ما يرى المدققون عندما يسألون عن ضوابط PII
خلال عملية تدقيق من سلطة إشرافية بموجب GDPR أو تقييم ISO 27001، أحد الأسئلة القياسية هو: "ما الضوابط التقنية لديك لإخفاء هوية PII؟"
يبحث المدقق عن إجابة واضحة وقابلة للدفاع: ضابط محدَّد مُطبَّق باتساق مع توثيق لكيفية عمله وأدلة على فعاليته.
الإجابة التي تخلق مخاطر الامتثال: "نستخدم أدوات مختلفة حسب السياق. للتصفح نستخدم إضافة Chrome، لمستندات Word نستخدم ماكرو، للملفات المجمَّعة فريق البيانات لديه نص Python كتبوه، وللطلبات العاجلة يستخدم أي شخص تطبيق الويب."
هذه الإجابة تُثير متابعة: "هل هذه كلها نفس الأداة؟ نفس محرك الاكتشاف؟ نفس تغطية الكيانات؟"
مشكلة اتساق التغطية
أدوات اكتشاف PII المختلفة تستخدم مناهج اكتشاف أساسية مختلفة. مشكلة الامتثال: إذا اكتشفت الأداة A تواريخ الميلاد لكن الأداة B لا تكتشفها، فإن تاريخ ميلاد موضوع البيانات نفسه في PDF مُخفى بينما في Excel ليس كذلك. لتحقيقات سلطات حماية البيانات، هذه الثغرة قابلة للاكتشاف.
مشكلة سجل التدقيق
أربعة أدوات مختلفة تنتج أربعة صيغ مختلفة لسجلات التدقيق — أو لا سجلات على الإطلاق. المعالجة من منصة واحدة تُتيح تغطية سجل تدقيق واحدة. الأدوات المتشتتة تجعل سجل التدقيق المركزي مستحيلاً.
نتيجة ISO 27001
فريق استشارات امتثال من 15 شخصاً استخدم أربعة أدوات مختلفة. أنتج تدقيق ISO 27001 نتيجة: "إجراءات إخفاء بيانات غير متسقة عبر المنصات — لا يمكن إثبات تطبيق الضابط باتساق." الإجراء التصحيحي: التوحيد على منصة إخفاء هوية واحدة. أُغلقت نتيجة ISO 27001 في عملية التدقيق التالية.
المصادر: