Definicja
Compliance (zgodność regulacyjna) to zapewnienie, że organizacja działa zgodnie z obowiązującymi przepisami prawa, regulacjami branżowymi, standardami i wewnętrznymi politykami.
Kluczowe regulacje
| Regulacja | Zakres | Kary |
|---|---|---|
| RODO/GDPR | Ochrona danych osobowych (EU) | Do 20 mln EUR lub 4% obrotu |
| PCI-DSS | Dane kart płatniczych | Utrata prawa do przetwarzania |
| SOX | Sprawozdawczość finansowa (USA) | Do 20 lat więzienia |
| HIPAA | Dane medyczne (USA) | Do 1,5 mln USD/rok |
| KNF | Sektor finansowy (PL) | Kary administracyjne |
| NIS2 | Cyberbezpieczeństwo (EU) | Do 10 mln EUR lub 2% obrotu |
Compliance w cyklu życia projektu
| Faza | Działania compliance |
|---|---|
| Inicjacja | Identyfikacja wymagań regulacyjnych |
| Analiza | DPIA, ocena ryzyk compliance |
| Projektowanie | Privacy by design, security by design |
| Implementacja | Kontrole techniczne, audit trail |
| Testowanie | Testy zgodności, penetracyjne |
| Wdrożenie | Dokumentacja, szkolenia |
| Utrzymanie | Audyty, monitoring, raportowanie |
Rola BA w compliance
BA tłumaczy wymagania prawne na wymagania systemowe: - „RODO wymaga prawa do bycia zapomnianym" → „System musi umożliwiać usunięcie danych użytkownika w 72h" - „PCI-DSS wymaga szyfrowania" → „Dane kart szyfrowane AES-256 at rest i in transit"
Dlaczego to ważne?
Non-compliance = kary finansowe + utrata reputacji + odpowiedzialność osobista kadry zarządzającej.