Adatmaszkolási és pszeudonimizálási szabályzat

Az Adatmaszkolási és pszeudonimizálási szabályzat (P16) átfogó keretrendszert határoz meg a személyes, bizalmas és érzékeny adatok védelmére a kitettség és az azonosíthatósági kockázatok minimalizálásával. A privacy-enhancing technologies (PETs) alapvető pilléreként ez a szabályzat rögzíti a szervezet megközelítését a statikus és dinamikus adatmaszkolás, valamint a pszeudonimizálás bevezetésére, szigorú jogi, szabályozási és operatív követelményekkel összhangban. A szabályzat valamennyi munkatársra, vállalkozóra, harmadik felekre és beszállítókra vonatkozik, akik érzékeny adatokat kezelnek; hatóköre kiterjed minden adatkörnyezetre, legyen az éles környezet, fejlesztés, tesztelés vagy felhőben üzemeltetett rendszerek. Előírja, hogy a nem éles környezetekben használt bármely adatnak maszkoltnak vagy pszeudonimizáltnak kell lennie, és tiltja a valós adatok használatát, kivéve, ha azt formális kockázatértékelés és vezetői jóváhagyás kifejezetten engedélyezi. A szabályzat kiemeli a referenciális integritás és a formátummegtartó transzformációk szükségességét, biztosítva az analitika és jelentéskészítés használhatóságát az adatvédelem vagy a megfelelés sérelme nélkül. A szabályzat egyértelmű felelősségeket határoz meg a szervezeti szerepkörök között: a vezetőség felügyeletet és irányítást biztosít; a CISO és az IBIR-vezető gondoskodik a folyamatos bevezetésről, monitorozásról és a szabványokkal való összehangolásról (különösen az ISO/IEC 27001 6.1 és 8.1 záradékaival); míg az adatvédelmi tisztviselő (DPO) biztosítja az adatvédelemre vonatkozó jogszabályoknak, például a GDPR-nak való megfelelést. Az adattulajdonosok feladata az adatkészletek azonosítása és a megfelelő adatosztályozás, míg az IT-csapatok és az alkalmazásfejlesztők felelősek a jóváhagyott módszerek alkalmazásáért és az átalakított adatok sértetlenségének fenntartásáért. A szolgáltatók és beszállítók szerződéses megállapodás alapján kötelesek egyenértékű védelmi szabványokat fenntartani. Az irányítási követelmények magukban foglalják a naprakész adatleltárak fenntartását, az adattranszformációs folyamatok kockázatalapú értékelését, valamint annak biztosítását, hogy a kiválasztott maszkolási és pszeudonimizálási technikák összhangban legyenek a szabályozási elvárásokkal és az operatív igényekkel. Az eszközök jóváhagyása szigorúan kontrollált; kizárólag ellenőrzött, szabványosított és auditálható eszközök engedélyezettek, és teljesítményüket technikai értékeléssel kell validálni, amely a naplózásra, integrációkra és a megkerüléssel szembeni ellenállásra fókuszál. A szabályzat robusztus monitorozást érvényesít, előírva az átfogó eseménynaplózást, a maszkolás eredményességének rendszeres auditját, valamint a naplók megőrzését és felülvizsgálatát az adatmegőrzési szabályzat (P14) szerint. A kockázatkezelési intézkedések egyértelműen rögzítettek; ha a maszkolás vagy pszeudonimizálás nem megvalósítható, kompenzáló kontrollok szükségesek, és bármely kivételnek szigorú értékelésen, jóváhagyáson és időszakos felülvizsgálaton kell átesnie. A szabályzat fegyelmi és szerződéses jogkövetkezményeket is előír a szabálysértések esetére, továbbá rendszeres képzést, felülvizsgálatokat és frissítéseket követel meg annak érdekében, hogy a szabályzat a technológiai és szabályozási változásokkal együtt fejlődjön. A nemzetközi keretrendszerekkel való összehangolás – ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU GDPR, NIS2, DORA és COBIT 2019 – megerősíti a szabályzat alapját az elismert iparági legjobb gyakorlatok és szabályozási előírások mentén.