Vì sao doanh nghiệp cần quan tâm đúng mức tới việc hủy dữ liệu an toàn?

2022-11-07 Hủy dữ liệu

Nhiều người gọi dữ liệu là một dạng vàng kỹ thuật số. Lưu trữ thông tin đã trở thành một con dao hai lưỡi đối với nhiều tổ chức khi phải cân bằng giá trị của dữ liệu với trách nhiệm pháp lý tiềm ẩn. Hai trường hợp gần đây cho thấy việc lưu trữ thông tin không đúng cách và thực hiện hủy dữ liệu doanh nghiệp kém đã dẫn đến một vụ kiện tốn kém và một khoản tiền phạt đáng kể.

 

hủy-dữ-liệu

 

Vi phạm làm lộ thông tin nhận dạng cá nhân của khách hàng của hiệp hội ở New Zealand

Tháng 3 năm nay, một hiệp hội du lịch có trụ sở tại New Zealand thông báo họ bị thiệt hại vì một vụ vi phạm dữ liệu lớn vào tháng 8 năm 2021. Vi phạm đó đã làm lộ thông tin nhận dạng cá nhân (Personally Identifiable Information – PII) của hàng trăm nghìn khách hàng được thu thập trong 15 năm.

Thông tin bị đánh cắp bao gồm tên, địa chỉ, thông tin liên hệ và số thẻ tín dụng đã hết hạn từ một bộ phận của hiệp hội đã ngừng hoạt động vào năm 2018.

Thay vì xóa dữ liệu không còn cần thiết, hiệp hội đã lưu giữ thông tin khách hàng trên các máy chủ được kết nối. Nếu công ty đã tuân theo các phương pháp làm sạch dữ liệuhủy dữ liệu an toàn vĩnh viễn cho thông tin không cần thiết, thì công ty đã tránh được tình trạng này. Các giám đốc điều hành của công ty đã thừa nhận điều này và Ủy viên hội đồng Quyền riêng tư của New Zealand, Liz Macpherson cũng đã xác nhận.

Bà nói: “Các công ty cần có chính sách xem xét để xác định xem dữ liệu được lưu trữ có cần thiết hay không”, đồng thời cho biết thêm các doanh nghiệp phải giảm thiểu việc thu thập dữ liệu.

Thu thập quá nhiều dữ liệu — và hủy dữ liệu không đúng cách — tạo cơ hội cho những kẻ xấu tạo ra danh tính.

 

Vi phạm quy định chung về bảo vệ dữ liệu của EU (General Data Protection Regulation – GDPR) mang đến  khoản tiền phạt nặng nề cho tổ chức tài chính Đan Mạch

Một ngân hàng Đan Mạch đã bị phạt 1,5 triệu USD (~1,3 triệu euro) vì không tuân thủ các nguyên tắc về “quyền xóa bỏ” trong GDPR của Liên minh Châu Âu.

GDPR yêu cầu nhà cung cấp dịch vụ xóa dữ liệu cá nhân khi dịch vụ kết thúc hoặc các thỏa thuận pháp lý hết hạn. Tuy nhiên, những phát hiện quan trọng của Cơ quan Giám sát Đan Mạch cho thấy ngân hàng “không thể ghi nhận lại liệu các quy tắc đã được đặt ra đối với việc xóa và lưu trữ dữ liệu cá nhân hay việc xóa thủ công dữ liệu cá nhân đã được thực hiện hay chưa”.

Dù không có vi phạm thông tin nhưng ngân hàng đã giữ dữ liệu khách hàng lâu hơn quy định cho phép. Ngân hàng phải đối mặt với một thách thức mà nhiều tổ chức gặp phải: Một mạng lưới hệ thống công nghệ phân tán khổng lồ gây khó khăn cho việc xây dựng các chức năng phù hợp. Tổ chức nhận thấy hơn 400 ngân hàng tư nhân không có khả năng đáp ứng nhu cầu phá hủy dữ liệu của mình. Các ngân hàng này xử lý dữ liệu cá nhân của hàng triệu người.

 

GDPR

 

Tại sao các tổ chức lưu giữ dữ liệu quá lâu?

Các công ty lưu giữ dữ liệu nhạy cảm quá lâu vì nhiều lý do. Họ có thể muốn giữ lại dữ liệu để sử dụng trong tương lai, ngay cả khi họ vẫn không chắc chắn dữ liệu đó cụ thể ra sao. Một số công ty thiếu phần mềm xóa dữ liệu hoặc không quen với các quy trình thích hợp để hủy dữ liệu đúng cách. Những người khác tin rằng dữ liệu sẽ vẫn an toàn.

 

Việc giữ lại những dữ liệu không cần thiết sẽ để lại hậu quả

Việc lưu giữ dữ liệu cũ hơn sẽ tạo ra những rủi ro không đáng có. Báo cáo Vi phạm Dữ liệu Hàng năm của IBM cho thấy vi phạm trung bình trị giá 4,35 triệu đô la vào năm 2022, tăng 2,6% so với năm 2021 và 12,7% so với năm 2020. Mọi dữ liệu không cần thiết không được loại bỏ chính xác khỏi mạng lưu trữ hoặc mạng trực tuyến vẫn có thể bị vi phạm. Ngay cả dữ liệu được lưu trữ trên các máy chủ trung tâm dữ liệu bị ngắt kết nối và các thiết bị di động ngừng hoạt động cũng có thể được truy cập trong một số trường hợp nhất định.

Ngoài các vụ rò rỉ dữ liệu, vi phạm GDPR cũng có thể khiến doanh nghiệp, tổ chức bị phạt. Các khoản tiền phạt này có thể lên đến 20 triệu Euro hoặc 4% doanh thu hàng năm của công ty trên toàn thế giới từ năm tài chính trước đó, tùy theo số tiền nào cao hơn.

Thay vì chấp nhận những rủi ro này, các tổ chức cần một quy trình chủ động, có thể xác minh và được chứng nhận để hủy vĩnh viễn dữ liệu không cần thiết. Làm như vậy có thể đảm bảo dữ liệu này không thể truy cập được, giảm rủi ro, duy trì sự tin tưởng của khách hàng, tránh các khoản tiền phạt có thể xảy ra và hạn chế khả năng vi phạm. Việc hủy dữ liệu như vậy cũng đảm bảo rằng một tổ chức tuân thủ tất cả các quy định của quốc gia, khu vực và thị trường cụ thể.

 

Các phương pháp tốt nhất về hủy dữ liệu doanh nghiệp

Sự phát triển của luật bảo mật dữ liệu sẽ cung cấp khuôn khổ cho nhiều tổ chức để quản lý dữ liệu quan trọng. GDPR có lẽ đã trở nên phổ biến nhất, nhưng hơn 100 quốc gia cũng có những luật cụ thể mà các tổ chức phải tuân theo.

Tuân theo tinh thần của các quy định như GDPR có thể là một hướng dẫn đáng tin cậy. Chúng có thể củng cố cách doanh nghiệp bảo vệ dữ liệu kinh doanh nhạy cảm và thông tin của khách hàng. Điều này đặc biệt đúng đối với các tổ chức không có các quy định dành riêng cho ngành như các dịch vụ thẻ thanh toán, bảo hiểm hay y tế công.

Ngoài những quy định này, hãy thường xuyên kiểm tra dữ liệu để xác định những gì không còn giá trị. Dữ liệu trùng lặp, thông tin khách hàng đã lỗi thời, thông tin đã qua ngày lưu giữ bắt buộc hoặc thông tin liên quan đến một liên doanh kinh doanh không còn tồn tại sẽ là những đối tượng hàng đầu cần phải xóa bỏ. Một nghiên cứu mang tính bước ngoặt cho thấy 85% dữ liệu có thể đã lỗi thời.

Tận dụng các phương pháp hủy dữ liệu được chứng nhận, có thể mở rộng để đảm bảo dữ liệu bị hủy vĩnh viễn, ngay cả trên các mạng lưới phức tạp, sau khi bạn xác định dữ liệu nào không còn cần thiết nữa. Không làm như vậy có thể mang lại thêm trách nhiệm pháp lý, rủi ro và căng thẳng không đáng có cho doanh nghiệp, tổ chức.

Nguồn: https://www.blancco.com/resources/blog-examples-show-the-need-for-enterprise-data-erasure/

HTI Services cung cấp dịch vụ hủy dữ liệu an toàn và vĩnh viễn một cách linh hoạt với các loại thiết bị lưu trữ khác nhau, tại các địa điểm theo yêu cầu của khách hàng, giúp đảm bảo an toàn thông tin, tối ưu hóa thiết bị lưu trữ.

Liên hệ với chúng tôi để được tư vấn các dịch vụ phù hợp nhất.

Từ khóa:

Chia sẻ:

Bài viết liên quan

hủy dữ liệu
26Oct

Hủy dữ liệu an toàn: Đâu là phương pháp phù hợp?

Mọi thiết bị lưu trữ dữ liệu đều có “tuổi thọ” nhất định và sẽ đến lúc phải ngừng... read more

huy-du-lieu-o-cung-bang-phuong-phap-khu-tu
24Sep

Hủy dữ liệu ổ cứng vĩnh viễn và an toàn bằng phương pháp khử từ

Dữ liệu của mỗi tổ chức là vô giá. Bảo mật dữ liệu luôn là vấn đề nhạy cảm... read more

ProDevice ASM120
12May

Hủy dữ liệu ổ cứng an toàn với ProDevice ASM120

ProDevice ASM120 là thiết bị khử từ đầu tiên trên thế giới, hoạt động trên cơ sở công nghệ... read more

NIST 800-88
01Feb

Tìm hiểu về tiêu chuẩn hủy dữ liệu an toàn HTI Services đang áp dụng: NIST 800-88r1

NIST 800-88 là danh mục các tiêu chuẩn cho việc Xóa, Làm sạch và Phá hủy dữ liệu điện... read more

hủy dữ liệu an toàn
03Jan

Bảng giá Dịch vụ hủy dữ liệu an toàn tại HTI Services

HTI Services cung cấp các dịch vụ hủy dữ liệu an toàn và vĩnh viễn một cách linh hoạt với các... read more

Hotline
092 876 5688