Il Personal Information Protection and Electronic Documents Act (PIPEDA) è una legge canadese che regola il modo in cui il settore privato canadese utilizza e divulga le informazioni personali nell'ambito dell'attività commerciale. PIPEDA è stata creata nell'aprile 2000, ma la legge è entrata in vigore solo il 1 gennaio 2004.
Proprio come il più recente Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea (UE), il PIPEDA canadese rappresenta un nuovo focus sulla protezione delle informazioni personali nel digitale. In tutto il mondo, molti sono diventati sempre più preoccupati di garantire che i propri dati personali siano gestiti eticamente e adeguatamente protetti. Proprio come il GDPR si concentra fondamentalmente sulla protezione dei dati dei cittadini europei, PIPEDA è incentrato sulla salvaguardia delle informazioni personali private dei canadesi.
Dieci principi PIPEDA
PIPEDA è una legge ampia, che comprende dieci principi sulla privacy di "informazione corretta"; queste sono considerate le regole di base della legislazione. Lo scopo di questi principi è di dare a ciascun individuo il controllo su ciò che accade con le proprie informazioni.
- Responsabilità – questo principio definisce che l'organizzazione è responsabile di tutte le informazioni personali sotto il suo controllo
- Identificazione delle finalità – l'organizzazione deve dichiarare il motivo per cui le informazioni personali sono necessarie prima della loro raccolta
- Consenso – qualsiasi informazione personale raccolta deve essere effettuata con il consenso significativo dell'individuo
- Limita di raccolta – devono essere raccolti solo i dati necessari e devono essere sempre corretti e leciti
- Limitare l'uso, la divulgazione e la conservazione – questo principio impone che i dati possano essere utilizzati solo per lo scopo originariamente previsto e una volta che i dati sono stati utilizzati devono essere distrutti in modo sicuro
- Precisione – tutti i dati raccolti DEVONO essere accurati, completi e il più aggiornati possibile
- Protezioni – tutti i dati raccolti devono essere protetti con un'adeguata sicurezza per salvaguardare l'integrità dei dati
- Apertura – l'organizzazione che raccoglie i dati deve pubblicare le politiche e i processi intrapresi durante la raccolta dei dati
- Accesso individuale – ogni individuo ha il diritto, su richiesta, di prendere visione dei dati in archivio e di contestarne l'esattezza
- Conformità sfidante – Un individuo può contestare l'adesione di un'organizzazione a uno qualsiasi di questi principi
Tutti questi principi si applicano quando si tratta di un'infrastruttura di hosting conforme a PIPEDA; tuttavia, il punto focale principale sono le tutele PIPEDA, perché il provider di hosting ha il controllo diretto su questi elementi
Protezioni per l'hosting di PIPEDA
Il principio delle salvaguardie dell'hosting di PIPEDA non specifica direttamente quali particolari salvaguardie di sicurezza devono essere implementate sull'infrastruttura di hosting; invece, la responsabilità è affidata al provider di hosting di "assicurarsi che protegga adeguatamente le informazioni personali sotto la sua cura man mano che le tecnologie si evolvono e quando emergono nuovi rischi".
Ciò significa che il principio delle salvaguardie è fondamentale per i provider di hosting perché gli strumenti di protezione devono essere già implementati sull'infrastruttura di hosting. È necessario creare una politica di sicurezza che comprenda la protezione di tutti i record digitali, impedendo l'alterazione o l'uso non autorizzati, l'accesso, la replica, la divulgazione, la perdita o il furto.
I metodi di protezione sono classificati in modo simile a quelli enumerati nella regola di sicurezza dell'Health Insurance Portability and Accountability Act del 1996 (HIPAA). Mentre HIPAA impone la necessità di salvaguardie tecniche, amministrative e fisiche, PIPEDA fa riferimento ai requisiti tecnici, organizzativi e fisici di protezione.
Protezioni tecniche
Le tutele tecniche si concentrano su diverse aree chiave. Crittografia è una delle misure di sicurezza più importanti in quanto protegge i dati in caso di smarrimento o furto. La crittografia consente solo a un utente autorizzato oa un sistema con una chiave privata di accedere ai dati. Se non si dispone della chiave, i dati sono codificati e impossibili da decifrare. Assicurati di scegliere un provider di hosting che crittografa in modo proattivo i dati inattivi.
Gestione dell'attività degli utenti è un'altra salvaguardia fondamentale; gli account utente devono essere protetti con password complesse a più caratteri. L'accesso ai dati deve essere controllato utilizzando il principio del privilegio minimo, il che significa che si ha accesso solo alla quantità minima di dati richiesta per completare l'attività in questione. È necessario mantenere un elenco di controllo di accesso (ACL), generalmente sotto forma di gruppi di sicurezza di Active Directory. Gli ACL concederanno l'accesso privilegiato all'utente pertinente solo in orari o geolocalizzazioni specifici.
Registrazione dettagliata dovrebbe essere abilitato in tutta l'organizzazione. La registrazione dovrebbe consentire agli amministratori di sistema di esaminare chi ha avuto accesso alle informazioni personali, quando e perché. I log possono essere inseriti in una piattaforma SIEM in grado di esaminare in modo intelligente le tendenze degli utenti nell'accesso ai dati. Gli avvisi possono essere generati da attività impreviste, come l'accesso ai dati al di fuori dell'orario lavorativo o da una persona affiliata ai dati della persona.
Allo stesso modo, Sistemi di protezione dalle intrusioni (IPS) può essere implementato in punti strategici all'interno della rete cloud per lavorare con il firewall ispezionando i pacchetti che il firewall ha già accettato come legittimi. L'IPS risiede direttamente sulla rete, proteggendo dalle vulnerabilità locali a livello hardware
Firewall di rete sono anche molto importanti. Sono progettati per proteggere intrinsecamente l'infrastruttura di rete e isolare e proteggere i sistemi PIPEDA nell'ambito di applicazione. Ciò si traduce in un ambiente gestito completamente privato. Hardware e Software Firewall sono installati strategicamente lungo il perimetro e le reti interne. Un Web Application Firewall (WAF) dovrebbe essere preso in considerazione se le organizzazioni fanno molto affidamento sui server Web. Un WAF è un dispositivo definito da criteri che protegge le applicazioni Web monitorando e filtrando il traffico tramite Network Edge Protection
Un principio chiave di PIPEDA è mantenere l'integrità dei dati personali che sono stati raccolti. Uno dei modi più semplici per raggiungere questo obiettivo è disporre di una soluzione di backup definita per la sicurezza a posto. Se i dati vengono eliminati inavvertitamente, i dati possono essere ripristinati in pochissimo tempo.
Protezioni organizzative
Le salvaguardie organizzative vengono in genere applicate attraverso l'amministrazione della conformità di un'organizzazione, comprese le procedure e i processi messi in atto dalla direzione per proteggere i dati.Programmi educativi sono una parte fondamentale di questo obiettivo. La formazione aiuta a creare una cultura della consapevolezza della privacy e può ridurre notevolmente il rischio di violazione delle regole PIPEDA. La formazione di solito si concentra sui rischi e sulle tendenze della sicurezza informatica, sulle norme sulla privacy e sulla comprensione delle sanzioni che potrebbero essere imposte all'organizzazione e all'individuo in caso di violazione dei dati.
Altre best practice interne a cui aderire sono uno schermo chiaro e una chiara politica della scrivania. Uno schermo chiaro indica che ogni volta che i membri del tuo staff lasciano le loro scrivanie per un periodo di tempo prolungato, dovrebbero disconnettersi dai loro computer e che ogni volta che se ne vanno, anche per un momento, dovrebbero bloccare i loro computer. Una politica sulla scrivania pulita impone ai dipendenti di svuotare la propria scrivania da qualsiasi materiale, inclusi supporti rimovibili, note adesive e biglietti da visita insieme a qualsiasi nota e documentazione, ogni volta che la lasciano incustodita.
Tutti i dipendenti devono essere sottoposti a controllo di sicurezza se il lavoro prevede la gestione di informazioni sensibili. La due diligence richiede controlli in background prima di consentire a qualsiasi personale di accedere ai sistemi di dati personali. Eventuali segnalazioni di ficcanaso dei dipendenti devono essere esaminate a fondo e, laddove le misure proattive falliscono, dovrebbero essere prese in considerazione azioni disciplinari.
Protezioni fisiche
La conformità a PIPEDA richiede alle società di hosting di salvaguardare fisicamente i dati personali. Il pubblico non dovrebbe essere in grado di visualizzare alcun dato riservato, quindi l'accesso a luoghi sensibili, come un data center di hosting, deve essere limitato. Scegli un provider di hosting che prenda sul serio la sicurezza del data center. Un data center dovrebbe essere un complesso intrinsecamente sicuro, monitorato 24 ore su 24, 7 giorni su 7, spesso con sicurezza personale e sorveglianza remota in loco. All'interno del data center, le stanze sono chiuse e l'accesso è controllato al personale autorizzato tramite chiavi magnetiche.
Uffici, porte e armadi devono essere tenuti chiusi a chiave. Le telecamere di sicurezza e le politiche di accesso fisico sono altri esempi di controlli fisici "ragionevoli".
Aggiornamento PIPEDA 2018
Sin dalla sua emanazione originale, PIPEDA ha imposto che ogni azienda operante in Canada debba aver implementato un programma di protezione dei dati. Il 1° novembre 2018 sono state aggiornate le norme sulla sicurezza dei dati all'interno di PIPEDA, imponendo ulteriore due diligence e rafforzando la severità delle norme.
Le aziende sono ora obbligate a controllare e gestire tutti i dati presenti nei loro sistemi e a porre adeguate restrizioni di accesso ai sistemi per salvaguardarli ragionevolmente. Le organizzazioni che gestiscono i dati dei cittadini canadesi, sia nazionali che stranieri, dovranno ora svolgere le seguenti nuove attività:
- Inviare notifiche agli utenti interessati di qualsiasi violazione della privacy che comporti un "rischio reale di danni significativi a un individuo", come una perdita finanziaria
- Segnala qualsiasi violazione della privacy all'Office of the Privacy Commissioner del Canada
- Mantieni i registri di eventuali violazioni della privacy
Le linee guida cloud dell'Ufficio del Commissario per la privacy sono state aggiornate il 14 dicembre. Queste linee guida sono specifiche per il cloud; tuttavia, si traducono bene nelle relazioni con qualsiasi provider di hosting. Le FAQ affermano che PIPEDA "non vieta il cloud computing, anche quando il provider di servizi cloud si trova in un altro paese". Quindi puoi usare il cloud – questo è molto chiaro. I parametri oltre sono i seguenti:
- Assicurati di ottenere il consenso da ogni persona
- Proteggi tutti i dati che raccogli
- Assicurati di raccogliere i dati personali per gli scopi appropriati
- Limita la raccolta di dati personali alle finalità dichiarate
- Rendi questi scopi disponibili ai tuoi utenti
- Rendi note agli utenti le tue pratiche sulla privacy
Linee guida PIPEDA specifiche per hosting e terze parti
Simile al requisito del contratto di società in affari (BAA) per la conformità HIPAA nel settore sanitario statunitense, PIPEDA impone di mantenere la responsabilità per tutti i dati ogni volta che vengono trasferiti o gestiti da terzi.
Le regole non sono così rigide come la BAA di HIPAA, che richiede un contratto. PIPEDA richiede che ogni organizzazione che utilizza una terza parte debba verificare che le protezioni dei dati siano adeguatamente attuate tramite "mezzi contrattuali o di altro tipo".
Qualsiasi organizzazione che utilizzi un provider cloud o un servizio di hosting dovrebbe verificare che il sistema mantenga le restrizioni della conformità PIPEDA, prestando particolare attenzione al linguaggio contrattuale che affronta la gestione dei dati personali.
Importanza delle relazioni con i fornitori per la continua conformità a PIPEDA
Quando i parametri di conformità diventano più rigidi, le organizzazioni si rivolgono sempre più a partner IT con competenze di nicchia nel soddisfare quei nuovi e specifici parametri normativi. Per questo motivo, e poiché il cloud computing e altri sistemi di terze parti sono diventati così comuni nel settore, è importante che le organizzazioni si preoccupino che tutti i fornitori che gestiscono i loro dati seguano le stesse linee guida.
Se stai cercando di soddisfare la conformità PIPEDA, un fornitore di terze parti può sicuramente aiutarti. Tuttavia, è fondamentale assicurarsi che l'host scelto disponga di un record conforme e sia specializzato in esso. In Atlantic.Net, il nostro hosting di conformità è certificato e verificato da revisori indipendenti di terze parti. Abbiamo oltre 25 anni di esperienza nel settore; contattaci per vedere come possiamo aiutarti.