Il sito Safe Harbor dice quanto segue:
The European Commission’s Directive on Data Protection went into effect in October of 1998, and would prohibit the transfer of personal data to non-European Union countries that do not meet the European Union (EU) “adequacy” standard for privacy protection.
Esiste una mappatura ad altri framework di conformità? ISO 27001 o SSAE 16 (o ISAE 3402) sarebbero ritenuti equivalenti o "adeguati"?
Sembra che ci sia eu safe harbour framework che è necessario per ottenere la conformità e tutto sulla base della scelta. Vedi il link per maggiori informazioni.
Gli altri standard possono aiutarti a raggiungere la conformità sicura del porto?
Dico di si, e questa è la risposta che dice ..
" La norma ISO 27001 è in grado di soddisfare i requisiti di conformità di tutte queste diverse normative e regolamentazioni con piccole modifiche e può aiutarti a rispettare Safe Harbor, PCI DSS, SOX e GLB ".
Perché? Come? (Alcune ricerche)
To self-certify for the Safe Harbor, organizations can provide to the Department of Commerce (or its designee) a letter – signed by a corporate officer on behalf of the organization that is joining the Safe Harbor – that contains at least the following information:
- name of organization, mailing address, email address, telephone and fax numbers;
description of the activities of the organization with respect to personal information received from the EU; and description of the organization’s privacy policy for such personal information, including:
- Where the privacy policy is available for viewing by the public,
- its effective date of implementation,
a contact office for the handling of complaints, access requests, and any other issues arising under the Safe Harbor,
the specific statutory body that has jurisdiction to hear any claims against the organization regarding possible unfair or deceptive practices and violations of laws or regulations governing privacy (and that is listed in the annex to the Principles),
- name of any privacy programs in which the organization is a member,
- method of verification (e.g. in-house, third party) (see FAQ 7: Verification) , and
- the independent recourse mechanism that is available to investigate unresolved complaints.
Come si può stabilire che le pratiche di tutela della privacy di Harbour sono vere e che le pratiche sulla privacy sono state implementate come rappresentate e in conformità con i principi dell'approdo sicuro?
To meet the verification requirements of the Enforcement Principle, an organization may verify such attestations and assertions either through self-assessment or outside compliance reviews. Under the self-assessment approach, such verification would have to indicate that an organization’s published privacy policy regarding personal information received from the EU is accurate, comprehensive, prominently displayed, completely implemented and accessible. It would also need to indicate that its privacy policy conforms to the Safe Harbor
Requisiti di qualificazione Per qualificarsi per lo schema Safe Harbor, un'organizzazione statunitense ha tre opzioni. Può:
- develop its own self-regulatory privacy policy which conforms to the Safe Harbor requirements; or
- join a self-regulatory privacy programme which adheres to the requirements, organised by firms such as VeriSign and TRUSTe; or
- be subject to a statutory or other body of law or rules which effectively achieves the same standards.
Esempio REAL Questo è il modo in cui verisign lo fa; penso che dovresti pensare nella stessa maniera. Le loro dichiarazioni sulla privacy leggono quanto segue
Verisign ha apportato le seguenti modifiche alla sua Informativa sulla privacy online: Discussione riorganizzata dei cookie per maggiore chiarezza nei motivi in cui Verisign li utilizza; lingua modificata per quanto riguarda la raccolta e l'uso di visite dell'utente non identificate ai siti Web di Verisign e l'uso di cookie e altre tecnologie di tracciamento, come nella pubblicità reindirizzata; aggiunto ulteriori chiarimenti su quando e come utilizziamo i cookie; ha fornito maggiore chiarezza sulla conservazione delle informazioni personali; ha indicato la certificazione UE / Swiss Safe Harbor di Verisign; cambiato l'indirizzo della compagnia in due istanze
Standard di mappatura con requisiti di porto sicuro Nel link pdf dato viene data molta enfasi allo sviluppo delle politiche sulla privacy interne. Il documento fornisce uno di questi riferimenti alla privacy del sito web che descrive come i web beacon possono essere utilizzati per tracciare le attività dell'utente. Tutti gli utenti di quel sito Web conoscono questo rischio. Ha un senso.
Ora, se conosci il quadro delle politiche per le organizzazioni. Funziona così.
Policy -> Standards -> Guidelines and Procedures ...
Esempio i requisiti del framework comportano
"... condurre revisioni iniziali e periodiche e" seeding "(tracciamento di identificatori univoci nel database del nostro sito"
obiettivo di controllo ISO-27001
A.10.10 Obiettivo del monitoraggio: rilevare attività di elaborazione di informazioni non autorizzate
A.10.10.1 Registrazione di controllo I registri di audit che registrano le attività degli utenti, le eccezioni e gli eventi di sicurezza delle informazioni devono essere prodotti e conservati per un periodo concordato per assistere nelle indagini future e nel monitoraggio del controllo degli accessi.
A.10.10.2 Uso del sistema di monitoraggio Devono essere stabilite procedure per monitorare l'uso degli impianti di trattamento delle informazioni e i risultati delle attività di monitoraggio devono essere riesaminati regolarmente.
Questo è il requisito più vicino per controllare la mappatura che puoi ottenere. Il massimo che puoi fare ora per fare più rima con i requisiti di privacy è dire al tuo DBA e agli analisti della sicurezza di essere più vigili su tutti utilizzo del tag web . Perché ha funzionato? Il vantaggio di avere lo standard in primo luogo. STANDARD semplifica la conformità:)
La direttiva sulla protezione dei dati dell'UE e l'approdo sicuro UE-USA sono incentrati sulla privacy.
ISO 27001 e SSAE16 / SOC1 potrebbero, ma probabilmente non lo indirizzerebbero nello stesso modo. ISO 27001 si concentra sull'allineamento e sulla costruzione di processi per la sicurezza delle informazioni. SSAE16 / SOC1 è focalizzato sui controlli che potrebbero influire sui rendiconti finanziari e non è destinato alla pubblica distribuzione o alla revisione governativa (a meno che il governo non stia utilizzando l'organizzazione di servizio secondario).
Tuttavia, un SOC2 / SOC3 rapporto basato sui principi di fiducia può includere Principio della privacy, puoi leggere il principio della privacy pubblicato dall'AICPA . ISO / IEC 29100: 2011 di ISO sarebbe uno standard più allineato con la direttiva sui dati dell'UE.
Per ottenere una buona comprensione dei moderni concetti di privacy, vorrai iniziare dai principi di Fair Information Practices che sono stati originariamente sviluppati dagli Stati Uniti negli anni '70, eventualmente influenzando la direttiva sulla protezione dei dati dell'UE, che poi ritorna negli Stati Uniti attraverso le disposizioni Safe Harbor. Attualmente, negli Stati Uniti non esiste una legge sulla privacy omnibus generale con questo livello di specificità. Un buon punto di partenza per la ricerca e l'apprendimento sulla legislazione sulla privacy è terminato all'indirizzo Wiki IT Law su Wikia .
Leggi altre domande sui tag legal privacy compliance