ما المقصود بامتثال البيانات؟

يمكن أن تختلف معايير امتثال البيانات حسب الصناعات والمنطقة والدولة ولكنها غالبًا ما تنطوي على أهداف متشابهة. ويمكن أن تشمل هذه الأهداف ما يلي:

• ضمان دقة البيانات
• تزويد الأفراد بالشفافية والمعرفة بحقوقهم المتعلقة بالبيانات
• حماية المعلومات الحساسة، مثل البيانات الشخصية ومعلومات بطاقة الائتمان، من الوصول غير المصرح به أو اختراق أمن البيانات
• تتبُّع تخزين البيانات، بما في ذلك نوع البيانات التي تخزنها المؤسسة، وكمية البيانات التي تخزنها وكيفية إدارتها طوال دورة حياتها

تتضمن بعض لوائح الامتثال للبيانات الأكثر شيوعاً اللائحة العامة لحماية البيانات (GDPR) وقانون إخضاع التأمين الصحي لقابلية النقل والمساءلة (HIPAA) وقانون خصوصية المستهلك في كاليفورنيا (CCPA). 

يمكن أن يؤدي عدم الامتثال لهذه اللوائح إلى زيادة مخاطر الأمن السيبراني وتعرض المؤسسات لفرض غرامات كبيرة وعقوبات قانونية عليها وإلحاق ضرر بسمعتها. لهذا السبب ، غالباً ما يعتبر امتثال البيانات مكوناً مهما في استراتيجية إدارة البيانات وإدارة المخاطر  الشاملة للمؤسسة.

يُطلق أحيانًا على امتثال البيانات خطأً اسم امتثال أمن البيانات، وهي مجموعة فرعية وثيقة الصلة بامتثال البيانات ولكنها أصغر من الناحية الفنية.

في حين أن امتثال البيانات يغطي المجموعة الأوسع من القواعد واللوائح التي يجب على المؤسسات الالتزام بها عند التعامل مع البيانات، فإن امتثال أمن البيانات يركز بشكل خاص على الجوانب الأمنية لإدارة البيانات، بما في ذلك حماية البيانات من الوصول غير المصرح به والانتهاكات والتهديدات الأمنية الأخرى من خلال تنفيذ حلول أمن البيانات، مثل التشفير وعناصر التحكم في الوصول وجدار الحماية والتدقيق الأمني وغير ذلك.

بعبارة أخرى، يشمل امتثال البيانات جميع جوانب امتثال أمن البيانات بينما لا يشمل امتثال أمن البيانات جميع جوانب امتثال البيانات.

لفهم أهمية امتثال البيانات، فكر في عصر البيانات الكبيرة. في كل مرة ينقر فيها شخص ما على الشاشة، أو يتصفح موقعًا إلكترونيًا أو يتجول في الشارع، وفي يده هاتف ذكي، فإنه يترك أثرًا متزايدًا من البيانات الشخصية. في الوقت نفسه، تتحول المؤسسات نحو الخدمة السحابية والتطبيقات الرقمية كجزء من التحول الرقمي وتؤدي إلى تراكم مجموعات بيانات متزايدة باستمرار. ومن غير المستغرب أن كل هذه البيانات يمكن أن تكون ذات قيمة كبيرة للمؤسسات، مما يساعدها على تحويل البيانات إلى رؤى لاتخاذ قرارات أفضل في مجال الأعمال.

ومع ذلك، فإن زيادة البيانات تعني أيضًا اختراقات أمنية أكثر ومساحة أوسع للهجمات الإلكترونية. وفقًا لتقرير تكلفة خرق البيانات الصادر عن IBM، بلغ متوسط التكلفة العالمية لاختراق البيانات في عام 2023 ما قيمته 4.45 مليون دولار أمريكي - بزيادة قدرها 15% على مدى ثلاث سنوات.

يساعد امتثال البيانات على التخفيف من هذه التهديدات والحفاظ على أمان بيانات العملاء. فهو يضع مجموعة من عناصر التحكم - أو معايير امتثال البيانات - التي يجب على المؤسسات والأفراد اتباعها عند التعامل مع البيانات. الغرض من متطلبات الامتثال هذه هو إنشاء ضمانات تحمي خصوصية البيانات وتمنع إساءة استخدام البيانات. يمكن أن يساعد امتثال البيانات أيضًا المؤسسات والأفراد على وضع سياسات وإجراءات للتعامل مع البيانات بشكل أكثر مسؤولية.

وبسبب هذه الفوائد، غالبًا ما تستثمر المؤسسات في امتثال البيانات عن طيب خاطر وبشكل استباقي، وليس فقط بدافع الضرورة. تدرك المؤسسات أن امتثال البيانات يمكن أن يساعدها على تعزيز ثقة العملاء وبناء سمعتها كجهة شفافة ومسؤولة عن البيانات الشخصية.

بل أكثر من ذلك - غالبًا ما يساعد امتثال البيانات الشركات على زيادة أمنها وتعزيز كفاءتها وربحيتها. يمكن للشركات تدعيم نقاط الضعف التي تجعلها أكثر عرضة لخطر اختراق أمن البيانات بشكل أكثر فعالية من خلال وجود معايير قوية لامتثال البيانات. بالإضافة إلى ذلك، فإن وجود برنامج قوي لامتثال البيانات لا يحافظ على أمان البيانات فحسب، بل يحافظ أيضًا على دقتها ويقلل من الأخطاء المكلفة. من خلال إدارة البيانات، لا تقلل المؤسسات الوقت والموارد التي تنفقها على اكتشاف البيانات وتصحيحها فحسب، بل تصبح أيضًا أكثر كفاءة ومرونة في التنقيب في مجموعات البيانات الخاصة بها للحصول على رؤى. 

تجد العديد من المؤسسات أيضًا أن وجود برنامج قوي لامتثال للبيانات يجعل من السهل مواكبة معايير امتثال حماية البيانات، والتي يتم تحديثها بشكل متكرر أكثر مما كانت عليه في الماضي. وتشمل هذه المعايير SOC 2، وCSA STAR، وISO 27001، والمعهد الوطني الأمريكي للمعايير والتقنية (NIST) 800-53، وغيرها.

مع استمرار الحكومات والكيانات الأخرى في التركيز على أمن البيانات، كان هناك عدد متزايد من لوائح الخصوصية ومعايير امتثال البيانات التي يجب على الشركات الوفاء بها لممارسة الأعمال التجارية مع العملاء المستهدفين.

تتضمن بعض لوائح ومعايير امتثال البيانات الأكثر شيوعًا ما يلي:

يعد قانون إخضاع التأمين الصحي لقابلية النقل والمساءلة، أو HIPAA، تشريعًا حساسًا تم تمريره في الولايات المتحدة في عام 1996. يضع المبادئ التوجيهية لكيفية تعامل كيانات الرعاية الصحية والشركات مع المعلومات الصحية الشخصية للمرضى (PHI) لضمان سريتها وأمانها.

يجب على كل كيان يندرج تحت فئة "الكيانات المشمولة"، كما هو محدد في قانون إخضاع التأمين الصحي لقابلية النقل والمساءلة (HIPAA)، أن يلتزم بمعايير أمن البيانات والامتثال لقانون قانون إخضاع التأمين الصحي لقابلية النقل والمساءلة (HIPAA). لا تشمل هذه الكيانات مقدّم الرعاية الصحية وخطط التأمين فحسب، بل تشمل أيضًا شركاء الأعمال الذين يمكنهم الوصول إلى المعلومات الصحية الشخصية (PHI)، بما في ذلك مقدمي خدمات نقل البيانات ومقدمي خدمات النسخ الطبي وشركات البرمجيات وشركات التأمين وغيرها.

تُعد اللائحة العامة لحماية البيانات (GDPR) إطار عمل شامل لخصوصية البيانات أصدره الاتحاد الأوروبي لحماية المعلومات الشخصية لمواطنيه. 

تركز اللائحة العامة لحماية البيانات (GDPR) بشكل أساسي على معلومات التعريف الشخصية (PII) وتضع متطلبات امتثال صارمة على موفري البيانات. حيث يفرض على المؤسسات داخل وخارج أوروبا التحلي بالشفافية بشأن ممارسات جمع البيانات الخاصة بها، مما يمنح الأفراد تحكماً أكبر في معلومات التعريف الشخصية الخاصة بهم.

أحد الجوانب الأكثر لفتًا للانتباه في اللائحة العامة لحماية البيانات هو موقفها المتصلب بشأن عدم الامتثال. حيث تفرض غرامات كبيرة على أولئك الذين لا يلتزمون بلوائح الخصوصية ومعايير امتثال البيانات. يمكن أن تصل هذه الغرامات إلى 4٪ من المبيعات العالمية السنوية للمؤسسة أو 20 مليون يورو، أيهما كان أكبر.

لهذا السبب، دفعت اللائحة العامة لحماية البيانات الشركات في جميع أنحاء العالم إلى إعادة تقييم ممارسات جمع البيانات والتعامل معها، مع التأكيد على أهمية أمن البيانات وامتثالها بشكل قوي.

يعد The California Consumer Privacy Act (CCPA) (قانون خصوصية المستهلك في كاليفورنيا) قانونًا بارزًا في مجال خصوصية البيانات في الولايات المتحدة، وهو مشابه للائحة العامة لحماية البيانات (GDPR).

وعلى غرار اللائحة العامة لحماية البيانات، يضع القانون على عاتق الشركات عبء الشفافية بشأن ممارسات البيانات الخاصة بها ويمكّن الأفراد من التحكم بشكل أكبر في معلوماتهم الشخصية. بموجب قانون خصوصية المستهلك في كاليفورنيا (CCPA)، يمكن للمقيمين في كاليفورنيا طلب تفاصيل حول البيانات التي تجمعها الشركات عنهم، وإلغاء الاشتراك في بيع البيانات وطلب حذف البيانات.

ومع ذلك، على عكس اللائحة العامة لحماية البيانات (GDPR)، يعمل قانون The California Consumer Privacy Act (CCPA) - والعديد من قوانين حماية البيانات الأمريكية الأخرى - بنظام إلغاء الاشتراك بدلاً من الاشتراك، مما يعني أنه يمكن للشركات استخدام معلومات المستهلك في كاليفورنيا حتى يتم إبلاغها بخلاف ذلك على وجه التحديد. وينطبق قانون The California Consumer Privacy Act (CCPA) أيضًا فقط على الشركات التي تتجاوز حدًا معينًا للإيرادات السنوية أو تتعامل مع كميات كبيرة من البيانات الشخصية، مما يجعلها مناسبة للعديد من الشركات في كاليفورنيا، وليس جميعها

منذ دخول قانون The California Consumer Privacy Act (CCPA) حيز التنفيذ، أعادت المؤسسات تقييم عملياتها في التعامل مع البيانات واعتمدت الإستراتيجية الشاملة لحماية البيانات لتلبية متطلبات الامتثال.

قانون ساربينز أوكسلي Sarbanes-Oxley (SOX) هو تشريع تم سنه رداً على فضائح شركات مثل Enron وWorldCom. وهدفه الأساسي هو تعزيز شفافية الشركات ومساءلتها. بموجب قانون ساربينز أوكسلي (SOX)، يجب على كل شركة مطروحة للتداول العام في الولايات المتحدة تلبية معايير صارمة للتقارير المالية والحوكمة.

وتتضمن بعض أهم أحكام قانون قانون ساربينز أوكسلي (SOX) اشتراطات على المديرين التنفيذيين والمديرين الماليين للتصديق شخصيًا على دقة البيانات المالية وإنشاء لجان تدقيق مستقلة. كما ينص قانون ساربينز أوكسلي (SOX) أيضاً على تدابير رقابة داخلية صارمة لضمان موثوقية البيانات المالية مع زيادة كبيرة في عقوبات سوء سلوك الشركات والاحتيال.

على الرغم من أن قانون ساربينز أوكسلي (SOX) يتعامل في المقام الأول مع التقارير المالية، إلا أنه لا يزال أحد الاعتبارات الحيوية للامتثال، ويجب أن تكون المؤسسات العاملة في مجال تكنولوجيا المعلومات على دراية به لضمان إعداد تقارير مالية دقيقة وفي الوقت المناسب.

معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) عبارة عن مجموعة من الإرشادات التنظيمية لحماية بيانات بطاقات الائتمان. وعلى عكس اللوائح التي تفرضها الحكومة، يتكون معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) من التزامات تعاقدية تفرضها هيئة تنظيمية مستقلة تُعرف باسم مجلس معايير أمان بيانات صناعة بطاقات الدفع.

ينطبق معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) على أي شركة تتعامل مع بيانات حامل البطاقة، سواء كان ذلك من خلال القبول أو التخزين أو النقل. حتى إذا كانت هناك خدمة تابعة لجهة خارجية تشارك في معاملات بطاقات الائتمان، تظل الشركة مسؤولة عن الامتثال لمعيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) ويجب عليها اتخاذ التدابير اللازمة لإدارة بيانات حامل البطاقة وتخزينها بشكل آمن.

يمكن أن تساعد الخطوات التالية المؤسسات على إنشاء برنامج قوي لامتثال البيانات يلبي متطلبات الامتثال ويحمي المعلومات الحساسة. 

العديد من هذه الإجراءات يمكن للمؤسسات اتخاذها فورًا، بينما يتطلب بعضها الآخر تخطيطًا طويل الأمد. ويكمن الأمل في أنه من خلال التخطيط والتركيز المناسبين، لن تتمكن المؤسسة من تلبية معايير امتثال البيانات وضمان خصوصية البيانات فحسب، بل ستعزز أيضًا أمن المعلومات بشكل عام، وستحمي نفسها وعملاءها بشكل أكثر فعالية من اختراق أمن البيانات وإساءة استخدام البيانات وغيرها من أشكال الوصول غير المصرح به.

• امتثال البيانات: ابدأ بفهم لوائح امتثال البيانات ذات الصلة بمؤسستك، والتي تعتمد بشكل عام على مجال عملك وموقعك الجغرافي.
• مخزون البيانات: قم بإعداد مخزون يوضح أنواع البيانات التي تجمعها، بما في ذلك مكان تخزينها ومن لديه حق الوصول إليها.

• عناصر التحكم في الوصول: بادر بتنفيذ عناصر تحكم في الوصول قوية لتقييد الوصول إلى البيانات لتقتصر على الموظفين المصرح لهم، والتي يمكن أن تتضمن مصادقة المستخدم والوصول المستند إلى الأدوار والتشفير. يمكن أن يساعد استخدام برنامج حديث لإدارة الهوية والوصول في ذلك.

• تخزين البيانات: اتخذ خطوات لضمان تخزين البيانات بشكل آمن، سواء ماديًا أو رقميًا، وقد يستلزم ذلك نشر حلول التخزين المشفرة وجدران الحماية وسجلات الوصول.

• التدريب على الامتثال: احرص على تثقيف الموظفين بشأن امتثال البيانات لضمان فهمهم للأنظمة وأهمية خصوصية البيانات. كما تُساعد جلسات التدريب المنتظمة الجميع على البقاء على اطلاع بأفضل الممارسات.

• سياسات التعامل مع البيانات: قم بإنشاء سياسات وإجراءات أمنية شفافة في جميع أنحاء المؤسسة حول كيفية التعامل مع البيانات بشكل مسؤول والتأكد من أن الجميع يعرفون الممارسات الصحيحة لإدارة البيانات.

• عمليات التدقيق المنتظمة: قم بإجراء عمليات تدقيق دورية للتحقق من فعالية وحداثة تدابير امتثال البيانات وتحديد نقاط الضعف المحتملة والمجالات التي تحتاج إلى تحسين.

• خطة استجابة لاختراق أمن البيانات: ضع خطة استجابة واضحة المعالم لاختراق أمن البيانات استعدادًا لأي اختراق. يُعد معرفة كيفية الاستجابة بفعالية وسرعة أمراً بالغ الأهمية لتقليل الأضرار وتلبية متطلبات أطر العمل.