web-dev-qa-db-ja.com

米EUセーフハーバーフレームワークに相当すると見なされる認定はどれですか。

セーフハーバー website は次のように述べています:

欧州委員会のデータ保護に関する指令は1998年10月に施行され、プライバシー保護に関する欧州連合(EU)の「妥当性」基準を満たさない欧州連合以外の国への個人データの転送を禁止します。

他のコンプライアンスフレームワークへのマッピングはありますか? ISO 27001またはSSAE 16(またはISAE 3402)は同等または「適切」と見なされますか?

privacylegalcompliance
2
Jason

http://export.gov/safeharbor/eu/eg_main_018476.asp

私たちeuのセーフハーバーフレームワークがあり、それに準拠してすべてを選択するために必要なようです。詳細については、リンクを参照してください。

他の規格がセーフハーバーコンプライアンスの達成に役立つか?

私はそう言います、そしてこれはそれが言う応答です。

ISO 27001には、これらのさまざまな身長や規制のコンプライアンス要件をわずかな調整で満たす方法があります。セーフハーバー、PCI DSS、SOX、およびGLBへの準拠に役立ちます。 」.

完全な記事

なぜですか?(一部の研究)

フレームワークの要件?

セーフハーバーの自己証明のために、組織は商務省(またはその被指名人)に、セーフハーバーに参加している組織に代わって執行役員が署名した書簡を提供できます。書簡には少なくとも次の情報が含まれています。

  1. 組織名、住所、メールアドレス、電話番号、ファックス番号

  2. eUから受け取った個人情報に関する組織の活動の説明。そして、以下を含む、そのような個人情報に関する組織のプライバシーポリシーの説明:

    1. プライバシーポリシーが公開されている場合、
    2. 実施の有効日、

    3. 苦情、アクセス要求、およびセーフハーバーの下で発生するその他の問題の処理のための連絡先オフィス、

    4. 不当または虚偽の可能性のある行為、およびプライバシーを管理する法律または規制の違反(および原則の付属書に記載されている)に関する組織に対する請求を聞く管轄権を有する特定の法定機関、

    5. 組織がメンバーとなっているプラ​​イバシープログラムの名前
    6. 検証方法(社内、サードパーティなど)(FAQ 7:Verification)を参照)、および
    7. 未解決の苦情を調査するために利用できる独立した償還メカニズム。

ハーバーのプライバシー慣行が真実であり、それらのプライバシー慣行が示されているとおりに、セーフハーバー原則に従って実装されていることをどのようにして確認できますか?

施行原則の検証要件を満たすために、組織は、自己評価または外部のコンプライアンスレビューを通じて、そのような証明およびアサーションを検証できます。 自己評価アプローチでは、このような検証は、組織から発行された個人情報に関する組織の公開されたプライバシーポリシーを示す必要があります。 EUは正確で、包括的で、目立つように表示され、完全に実装され、アクセス可能です。また、プライバシーポリシーがセーフハーバーに準拠していることを示す必要があります

資格要件セーフハーバースキームの資格を得るには、米国の組織には3つのオプションがあります。できる:

  1. セーフハーバーの要件に準拠する独自の自主規制プライバシーポリシーを作成する。または
  2. VeriSignやTRUSTeなどの企業が組織する要件に準拠した自主規制プライバシープログラムに参加するまたは
  3. 同じ基準を効果的に達成する法的またはその他の法律または規則の対象となる.

REALの例これが verisign を実行する方法です。同じように考えるべきだと思います。彼らのプライバシーステートメントは次のように書いています

Verisignは、オンラインのプライバシーに関する声明に次の変更を加えました。VerisignがCookieを使用する理由をより明確にするために、Cookieに関する議論を再編成しました。未確認のユーザーによるVerisign Webサイトへのアクセスの収集と使用、および再ターゲティングされた広告などでのCookieとその他の追跡技術の使用に関する言語の変更; Cookieをいつどのように使用するかについての説明をさらに追加しました。個人情報の保持に関してより明確な情報を提供した。ベリサインのEU /スイスセーフハーバー認証を示した。 2つのインスタンスで会社の住所を変更した

セーフハーバー要件のあるマッピング標準与えられたpdfリンクでは、社内のプライバシーポリシーの開発に重点が置かれています。このドキュメントは、ユーザーの活動を追跡するために web beacons をどのように使用できるかを説明する、Webサイトのプライバシーへのそのような参照を提供します。このリスクを知っていることによるそのウェブサイトのすべてのユーザー。それは理にかなっています。

さて、もしあなたが組織のポリシーフレームワークについて知っているなら。それはこのように動作します。

Policy ->  Standards -> Guidelines and Procedures ...

フレームワーク要件には、

"...初期および定期的なレビューと"シード "(サイトのデータベース内の一意の識別子の追跡)を実施する"

ISO-27001管理目標

A.10.10監視の目的:不正な情報処理活動を検出する

  1. A.10.10.1監査ログユーザーのアクティビティ、例外、および情報セキュリティイベントを記録した監査ログは、将来の調査およびアクセス制御の監視を支援するために、合意された期間作成および保管されるものとします。

  2. A.10.10.2監視システムの使用情報処理施設の使用を監視するための手順を確立し、監視活動の結果を定期的にレビューするものとします。

これは、取得できるマッピングを制御するための最も近い要件です。プライバシー要件でさらに韻を踏むために今できることのほとんどは、DBAとセキュリティアナリストに伝えることです。すべてのweb-tagの使用についてより注意深くなります。なぜうまくいったのか?そもそも標準を持つことの利点。 STANDARDSはコンプライアンスを容易にします:)

0
Saladin

EUデータ保護指令とEU-USセーフハーバーはプライバシーを重視しています。

ISO 27001とSSAE16/SOC1は同じようにこれに対処できますが、そうではないでしょう。 ISO 27001は、情報セキュリティのプロセスの調整と組み込みに重点を置いています。 SSAE16/SOC1は、財務諸表に影響を与える制御に焦点を当てており、公的な配布や政府による審査を目的としていません(政府がサブサービス組織を利用している場合を除く)。

ただし、信頼原則に基づく SOC2 /SOC3レポートにはプライバシー原則を含めることができます。 AICPAによって公開されたプライバシー原則 を読むことができます。 ISO/IEC 29100:2011 ISOからの規格は、EUデータ指令により適合した規格になります。

プライバシーの現代的な概念を本当によく理解するには、1970年代に米国によって最初に開発され、最終的にはEUのデータ保護指令に影響を与え、その後米国に戻ってくる公正情報慣行原則から始めたいと思います。セーフハーバー規定を介して。現在、米国では、このレベルの具体性を持つ包括的なオムニバスプライバシー法はありません。プライバシー法に関する調査と学習を始めるのに最適な場所は WikiaのIT Law Wiki です。

1
Eric G