SOP Data Masking

1. Tujuan link

Tujuan dari kebijakan data masking adalah untuk melindungi privasi, mengurangi risiko pelanggaran data dan mematuhi regulasi yang berkaitan dengan perlindungan data.

2. Ruang lingkup link

Ruang lingkup kebijakan data masking mencakup berbagai aspek yang terkait dengan praktik penyembunyian atau transformasi data sensitif dalam lingkungan teknologii informasi. Ini melibatkan langkah-langkah untuk melindungi privasi, mencegah akses tidak sah dan mengurangi risiko pelanggaran data saat data sensitif digunakan atau dibagi dalam skenario tertentu.

3. Tanggung jawab link

Developer bertanggung jawab atas penerapan prosedur ini.

4. Definisi link

4.1 Data masking adalah teknik atau praktik kdalam dunia teknologi informasi yang melibatkan penyembunyian atau transformasi data sensitif dengan tujuan melindungi privasi dan keamanan data.

4.2 Data sensitif adalah data yang memiliki nilai tinggi bagi perusahaan, dan jika jatuh ke tangan yang salah dapat menyebabkan kerugian finansial, reputasional dan hukum.

5. Referensi link

ISO/IEC 27001:2022 A.8.11 Data Masking

6. Prosedur link

6.1 Penggunaan Berdasarkan Kebijakan Spesifik Perusahaan link

Penggunaan data masking harus selalu berdasarkan pada kebijakan spesifik perusahaan terkait kontrol akses dan kebijkan khusus topik terkait lainnya. Setiap tindakan data masking harus sesuai dengan prosedur dan pedoman yang ditetapkan oleh perusahaan.

6.2 Kepatuhan Hukum dan Persyaratan Bisnis link

Seluruh kegiatan data masking harus mematuhi undang-undang yang berlaku dan persyaratn bisnis yang relevan. Data masking gtidak boleh melanggar peraturan hukum dan regulasi yang mengatur privasi dan keamanan data, termasuk tetapi tidak terbatas pada undang-undang data perlindungan pribadi.

6.3 Personel yang Terlibat link

Personel yang terlibat dalam kegiatan data masking harus memiliki pemahaman yang baik tentang metode masking yang digunakan, serta kebijkan dan prosedur yang terkait. Mereka wajib menjalankan tugas-tugas ini dengan integritas, tanggung jawab dan mengikuti prinsip-prinsip keamanan yang telah ditetapkan.

6.4 Identifikasi Data Sensitif link

6.4.1 Data masking hanya boleh digunakan untuk melindungi data yang benar-benar sensistif.

6.4.2 Data masking hanya boleh digunakan sejauh yang diperlukan untuk melindungi data yang sensitif.

6.4.3 Data masking harus dapat disesuaikan dengan perubahan kebutuhan bisnis.

6.4.4 Data masking harus dapat diterapkan dengan cara yang efisien dan tidak mengganggu bisnis.

6.4.5 Proses data masking harus didokumentasikan untuk memastikan bahwa kebijakan dan prosedur diikuti.

6.5 Kontrol Akses link

Penggunaan data masking harus sesuai dengan kontrol akses yang telah ditetapkan. Hanya personel yang memiliki otorisasi yang sesuai yang diperbolehkan untuk mengakses data yang telah dimask.

6.6 Pelaporan dan Kepatuhan link

Karyawan yang menemukan pelanggaran atau kecurigaan terkait penggunaan data masking yang tidak benar harus melaporkannya kepada manajemen atau tim keamanan informasi sesegera mungkin.

6.7 Pemantauan link

Proses data masking harus dipantau secara berkala untuk memastikan bahwa data sensitif tetap terlindungi. Pemantauan harus mencakup langkah-langkah berikut:

6.7.1 Memeriksa data masking untuk memastikan bahwa data sensitif telah dimasked dengan benar.

6.7.2 Memeriksa data masking untuk memastikan bahwa data sensitif tidak dapat diidentifikasi.

6.7.3 Memeriksa data masking untuk memastikan bahwa data sensitif tidak dapat diakses oleh orang yang tidak berhak.