, як наслідок, уникнути фінансових і репутаційних наслідків.

• HIPAA: Для галузі охорони здоров'я та зосереджується на захисті інформації про здоров'я пацієнтів, при цьому конфіденційність і таємниця є двома основними аспектами. 
• PCI DSS: Регулювання фінансової галузі, яке вимагає від постачальників захищати дані власників карток під час транзакцій; вам це потрібно для запобігання шахрайству та для безпеки даних. Це правило застосовується до всіх суб'єктів, які обробляють дані власників карток.

Дізнайтеся про відмінності між цими двома, щоб зосередитися на тому, що стосується вашої галузі та бізнес-моделі.

Відповідність HIPAA для SaaS передбачає обробку та зберігання даних PHI у ваших хмарних додатках. Це охоплює:

• Шифрування даних
• Контроль доступу
• Журнали аудиту
• Business associate agreements with customers

You can start by looking at your SaaS provider’s customization features and implement the necessary security controls.

PCI-DSS makes it mandatory to maintain a secure environment when handling payment card information, and its intention is to prevent fraud. The regulation was created by credit card companies and requires you to do the following:

• Secure their network: Захистіть збережені дані та змініть свої налаштування за замовчуванням. Вам також потрібно встановити брандмауери. 
• Захистіть дані власника картки: Зашифруйте передачу даних під час процесу передачі та переконайтеся, що жодні конфіденційні дані не зберігаються; в іншому випадку це суперечить правилам.
• Підтримуйте безпеку: Використовуйте антивірусне програмне забезпечення та оновлюйте свої системи та програми. 
• Контроль доступуів: Встановіть параметри доступу користувачів і призначте унікальні ідентифікатори кожній особі в хмарі. 
• Моніторинг і тестування: Перевірте свої заходи безпеки та відстежуйте доступ, щоб уникнути порушень.
• Політика безпеки: Складіть політику безпеки та часто переглядайте її, щоб вносити зміни.

Дотримуйтеся цих кроків для відповідності SaaS GDPR: 

• Мінімізація: Збирайте необхідні персональні дані та зберігайте їх лише стільки, скільки потрібно.

• Згода: Отримайте явну згоду від користувачів перед збором або обробкою даних. 
• Права суб'єктів даних: Надайте особам доступ до їхніх даних і дозвольте їм виправляти та видаляти їх, якщо вони цього бажають. 
• Захист даних за проектом: Враховуйте конфіденційність на всіх етапах розробки вашого продукту. 
• Повідомлення про порушення безпеки даних: Повідомляйте про всі порушення протягом 72 годин і вживайте заходів для мінімізації їхніх наслідків. 

Незалежно від того, де в ЄС ви працюєте, GDPR є обов’язковим. Сусідні країни, такі як Великобританія та Швейцарія, також мають власні закони, які необхідно дотримуватися.

Пам'ятайте: 

Відповідність вимогам — це безперервний процес, і ви повинні регулярно переглядати свої заходи безпеки.