Розуміння принципу доступу до даних «необхідність знати»

Розуміння принципу доступу до даних «необхідність знати»

Принцип доступу до даних «Необхідність знати» – це фундаментальна концепція безпеки, розроблена для обмеження доступу до конфіденційної інформації. Згідно з цим принципом, фізичним або юридичним особам надається доступ лише до тих даних, які необхідні їм для виконання конкретних завдань або ролей. Такий підхід мінімізує ризик несанкціонованого розголошення або неправильного використання даних, гарантуючи, що доступ до них можуть отримати лише ті, хто має законну та конкретну вимогу.

Ключові аспекти принципу «необхідність знати»

Обмежений доступ : Доступ до інформації обмежений для тих, кому вона потрібна для виконання їхніх посадових обов'язків, що запобігає вільному доступу до даних для всіх співробітників або користувачів. Це зменшує ризик витоку даних. Наприклад, за допомогою MyDocSafe ви можете контролювати доступ до CRM та обмежувати доступ до інформації AML/KYC за потреби.

Контроль доступу на основі ролей (RBAC) : дозволи призначаються на основі ролей в організації. Кожна роль може мати визначені обов'язки та права доступу. MyDocSafe впроваджує RBAC через розділ «ролі компанії», забезпечуючи, щоб співробітники з дотримання вимог мали доступ до контактів та інформації для перевірки ідентифікатора, але не могли запускати робочі процеси продажів або реєстрації.

Класифікація даних : Дані класифікуються за чутливістю та критичністю. Доступ до вищих рівнів класифікації мають лише ті, хто має відповідний рівень допуску. MyDocSafe розрізняє шість класифікацій даних, включаючи внутрішні дані компанії, контактну інформацію клієнтів, записи AML/KYC, підписані контракти та дані проектів.

Найменший рівень привілеїв : цей принцип гарантує, що користувачам надається мінімальний рівень доступу, необхідний для виконання їхньої роботи, обмежуючи потенційну шкоду у разі компрометації облікових даних.

Аудит та моніторинг : Регулярні аудити та моніторинг журналів доступу забезпечують дотримання принципу «Необхідність знати» та виявляють спроби несанкціонованого доступу.

Допуск та навчання : Співробітники та користувачі повинні мати необхідний дозвіл та навчання перед доступом до конфіденційної інформації, що гарантує їхнє розуміння важливості безпеки даних та пов’язаних з нею ризиків.

Принцип «Необхідність знати» має вирішальне значення для збереження конфіденційності та цілісності чутливих даних, особливо в середовищах, чутливих до безпеки, таких як військовий, урядовий, охорона здоров’я та фінансовий сектори. MyDocSafe сприяє впровадженню цього принципу через свою панель керування AML/KYC.

Приклад 1: Панель керування AML/KYC

Як відповідальний за дотримання вимог або власник бізнесу, ви маєте знати своїх клієнтів. MyDocSafe спрощує вбудовування етапів перевірки особи в робочі процеси реєстрації клієнтів або адаптації, завдяки кільком навчальним відео, доступним тут .

Раніше відстеження тестів ідентифікації та знання часу їх оновлення було складним завданням через те, що клієнти мали доступ до кількох порталів. Клієнти могли бути директорами різних компаній або учасниками різних угод чи проектів, кожен з яких мав власний робочий процес перевірки посвідчення особи. Вимога від одного й того ж директора проходити кілька тестів перевірки посвідчення особи для різних порталів була б неефективною та громіздкою.

Панель керування контактами MyDocSafe, яка слугує одночасно CRM та панеллю керування відповідності, вирішує цю проблему. Вона надає повний огляд усіх тестів на перевірку особи, ініційованих через платформу, гарантуючи, що особа не буде зобов’язана проходити кілька тестів, якщо це не є необхідним. Наприклад, може знадобитися другий тест на перевірку особи, якщо перший перевіряв лише особу, а другий вимагає підтвердження адреси та тесту на політично значущу особу (PEP).

На інформаційній панелі відображається поточний стан усіх тестів перевірки особи, пов’язуючи дані кожного тесту з даними контактного аркуша. Статус кожного тесту – «актуальний» або «термін дії минув», причому позначка «термін дії минув» встановлюється вручну або автоматично за допомогою таймера (від 0 до 24 місяців). Таблицю можна сортувати та розбивати на сторінки, що дозволяє співробітникам з питань відповідності швидко виявляти контакти, які потребують уваги.

Найважливіше те, що дані перевірки особи можна приховати від членів команди, яким доступ не потрібен, що гарантує, що всі матимуть доступ до однієї CRM, але лише певні співробітники бачать детальну інформацію про клієнта, як того вимагає добре впроваджена система захисту даних клієнтів, що базується на принципі «Необхідність знати».

Приклад № 2: Застосування принципу «Необхідність знати» до даних відділу кадрів

Ще одним важливим застосуванням принципу «Необхідність знати» є управління даними відділу кадрів (HR). Дані відділу кадрів, які включають конфіденційну інформацію, таку як особисті дані співробітників, оцінки ефективності роботи та інформація про заробітну плату, повинні бути суворо відокремлені від даних клієнтів, щоб забезпечити конфіденційність та дотримання правил захисту даних. Завдяки MyDocSafe організації можуть створювати захищені облікові записи, які відокремлюють дані відділу кадрів від даних клієнтів. Така конфігурація дозволяє різним групам користувачів отримувати доступ до певних типів даних на основі їхніх ролей та обов'язків, гарантуючи, що лише уповноважений персонал може переглядати або керувати інформацією, пов'язаною з кадрами. Однак власник облікового запису або члени правління можуть здійснювати нагляд та доступ як до даних відділу кадрів, так і до даних клієнтів, що забезпечує ефективне управління, дотримуючись при цьому суворого контролю доступу до даних. Таке розділення має вирішальне значення для підтримки цілісності даних та запобігання несанкціонованому доступу, що втілює суть принципу «Необхідність знати».

Щоб створити відділ кадрів у MyDocSafe, скористайтеся кнопкою «+» на головній сторінці: