Duomenų maskavimo ir pseudonimizavimo politika

Duomenų maskavimo ir pseudonimizavimo politika (P16) apibrėžia išsamią sistemą, skirtą apsaugoti asmens, konfidencialius ir jautrius duomenis, mažinant ekspoziciją ir identifikuojamumo rizikas. Sukurta kaip bazinis privatumo didinimo technologijų (PET) ramstis, ši politika nustato organizacijos požiūrį į statinį ir dinaminį duomenų maskavimą bei pseudonimizavimą, laikantis griežtų teisinių, reglamentavimo ir operacinių reikalavimų. Politika taikoma visiems darbuotojams, rangovams, trečiosioms šalims ir tiekėjams, tvarkantiems jautrius duomenis, o jos taikymo sritis apima visas duomenų aplinkas: gamybos aplinką, kūrimo, testavimo ir debesyje talpinamas sistemas. Ji nustato, kad bet kokie duomenys, naudojami neprodukcinėse aplinkose, turi būti maskuoti arba pseudonimizuoti, draudžiant realių duomenų naudojimą, nebent tai aiškiai sankcionuota per formalų rizikos vertinimą ir vykdomosios vadovybės patvirtinimą. Politika pabrėžia referencinio vientisumo ir formato išsaugojimo transformacijų būtinybę, užtikrinant tinkamumą analitikai ir ataskaitų teikimui nepažeidžiant duomenų privatumo ar atitikties. Ši politika aiškiai apibrėžia atsakomybes organizaciniuose vaidmenyse: vykdomoji vadovybė užtikrina priežiūrą ir valdyseną; vyriausiasis informacijos saugumo pareigūnas (CISO) ir ISVS vadovas užtikrina nuolatinį įgyvendinimą, stebėseną ir suderinamumą su standartais (ypač ISO/IEC 27001 6.1 ir 8.1 nuostatomis); o duomenų apsaugos pareigūnas (DPO) užtikrina atitiktį duomenų privatumo teisės aktams, tokiems kaip BDAR. Duomenų savininkai atsakingi už duomenų rinkinių identifikavimą ir tinkamą duomenų klasifikavimą, o IT komandos ir taikomųjų programų kūrėjai atsakingi už patvirtintų metodų taikymą ir transformuotų duomenų vientisumo palaikymą. Trečiųjų šalių paslaugų teikėjai ir tiekėjai sutartiniais susitarimais įpareigojami laikytis lygiaverčių apsaugos standartų. Valdysenos reikalavimai apima aktualaus turto inventoriaus palaikymą, rizika grindžiamus duomenų transformavimo procesų vertinimus ir užtikrinimą, kad pasirinktos maskavimo ir pseudonimizavimo technikos būtų suderintos su reglamentavimo lūkesčiais ir operaciniais poreikiais. Įrankių patvirtinimas yra griežtai kontroliuojamas; leidžiami tik patikrinti, standartizuoti ir audituojami įrankiai, o jų veikimas turi būti validuojamas per techninį vertinimą, orientuotą į žurnalus, integracijas ir atsparumą apėjimui. Politika nustato tvirtą stebėseną, reikalaujant išsamaus įvykių registravimo audito žurnale, reguliarių maskavimo veiksmingumo auditų, taip pat žurnalų saugojimo ir žurnalų peržiūros pagal duomenų saugojimo politiką (P14). Rizikos tvarkymo priemonės aiškiai nustatytos: jei maskavimas ar pseudonimizavimas neįmanomas, reikalingos kompensacinės kontrolės priemonės, o bet kokios išimtys turi būti griežtai įvertintos, patvirtintos ir periodiškai peržiūrimos. Politika taip pat numato drausmines priemones ir sutartines teisių gynimo priemones už pažeidimus bei reikalauja reguliarių mokymų, peržiūrų ir atnaujinimų, kad politika evoliucionuotų kartu su technologiniais ir reglamentavimo pokyčiais. Suderinamumas su tarptautinėmis sistemomis ir reikalavimais — ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev. 5, ES BDAR, NIS2, DORA ir COBIT 2019 — sustiprina politikos pagrindą pripažintose geriausiosiose praktikose ir reglamentavimo įpareigojimuose.