Apa itu kepatuhan data?

Standar kepatuhan data dapat berbeda-beda di berbagai industri, wilayah, dan negara, tetapi sering kali memiliki tujuan yang sama. Tujuan ini dapat mencakup:

• Memastikan keakuratan data
• Memberikan transparansi dan pengetahuan kepada perorangan tentang hak-hak mereka atas data
• Melindungi informasi sensitif, seperti data pribadi dan informasi kartu kredit, dari akses yang tidak sah atau pelanggaran data
• Melacak penyimpanan data, termasuk jenis data yang disimpan organisasi, jumlah data yang disimpan, dan cara data tersebut dikelola selama siklus prosesnya

Beberapa peraturan kepatuhan data yang paling umum termasuk General Data Protection Regulation (GDPR), Health Insurance Portability and Accountability Act (HIPAA), dan California Consumer Privacy Act (CCPA).

Ketidakpatuhan terhadap peraturan tersebut dapat meningkatkan risiko keamanan siber dan mengakibatkan denda, sanksi hukum, dan kerusakan reputasi yang signifikan bagi organisasi. Karena alasan ini, kepatuhan data sering dianggap sebagai komponen penting dari keseluruhan tata kelola data dan strategi manajemen risiko organisasi.

Kepatuhan data terkadang disalahartikan sebagai kepatuhan keamanan data, yaitu bagian yang terkait erat, tetapi secara teknis lebih kecil dari kepatuhan data.

Jika kepatuhan data mencakup seperangkat aturan dan regulasi lebih luas yang harus ditaati organisasi saat menangani data, kepatuhan keamanan data berfokus secara khusus pada aspek keamanan dalam mengelola data. Ini termasuk melindungi data dari akses tidak sah, pembobolan, dan ancaman keamanan lainnya dengan menerapkan solusi keamanan data, seperti enkripsi, kontrol akses, firewall, audit keamanan, dan lainnya.

Dengan kata lain, kepatuhan data mencakup semua aspek kepatuhan keamanan data, sedangkan kepatuhan keamanan data tidak mencakup semua aspek kepatuhan data.

Untuk memahami pentingnya kepatuhan data, kita ambil contoh era big data kita. Setiap kali seseorang mengetuk layar, menjelajahi situs web, atau menelusuri jalan, dengan ponsel di tangan, orang tersebut meninggalkan jejak data pribadi yang terus bertambah. Di saat yang sama, organisasi beralih ke layanan cloud dan aplikasi digital sebagai bagian dari transformasi digital mereka dan menghimpun kumpulan data yang terus meningkat. Tidak mengherankan jika semua data ini bisa sangat berharga bagi organisasi, karena mereka dapat mengubah data menjadi insight demi pengambilan keputusan bisnis yang lebih baik.

Namun, makin banyak data, makin besar pula kerentanan, dan area permukaan serangan siber juga menjadi lebih luas. Menurut laporan Biaya Pelanggaran Data IBM, rata-rata biaya pelanggaran data global pada tahun 2023 adalah 4,45 juta USD, yang merupakan peningkatan sebesar 15% dalam rentang tiga tahun.

Kepatuhan data membantu mengurangi ancaman ini dan menjaga data pelanggan tetap aman. Kepatuhan ini menetapkan serangkaian kontrol, atau standar kepatuhan data, yang harus diikuti oleh organisasi dan perorangan ketika menangani data. Tujuan dari persyaratan kepatuhan ini adalah untuk menciptakan perlindungan bagi privasi data dan mencegah penyalahgunaan data. Kepatuhan data juga dapat membantu organisasi dan perorangan mengembangkan kebijakan dan prosedur untuk menangani data secara lebih bertanggung jawab.

Karena banyaknya manfaat ini, organisasi akan sering berinvestasi dalam kepatuhan data dengan sukarela dan proaktif, bukan hanya karena kebutuhan. Organisasi menyadari bahwa kepatuhan data dapat membantu mereka menumbuhkan kepercayaan pelanggan dan membangun reputasi mereka sebagai pengelola data pribadi yang transparan dan bertanggung jawab.

Bahkan, kepatuhan data sering kali membantu bisnis dalam meningkatkan keamanan, efisiensi, dan profitabilitas. Perusahaan dapat lebih efektif mengatasi kerentanan yang mengekspos mereka pada risiko pelanggaran data dengan memiliki standar kepatuhan data yang kuat. Selain itu, memiliki program kepatuhan data yang kuat tidak hanya akan menjaga keamanan data, tetapi juga menjaga keakuratannya dan mengurangi kesalahan yang merugikan. Dengan manajemen data yang efektif, organisasi tidak hanya mengurangi waktu dan sumber daya yang diperlukan untuk penemuan dan koreksi data, tetapi juga menjadi lebih efisien dan tangkas dalam menambang kumpulan data mereka sendiri guna mendapatkan insight. 

Banyak organisasi juga menyadari bahwa memiliki program kepatuhan data yang kuat akan memudahkan mereka untuk mengikuti standar kepatuhan perlindungan data, yang kini makin sering diperbarui dibandingkan di masa lalu. Standar ini termasuk SOC 2, CSA STAR, ISO 27001, National Institute of Standards and Technology (NIST) 800-53, dan banyak lagi.

Karena pemerintah dan entitas lain terus berfokus pada keamanan data, makin banyak peraturan privasi dan standar kepatuhan data yang harus dipenuhi oleh perusahaan agar dapat berbisnis dengan target pelanggan mereka.

Beberapa peraturan dan standar kepatuhan data yang paling umum meliputi:

Health Insurance Portability and Accountability Act (HIPAA), adalah bagian penting dari perundangan yang disahkan di Amerika Serikat pada tahun 1996. Undang-undang ini menetapkan pedoman tentang cara entitas dan bisnis layanan kesehatan menangani informasi kesehatan pribadi (personal health information, PHI) pasien untuk menjamin kerahasiaan dan keamanannya.

Setiap entitas yang termasuk dalam kategori "entitas tercakup" ("covered entities"), sebagaimana didefinisikan oleh HIPAA, harus mematuhi standar keamanan dan kepatuhan data HIPAA. Entitas ini tidak hanya meliputi penyedia layanan kesehatan dan program asuransi, tetapi juga rekan bisnis yang memiliki akses ke PHI. Ini termasuk penyedia layanan transmisi data, penyedia layanan transkripsi medis, perusahaan perangkat lunak, perusahaan asuransi, dan banyak lagi.

General Data Protection Regulation (GDPR) adalah kerangka kerja privasi data komprehensif yang diberlakukan oleh Uni Eropa (UE) untuk melindungi informasi pribadi warga negaranya. 

GDPR terutama berfokus pada informasi identifikasi pribadi (personally identifiable information, PII), dan menetapkan persyaratan kepatuhan yang ketat terhadap penyedia data. Peraturan ini mewajibkan organisasi di dalam dan di luar Eropa untuk bersikap transparan mengenai praktik pengumpulan data mereka, sehingga memberikan kontrol yang lebih besar kepada perorangan atas PII mereka.

Salah satu aspek GDPR yang paling mencolok adalah pendiriannya yang tidak kenal kompromi terhadap ketidakpatuhan. Peraturan ini menjatuhkan denda besar bagi mereka yang gagal menaati peraturan privasi dan standar kepatuhan datanya. Nilai denda tersebut dapat mencapai hingga 4% dari omzet global tahunan organisasi atau 20 juta EUR, tergantung mana yang lebih besar.

Karena alasan ini, GDPR telah menyebabkan bisnis di seluruh dunia mengevaluasi kembali praktik pengumpulan dan penanganan data mereka, dengan menekankan pentingnya keamanan dan kepatuhan data yang kuat.

California Consumer Privacy Act (CCPA) adalah undang-undang privasi data yang penting di Amerika Serikat, mirip dengan GDPR.

Seperti GDPR, undang-undang ini juga mewajibkan bisnis untuk bersikap transparan tentang praktik data mereka dan memberikan kontrol lebih besar bagi perorangan atas informasi pribadi mereka. Berdasarkan CCPA, penduduk California dapat meminta detail tentang data pribadi mereka yang dikumpulkan oleh bisnis, memilih untuk menolak praktik penjualan data, dan meminta penghapusan data.

Namun, tidak seperti GDPR, CCPA (dan banyak undang-undang perlindungan data AS lainnya) bersifat meminta penolakan (opt-out), bukan meminta persetujuan (opt-in) pengguna. Ini berarti bahwa bisnis dapat menggunakan informasi konsumen di California hingga secara khusus diperintahkan sebaliknya. CCPA juga hanya berlaku terhadap perusahaan yang melampaui ambang pendapatan tahunan tertentu atau menangani data pribadi dalam jumlah besar, sehingga relevan bagi banyak bisnis di California, meskipun tidak semua.

Sejak CCPA diberlakukan, organisasi aktif menilai kembali proses penanganan data mereka dan mengadopsi strategi perlindungan data yang komprehensif untuk memenuhi persyaratan kepatuhan.

Sarbanes-Oxley Act (SOX) adalah bagian dari undang-undang yang diberlakukan sebagai tanggapan atas skandal di perusahaan seperti Enron dan WorldCom. Tujuan utamanya adalah untuk meningkatkan transparansi dan akuntabilitas perusahaan. Berdasarkan SOX, setiap perusahaan publik di Amerika Serikat harus memenuhi standar tata kelola dan pelaporan keuangan yang ketat.

Beberapa ketentuan yang paling signifikan dari SOX mencakup persyaratan bagi CEO dan CFO untuk membuat pernyataan pribadi atas keakuratan laporan keuangan dan pembentukan komite audit independen. SOX juga menerapkan tindakan pengendalian internal yang ketat untuk memastikan keandalan data keuangan sekaligus secara signifikan meningkatkan hukuman atas pelanggaran dan penipuan di perusahaan.

Meskipun terutama berkaitan dengan pelaporan keuangan, SOX tetap menjadi pertimbangan kepatuhan yang penting, dan organisasi TI harus memahaminya untuk memastikan pelaporan keuangan yang akurat dan tepat waktu.

Payment Card Industry Data Security Standard (PCI-DSS) adalah seperangkat pedoman peraturan untuk melindungi data kartu kredit. Tidak seperti peraturan yang diberlakukan pemerintah, PCI-DSS mencakup komitmen kontraktual yang diberlakukan oleh badan pengatur independen yang dikenal sebagai Payment Card Industry Security Standards Council.

PCI-DSS berlaku untuk semua bisnis yang menangani data pemegang kartu, baik melalui penerimaan, penyimpanan, maupun transmisi. Meskipun layanan pihak ketiga terlibat dalam transaksi kartu kredit, perusahaan tetap bertanggung jawab atas kepatuhan terhadap PCI-DSS dan harus mengambil tindakan yang diperlukan untuk mengelola dan menyimpan data pemegang kartu dengan aman.

Langkah-langkah berikut dapat membantu organisasi membuat program kepatuhan data yang kuat yang memenuhi persyaratan kepatuhan dan melindungi informasi sensitif. 

Banyak di antaranya merupakan tindakan yang dapat segera dilakukan oleh organisasi, sementara yang lainnya memerlukan perencanaan jangka panjang. Dengan perencanaan dan fokus yang tepat, organisasi diharapkan tidak hanya dapat memenuhi standar kepatuhan data dan memastikan privasi data, tetapi juga memperkuat keamanan informasi mereka secara keseluruhan. Mereka juga diharapkan dapat lebih efektif dalam melindungi diri sendiri dan pelanggan mereka dari pelanggaran data, penyalahgunaan data, dan bentuk-bentuk akses tidak sah lainnya.

• Kepatuhan data: Mulailah dengan memahami peraturan kepatuhan data yang relevan untuk organisasi Anda, yang umumnya bergantung pada industri dan lokasi geografis Anda.
• Inventaris data: Kembangkan inventaris yang menguraikan jenis data yang Anda kumpulkan, termasuk lokasi penyimpanan data tersebut dan pihak-pihak yang memiliki akses ke data tersebut.

• Kontrol akses: Terapkan kontrol akses yang kuat untuk membatasi akses data kepada personel yang berwenang, antara lain menggunakan autentikasi pengguna, akses berbasis peran, dan enkripsi data sensitif. Program manajemen identitas dan akses modern dapat membantu dalam hal ini.

• Penyimpanan data: Ambil langkah untuk memastikan bahwa data Anda disimpan dengan aman, baik secara fisik maupun digital. Ini mungkin memerlukan penggunaan solusi penyimpanan terenkripsi, firewall, dan log akses.

• Pelatihan kepatuhan: Beri edukasi bagi staf tentang kepatuhan data untuk memastikan mereka memahami peraturan dan pentingnya privasi data. Sesi pelatihan reguler juga dapat membantu memberikan informasi tentang praktik terbaik kepada mereka.

• Kebijakan penanganan data: Tetapkan kebijakan dan prosedur keamanan yang transparan di seluruh organisasi Anda tentang cara menangani data secara bertanggung jawab dan memastikan semua orang mengetahui praktik manajemen data yang benar.

• Audit berkala: Lakukan audit berkala untuk memastikan efektivitas dan kemutakhiran tindakan kepatuhan data Anda serta mengidentifikasi potensi kerentanan dan area yang perlu ditingkatkan.

• Rencana respons terhadap pelanggaran data: Kembangkan rencana respons terhadap pelanggaran data yang dirancang dengan matang untuk mempersiapkan diri menghadapi pelanggaran. Mengetahui cara merespons secara efektif dan cepat sangat penting untuk meminimalkan kerusakan dan memenuhi persyaratan kerangka kerja kepatuhan.