Datu maskēšanas un pseidonimizācijas politika

Datu maskēšanas un pseidonimizācijas politika (P16) nosaka visaptverošu ietvaru personas, konfidenciālu un sensitīvu datu aizsardzībai, samazinot pakļautību un identificējamības riskus. Tā ir izstrādāta kā pamata balsts privātumu uzlabojošām tehnoloģijām (PETs) un nosaka organizācijas pieeju gan statiskās, gan dinamiskās datu maskēšanas, kā arī pseidonimizācijas ieviešanai atbilstoši stingrām juridiskām, regulatīvām un operatīvām prasībām. Politika ir strukturēta tā, lai tā attiektos uz visu personālu, līgumslēdzējiem, trešajām pusēm un piegādātājiem, kas apstrādā sensitīvus datus, un tās darbības joma aptver visas datu vides — ražošanas, izstrādes, testēšanas vai mākoņvidē izvietotās. Tā nosaka, ka jebkuri dati, kas tiek izmantoti ne-ražošanas vidēs, ir jāmaskē vai jāpseidonimizē, aizliedzot reālu datu izmantošanu, ja vien tas nav skaidri sankcionēts, izmantojot formālu riska novērtējumu un izpildu apstiprinājumu. Politika uzsver referenciālās integritātes un formātu saglabājošu transformāciju nepieciešamību, nodrošinot lietojamību analītikai un pārskatu sagatavošanai, neapdraudot datu privātumu vai atbilstību. Šī politika nosaka skaidru atbildību organizācijas lomās: izpildu vadība nodrošina uzraudzību un pārvaldību; CISO un informācijas drošības pārvaldības sistēmas vadītājs nodrošina nepārtrauktu ieviešanu, uzraudzību un saskaņotību ar standartiem (īpaši ISO/IEC 27001 klauzulām 6.1 un 8.1); savukārt datu aizsardzības speciālists nodrošina atbilstību privātuma tiesību aktiem, piemēram, GDPR. Datu īpašnieki ir atbildīgi par datu kopu identificēšanu un atbilstošu datu klasifikāciju, bet IT komandas un lietojumprogrammu izstrādātāji — par apstiprinātu metožu izmantošanu un transformēto datu integritātes uzturēšanu. Pakalpojumu sniedzēji un piegādātāji ir līgumiski saistīti ievērot līdzvērtīgus aizsardzības standartus. Pārvaldības prasības ietver aktuālu datu uzskaišu uzturēšanu, uz risku balstītu datu transformācijas procesu novērtēšanu un nodrošināšanu, ka izvēlētās maskēšanas un pseidonimizācijas metodes ir saskaņotas ar regulatīvajām gaidām un operatīvajām vajadzībām. Rīku apstiprināšana ir stingri kontrolēta; ir atļauti tikai pārbaudīti, standartizēti un auditējami rīki, un to veiktspēja ir jāvalidē, veicot tehnisku novērtējumu, kas fokusējas uz audita žurnālu veidošanu, integrāciju un noturību pret apiešanu. Politika nosaka stingru uzraudzību, pieprasot visaptverošu notikumu žurnālfiksēšanu, regulārus maskēšanas efektivitātes auditus un žurnālu glabāšanu un pārskatīšanu saskaņā ar datu uzglabāšanas politiku (P14). Riska apstrādes pasākumi ir skaidri noteikti; ja maskēšana vai pseidonimizācija nav iespējama, ir nepieciešamas kompensējošās kontroles, un jebkuri izņēmumi ir jāpakļauj stingrai novērtēšanai, apstiprināšanai un periodiskai pārskatīšanai. Politika paredz arī disciplinārus un līgumiskus tiesiskās aizsardzības līdzekļus pārkāpumu gadījumā, kā arī prasa regulāras apmācības, pārskatīšanu un atjaunināšanu, lai nodrošinātu politikas attīstību līdz ar tehnoloģiskajām un regulatīvajām izmaiņām. Saskaņotība ar starptautiskajiem ietvariem — ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, ES GDPR, NIS2, DORA un COBIT 2019 — nostiprina politikas pamatu atzītā nozares labākajā praksē un regulatīvajos pienākumos.