浅谈GDPR技术措施中的五个关键场景
前些日子,国外调查组织的一项调研发现,在所有受访公司中,只有20%的企业完全符合GDPR标准,53%正处于实施阶段,27%尚未开始实施。虽然GDPR合规之路任重而道远,但相比于去年的调查结果,过去的十个月已取得了长足的进步。
近期沸沸扬扬的Google、Facebook等著名互联网大厂被诉案,这些企业一旦因此新规被判输,将面临超过50亿美金的罚款,在许多在欧盟成员国有业务的国内企业也因为不能满足GDPR合规性而暂停业务,而这还只是刚刚开始。不得不说,如今人们对个人隐私数据保护的重视正在成为影响企业运行发展的重要因素,笔者也相信,欧盟的GDPR将会成为世界各国互联网安全立法学习的典范。就国内而言,2017年6月1日正式颁布实施的《网络安全法》,第四十至五十条阐述了做为数据处理者和管理者等角色的责任和义务。相信在不远的未来,国内也会出台更具体的细则条例来支撑网安法的落地,提升对数据主体的权益。
在今年的5月25日,GDPR在欧盟地区正式全面实施,尽管只是一部只在欧盟区域内部实行的法律,却也在国际范围内引起了广泛的关注。国内安全圈更不例外,一度兴起了半个多月的讨论热潮。
在近两个多月时间里,也偶尔在一些平台看到几篇关于GDPR的文章,但是绝大多数的内容仅仅停留在讨论这部法律的规定有多么严苛,对企业提出了哪些新的要求,极少有文章在实际性的探讨企业通过哪些手段去满足GDPR的合规性要求(也可能是因为国内在做欧洲做生意的企业不多,很多企业无需为了GDPR改造优化自己的业务系统?)。
昨日看到Freebuf在推广的一个关于GDPR的视频,课程的开始简要的介绍了GDPR的一些背景情况,如果你还不知道GDPR是什么,可以直接去看一看。
企业组织应该为GDPR做哪些技术措施方面的准备?
主讲人结合GDPR的合规性要求,从数据流动传输的几个主要过程一一阐述他以及IBM对此的认知和建议。
对应的五个关键技术措施场景:
场景一:发现和分类个人数据
高爽老师讲到,在GDPR出台前,很多企业对这些数据的梳理已经有了一些实践,但这些实践大都是一次性的,没有一个长效的机制。个人数据被采集后,在企业内部的流动性很强,很多的业务环节都需要这些数据的支撑,仅通过梳理记录文档的形式不持久,并且没有办法动态的发现个人数据中存在的风险。企业需要一套方案或技术手段,对数据进行分类(属性、标签等)处理,并且应用到后续的各种安全策略中。
场景二:识别、修复数据系统安全风险
也即数据的周边环境安全问题。首先是数据所依存的环境,数据库、大数据系统等,企业需要持续动态的发现这些基础设施中的安全漏洞问题。除了胸痛设施以外,还要对能够接触使用到这些数据用户(相关数据库、应用账户)的权限进行监控,及时发现越权账户并进行规避处理。
场景三:追踪数据是如何处理的
也即要监控数据在内部各个环节流转过程,发现违规访问行为并发出警报并采取隔离措施。用户变更、完全删除个人数据满足与证实。不仅要对主动采集的用户信息进行保护,对从其他数据源中搜集到的数据也要进行同样的保护跟踪措施。
场景四:追踪数据主体的访问权,更正权,删除权等权利
及时响应数据主体(个人)的要求(更正、删除等)。这需要一套标准化的合规的流程,将需要的信息和流程环节整合。
场景五:组织需要具备安全问题管理和通知的能力(包括事件调查)
即:应急响应,每家企业对数据泄露后的应急处理也是GDPR所关注的重点,在条文中规定企业须在72小时内向监管机构汇报。
通过这个视频,笔者对从技术场景角度满足GDPR合规性要求有了一定的了解(稍稍吐槽下,硬广略多,期待大厂专家能多分享干货,少卖广告),对于不“出海”的企业而言似乎用什么实际意义,毕竟国内企业对公众个人数据的处理……当然,作为一个大数据多年的从业者,笔者对如何帮助企业满足国内法律要求也有了大致的技术思路,能满足GDPR合规性要求的一定可以满足国内法律要求,你说呢?
最后,吐槽下,似乎这节公开课是单声道的……
本文作者:Elina3000,转载请注明来自FreeBuf.COM