浅谈GDPR技术措施中的五个关键场景

标签: 数据安全 GDPR | 发表时间:2018-08-21 19:47 | 作者:Elina3000
出处:http://www.freebuf.com

前些日子,国外调查组织的一项调研发现,在所有受访公司中,只有20%的企业完全符合GDPR标准,53%正处于实施阶段,27%尚未开始实施。虽然GDPR合规之路任重而道远,但相比于去年的调查结果,过去的十个月已取得了长足的进步。

GDPR-Overview.jpg

近期沸沸扬扬的Google、Facebook等著名互联网大厂被诉案,这些企业一旦因此新规被判输,将面临超过50亿美金的罚款,在许多在欧盟成员国有业务的国内企业也因为不能满足GDPR合规性而暂停业务,而这还只是刚刚开始。不得不说,如今人们对个人隐私数据保护的重视正在成为影响企业运行发展的重要因素,笔者也相信,欧盟的GDPR将会成为世界各国互联网安全立法学习的典范。就国内而言,2017年6月1日正式颁布实施的《网络安全法》,第四十至五十条阐述了做为数据处理者和管理者等角色的责任和义务。相信在不远的未来,国内也会出台更具体的细则条例来支撑网安法的落地,提升对数据主体的权益。

在今年的5月25日,GDPR在欧盟地区正式全面实施,尽管只是一部只在欧盟区域内部实行的法律,却也在国际范围内引起了广泛的关注。国内安全圈更不例外,一度兴起了半个多月的讨论热潮。

在近两个多月时间里,也偶尔在一些平台看到几篇关于GDPR的文章,但是绝大多数的内容仅仅停留在讨论这部法律的规定有多么严苛,对企业提出了哪些新的要求,极少有文章在实际性的探讨企业通过哪些手段去满足GDPR的合规性要求(也可能是因为国内在做欧洲做生意的企业不多,很多企业无需为了GDPR改造优化自己的业务系统?)。

昨日看到Freebuf在推广的一个关于GDPR的视频,课程的开始简要的介绍了GDPR的一些背景情况,如果你还不知道GDPR是什么,可以直接去看一看。

企业组织应该为GDPR做哪些技术措施方面的准备?

主讲人结合GDPR的合规性要求,从数据流动传输的几个主要过程一一阐述他以及IBM对此的认知和建议。

对应的五个关键技术措施场景:

场景一:发现和分类个人数据

高爽老师讲到,在GDPR出台前,很多企业对这些数据的梳理已经有了一些实践,但这些实践大都是一次性的,没有一个长效的机制。个人数据被采集后,在企业内部的流动性很强,很多的业务环节都需要这些数据的支撑,仅通过梳理记录文档的形式不持久,并且没有办法动态的发现个人数据中存在的风险。企业需要一套方案或技术手段,对数据进行分类(属性、标签等)处理,并且应用到后续的各种安全策略中。

场景二:识别、修复数据系统安全风险

也即数据的周边环境安全问题。首先是数据所依存的环境,数据库、大数据系统等,企业需要持续动态的发现这些基础设施中的安全漏洞问题。除了胸痛设施以外,还要对能够接触使用到这些数据用户(相关数据库、应用账户)的权限进行监控,及时发现越权账户并进行规避处理。

场景三:追踪数据是如何处理的

也即要监控数据在内部各个环节流转过程,发现违规访问行为并发出警报并采取隔离措施。用户变更、完全删除个人数据满足与证实。不仅要对主动采集的用户信息进行保护,对从其他数据源中搜集到的数据也要进行同样的保护跟踪措施。

场景四:追踪数据主体的访问权,更正权,删除权等权利

及时响应数据主体(个人)的要求(更正、删除等)。这需要一套标准化的合规的流程,将需要的信息和流程环节整合。

场景五:组织需要具备安全问题管理和通知的能力(包括事件调查)

即:应急响应,每家企业对数据泄露后的应急处理也是GDPR所关注的重点,在条文中规定企业须在72小时内向监管机构汇报。

通过这个视频,笔者对从技术场景角度满足GDPR合规性要求有了一定的了解(稍稍吐槽下,硬广略多,期待大厂专家能多分享干货,少卖广告),对于不“出海”的企业而言似乎用什么实际意义,毕竟国内企业对公众个人数据的处理……当然,作为一个大数据多年的从业者,笔者对如何帮助企业满足国内法律要求也有了大致的技术思路,能满足GDPR合规性要求的一定可以满足国内法律要求,你说呢?

最后,吐槽下,似乎这节公开课是单声道的……

本文作者:Elina3000,转载请注明来自FreeBuf.COM

相关 [gdpr 技术] 推荐:

浅谈GDPR技术措施中的五个关键场景

- - FreeBuf互联网安全新媒体平台 | 关注黑客与极客
前些日子,国外调查组织的一项调研发现,在所有受访公司中,只有20%的企业完全符合GDPR标准,53%正处于实施阶段,27%尚未开始实施. 虽然GDPR合规之路任重而道远,但相比于去年的调查结果,过去的十个月已取得了长足的进步. 近期沸沸扬扬的Google、Facebook等著名互联网大厂被诉案,这些企业一旦因此新规被判输,将面临超过50亿美金的罚款,在许多在欧盟成员国有业务的国内企业也因为不能满足GDPR合规性而暂停业务,而这还只是刚刚开始.

前端技术

- - CSDN博客综合推荐文章
随着互联网产业的爆炸式增长,与之伴生的Web前端技术也在历经洗礼和蜕变. 尤其是近几年随着移动终端的发展,越来越多的人开始投身或转行至新领域,这更为当今的IT产业注入了新的活力. 尽管Web前端技术诞生至今时日并不长,但随着Web技术的逐渐深入,今后将会在以下几方面发力. JavaScript的兄弟们.

SSI技术

- - 开源软件 - ITeye博客
1.       SSI,通常称为“服务器端包含”技术. 使用了SSI技术的文件默认的后缀名为.shtml,SSI技术通过在html文件中加入SSI指令让web服务器在输出标准HTML代码之前先解释SSI指令,并把解释完后的输出结果和HTML代码一起返回给客户端. 2.       SSI技术的优点:SSI技术是通用技术,它不受限于运行环境,在java、dotnet、CGI、ASP、PHP下都可以使用SSI技术;解释SSI的效率比解释JSP的效率快很多,因为JSP规范提供了太多的功能,这些功能都需要servlet引擎一一进行解释,所以效率比较低.

技术选型

- - 企业架构 - ITeye博客
MVC Framwork: SpringMVC3.0 Restful的风格终于回归了MVC框架的简单本质,对比之下Struts2概念太复杂更新又太懒了. Template:JSP2.0且尽量使用JSP EL而不是taglib,万一要写taglib也用纯JSP来编写,一向是SpringSide的推荐,Freemarker们始终有点小众, 而Thymeleaf与美工配合度非常高,可惜也是太少用户了.

技术 in Netflix

- - 后端技术杂谈 | 飒然Hang
综合市面上的公开资料总结了Netflix在技术上面的一些实践和创新,从中能够得到不少启发和提示.

技术的异化:读《技术垄断》

- Dynamic - It Talks--上海魏武挥的博客
事实上,我认为国内对马克思或神圣化或妖魔化,都是要不得的. 我们应该还马克思一个伟大的社会学(当然还有哲学、经济学之类)学者的本来面目,而不是把他的话当成教义. 异化就是一个相当精到的学术词语,它所描述的是人们创造发明某物本来为了让人们自己更好地工作生活,结果该物却成了人的主宰. 在很多领域,都有异化的影子,比如宗教,比如官僚体系,当然,也包括技术.

HBase技术介绍

- 三十不归 - 搜索技术博客-淘宝
HBase – Hadoop Database,是一个高可靠性、高性能、面向列、可伸缩的分布式存储系统,利用HBase技术可在廉价PC Server上搭建起大规模结构化存储集群. 上图描述了Hadoop EcoSystem中的各层系统,其中HBase位于结构化存储层,Hadoop HDFS为HBase提供了高可靠性的底层存储支持,Hadoop MapReduce为HBase提供了高性能的计算能力,Zookeeper为HBase提供了稳定服务和failover机制.

Web技术整理

- Gabriel - 博客园-首页原创精华区
  Web技术或许是将来最为热门的技术之一. 这里略作一些总结,以及对各种Web技术作一些概要性介绍. (以下内容建立在我的粗略理解之上,欢迎指正).   推荐个学习Web技术比较好的网站,介绍的比较全面.   页面的展示使用超文本标记语言(HTML)来表示. 这是一种标签语言,本身不具有执行能力,只是结构化页面内容.

Hadoop相关技术

- - CSDN博客云计算推荐文章
Apache的Hadoop是什么. Apache的Hadoop项目™®开发出可靠的,可扩展的,分布式计算的开源软件. Apache的Hadoop的软件库是一个框架,允许大型数据集通过计算机集群使用简单的编程模型,进行分布式处理. 它的设计规模从单一服务器到数千台计算机,每个提供本地计算和存储. 软件库是用来检测和处理应用层失败的,而不是依靠硬件提供高的有效度,因此在计算机集群上提供高度可用性服务,其中每个都有可能会有失败.

MySQL分区技术

- - 数据库 - ITeye博客
mysql分区技术是mysql5.1以后出现的新技术,能替代分库分表技术,它的优势在于只在物理层面来降低数据库压力. 常用的MySQL分区类型:. 1.RANGE分区:基于属于一个给定的连续区间的列值,把多行分配给分区(基于列). 2.LIST分区:类似于按RANGE分区,区别在于LIST分区是基于列值匹配一个离散值集合的某个值来进行选择(基于列值是固定值的).