compliance part (1)

Compliance ဆိုတာဘာလဲ?
‍‍‍‍‍‍
Compliance ရဲ့ အဓိပ္ပါယ်ကတော့ မိမိယူထားတဲ့ Service ကိုပိုင်တဲ့ Organization က ချမှတ် (သို့မပာုတ် )လိုက်နာထားတဲ့ စည်းမျဉ်းသတ်မှတ်ချက်တွေကို ခေါ်ပါတယ်။‍‍‍‍‍‍ ယနေ့ခေတ် စီးပွားရေးလုပ်ငန်းတွေဟာ ပြည်တွင်းမှာသာမက ပြည်ပနိုင်ငံ တွေနဲ့ပါ ပူးပေါင်းလုပ်ဆောင် လာကြပါတယ်။ ဥပမာ- ဘဏ်လုပ်ငန်း၊ ဆေးရုံ တွေနဲ့ တခြား ငွေကြး ဆိုင်ရာနိုင်ငံတာကာရင်း နှီး မြှုပ် နှံ မှုလုပ် ငန်းတွေ ပာဆိုရင်နိုင်ငံတကာ နဲ့ အများဆုံး ပူးပေါင်းဆောင်ရွက်နေတဲ့ Business တွေပဲ ဖြစ်ပါတယ်။ မိမိ Organization အနေနဲ့ ပြည်ပလုပ်ငန်းတွေနဲ့အတူပူးပေါင်းဆောင်ရွက်နိုင်ဖို့ဆိုရင် သူတို့ Organization က လိုက်နာတဲ့ Compliance အတိုင်းလိုက်နာဖို့ လိုအပ်ပါတယ်။ ဒါ့ကြောင့်လဲ Compliance ကို မဖြစ်မနေလိုက်နာရမဲ့ စည်းမျဉ်းစည်းကမ်းတွေလို့ သတ်မှတ်ထားတာပါ။ ‍‍‍‍‍‍
‍‍‍‍‍‍
Compliance ရဲ့သဘောတရား ကို နားလည်ပြီ ဆိုရင် Compliance အမျိုး အစားတွေကို ပြောပြပါ့မယ်။ Organization ပေါ်မူ တည်ပြီး လိုက်နာရမည့် Compliance တွေကလဲ မတူဘူးဆိုတာ သိထားစေချင်ပါတယ်။ Compliance အမျိုးအစားတချို့အကြောင်းကို တစ်ခုခြင်းဆီ ယေဘုယျ အနေနဲ့ ဖော်ပြ ပေးထားပါတယ်။ ‍‍‍‍‍‍
‍‍‍‍‍‍
➡ HIPAA (Health Insurance Portal & Accountability Act)
ဒီ Compliance ကိုတော့ Patient တွေရဲ့ ကျန်းမာရေးဆိုင်ရာ ဆေးစစ်ချက် မှတ်တမ်းတွေကို လုံခြုံ စွာ ထိန်းသိမ်းပေးဖို နဲ့ ကျန်းမာရေး အာမခံ လုပ်ငန်းတွေဆီကနေ မိမိ ကျန်းမာရေးအတွက် အပြည့်အဝ အာမခံ ရနိုင်အောင် US ကထုတ်ပြန် ထားတဲ့ မူဝါဒ တစ်ခု ဖြစ်ပါတယ်။ ဒါကို ဆေးရုံတွေ ၊ ကျန်းမာရေး အာမခံလုပ်ငန်းတွေက လိုက်နာရပါတယ်။ ‍‍‍‍‍‍
‍‍‍‍‍‍
➡ SOC Type 2 (System and Organization Controls)
ဒီ Compliance ကိုတော့ Cloud Service Provider တွေ လိုက်နာရပါတယ်။ ကိုယ့်ရဲ့ Sensitive Data တွေကို Cloud ပေါ်မှာ သိမ်းထားမယ် ဆိုရင် မိမိ အသုံးပြု မဲ့ Cloud Provider ဘက်က SOC Type 2 Report ပေးနိုင်မှသာ ကိုယ့် Business ရဲ့ Data တွေကို ဘယ်လို Encryption မျိုးနဲ့ သိမ်းထားလဲဆိုတာသိ နိုင်မှာဖြစ်ပါတယ်။ ‍‍‍‍‍‍
‍‍‍‍‍‍
➡ GDPR (General Data Protection Regulation)
ဒါကတော့ ဥရောပ ဘက်က သူတို့နိုင်ငံသားတွေရဲ့ ဒေတာ တွေကို ကာကွယ်ပေးတဲ့အနေနဲ့ ထုတ်ပြန်ထားတဲ့ Data Protection Rule တစ်ခုဖြစ်ပါတယ်။ တကယ်လို့ ကိုယ့်ရဲ့ Business က EUနိုင်ငံသားတွေရဲ့ Data နဲ့ပါ ပူးပေါင်းလုပ်ဆောင်ရမည့် အနေအထား ရောက်ခဲ့မယ် ဆိုရင် ဒီ GDBR rule ကို ကျိန်းသေပေါက် လိုက်နာရတော့မှာပဲ ဖြစ်ပါတယ်။‍‍‍‍‍‍
‍‍‍‍‍‍
➡ PCIDSS (Payment Card Industry Data Security Standard)
ဒီ PCIDSS Compliance ကိုတော့ Payment Card Provider Industry တွေက လိုက်နာရပါတယ်။ ဒီ Compliance ကို Visa, Master Card, American Express, JCB နဲ့ Discover စတဲ့ Payment Card Providers တွေက Cardholder တွေရဲ့ Data တွေကို ကာကွယ်ပေးဖို့ Standard အနေနဲ့ ပူးပေါင်း ရေးဆွဲ ထားတာပဲ ဖြစ်ပါတယ်။ Bank တွေ အနေနဲ့ International Card Provider အဖြစ်ပါ ရပ်တည်တော့မယ်ဆိုရင် ဒီ Rule ကို မဖြစ်မနေ လိုက်နာရပါတယ်။‍‍‍‍‍‍
‍‍‍‍‍‍
➡ FISMA (Federal Information Security Management)
FISMA Act ကတော့ US Agencies တွေ အတွက် အစိုးရက သီးသန့်ထုတ် ပြန် ထားတဲ့ E – Government Compliance တစ်ခုဖြစ်ပါတယ်။ ဒီ Rule ကိုတော့ Business တွေ လိုက်နာဖို့မလိုအပ်ပါဘူး။ ဗဟုသုတ အနေနဲ့ မှတ်ထားလို့ရပါတယ်။ ‍‍‍‍‍‍
‍‍‍‍‍‍
➡ ISO/ IEC 2700 Family
ISO Standard ကတော့ မိမိ Organization ထဲက Data (ဥပမာ – Company ရဲ့ အရေးကြီးတဲ့ Data တွေ ငွေ ကြေးဆိုင်ရာ အချက်အလက်တွေ ၊ မိမိ Company ထဲကအလုပ်သမား တွေ ရဲ့ Privacy Data တွေ)စ တဲ့ ဒေတာအမြောက်အများ ကို လုံခြုံ စွာ Manage နိုင်အောင် ကူညီပေးနိုင်တဲ့ Standard တစ်ခုပဲ ဖြစ်ပါတယ်။ တကယ်လို့ မိမိ Company က Third Party Company တစ်ခုနဲ့ တွဲလုပ်တော့ မယ်ဆိုရင် ISO Standard ကိုလိုက်နာခြင်းဖြင့် ကိုယ့် Organization ကိုပြီး ယုံကြည်မှုရစေမှာပဲ ဖြစ်ပါတယ်။‍‍‍‍‍‍
‍‍‍‍‍‍
➡ SOX (Sarbanes-Oxley Act)
ဒီ SOX Compiance ကတော့ US ကနေ Shareholder Prtotection နဲ့ Financial Reporting တွေကို ဘယ်လို ထိန်းသိမ်းထားရမလဲ ဆိုတာတွေကို ချမှတ်ထားတဲ့ Financial Compliance တစ်ခုဖြစ်ပါတယ်။ ဒီ Compliance ကို US Public Companies တွေအပြင် U.S. Securities and Exchange Commisions(SEC) နဲ့ Register လုပ်ထားတဲ့ International Company တွေကပါ လိုက်နာရပါတယ်။ ‍‍‍‍‍‍
‍‍‍‍‍‍
အခု လောက်ဆိုရင် စာဖတ်သူအနေနဲ့ Compliance ရဲ့ အဓိပ္ပါယ်ကို နားလည်ပြီ ထင်ပါတယ်။ ကိုယ့် Organization နဲ့ ကိုက်ညီမဲ့ Compliance ကိုလဲ ရွေးချယ် နိုင် ပါပြီ။ နောက်ထပ်တပိုင်းမှာတော့ Compliance ကို Implement လုပ်ရင် တွေ့ကြုံ နိုင်တဲ့ Challenges တွေ ၊ Compliance Benefits တွေနဲ့ Compliance Audit Failed ဖြစ်သွားခဲ့ရင် ရင်ဆိုင်ရမဲ့ Penalties တွေကိုပါထပ်မံ Sharing လုပ်ပေးသွားမှာဖြစ်ပါတယ်။
‍‍‍‍‍‍
NEX4 အနေနဲ့ PCIDSS Compliances အပိုင်းကို Consulting လုပ်ရာတွင် ကျွမ်းကျင် နည်းပညာရှင်တွေနဲ့ လုပ်ဆောင်ပေးလျက်ရှိပါတယ်။ ထို့အပြင် Users တွေ Admins တွေအတွက် awareness ရှိပြီး ပိုမိုလွယ်ကူအောင် Trainings တွေကိုလဲ NEX4 ဘက်မှ ဆောင်ရွက်ပေးနေပါတယ်။

Don’t forget to share this post!