التحضير لمعرفة كيف يمكن أن يكون الناتج المحلي الإجمالي مفيدًا للأعمال

نشرت: 2018-05-24

الخصوصية وحماية البيانات ليست مجرد كلمات طنانة. إنها مخاوف المستهلكين الجادة التي يقودها عدد متزايد من خروقات البيانات وتهديدات الأمن السيبراني - والتي تؤدي بعد ذلك إلى تعريض المعلومات الشخصية للمستهلكين للخطر وتقويض ثقة المستهلك.

وفقًا لمسح خصوصية وأمان البيانات الذي أجرته RSA ، والذي شمل 7500 شخصًا في خمس دول ، أفاد المستهلكون أنهم يولون اهتمامًا أكبر للانتهاكات الأمنية عبر الإنترنت. وهم يحاسبون الشركات عندما تُسرق معلوماتهم.

فيما يلي نتيجتان رئيسيتان من هذا الاستطلاع:

  • 73٪ من المستجيبين أكثر وعيًا بانتهاكات البيانات عما كان عليه الحال قبل خمس سنوات.
  • قال 62 في المائة إنهم سيلومون الشركة التي فقدت بياناتها قبل إلقاء اللوم على المتسللين.

في جميع المجالات ، يُظهر المستهلكون أنهم أصبحوا أكثر حماية لخصوصيتهم الرقمية. تذكر أن خرق بيانات المستهلك لا يجب أن يستتبع سرقة مع سبق الإصرار أو انتهاك جماعي للمعلومات الخاصة. عندما يشتري طرف ثالث قائمة بمشتركي البريد الإلكتروني لشركة ما ، ثم يرسل رسائل بريد إلكتروني غير مرغوب فيها إلى تلك القائمة ، يمكن أن يشكل ذلك أيضًا خرقًا للبيانات.

لا تتوافق أي من هذه الأنشطة جيدًا مع المستهلكين ، وتجبر مشاعر المستهلكين هذه الشركات على إعادة التفكير في كيفية حماية بيانات المستهلك عبر الإنترنت.

تجبر هذه المشاعر الحكومات أيضًا على اتباع نهج أكثر نشاطًا في تنظيم حماية معلومات المستهلك. بدأت بعض الحكومات في سن قوانين تمنح المستهلكين ملكية أكبر لبياناتهم ، بغض النظر عمن يخزن تلك البيانات.

أحد هذه اللوائح هو اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR) ، والتي تدخل حيز التنفيذ في 25 مايو 2018. يمثل معيار حماية البيانات هذا - المصمم لتمكين المستهلكين حتى يتمكنوا من منح أو حجب الموافقة بشأن من يمكنه الوصول إلى بياناتهم - تحديات خطيرة لشركات التجارة الإلكترونية.

لكنه تحد يجب أن ترحب به الشركات كفرصة لإقامة علاقات أفضل مع المستهلكين.

إذا كان من المرجح أن يلقي المستهلكون باللوم على شركة ما بسبب انتهاكات البيانات ، فقد يكونون أكثر ميلًا إلى الثناء على الشركة التي تعمل معهم لحماية بياناتهم. لذلك ، سيكون من الحكمة أن تُظهر المؤسسات أنها تريد حماية عملائها من خلال العمل بسرعة من أجل الامتثال للقانون العام لحماية البيانات (GDPR).

نطاق اللائحة العامة لحماية البيانات

تعمل اللائحة العامة لحماية البيانات على توحيد قوانين حماية البيانات في جميع الدول الأعضاء البالغ عددها 28 دولة في الاتحاد الأوروبي. الهدف الرئيسي من اللائحة هو إنشاء حماية أكثر اتساقًا لبيانات المستهلك عبر دول الاتحاد الأوروبي.

اللائحة العامة لحماية البيانات هي لائحة شاملة للغاية ، تحتوي على أكثر من 200 صفحة وأكثر من 90 مقالاً. يحدد Nate Lord من Digital Guardian بعض المتطلبات الرئيسية للائحة العامة لحماية البيانات التي سيكون لها تأثير كبير على الشركات:

  • الموافقة على معالجة البيانات
  • بيانات مجهولة المصدر وشفافة
  • إخطارات خروقات البيانات
  • الحق في المحو
  • ضباط حماية البيانات
  • عقوبات عدم الامتثال

كما تلاحظ MarTech Today ، تفرض حماية اللائحة العامة لحماية البيانات (GDPR) عمليات واتصالات واضحة وموجزة ، والتي تتم بموافقة صريحة وإيجابية من المستهلكين. لتحقيق هذه الغاية ، يحمي القانون العام لحماية البيانات أي معلومات يمكن استخدامها لتحديد هوية الفرد بشكل مباشر أو غير مباشر. يتضمن ذلك معلومات التعريف الأساسية وبيانات الويب والبيانات الصحية والبيانات العرقية والآراء السياسية.

لكي تكون متوافقة مع القانون العام لحماية البيانات (GDPR) ، يجب على الشركات التعامل مع أي بيانات شخصية للمستهلكين بعناية وتزويد المستهلكين بطرق مختلفة للتحكم في معلوماتهم ومراقبتها وحذفها إذا اختاروا ذلك.

ينطبق القانون العام لحماية البيانات (GDPR) على مجموعتين أساسيتين من الكيانات:

  • الشركات الموجودة في الاتحاد الأوروبي
  • الشركات غير الموجودة في الاتحاد الأوروبي والتي تقدم سلعًا أو خدمات مجانية أو مدفوعة ، أو التي تراقب سلوك المقيمين في الاتحاد الأوروبي

لذلك ، حتى بالنسبة لشركات التجارة الإلكترونية التي تتخذ من الولايات المتحدة مقراً لها والتي تبيع في المقام الأول للمستهلكين الأمريكيين ، فإن شيئًا بسيطًا مثل حملة إعادة توجيه AdWords يمكن أن يكون مؤهلاً لمراقبة سلوك المقيمين في الاتحاد الأوروبي.

بالنسبة لشركات التجارة الإلكترونية خارج الاتحاد الأوروبي ، هناك خياران: الحصول على التوافق مع اللائحة العامة لحماية البيانات (GDPR) أو فقد الوصول تمامًا إلى سوق المستهلك في الاتحاد الأوروبي.

الخيار الثاني سيكون مرهقًا وقصير النظر. فكر فقط في مقدار العمل الذي قد يتطلبه الأمر لمنع مواطني الاتحاد الأوروبي من التسوق عبر النوافذ على موقعك.

بدلاً من ذلك ، تتمثل الخطوة الذكية في التوافق مع القانون العام لحماية البيانات (GDPR) - وبالتالي تلبية متطلبات المستهلكين الذين تقوم بالتسويق والبيع لهم.

لماذا تعتبر اللائحة العامة لحماية البيانات (GDPR) جيدة للتجارة الإلكترونية

يقول كريس لاهيري ، المؤسس المشارك وكبير مسؤولي الأمن في Egnyte ، إن القانون العام لحماية البيانات يمنح المستهلكين قدرًا أكبر من التحكم في البيانات التي عهدوا بها إلى الشركات.

الفكرة الرئيسية هنا هي "الثقة": تعتزم اللائحة العامة لحماية البيانات وضع قواعد أساسية جديدة للعلاقات بين الشركات والمستهلكين ، وفي هذا المشهد الجديد ، سيعتمد نجاح المبيعات المباشرة إلى المستهلك على قدرة بائع التجزئة على إثبات الجدارة بالثقة. كما رأينا ، يجادل ما يقرب من ثلثي المستهلكين بأن مسؤولية حماية البيانات تقع على عاتق الشركة التي تجمعها. من خلال أخذ هذه المسؤولية بجدية كما يتطلب القانون ، يمكن لتجار التجزئة عبر الإنترنت إثبات مصداقيتهم للمستهلكين.

مرة أخرى ، القانون العام لحماية البيانات ليس مجرد مقياس لأمن البيانات. هذا قانون تقدمي يجبر الشركات على احترام حقوق المستهلكين في الاتحاد الأوروبي في ملكية بياناتهم الخاصة. ينص هذا القانون ، من بين أشياء أخرى ، على حق مواطن الاتحاد الأوروبي في عدم استهدافه برسائل تسويقية دون الاشتراك أولاً في تلك المحادثة.

في صناعات مثل التجارة الإلكترونية ، حيث يجب كسب ولاء المستهلك بمرور الوقت ، فإن احترام حق المستهلك في الخصوصية ليس مجرد أمر جيد.

إنها عنصر أساسي من عناصر الثقة.

تحليل الأرقام: حالة العمل لتكون استباقيًا بشأن الامتثال

من المحتمل أن يكون عبء العمل على الشركات لتصبح متوافقة ثقيلًا ، اعتمادًا على الهياكل والعمليات الأمنية الحالية للمؤسسة ، ومدى اختلافها عن اللائحة العامة لحماية البيانات. الامتثال للائحة العامة لحماية البيانات (GDPR) أيضًا من المحتمل أن يكون مكلفًا للغاية بالنسبة للشركات. وفقًا لمسح Propeller Insights من مارس 2018 ، تخطط 36 بالمائة من الشركات لإنفاق ما بين 50000 دولار و 100000 دولار على جهود الامتثال للائحة العامة لحماية البيانات. 24 في المائة أخرى سينفقون ما بين 100000 دولار ومليون دولار.

لكن هذه الاستثمارات النقدية قد تتضاءل مقارنة بخسارة الأعمال إذا فقد المستهلكون ثقتهم في مؤسسة ما. إن حماية خصوصيتهم عبر الإنترنت أمر بالغ الأهمية للمستهلكين ، ولديهم القدرة على إلحاق الضرر بالشركات التي لا تفعل ما يكفي لحمايتهم.

في إطار بذل الجهود للامتثال للائحة العامة لحماية البيانات ، يمكن للمؤسسات تحويل التنظيم إلى ممارسات تجارية سليمة يمكن استخدامها لبناء علاقات أفضل مع المستهلكين.

أيضًا ، من منظور الأعمال التجارية ، فإن استثمار الوقت والمال مقدمًا للامتثال يمكن أن يوفر أموال الشركات على المدى الطويل عن طريق منع الانتهاكات المكلفة. وفقًا لدراسة تكلفة خرق البيانات لعام 2017 التي أجراها معهد Ponemon ، يبلغ متوسط ​​تكلفة خرق البيانات 3.62 مليون دولار. هذا مبلغ كبير من المال لسبب يمكن الوقاية منه.

من خلال تنفيذ المتطلبات الأمنية للائحة العامة لحماية البيانات (GDPR) ، قد تنفق الشركات مبلغًا مكونًا من خمسة أرقام الآن لتجنب الاضطرار إلى دفع مبلغ مكون من سبعة أرقام لاحقًا.

كيفية التحضير للامتثال للائحة العامة لحماية البيانات (GDPR)

يختلف التحضير للائحة العامة لحماية البيانات باختلاف المنظمة ، ولكن فيما يلي بعض الخطوات الأساسية التي يمكن لشركات التجارة الإلكترونية اتخاذها للتحرك في الاتجاه الصحيح.

1. إشراك جميع أصحاب المصلحة

أول شيء يجب فعله هو إنشاء فريق عمل خاص باللائحة العامة لحماية البيانات (GDPR) يضم أعضاء الفريق من كل مستوى من مستويات المؤسسة. يجب تضمين أي مجموعة داخل الشركة تجمع بيانات المستهلك أو تحللها أو تعالجها أو تتفاعل معها بطريقة أخرى. يمكن لأعضاء الفريق هؤلاء بسهولة مشاركة أي معلومات يمكن أن تكون مفيدة في تنفيذ التغييرات اللازمة للامتثال للائحة العامة لحماية البيانات ، وكذلك التعامل مع التأثير على فرقهم المعنية.

لتحفيز فريق العمل ، يشجع Peter Beshar من Marsh & McLennan الشركات على وضع نغمة من الوعي والإلحاح على المستوى التنفيذي والتي تتدفق عبر المنظمة وتعزز أهمية الامتثال.

إضفاء الطابع الشخصي على اللائحة لمزيد من التأثير. لا أحد يريد معلوماتهم الخاصة للخطر. استخدم هذه الزاوية عند التأكيد على أهمية الامتثال. من خلال جعلها شخصية ، فإن أعضاء فريقك سيفهمون بشكل أفضل قيمة العمل المطلوب القيام به لجعل المنظمة متوافقة.

اللائحة العامة لحماية البيانات (GDPR) واسعة النطاق. يحتاج جميع أصحاب المصلحة إلى التدريب على متطلبات اللائحة العامة لحماية البيانات (GDPR) ، والتي تتضمن تطوير دورات تدريبية ، وتوفير موارد إعلامية والتشاور مع الموظفين على أساس منتظم ، كما يوضح David Lat ، المحرر المؤسس لـ Above the Law. من الأهمية بمكان أن يتم تقديم المعلومات بطريقة يمكن للجميع فهم المواد واستيعابها ، لذا يمكن أن تكون العناصر المرئية مثل الملصقات ومقاطع الفيديو أدوات رائعة لشرح تعقيدات اللائحة العامة لحماية البيانات.

2. تنفيذ أداة SIEM

يتطلب القانون العام لحماية البيانات (GDPR) من المتحكمين تتبع وتسجيل جميع أنشطة المعالجة الواقعة ضمن مسؤولياتهم ، وتستخدم معظم المؤسسات أداة معلومات الأمان وإدارة الأحداث (SIEM) للقيام بذلك ، كما يشير Javvad Malik ، محامي الأمن في شركة أمن المعلومات AlienVault.

تجمع أداة SIEM البيانات من شبكة من أنظمة الأجهزة والبرامج وتحلل البيانات في الوقت الفعلي لربط الأحداث وتحديد الانحرافات أو أنماط السلوك التي يمكن أن تشير إلى خرق أمني ، كما يوضح كاتب التكنولوجيا Paul Rubens في تقرير لـ eSecurity Planet. تدير أدوات SIEM سجلات الأمان عبر أجهزة مختلفة ، واكتشاف التهديدات ، ومنع الانتهاكات واكتشافها ، وتوفير أدلة جنائية لتحديد كيفية حدوث حدث أمني وتأثيره المحتمل ، يلاحظ روبنز.

قبل تنفيذ أداة SIEM ، تأكد من إنشاء جرد لجميع الأصول الهامة التي يمكنها الوصول إلى المعلومات الشخصية للمستهلكين ، يقترح مالك. ولا تنس تضمين الأجهزة المحمولة في المخزون. أظهر استطلاع أجرته شركة Lookout، Inc. لأمن الأجهزة المحمولة أن 63 بالمائة من موظفي المؤسسة يصلون إلى بيانات العملاء والشركاء والموظفين أثناء استخدامهم لجهاز محمول.

تضمن معرفة هذه المعلومات تضمين جميع الأنظمة الضرورية لجمع البيانات بواسطة نظام SIEM.

3. إجراء تقييمات المخاطر

بمعنى واسع جدًا ، تتطلب لوائح الناتج المحلي الإجمالي من الشركات تنفيذ تدابير أمنية مناسبة للمخاطر التي تواجه أنظمتها. لا تحدد اللوائح المخاطر عن قصد ، وتترك الأمر للمؤسسة لتحديد أفضل السبل للتعامل مع المخاطر وتحقيق الامتثال للائحة العامة لحماية البيانات (GDPR).

يشمل التقييم الشامل للمخاطر كلاً من تحديد المخاطر ووضع خطط التخفيف لمكافحة تلك المخاطر المحددة. يقترح مات ميدلتون ليل ، المدير العام لأوروبا والشرق الأوسط وإفريقيا في شركة Netwrix للأمن السيبراني والامتثال ، بضع خطوات للشركات في جهودها لإجراء تقييمات المخاطر:

  • راجع معايير الامتثال البديلة للإلهام (مثل PCI و DSS).
  • تصنيف البيانات بحيث يعرف الجميع ويفهم جميع نقاط البيانات وحساسيتها.
  • تحديد مخاطر معينة ووزنها على نسبة المخاطر / الفوائد.
  • تقييم بشكل مستمر.

من الأفضل التشاور مع فريقك القانوني طوال عملية الامتثال للائحة العامة لحماية البيانات بالكامل ، ولكن هذه الخطوة على وجه الخصوص هي الخطوة التي يمكن أن يكون فيها القانون شريكًا مهمًا. يمكن أن تساعد الشؤون القانونية في توجيه تقييم المخاطر الخاص بك ، والمساعدة في التخطيط المستمر والتحقق باستمرار من امتثالك.

4. تطبيق ضوابط الكشف عن التهديدات

يتطلب القانون العام لحماية البيانات (GDPR) من الشركات الإبلاغ عن الانتهاكات الأمنية في غضون 72 ساعة. من أجل تلبية هذا الطلب ، يجب أن يكون لدى المؤسسات ضوابط الكشف عن التهديدات المناسبة لتشغيل تنبيهات فورية عند حدوث خرق. يجب أن تكون الضوابط كافية للسماح بالاستجابة خلال تلك النافذة الزمنية الصغيرة.

تقترح سارة بان من شركة Imperva لأمن البيانات طرح أسئلة مثل:

  • "من الذي يصل إلى البيانات؟"
  • "هل الوصول مناسب للمستخدم؟"
  • "كيف نحقق أسرع استجابة للحوادث؟"

لا يعد اكتشاف التهديدات عملية ضبطها ونسيانها. يتطلب الأمر مراقبة مستمرة للتهديدات الداخلية والخارجية ، لذلك من المهم للشركات أيضًا إعداد عمليات للتقييمات المستمرة ولديها خطة مفصلة للاستجابة للحوادث. تحتاج خطة الاستجابة إلى التركيز على التحقيق في الحادث لتحديد المصدر وعملية احتوائه.

من خلال اختبار هذه العمليات والخطط بانتظام ، تكون الشركات في وضع أفضل للاستجابة للتهديدات والهجمات بطريقة متوافقة مع القانون العام لحماية البيانات (GDPR).

هذه فرصة لدعم حماية بيانات المستهلك

تخطط اللائحة العامة لحماية البيانات (GDPR) لفرض عقوبات مالية على الشركات غير الممتثلة اعتبارًا من 25 مايو 2018. هناك مستويان من الغرامات التي يجب أن تكون المنظمات على دراية بها ، ويتم شرحهما بمزيد من التفصيل على GDPREU.org.

  • المستوى الأدنى: ما يصل إلى 10 ملايين يورو أو 2 في المائة من الإيرادات السنوية العالمية للسنة المالية السابقة ، أيهما أعلى.
  • المستوى الأعلى: ما يصل إلى 20 مليون يورو أو 4 في المائة من الإيرادات السنوية العالمية للسنة المالية السابقة ، أيهما أعلى.

على الرغم من أن الغرامات باهظة ، إلا أن تركيز الشركات يجب أن يكون أكثر على تنفيذ العمليات المناسبة لضمان حماية البيانات والخصوصية ، وليس اتباع طرق مختصرة فقط لتجنب العقوبات. من خلال محاولة التحايل على العمليات لمجرد تجنب الغرامات ، تخاطر المنظمات ليس فقط بالوكالات التنظيمية ، بل غضب المستهلكين الذين يبقونها في العمل. لم يتم تمرير اللائحة العامة لحماية البيانات لمعاقبة الشركات ، ولكن لحماية المستهلكين.

مع وضع هذا الهدف في الاعتبار ، يجب أن يكون لدى المؤسسات الدافع لإظهار للمستهلكين أنهم مهتمون بحماية المعلومات الخاصة ومستعدون لوضع تدابير أمنية في مكانها تضع مصالح المستهلكين في الصميم. كل الطاقة والموارد التي يتم إنفاقها على الامتثال ستؤتي ثمارها عندما يكون المستهلكون أكثر استعدادًا للقيام بأعمال تجارية مع الشركات التي يثقون بها.

لكن الأمر سيستغرق جهودًا مكرسة من قبل الشركات. مع اقتراب الموعد النهائي في 25 مايو ، تحتاج المؤسسات إلى السعي بنشاط إلى الامتثال للائحة العامة لحماية البيانات (GDPR).

إخلاء المسؤولية: لا يشكل هذا المنشور أي نوع من المشورة القانونية ويجب ألا يمنعك من الحصول على مشورتك القانونية من محامٍ مؤهل. بالإضافة إلى ذلك ، هذه المقالة ليست وثيقة ملزمة قانونًا وليست للتنفيذ. المحتوى الوارد في هذه المقالة عرضة للتغيير ولا يعكس في مجمله المتطلبات بموجب التشريعات المعمول بها. عند تقديم هذا المنشور ، لا تقدم Scalefast أي تعهد بأنها ستنفذ أي مستند ملزم قانونًا وتحتفظ بالحق في الانسحاب من المناقشات دون تحمل أي نوع من المسؤولية في أي وقت.

الصور عن طريق: Comfreak و rawpixel.com و Free-Photos