GDPR驅動下一個技術十年
作者:星期六, 九月 22, 20180

通用數據保護條例》(GDPR)——業務在歐洲或客戶是歐洲公民的任何公司或組織都受管轄,收集的所有個人數據都要妥善防護。而且GDPR對違規行為的處罰非常嚴厲,任何導致數據泄露的不合規行為都會遭到重罰,罰金可高至總營業額的4%

GDPR本質上是基于監管的倡議,不是基于技術的。換句話說,該條例沒有指明必須使用什么技術來保護個人可識別信息(PII),只說了需要保護哪些東西以及怎樣保護。GDPR從來都沒有想驅動哪一種特定技術。盡管如此,GDPR無疑會在下一個十年里影響信息技術的發展。雖然現在就來判定GDPR的全部效應還為時過早,但有幾個因素可供預測時參考。

合規需要什么?

GDPR專注于令公司企業采取合理的預防措施防止PII遭泄露。其中一些合規元素包括限制所收集數據的存儲,以及不收集處理過程中非必要的數據等協議。即便沒有GDPR,這些建議也有利于公司避免陷入困境。最小化數據存儲、只收集必需的數據、只在必要時持有數據,可以確保即便數據泄露發生,損失也能控制在最小。

Equifax就是持有大量敏感數據的典型代表,某些消費者的被盜PII甚至可追溯到幾十年前。除了持有大量數據,這家公司還沒有專人負責數據保護,雖然不少高管據說是注意到了那些漏洞。GDPR旨在通過要求每家公司都設置專門的數據管理員,來防止此類事件的發生。這能在公司內部建立其問責制度,維護所收集數據的完整性。

如果發生數據泄露,必須在72小時內通告消費者,并提供所有可能被泄數據的副本。于是,最小化數據存儲就能簡化該過程,也能平復消費者對于自身暴露度的擔心。

三大類要求

GDPR的要求主要分為三大類。

第一類是網絡終端的安全改善。終端安全常被視為第一道防線,但也常常是最弱的一環。公司企業需從傳統殺毒軟件推進到更為實質性的設備防護,可能涉及從桌面電腦和筆記本電腦,到手機、平板或虛擬機。

第二類要求是數據安全。最小化數據、只收集必需的數據、加密并限制訪問,以及設立內部負責人,都對公司有好處。當然,這些行動有賴于準確而及時更新的業務過程或數據分類項目。

最后,訪問安全。公司需強調最小特權訪問,不設超級管理員,沒有共享管理員賬戶,業務用戶僅能享有使用特定系統和工具完成工作所需的最小權限。很多數據泄露從攻擊者染指某臺終端開始,但幾乎所有數據泄露都以攻擊者獲得管理員賬戶而告終。因此,訪問管理工作必須包括限制高度敏感數據的管理員權限。

這三大類要求組成了GDPR合規的基礎。公司企業在這三個方面都合規的最佳方式,就是彌合基礎設施,減少數據足跡,以及指定專人或專門的團隊負責數據安全和實施新的規定。數據及業務過程發現可找出隱藏及冗余的個人數據存儲庫,有助于GDPR合規的順利達成。

這對下一個十年的技術發展有何意義?

軟件開發人員會圍繞GDPR設計出新的安全產品和過程。其中就可能包括敏感信息在超過一定時間后的強制轉儲。增加信息收集及傳輸過程透明度的技術將會供不應求。GDPR將無可避免地強制要求新的以數據為中心的解決方案,因為這些新方案有助于公司企業盡可能地達到理想的防護水平,盡可能地合規。但要記得,合規一詞可不僅僅包含隱私;電子發現、保留、檢索、歸檔和銷毀都是GDPR合規中以數據為中心的要求。

對任何人來說,GDPR合規都不會是件輕松的事,但特定行業面臨的困難會尤其大。制藥和銀行業或許是困難的行業,因為他們收集和存儲的信息最多。但不愿意縮減數據保有量的組織才要面對艱難的現實:比及時轉儲PII并保持最小數據集的那些組織更容易成為黑客選擇下手的目標。有可能這些行業會試圖在其他領域投入更多,比如鎖定他們的終端。這種方法短時間內會有效果,但三類GDPR要求都齊頭并進均衡發展的組織才能走得更穩。

長期來看,GDPR會要求公司企業更妥善地處理他們的數據,包括減少數據收集量和縮減數據保存時間。輔助數據管理和定時清除遺留數據的技術,在GDPR時代將迎來快速發展。

相關閱讀

GDPR通用數據保護條例-要點總結

GDPR合規審核需要遵循的4大關鍵步驟

GDPR為提升整體安全和優化業務過程帶來機會

分享:

相關文章

寫一條評論

 

 

0條評論