Data Privacy/Security - Datacamp on Data Governance

ว่าด้วยเรื่องข้อมูลส่วนตัว ในคอร์ส Data Governance

--

PREACH

P - Purpose มีจุดประสงค์อะไรในการเก็บข้อมูล

R - Right to Request - สามารคร้องขอที่จะเปลี่ยนแปลงต่าง ๆ ได้หรือไม่

E - Easy to understand - นโยบายต่อการเก็บข้อมูล ง่ายต่อการเข้าใจหรือไม่ และมีความโปร่งใสไหม

A - Alerting - จะมีการแจ้งเตือนไหม เมื่อข้อมูลถูกนำไปใช้ในทางที่มิชอบ หรือถูกขโมย

C - Consent - มีการขอความยินยอมหรือไม่ในการเก็บข้อมูลเพื่อนำไปใช้

H - How - จะมีการเก็บขอมูลเอาไปใช้ทำอะไรต่อ

--

Security ถือว่าเป็น precursor ของ data privacy -- เป็นการปกป้องข้อมูล

CIA Triad breakdown

- Confidentiality -- ข้อมูลได้รับการป้องกันอย่างไร

    - Identity access management - คือ มีการควบคุมการเข้าถึง

- Integrity -- ข้อมูลไม่มีการเปลี่ยแปลงโดยที่ไม่คาดหมาย

    - encryption - เป็นการเข้ารหัสข้อมูลเพื่อให้อยู่ในรูปที่อ่านไม่ได้ เช่น midnight -- Ydonrjdj

    - hasing - เป็นการเปลี่ยข้อมูลไปเป็น standardized algorithmic output เช่น https communications

- Availability -- ระบบสามารถเข้าถึงได้ตลอดเวลา

    - Business continuity and disaster recovery (BCDR) - เป็นกระบวนการ/นโยบาย/และคน ที่ใช้เพื่อให้กิจกรรมเกิดขึ้นต่อไปได้ เมื่อเกิดเหตุไม่คาดฝัน เช่น  การเกิดน้ำท่วมที่ data center ทำให้ไม่สามารถเข้าถึงข้อมูลบางอย่างได้ แต่ด้วยแพลนดังกล่าว ทำให้มีการ back up ข้อมูล และ reroute ไปยังแหล่งข้อมูลที่สำรองไว้ และสามารถดำเนินการต่อได้

Privacy by Design principles

1. Proactive

2. Privacy as the default setting

3. Privacy embedded into design

4. No loss in functionality

5. End-to-end security

6. Visibility and transparency

7. Respect for user privacy -keep it user-centric

Data classification แนะนำให้คิดล่วงหน้า เพราะข้อมูลอาจจะเยอะ และต้องมีการพิจารณาเรื่องความเสี่ยงร่วมด้วย

- What type/Where/How is it used

- Tools:

    - tag, schemas, scanners

    - goal - scalability and automation 

De-identification

-  Psuedomyzation

    - Using false name; can be reversible with key

- Anonymization

    - Irreversible state change

    - Removal of personal data

Data lifecycle management (DLM)

Creation and Collection (need standardize way to collect for post processing) -- > Storage -- > Usage and Processing (Strict controls - protect/log/audit)-- > Achival (Storage for long-term but must compile with policy) -- > Deletion and Destruction -- > Go To Creation + Collection

Privacy Law

jAsper - to be easy to remember

HIPAA

- jurification -- USA

- author (creator) + aim -- Congress + Protecting sensitive patient healthcare information and prevent unauthorized disclosure

- scope -- organizations that store, process, or trans PHI

- penalty -- crimincal and cicil penalties

- enforcement -- office of civil rights

- requirements -- 5 Rules

--

• Shifting Left: You explored the concept of shifting left in the software development lifecycle, which means implementing privacy controls at the beginning rather than at the end. This proactive approach is encouraged by the Privacy by Design framework.

• Bleeding-Edge Technology: You understood that bleeding-edge technology refers to the latest, most advanced technology that can drive innovation but also comes with unique challenges due to the lack of established best practices and experts.

• Public Cloud: You learned that public cloud services, provided by companies like Google Cloud Platform, Amazon Web Services, and Azure, offer scalable resources and reduce hardware costs. However, they require new security and privacy controls and trained personnel to manage these environments.

• Blockchain: You delved into blockchain technology, which uses a distributed ledger to record transactions. Blockchain's immutability and transparency are beneficial, but it poses privacy challenges, such as the inability to delete data and the lag in regulatory compliance.