GDPR驱动下一个技术十年
作者:星期六, 九月 22, 20180

通用数据保护条例》(GDPR)——业务在欧洲或客户是欧洲公民的任何公司或组织都受管辖,收集的所有个人数据都要妥善防护。而且GDPR对违规行为的处罚非常严厉,任何导致数据泄露的不合规行为都会遭到重罚,罚金可高至总营业额的4%

GDPR本质上是基于监管的倡议,不是基于技术的。换句话说,该条例没有?#35813;?#24517;须使用什么技术来保护个人可识别信息(PII),只说了需要保护哪些东西以及怎样保护。GDPR从来都没有想驱动哪一种特定技术。尽管如此,GDPR无疑会在下一个十年里影响信息技术的发展。虽然现在就来判定GDPR的全部效应还为时过早,但有几个因素可供预测时参考。

合规需要什么?

GDPR专注于令公司企业采取合理的预防措施防止PII遭泄露。其中一些合规元素包括限制所收集数据的存储,以?#23433;?#25910;集处理过程中非必要的数据等协议。即便没有GDPR,这些建议也有利于公司避免陷入困境。最小化数据存储、只收集必需的数据、只在必要时持有数据,可以确保即便数据泄露发生,损失也能控制在最小。

Equifax就是持有大量敏感数据的典型代表,某些消费者的被盗PII甚至可追溯到几十年前。除了持有大量数据,这家公司还没有专人负责数据保护,虽然不少高管据说是注意到了那些漏洞。GDPR旨在通过要求?#32771;?#20844;司都设置专门的数据管理?#20445;?#26469;防止此类?#24405;?#30340;发生。这能在公司内部建立其问责制度,维护所收集数据的完整性。

如果发生数据泄露,必须在72小时内通告消费者,并提供所有可能被泄数据的副本。于是,最小化数据存储就能简化该过程,也能平复消费者对于自身暴露度的担心。

三大类要求

GDPR的要求主要分为三大类。

第一类是网络终端的安全改善。终端安全常被视为第一道防线,但也常常是最弱的一环。公司企业需从传统杀毒软件?#24179;?#21040;更为实质性的设备防护,可能涉?#25353;?#26700;面电脑和笔记本电脑,到?#21482;?#24179;板或虚拟机。

第二类要求是数据安全。最小化数据、只收集必需的数据、?#29992;?#24182;限?#21697;?#38382;,以及设立内部负责人,都对公司有好处。当然,这些行动有赖于准确而及时更新的业务过程或数据分类项目。

最后,访问安全。公司需强调最小特权访问,不设超级管理?#20445;?#27809;有共享管理员账户,业务用户仅能享有使用特定系统和工具完成工作所需的最小权限。很多数据泄露从攻击者染指?#31243;?#32456;端开始,但几乎所有数据泄露都以攻击者获得管理员账户而告终。因此,访问管理工作必须包括限制高度敏感数据的管理员权限。

这三大类要求组成了GDPR合规的基础。公司企业在这三个方面都合规的最佳方式,就是弥合基础设施,减少数据足迹,以及指定专人或专门的团队负责数据安全和实施新的规定。数据及业务过程发现可?#39029;?#38544;藏及冗余的个人数据存储库,有助于GDPR合规的顺利达成。

这对下一个十年的技术发展有何意义?

软件开发人员会围绕GDPR设计出新的安全产品和过程。其中就可能包括敏?#34892;?#24687;在超过一定时间后的强制转储。增?#26377;?#24687;收集?#25353;?#36755;过程?#35813;?#24230;的技术将会供不应求。GDPR将无可避免地强制要求新的以数据为?#34892;?#30340;解决方案,因为这些新方案有助于公司企业尽可能地达到理想的防护水平,尽可能地合规。但要记得,合规一词可不仅仅包含隐私;电子发现、保留、检索、归档和销毁都是GDPR合规中以数据为?#34892;?#30340;要求。

对任何人来说,GDPR合规都不会是件轻松的事,但特定行业面临的困难会尤其大。制药和银行业或许是困难的行业,因为他们收集和存储的信息最多。但不愿意缩减数据保有量的组织才要面对艰难的?#36136;担?#27604;及时转储PII并保持最小数据集的那些组织更容易成为黑客选择下手的目标。有可能这些行业会试图在其他领域投入更多,比如锁定他们的终端。这种方法短时间内会有效果,但三类GDPR要求都齐头并进均衡发展的组织才能走得更?#21462;?/span>

长期来看,GDPR会要求公司企业更妥善地处理他们的数据,包括减少数据收集量和缩减数据保存时间。辅助数据管理和定时清除遗留数据的技术,在GDPR时代将迎来快速发展。

相关阅读

GDPR通用数据保护条例-要点总结

GDPR合规审核需要遵循的4大关键步骤

GDPR为提升整体安全和优化业务过程带来机会

分享:
0

相关文章

写一条评论

 

 

0条评论