Politika maskiranja podataka i pseudonimizacije

Politika maskiranja podataka i pseudonimizacije (P16) opisuje sveobuhvatan okvir za zaštitu osobnih, povjerljivih i osjetljivih podataka minimiziranjem izloženosti i rizika identifikabilnosti. Osmišljena kao temeljni stup tehnologija za poboljšanje privatnosti (PET-ovi), ova politika utvrđuje pristup organizacije implementaciji statičkog i dinamičkog maskiranja podataka te pseudonimizacije, u skladu sa strogim pravnim, regulatornim i operativnim zahtjevima. Strukturirana tako da se primjenjuje na svo osoblje, izvođače, treće strane i dobavljače koji postupaju s osjetljivim podacima, opseg politike obuhvaća svako podatkovno okruženje, bilo produkcijsko okruženje, razvoj, testiranje ili sustave hostirane u oblaku. Propisuje da svi podaci koji se koriste u neprodukcijskim okruženjima moraju biti maskirani ili pseudonimizirani, zabranjujući uporabu stvarnih podataka osim ako je to izričito odobreno kroz formalnu procjenu rizika i odobrenje izvršnog rukovodstva. Politika naglašava nužnost referencijalne cjelovitosti i transformacija koje čuvaju format, osiguravajući upotrebljivost za analitiku i izvješćivanje bez kompromitiranja privatnosti podataka ili usklađenosti. Ova politika razgraničava jasne odgovornosti po organizacijskim ulogama: izvršno rukovodstvo osigurava nadzor i upravljanje; glavni službenik za informacijsku sigurnost (CISO) i voditelj ISMS-a osiguravaju kontinuiranu implementaciju, praćenje i usklađivanje sa standardima (osobito s ISO/IEC 27001 odredbama 6.1 i 8.1); dok službenik za zaštitu podataka (DPO) osigurava usklađenost sa zakonima o privatnosti podataka kao što je GDPR. Vlasnici podataka zaduženi su za identifikaciju skupova podataka i odgovarajuću klasifikaciju podataka, dok su IT timovi i razvijatelji aplikacija odgovorni za primjenu odobrenih metoda i održavanje cjelovitosti transformiranih podataka. Pružatelji usluga i dobavljači ugovorno su obvezani održavati ekvivalentne standarde zaštite. Zahtjevi upravljanja obuhvaćaju održavanje ažurnih popisa imovine i inventara podataka, provođenje procjena temeljenih na riziku procesa transformacije podataka te osiguravanje da su sve odabrane tehnike maskiranja i pseudonimizacije usklađene s regulatornim očekivanjima i operativnim potrebama. Odobravanje alata strogo je kontrolirano; dopušteni su samo provjereni, standardizirani i revizibilni alati, a njihova učinkovitost mora biti validirana kroz tehničku procjenu usmjerenu na revizijsko bilježenje, integracije i otpornost na zaobilaženje. Politika provodi snažno praćenje, propisujući sveobuhvatno bilježenje događaja, redovite revizije djelotvornosti maskiranja te zadržavanje i pregled log-zapisa u skladu s Politikom zadržavanja podataka (P14). Mjere obrade rizika jasno su propisane; ako maskiranje ili pseudonimizacija nije izvediva, zahtijevaju se kompenzacijske kontrole, a sve iznimke moraju proći rigoroznu procjenu, odobrenje i periodični pregled. Politika također propisuje disciplinske mjere i ugovorne pravne lijekove za kršenja te zahtijeva redovitu obuku, preglede i ažuriranja kako bi se politika razvijala u skladu s tehnološkim i regulatornim promjenama. Usklađenost s međunarodnim okvirima, ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU GDPR, NIS2, DORA i COBIT 2019, učvršćuje temelj politike u priznatim najboljim industrijskim praksama i regulatornim mandatima.