世界中の政府は、顧客の個人情報を収集・保存する個人や企業、また州の機関に対して、暗号化されていない個人情報がデータセキュリティ侵害によって危険にさらされた場合、または危険にさらされていると合理的に考えられる場合に、当該個人に通知することを要求するデータ侵害通知法を採用しています。
コンプライアンス違反が見つかった場合、組織は侵害の発生を公開する必要があり、集団訴訟に直面する可能性があります。
タレスは個人情報のセキュリティに次のようなデータ中心の焦点を当てることで、データ侵害の影響から組織を保護できるようサポートします。
各国のデータ侵害開示法には英国のデータ保護法、EUの一般データ保護規則(GDPR)、韓国の個人情報保護法、オーストラリアのプライバシー法などがあります。
データ侵害に対する保護と防止は、システム内にハードウェアレベルのディスク暗号化やOSレベルの暗号化を実装しておけばいい、というような簡単なものではありません。最近ではますます、標的が攻撃に気付きさえしないまま、攻撃が境界防御を突破し、アカウントを侵害してデータをマイニングできるようになっています。この種の攻撃に対して、単純な暗号化スキームではデータ侵害を防ぐことはできません。攻撃者はアカウントにアクセスすることで、個人データの復号化と抽出を可能にします。犯罪グループがこれに拍車をかけており、彼らは直接的な金銭的価値のある盗まれた個人情報を喜んで買い取ります。
データ侵害開示法を遵守できるよう、個人情報の漏洩防止にデータ中心の焦点を当てるには以下を行う必要となります。
タレスのCipherTrust データセキュリティ プラットフォームは、データ中心のセキュリティを実装するために必要な主要コンポーネントを提供します。これには、組織がデータに対するさまざまな脅威から顧客の記録や情報の整合性を保護・監査できるようにするセキュリティ制御が含まれます。タレスのデータ侵害保護ソリューションは、既存の運用プロセスやアプリケーションに対して透過的で迅速な実装を可能にします。
複数のデータ侵害保護に対応するこの単一プラットフォームのソリューションは、組織が低い総保有コストと展開が容易な一元管理されたインフラストラクチャとソリューションのセットによってコンプライアンス要件を満たせるようサポートします。
タレスのCipherTrust 透過的暗号化は、ファイルやボリュームレベルの保存データの暗号化と、ベストプラクティスの実装による統合された安全な鍵管理を提供します。アクセス制御とデータアクセス監視情報は、承認された担当者とプログラムにのみデータアクセスを制限することにより、データ侵害に対する保護を拡張します。同じデータが、セキュリティ情報およびイベント管理ソリューションに必要なセキュリティインテリジェンス情報を提供し、悪意のある内部関係者やマルウェアによるアカウント資格情報の侵害が原因で脅威となり得るアカウントを特定します。
タレスのCipherTrust アプリケーションデータ保護を利用することで、データ侵害保護のレイヤーを追加し、フィールドおよび列レベルで暗号化機能を内部アプリケーションに簡単に組み込むことができます。
タレスのCipherTrust エンタープライズ鍵管理によりKMIP互換ハードウェア、OracleおよびSQL Server TDEマスター鍵、デジタル証明書を含む、さまざまな環境やデバイス用の暗号鍵を一元管理できます。
これまでで最も包括的なデータプライバシー基準とされるGDPRは、組織がどこの国にあろうとも、EU市民の個人データを保持する全ての組織に対応を求められます。
クレジットカード及びデビットカードの決済処理事業者は、アカウントデータの処理、保存および送信に関する厳格なPCIDSSコンプライアンス要件に準拠する必要があります。
個人情報漏えいが発生した場合に、データ侵害報告義務の要件は、世界中の国々によって制定されています。それは管轄国で違いはありますが、ほぼ全てに「セーフハーバー」条項が含まれています。