GNU/Linux >> Belajar Linux >  >> Linux

Apa itu PIPEDA pada tahun 2022 dan Bagaimana Pengaruhnya terhadap Penyedia Hosting?

Undang-Undang Perlindungan Informasi Pribadi dan Dokumen Elektronik (PIPEDA) adalah undang-undang Kanada yang mengatur bagaimana sektor swasta Kanada menggunakan dan mengungkapkan informasi pribadi sebagai bagian dari aktivitas komersial. PIPEDA dibentuk pada bulan April 2000, tetapi undang-undang tersebut tidak sepenuhnya berlaku sampai tanggal 1 Januari 2004.

Sama seperti Peraturan Perlindungan Data Umum (GDPR) yang lebih baru dari Uni Eropa (UE), PIPEDA Kanada mewakili fokus baru pada perlindungan informasi pribadi dalam digital. Di seluruh dunia, banyak yang menjadi semakin peduli dengan memastikan bahwa data pribadi mereka ditangani secara etis dan diamankan dengan benar. Sama seperti GDPR yang pada dasarnya berfokus pada perlindungan data warga negara Eropa, PIPEDA berpusat pada perlindungan informasi pribadi pribadi warga Kanada.

Sepuluh Prinsip PIPEDA

PIPEDA adalah undang-undang yang luas, mencakup sepuluh prinsip privasi "informasi yang adil"; ini dianggap sebagai aturan dasar undang-undang. Tujuan dari prinsip-prinsip ini adalah untuk memberikan kontrol kepada setiap individu atas apa yang terjadi dengan informasi mereka.

  1. Akuntabilitas – prinsip ini mendefinisikan bahwa organisasi bertanggung jawab atas semua informasi pribadi yang berada di bawah kendali mereka
  2. Mengidentifikasi Tujuan – organisasi harus menyatakan mengapa informasi pribadi diperlukan sebelum pengumpulannya
  3. Persetujuan – informasi pribadi apa pun yang dikumpulkan harus dilakukan dengan persetujuan yang berarti dari individu tersebut
  4. Batasi Koleksi – hanya data yang diperlukan yang harus dikumpulkan, dan harus adil dan sah setiap saat
  5. Batasi penggunaan, pengungkapan, dan penyimpanan – prinsip ini menegaskan bahwa data hanya dapat digunakan untuk tujuan yang dimaksudkan semula, dan setelah data digunakan, data tersebut harus dimusnahkan dengan aman
  6. Akurasi – setiap data yang dikumpulkan HARUS akurat, lengkap, dan se-up-to-date mungkin
  7. Perlindungan – setiap data yang dikumpulkan harus dilindungi dengan keamanan yang memadai untuk menegakkan integritas data
  8. Keterbukaan – organisasi yang mengumpulkan data harus mempublikasikan kebijakan dan proses yang dilakukan selama pengumpulan data
  9. Akses Individu – setiap individu berhak, atas permintaan, melihat data yang disimpan dalam catatan dan menantang keakuratannya
  10. Kepatuhan yang Menantang – Seorang individu diperbolehkan untuk menantang kepatuhan organisasi terhadap salah satu prinsip ini

Semua prinsip ini berlaku untuk infrastruktur hosting yang sesuai dengan PIPEDA; namun, titik fokus utama adalah perlindungan PIPEDA, karena penyedia hosting memiliki kendali langsung atas elemen-elemen ini

Perlindungan Hosting PIPEDA

Prinsip pengamanan hosting PIPEDA tidak secara langsung menentukan pengamanan keamanan khusus apa yang harus diterapkan pada infrastruktur hosting; sebagai gantinya, tanggung jawab ditempatkan pada penyedia hosting untuk “memastikan bahwa ia melindungi informasi pribadi secara memadai dalam perawatannya seiring dengan perkembangan teknologi dan ketika risiko baru muncul”.

Artinya, prinsip perlindungan adalah inti dari penyedia hosting karena alat pelindung harus sudah diterapkan pada infrastruktur hosting. Kebijakan keamanan harus dibuat yang mencakup perlindungan terhadap semua catatan digital, mencegah perubahan atau penggunaan yang tidak sah, akses, replikasi, pengungkapan, kehilangan, atau pencurian.

Metode perlindungan dikategorikan dengan cara yang mirip dengan yang disebutkan dalam Aturan Keamanan dari Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan tahun 1996 (HIPAA). Sementara HIPAA mengamanatkan perlunya pengamanan teknis, administratif, dan fisik, PIPEDA mengacu pada persyaratan teknis, organisasi, dan fisik perlindungan.

Perlindungan Teknis

Pengamanan teknis berfokus pada beberapa bidang utama. Enkripsi adalah salah satu perlindungan terpenting karena melindungi data jika hilang atau dicuri. Enkripsi hanya memungkinkan pengguna atau sistem yang berwenang dengan kunci pribadi untuk mengakses data. Jika Anda tidak memiliki kunci, data akan diacak dan tidak mungkin diuraikan. Pastikan Anda memilih penyedia hosting yang secara proaktif mengenkripsi data saat nonaktif.

Mengelola aktivitas pengguna merupakan kunci pengaman lainnya; akun pengguna harus diamankan dengan kata sandi multi-karakter yang kompleks. Akses ke data harus dikontrol menggunakan prinsip hak istimewa terkecil, artinya Anda hanya memiliki akses ke jumlah data minimum yang diperlukan untuk menyelesaikan tugas yang ada. Daftar kontrol akses (ACL) harus dipertahankan, biasanya dalam bentuk grup keamanan Direktori Aktif. ACL hanya akan memberikan akses istimewa kepada pengguna yang relevan pada waktu atau geolokasi tertentu.

Detail Logging harus diaktifkan di seluruh organisasi. Pencatatan harus memungkinkan administrator sistem untuk meninjau siapa yang memiliki akses ke informasi pribadi, kapan, dan mengapa. Log dapat dimasukkan ke dalam platform SIEM yang secara cerdas dapat melihat tren pengguna dalam mengakses data. Lansiran dapat dimunculkan oleh aktivitas tak terduga, seperti akses data di luar jam kerja atau oleh orang yang berafiliasi dengan data individu.

Demikian juga, Sistem Perlindungan Intrusi (IPS) dapat diimplementasikan pada titik-titik strategis dalam jaringan cloud untuk bekerja dengan firewall dengan memeriksa paket yang telah diterima firewall sebagai sah. IPS berada langsung di jaringan, melindungi dari kerentanan lokal di lapisan perangkat keras

Firewall Jaringan juga sangat penting. Mereka dirancang untuk secara intrinsik mengamankan infrastruktur jaringan dan mengisolasi serta melindungi sistem PIPEDA dalam cakupan. Ini menghasilkan lingkungan yang dikelola sepenuhnya pribadi. Perangkat Keras dan Perangkat Lunak Firewall dipasang secara strategis di sekeliling dan jaringan internal. Firewall Aplikasi Web (WAF) harus dipertimbangkan jika organisasi sangat bergantung pada Server Web. WAF adalah perangkat yang ditentukan oleh kebijakan yang melindungi aplikasi web dengan memantau dan memfilter lalu lintas melalui Network Edge Protection

Prinsip utama PIPEDA adalah menjaga integritas data pribadi yang telah dikumpulkan. Salah satu cara termudah untuk mencapainya adalah dengan memiliki solusi pencadangan yang ditentukan dengan keamanan di tempat. Jika data terhapus secara tidak sengaja, data dapat dipulihkan dalam waktu singkat.

Perlindungan Organisasi

Pengamanan organisasi biasanya ditegakkan melalui administrasi kepatuhan organisasi, termasuk prosedur dan proses yang diterapkan oleh manajemen untuk melindungi data. Program pendidikan merupakan bagian mendasar dari tujuan ini. Pelatihan membantu menciptakan budaya kesadaran privasi dan dapat sangat mengurangi risiko pelanggaran aturan PIPEDA. Pelatihan biasanya berfokus pada risiko dan tren keamanan siber, aturan privasi, dan pemahaman tentang hukuman yang dapat dikenakan pada organisasi dan individu jika terjadi pelanggaran data.

praktik terbaik internal lainnya untuk dipatuhi adalah layar yang jelas dan kebijakan meja yang jelas. Layar yang jelas menyatakan bahwa setiap kali anggota staf Anda meninggalkan meja mereka untuk waktu yang lama, mereka harus keluar dari komputer mereka dan bahwa setiap kali mereka pergi, bahkan untuk sesaat, mereka harus mengunci komputer mereka. Kebijakan meja yang bersih mengamanatkan bahwa karyawan mengosongkan meja mereka dari materi apa pun, termasuk media yang dapat dipindahkan, catatan tempel, dan kartu nama bersama dengan catatan dan dokumentasi apa pun, kapan pun mereka meninggalkannya tanpa pengawasan.

Semua karyawan harus diperiksa keamanannya jika pekerjaan melibatkan penanganan informasi sensitif. Uji tuntas memerlukan pemeriksaan latar belakang sebelum mengizinkan staf mengakses sistem data pribadi. Setiap laporan tentang pengintaian karyawan harus diselidiki sepenuhnya, dan jika tindakan proaktif gagal, tindakan disipliner harus dipertimbangkan.

Perlindungan Fisik

Kepatuhan PIPEDA mengharuskan perusahaan hosting untuk melindungi data pribadi secara fisik. Publik tidak boleh melihat data rahasia apa pun, sehingga akses ke lokasi sensitif, seperti pusat data hosting, harus dibatasi. Pilih penyedia hosting yang memperhatikan keamanan pusat data dengan serius. Pusat data harus merupakan senyawa yang aman secara inheren, dipantau 24x7, sering kali dengan keamanan pribadi dan pengawasan jarak jauh di lokasi. Di dalam pusat data, ruangan dikunci, dan akses dikontrol ke personel yang berwenang menggunakan kartu kunci.

Kantor, pintu, dan lemari harus tetap terkunci. Kamera keamanan dan kebijakan akses fisik adalah contoh lain dari kontrol fisik yang "wajar".

Pembaruan PIPEDA 2018

Sejak diundangkan aslinya, PIPEDA telah mengamanatkan bahwa setiap perusahaan yang beroperasi di Kanada harus menerapkan program perlindungan data. Pada tanggal 1 November 2018, aturan keamanan data dalam PIPEDA diperbarui, yang mewajibkan uji tuntas lebih lanjut dan meningkatkan keketatan aturan.

Perusahaan sekarang diharuskan untuk mengontrol dan mengelola semua data yang ada di sistem mereka dan untuk menempatkan pembatasan akses yang sesuai pada sistem untuk melindunginya secara wajar. Organisasi yang menangani data warga negara Kanada, baik domestik maupun asing, sekarang perlu melakukan tugas baru berikut:

  • Kirimkan pemberitahuan kepada pengguna yang terkena dampak tentang pelanggaran privasi apa pun yang disertai dengan "risiko nyata kerugian yang signifikan bagi individu", seperti kerugian finansial
  • Laporkan segala gangguan privasi ke Kantor Komisi Privasi Kanada
  • Menjaga catatan pelanggaran privasi apa pun

Pedoman cloud dari Office of the Privacy Commissioner diperbarui pada 14 Desember. Pedoman ini khusus untuk cloud; namun, mereka menerjemahkan dengan baik ke hubungan dengan penyedia hosting mana pun. FAQ menyatakan bahwa PIPEDA “tidak melarang komputasi awan, bahkan ketika penyedia awan berada di negara lain.” Anda dapat menggunakan cloud saat itu – itu sangat jelas. Parameter di luar itu adalah sebagai berikut:

  • Pastikan Anda mendapatkan persetujuan dari setiap orang
  • Lindungi semua data yang Anda kumpulkan
  • Pastikan Anda mengumpulkan data pribadi untuk tujuan yang sesuai
  • Batasi pengumpulan data pribadi untuk tujuan yang Anda nyatakan
  • Jadikan tujuan tersebut tersedia bagi pengguna Anda
  • Buat praktik privasi Anda diketahui pengguna

Pedoman PIPEDA Khusus untuk Hosting &Pihak Ketiga

Serupa dengan persyaratan perjanjian rekan bisnis (BAA) untuk kepatuhan HIPAA dalam industri perawatan kesehatan AS, PIPEDA mengamanatkan bahwa Anda harus mempertahankan tanggung jawab atas semua data setiap kali ditransfer ke atau ditangani oleh pihak ketiga.

Aturannya tidak seketat BAA HIPAA, yang membutuhkan kontrak. PIPEDA mengharuskan setiap organisasi yang menggunakan pihak ketiga harus memeriksa apakah perlindungan data telah diterapkan dengan benar melalui “cara kontrak atau cara lain”.

Setiap organisasi yang menggunakan penyedia cloud atau layanan hosting harus memverifikasi bahwa sistem mempertahankan batasan kepatuhan PIPEDA – khususnya dengan memperhatikan bahasa kontrak yang membahas penanganan data pribadi.

Pentingnya Hubungan Penyedia untuk Melanjutkan Kepatuhan PIPEDA

Ketika parameter kepatuhan menjadi lebih kaku, organisasi semakin beralih ke mitra TI dengan keahlian khusus dalam memenuhi parameter peraturan baru dan spesifik tersebut. Oleh karena itu, dan karena komputasi awan dan sistem pihak ketiga lainnya telah menjadi sangat umum di seluruh industri, penting bagi organisasi untuk memperhatikan bahwa penyedia yang menangani data mereka mengikuti pedoman yang sama.

Jika Anda ingin memenuhi kepatuhan PIPEDA, penyedia pihak ketiga pasti dapat membantu. Namun, sangat penting untuk memastikan bahwa host yang Anda pilih memiliki catatan yang sesuai dan berspesialisasi di dalamnya. Di Atlantic.Net, hosting kepatuhan kami disertifikasi dan diaudit oleh auditor independen pihak ketiga. Kami memiliki lebih dari 25 tahun pengalaman dalam industri; hubungi kami untuk mengetahui bagaimana kami dapat membantu Anda.


Linux

  1. Apa itu Perintah Chown di Linux dan Cara Menggunakannya

  2. Apa itu Perintah cURL Dan Bagaimana Cara Menggunakannya?

  3. Apa itu NGINX? Bagaimana cara kerjanya?

  1. Apa itu Makefile dan bagaimana cara kerjanya?

  2. Apa itu containerd, Dan Bagaimana Hubungannya dengan Docker dan Kubernetes?

  3. Apa itu email, dan bagaimana navigasinya?

  1. Apa itu Server Web, dan Bagaimana Cara Kerja Server Web?

  2. Apa itu Podman dan Apa Bedanya dengan Docker?

  3. Apa itu DNS dan Bagaimana Cara Kerjanya?