Data compliance is the act of handling and managing personal and sensitive data in a way that adheres to regulatory requirements, industry standards and internal policies involving data security and privacy.
Standar kepatuhan data dapat bervariasi menurut industri, wilayah, dan negara, namun sering kali melibatkan tujuan yang sama. Tujuan-tujuan ini dapat mencakup:
- Memastikan keakuratan data
- Memberikan transparansi dan pengetahuan kepada individu tentang hak-hak data mereka
- Melindungi informasi sensitif, seperti data pribadi dan informasi kartu kredit, dari akses yang tidak sah atau pembobolan data
- Melacak penyimpanan data, termasuk jenis data yang disimpan organisasi, berapa banyak data yang disimpan, dan bagaimana data tersebut dikelola selama siklus hidupnya
Beberapa peraturan kepatuhan data yang paling umum termasuk Peraturan Perlindungan Data Umum (GDPR), Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) dan Undang-Undang Privasi Konsumen California (CCPA).
Ketidakpatuhan terhadap peraturan ini dapat meningkatkan risiko keamanan siber dan membebani organisasi denda yang signifikan, hukuman hukum, dan kerusakan reputasi. Untuk alasan ini, kepatuhan data sering dianggap sebagai komponen penting dari keseluruhan tata kelola data organisasi dan strategi manajemen risiko.
Kepatuhan data versus kepatuhan keamanan data
Kepatuhan data terkadang secara keliru disebut kepatuhan keamanan data, sebuah bagian yang terkait erat namun secara teknis lebih kecil dari kepatuhan data.
Jika kepatuhan data mencakup seperangkat aturan dan regulasi yang lebih luas yang harus dipatuhi organisasi saat menangani data, kepatuhan keamanan data berfokus secara khusus pada aspek keamanan dalam mengelola data, termasuk melindungi data dari akses yang tidak sah, pembobolan, dan ancaman keamanan lainnya dengan menerapkan solusi keamanan data, seperti enkripsi, kontrol akses, firewall, audit keamanan, dan lainnya.
Dengan kata lain, kepatuhan data mencakup semua aspek kepatuhan keamanan data, sedangkan kepatuhan keamanan data tidak mencakup semua aspek kepatuhan data.
Dapatkan insight untuk mempersiapkan dan merespons serangan siber dengan kecepatan dan efektivitas yang lebih besar dengan IBM Security X-Force Threat Intelligence Index.
Daftar untuk memperoleh laporan Biaya Pelanggaran Data
Jelajahi kepatuhan data dengan IBM Security Guardium Insights
Untuk memahami pentingnya kepatuhan data, pertimbangkan era big data kita. Setiap kali seseorang mengetuk layar, menjelajahi situs web, atau berjalan-jalan di jalan, dengan ponsel di tangan, mereka meninggalkan jejak data pribadi yang terus bertambah. Di saat yang sama, organisasi beralih ke layanan cloud dan aplikasi digital sebagai bagian dari transformasi digital mereka dan mengumpulkan kumpulan data yang terus meningkat. Tidak mengherankan jika semua data ini bisa sangat berharga bagi organisasi, membantu mereka mengubah data menjadi wawasan untuk membuat keputusan bisnis yang lebih baik.
Namun, lebih banyak data juga berarti lebih banyak kerentanan dan area permukaan yang lebih besar untuk serangan siber. Menurut laporan Biaya Pelanggaran Data IBM, biaya rata-rata global dari pelanggaran data pada tahun 2023 adalah USD 4,45 juta— meningkat sebesar 15% selama tiga tahun.
Kepatuhan data membantu mengurangi ancaman ini dan menjaga data pelanggan tetap aman. Kepatuhan ini menetapkan serangkaian kontrol-atau standar kepatuhan data-yang harus diikuti oleh organisasi dan individu ketika menangani data. Tujuan dari persyaratan kepatuhan ini adalah untuk menciptakan perlindungan yang melindungi privasi data dan mencegah penyalahgunaan data. Kepatuhan data juga dapat membantu organisasi dan individu mengembangkan kebijakan dan prosedur untuk menangani data secara lebih bertanggung jawab.
Karena banyaknya manfaat ini, organisasi akan sering berinvestasi dalam kepatuhan data dengan sukarela dan proaktif, bukan hanya karena kebutuhan. Organisasi menyadari bahwa kepatuhan data dapat membantu mereka menumbuhkan kepercayaan pelanggan dan membangun reputasi mereka sebagai pengelola data pribadi yang transparan dan bertanggung jawab.
Bahkan, kepatuhan terhadap data yang lebih banyak sering kali membantu bisnis meningkatkan keamanan mereka dan meningkatkan efisiensi serta profitabilitas. Perusahaan dapat lebih efektif menopang kerentanan yang mengekspos mereka pada risiko pelanggaran data dengan memiliki standar kepatuhan data yang kuat. Selain itu, memiliki program kepatuhan data yang kuat tidak hanya menjaga keamanan data, tetapi juga menjaga keakuratannya dan mengurangi kesalahan yang merugikan. Dengan manajemen data yang efektif, organisasi tidak hanya mengurangi waktu dan sumber daya yang dihabiskan untuk penemuan dan koreksi data, namun juga menjadi lebih efisien dan tangkas dalam menambang kumpulan data mereka sendiri untuk mendapatkan insight.
Banyak organisasi juga menyadari bahwa memiliki program kepatuhan data yang kuat akan memudahkan mereka untuk mengikuti standar kepatuhan perlindungan data, yang semakin sering diperbarui dibandingkan di masa lalu. Standar ini termasuk SOC 2, CSA STAR, ISO 27001, National Institute of Standards and Technology (NIST) 800-53, dan banyak lagi.
Karena pemerintah dan entitas lain terus berfokus pada keamanan data, semakin banyak peraturan privasi dan standar kepatuhan data yang harus dipenuhi oleh perusahaan untuk berbisnis dengan target pelanggan mereka.
Beberapa peraturan dan standar kepatuhan data yang paling umum meliputi:
Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan, atau HIPAA, adalah bagian penting dari undang-undang yang disahkan di Amerika Serikat pada tahun 1996. Undang-undang ini menetapkan pedoman tentang bagaimana entitas dan bisnis layanan kesehatan menangani informasi kesehatan pribadi (PHI) pasien untuk menjamin kerahasiaan dan keamanannya.
Setiap entitas yang termasuk dalam kategori "entitas tercakup", sebagaimana didefinisikan oleh HIPAA, harus menjunjung tinggi standar keamanan dan kepatuhan data HIPAA. Entitas ini tidak hanya mencakup penyedia layanan kesehatan dan rencana asuransi tetapi juga rekan bisnis dengan akses ke PHI, termasuk penyedia layanan transmisi data, penyedia layanan transkripsi medis, perusahaan perangkat lunak, perusahaan asuransi, dan banyak lagi.
Peraturan Perlindungan Data Umum (GDPR) adalah kerangka kerja privasi data komprehensif yang diberlakukan oleh Uni Eropa (UE) untuk melindungi informasi pribadi warganya.
GDPR berfokus terutama pada informasi identifikasi pribadi (PII) dan menerapkan persyaratan kepatuhan yang ketat pada penyedia data. Undang-undang ini mewajibkan organisasi di dalam dan di luar Eropa untuk bersikap transparan mengenai praktik pengumpulan data mereka, sehingga memberikan kontrol yang lebih besar kepada individu atas PII mereka.
Salah satu aspek GDPR yang paling mencolok adalah pendiriannya yang tidak kenal kompromi terhadap ketidakpatuhan. Undang-undang ini mengenakan denda besar bagi mereka yang gagal mematuhi peraturan privasi dan standar kepatuhan data. Denda ini dapat mencapai hingga 4% dari omset global tahunan organisasi atau EUR 20 juta, mana yang lebih besar.
Karena alasan ini, GDPR telah menyebabkan bisnis di seluruh dunia mengevaluasi kembali praktik pengumpulan dan penanganan data mereka, dengan menekankan pentingnya keamanan dan kepatuhan data yang kuat.
California Consumer Privacy Act (CCPA) adalah undang-undang privasi data yang penting di Amerika Serikat, mirip dengan GDPR.
Seperti GDPR, ini juga menempatkan tanggung jawab pada bisnis untuk bersikap transparan tentang praktik data mereka dan memberdayakan individu untuk memiliki kontrol lebih besar atas informasi pribadi mereka. Di bawah CCPA, penduduk California dapat meminta detail tentang data yang dikumpulkan oleh bisnis, memilih untuk tidak ikut serta dalam penjualan data, dan meminta penghapusan data.
Namun, tidak seperti GDPR, CCPA (dan banyak undang-undang perlindungan data AS lainnya) memilih keluar daripada ikut serta, yang berarti bahwa bisnis dapat menggunakan informasi konsumen di California sampai secara khusus diberi tahu sebaliknya. CCPA juga hanya berlaku untuk perusahaan yang melebihi ambang pendapatan tahunan tertentu atau menangani data pribadi dalam jumlah besar, sehingga relevan bagi banyak bisnis California, meskipun tidak semua.
Sejak CCPA diberlakukan, organisasi secara aktif menilai kembali proses penanganan data mereka dan mengadopsi strategi perlindungan data yang komprehensif untuk memenuhi persyaratan kepatuhan.
Sarbanes-Oxley Act (SOX) adalah bagian dari undang-undang yang diberlakukan sebagai tanggapan atas skandal perusahaan seperti Enron dan WorldCom. Tujuan utamanya adalah untuk meningkatkan transparansi dan akuntabilitas perusahaan. Di bawah SOX, setiap perusahaan yang diperdagangkan secara publik di Amerika Serikat harus memenuhi standar pelaporan keuangan dan tata kelola yang ketat.
Beberapa ketentuan yang paling signifikan dari SOX termasuk persyaratan bagi CEO dan CFO untuk menyatakan secara pribadi keakuratan laporan keuangan dan pembentukan komite audit independen. SOX juga memperkenalkan langkah-langkah pengendalian internal yang ketat untuk memastikan keandalan data keuangan sekaligus secara signifikan meningkatkan kesalahan perusahaan dan hukuman penipuan.
Meskipun SOX terutama berkaitan dengan pelaporan keuangan, namun SOX tetap merupakan pertimbangan kepatuhan yang penting, dan organisasi TI harus menyadarinya untuk memastikan pelaporan keuangan yang akurat dan tepat waktu.
Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS) adalah seperangkat pedoman peraturan untuk melindungi data kartu kredit. Tidak seperti peraturan yang diberlakukan pemerintah, PCI-DSS terdiri dari komitmen kontraktual yang ditegakkan oleh badan pengatur independen yang dikenal sebagai Dewan Standar Keamanan Industri Kartu Pembayaran.
PCI-DSS berlaku untuk semua bisnis yang menangani data pemegang kartu, baik melalui penerimaan, penyimpanan, maupun transmisi. Meskipun layanan pihak ketiga terlibat dalam transaksi kartu kredit, perusahaan tetap bertanggung jawab atas kepatuhan PCI-DSS dan harus mengambil tindakan yang diperlukan untuk mengelola dan menyimpan data pemegang kartu dengan aman.
Langkah-langkah berikut ini dapat membantu organisasi membuat program kepatuhan data yang kuat yang memenuhi persyaratan kepatuhan dan melindungi informasi sensitif.
Banyak di antaranya merupakan tindakan yang dapat segera dilakukan oleh organisasi, sementara yang lainnya memerlukan perencanaan jangka panjang. Harapannya adalah, dengan perencanaan dan fokus yang tepat, organisasi tidak hanya dapat memenuhi standar kepatuhan data dan memastikan privasi data, tetapi juga memperkuat keamanan informasi mereka secara keseluruhan dan secara lebih efektif melindungi diri mereka sendiri dan pelanggan mereka dari pelanggaran data, penyalahgunaan data, dan bentuk-bentuk akses tidak sah lainnya.
- Kepatuhan data: Mulailah dengan memahami peraturan kepatuhan data yang relevan dengan organisasi Anda, yang umumnya bergantung pada industri dan lokasi geografis Anda.
- Inventaris data: Kembangkan inventaris yang menguraikan jenis data yang Anda kumpulkan, termasuk di mana data tersebut disimpan dan siapa saja yang memiliki akses ke data tersebut.
Kontrol akses: Terapkan kontrol akses yang kuat untuk membatasi akses data kepada personel yang berwenang, yang dapat melibatkan autentikasi pengguna, akses berbasis peran, dan enkripsi data sensitif. Program manajemen identitas dan akses modern dapat membantu dalam hal ini.
Penyimpanan data: Ambil langkah-langkah untuk memastikan bahwa data Anda disimpan dengan aman, baik secara fisik maupun digital, yang mungkin memerlukan penerapan solusi penyimpanan terenkripsi, firewall, dan log akses.
Pelatihan kepatuhan: Mendidik staf tentang kepatuhan data untuk memastikan mereka memahami peraturan dan pentingnya privasi data. Sesi pelatihan reguler juga dapat membantu semua orang tetap mendapat informasi tentang praktik terbaik.
Kebijakan penanganan data: Tetapkan kebijakan dan prosedur keamanan yang transparan di seluruh organisasi Anda tentang cara menangani data secara bertanggung jawab dan memastikan semua orang mengetahui praktik manajemen data yang benar.
Audit berkala: Lakukan audit berkala untuk memverifikasi efektivitas dan kemutakhiran langkah-langkah kepatuhan data Anda dan mengidentifikasi potensi kerentanan serta area yang perlu ditingkatkan.
Rencana respons terhadap pelanggaran data: Kembangkan rencana respons terhadap pelanggaran data yang terdefinisi dengan baik untuk mempersiapkan diri menghadapi pelanggaran. Mengetahui cara merespons secara efektif dan cepat sangat penting untuk meminimalkan kerusakan dan memenuhi persyaratan kerangka kerja kepatuhan.
Lindungi data di berbagai lingkungan, penuhi peraturan privasi, dan sederhanakan kompleksitas operasional.
Otomatiskan dan sederhanakan perjalanan Anda menuju keamanan dan kepatuhan data dengan IBM Security Guardium Insights. Temukan data bayangan, analisis aliran data, dan temukan kerentanan, lindungi data Anda, di mana pun datanya berada.
Mengoperasionalkan kepatuhan keamanan siber dan risiko peraturan di seluruh perusahaan Anda.
Aktifkan deteksi ancaman dini dan pemulihan bisnis yang cepat untuk membantu organisasi memenuhi persyaratan kepatuhan terhadap peraturan.