Was ist Data Compliance?
Data Compliance ist ein Begriff, der formale Standards und Praktiken beschreibt, die sicherstellen, dass sensible Daten vor Verlust, Diebstahl, Korruption und Missbrauch geschützt sind. Er bezieht sich auf Vorschriften, die Organisationen befolgen müssen, wenn es darum geht, wie ihre Daten organisiert, verwaltet und gespeichert werden. Unternehmen aus einer Vielzahl von Branchen und Sektoren müssen die Standards zur Einhaltung von Datenschutzbestimmungen einhalten, um die persönlichen Daten ihrer Kunden und ihre Finanzdaten vertraulich zu behandeln und zu verhindern, dass ihre sensiblen Daten in die falschen Hände geraten.
Wie funktioniert Data Compliance?
Die Vorschriften zur Einhaltung von Datenschutzbestimmungen variieren stark zwischen den verschiedenen Branchen, Regierungen, Staaten, Ländern und sogar Kontinenten (z.B. GDPR). In der Regel sprechen sie jedoch immer drei Dinge an:
- welche Art von Daten geschützt werden muss
- welche Prozesse zum Schutz dieser Daten implementiert werden müssen
- welche Strafen verhängt werden, wenn eine Organisation die genannten Prozesse nicht einhält.
Es gibt zwar viele verschiedene Arten von Standards für die Einhaltung von Daten, aber hier sind einige der heute am weitesten verbreiteten:
GDPR (General Data Protection Regulation)
Was ist das? GDPR ist eine Verordnung des EU-Rechts zum Datenschutz und zum Schutz der Privatsphäre in der Europäischen Union und im Europäischen Wirtschaftsraum. Sie umfasst eine Reihe von Standards, die entwickelt wurden, um den EU-Bürgern mehr Kontrolle über ihre Daten zu geben. Nach der DSGVO müssen Unternehmen sicherstellen, dass personenbezogene Daten rechtmäßig erhoben und angemessen vor Missbrauch und Ausbeutung geschützt werden. Die Folgen eines Verstoßes gegen die GDPR-Vorschriften sind schwerwiegend. Globale Unternehmen wie Google, H&M und Marriott wurden in den letzten Jahren mit Geldstrafen in Millionenhöhe belegt.
Für wen gilt sie? Die DSGVO gilt für alle Unternehmen, die innerhalb der EU tätig sind und Bürgerdaten sammeln, sowie für Organisationen außerhalb der EU, die Kunden oder Unternehmen in der EU Waren oder Dienstleistungen anbieten. Das bedeutet, dass es für fast jedes große Unternehmen auf der Welt gilt.
HIPAA (Health Insurance Portability and Accountability Act)
Was ist das? HIPAA ist ein 1996 vom US-Kongress verabschiedetes Gesetz, das Datenschutz- und Sicherheitsstandards für die Gesundheitsbranche vorschreibt, wenn es um den Schutz von Patientenakten und anderen Gesundheitsinformationen geht. Diese Standards geben den Patienten mehr Kontrolle darüber, wie ihre persönlichen Gesundheitsdaten verwendet und weitergegeben werden.
Für wen gilt sie? Betroffene Unternehmen und ihre Geschäftspartner müssen die HIPAA-Standards einhalten. Zu den betroffenen Einrichtungen gehören Gesundheitsdienstleister (d.h. Ärzte, Zahnärzte, Krankenhäuser), Gesundheitspläne (d.h. Versicherungsgesellschaften) und Clearingstellen für das Gesundheitswesen (in Verbindung mit Versicherungen). Geschäftspartner beziehen sich auf Personen, die geschützte Gesundheitsinformationen (PHI) erstellen, erhalten, pflegen oder weitergeben. Beispiele hierfür sind: Buchhaltungs-, Rechts-, Beratungs-, Analyse- und / oder Verwaltungsdienstleister.
PCI-DSS (Payment Card Industry Data Security Standard)
Was ist das? PCI DSS ist eine Verordnung zur Einhaltung von Datenschutzbestimmungen, die dem Schutz der Verbraucher dient. Es wurde 2006 entwickelt, um die Sicherheitsstandards für Zahlungskarten zu verwalten und die Kontosicherheit während des gesamten Transaktionsprozesses zu verbessern. Es enthält Sicherheitsrichtlinien für Organisationen, die Kreditkartendaten verarbeiten, speichern oder übertragen.
Für wen gilt sie? PCI-DSS wird von Kreditkartenunternehmen gefordert, damit Unternehmen Online-Transaktionen durchführen können. Jeder Händler, der Kreditkartendaten verarbeiten, übertragen oder speichern möchte, muss PCI-DSS-konform sein.
SOX (Sarbanes-Oxley-Gesetz)
Was ist das? SOX ist ein Gesetz zur Einhaltung von Daten, das zum Schutz von Aktionären, Mitarbeitern und der Öffentlichkeit vor Unternehmensbetrug eingeführt wurde. Sie konzentriert sich auf die Rechnungslegung und die Transparenz in den Prozessen von Unternehmen und die Verbesserung der Genauigkeit der Unternehmensangaben. Es handelt sich um eine umfassende Rechnungsprüfung und Finanzvorschriften, die beide darauf abzielen, Bilanzbetrug zu verhindern.
Für wen gilt sie? Die SOX-Bestimmungen gelten für alle börsennotierten Unternehmen in den Vereinigten Staaten sowie für hundertprozentige Tochtergesellschaften und ausländische Unternehmen, die börsennotiert sind und in den Vereinigten Staaten Geschäfte machen.
CCPA (Kalifornisches Gesetz zum Schutz der Privatsphäre der Verbraucher)
Was ist das? Das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern aus dem Jahr 2018 wurde eingeführt, um Verbrauchern mehr Kontrolle über die persönlichen Informationen zu geben, die Unternehmen über sie sammeln. Es beinhaltet Datenschutzrechte für kalifornische Verbraucher, darunter das Recht zu erfahren, wie Unternehmen ihre Daten nutzen, das Recht, von Unternehmen gesammelte persönliche Daten zu löschen, und das Recht, dem Verkauf ihrer persönlichen Daten zu widersprechen.
Für wen gilt sie? Jede Organisation, die in Kalifornien ansässig ist und einen Jahresumsatz von mindestens 25 Millionen Dollar hat, muss den CCPA einhalten. Darüber hinaus fallen Unternehmen jeder Größe, die über personenbezogene Daten von mindestens 50.000 Personen verfügen oder die mehr als die Hälfte ihrer Einnahmen aus dem Verkauf personenbezogener Daten erzielen, ebenfalls unter den CCPA.
Was sind die Vorteile von Data Compliance?
Data Protection
Da die Welt immer mehr auf Technologie angewiesen ist und Unternehmen täglich riesige Datenmengen produzieren, austauschen und speichern, ist Datensicherheit ein heißes Thema geworden. Unternehmen müssen über angemessene Datenschutzpläne verfügen, nicht nur, um sich selbst zu schützen, sondern auch, um ihre Kunden zu schützen. Die Vorschriften zur Einhaltung von Datenschutzbestimmungen zwingen Unternehmen dazu, ihre Datensicherheitsstandards und -praktiken zu verbessern, um zu verhindern, dass Datenschutzverletzungen auftreten und die sensiblen Daten ihrer Kunden offengelegt, gestohlen oder beschädigt werden. Durch die Einhaltung der Vorschriften stellen Unternehmen sicher, dass ihre sensiblen Daten nicht gefährdet werden, und bestätigen, dass die notwendigen Vorkehrungen getroffen wurden, um die Daten ihrer Kunden zu schützen.
Kundenvertrauen
Eine der größten und bedeutendsten Folgen einer Datenschutzverletzung ist die Beeinträchtigung des Vertrauens und der Loyalität der Kunden. Laut einer Varonis-Analyse des Rufs von Unternehmen nach einem Datenschutzverstoß würden 80 % der Verbraucher ein Unternehmen verlassen, das ihre Daten kompromittiert hat, und 52 % der Verbraucher würden den gleichen Preis für Produkte oder Dienstleistungen einer anderen Marke mit besserer Sicherheit zahlen. Wenn ein Unternehmen die richtigen Schritte unternimmt, um datenschutzkonform zu sein, schützt es nicht nur seine Daten besser, sondern wirkt auch vertrauenswürdiger und glaubwürdiger auf seine Kunden. Ihre Kunden können beruhigt sein, denn sie wissen, dass ihre Daten geschützt sind und nicht in die falschen Hände geraten.
Kosteneinsparungen
Die Nichteinhaltung von Compliance-Vorschriften kann ein Unternehmen teuer zu stehen kommen – im wahrsten Sinne des Wortes. Verschiedene Vorschriften verlangen von Unternehmen hohe Geldstrafen, wenn sie bei der Nichteinhaltung der Vorschriften erwischt werden. Darüber hinaus sind Unternehmen, die sich nicht an die Compliance-Vorschriften halten, anfälliger für Verstöße, die für das Unternehmen ebenfalls sehr kostspielig sein können. Nach Angaben von IBM und dem Ponemon Institute betrugen die durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2020 3,86 Millionen Dollar, wobei der Verlust von personenbezogenen Daten (PII) am teuersten war. Große Unternehmen sind vielleicht in der Lage, einen millionenschweren Einbruch zu verkraften, kleinere Unternehmen jedoch nicht. Durch die Einhaltung der Vorschriften zur Dateneinhaltung stellen Unternehmen sicher, dass sie kein Geld durch Geldstrafen oder einen Verstoß verlieren.
SvKMS und Datenkonformität
Verschlüsselung in Verbindung mit einem Key-Management-System bietet Unternehmen ein unübertroffenes Maß an Schutz. Zusammen bieten sie das Maß an Datenschutz, das ein Unternehmen benötigt, um sicherzustellen, dass sensible Daten nicht kompromittiert werden, und bestätigen, dass die notwendigen Vorkehrungen zum Schutz der Daten getroffen wurden.
Die meisten Vorschriften zur Einhaltung von Datenschutzbestimmungen verlangen Datenschutz als Teil ihrer Compliance-Kriterien. Wenn diese Kriterien nicht erfüllt werden, können Unternehmen mit Geldstrafen, Bußgeldern oder Schlimmerem belegt werden. Als voll funktionsfähige Key-Management-Lebenszyklus-Plattform kann StorMagic SvKMS dazu beitragen, diese komplexen Anforderungen bei einer Vielzahl von Vorschriften zu erfüllen, egal ob es sich um On-Prem-, Cloud- oder Multi-Cloud-Lösungen handelt, einschließlich: HIPAA, PCI-DSS, GDPR und CCPA.
SvKMS lässt sich problemlos in PGP-Verschlüsselung, IaaS-Verschlüsselung, PaaS, vSphere und vSAN und viele andere Technologien integrieren, mit denen sensible Daten in Unternehmen gespeichert und verarbeitet werden. Darüber hinaus können Sie mit SvKMS eine Bring-Your-Own-Key-Methode (BYOK) mit Cloud-Anbietern verwenden, die sicherstellt, dass Ihre Encryption-Keys getrennt von Ihren Daten gespeichert werden – eine wichtige Anforderung vieler Datenschutzbestimmungen.
StorMagic unterstützt Sie nicht nur bei der Einhaltung verschiedener spezifischer Richtlinien, sondern auch bei der Einhaltung allgemeiner sektorübergreifender Vorschriften, einschließlich der Verwaltung von Schlüsseln während ihres gesamten Lebenszyklus, der Prüfung von Verschlüsselungsinformationen (einschließlich Syslog-Unterstützung), der Sicherung und Wiederherstellung sowie der Erzeugung und des Imports von Encryption-Keys.
Erfahren Sie mehr darüber, wie SvKMS Ihrem Unternehmen helfen kann, die Anforderungen an die Einhaltung von Vorschriften zu erfüllen, auf der Lösungsseite zur Einhaltung von Vorschriften. Weitere Einzelheiten über die SvKMS-Lösung finden Sie auf der SvKMS-Produktseite.
