GDPR-安全专业人员需要了解隐私法规的新时代 - 沐鸣平台资讯 - 沐鸣官网资讯 - 沐鸣网络电子科技有限公司 

全国统一热线:0755-29925678

沐鸣新闻

沐鸣平台资讯

行业动态

沐鸣相关新闻

GDPR-安全专业人员需要了解隐私法规的新时代

浏览次数:958日期:2019-06-04小编:沐鸣

  欢迎访问沐鸣平台网址,毫无疑问,许多安全专业人员都听说过新的欧盟(EU)综合数据保护法规GDPR。 GDPR代表欧盟通用数据保护法规,在保护企业内部的个人数据方面,在很多方面都是一项具有里程碑意义的法规。它不仅引入了可能达到全球收入4%的可能罚款,而且还为消费者提供了一套基本数据权利,并为收集和处理欧盟居民个人数据的公司承担了相应的义务。


  对于更熟悉网络检测和防御技术细节的安全专业人员来说,任何隐私气息都可能只能获得最多的一瞥。毕竟,隐私在历史上一直是律师的领域,他们更关心政策和流程而不是产品。隐私是一种与安全性不同的东西,具有更多模糊的目标和无限期的后果。


99个问题和隐私不是一个问题

  GDPR是目前编号为124的新的国家隐私法规的先锋,旨在改变个人数据的组织观点和行为。 GDPR法规延伸至99篇文章,不易于消费。然而,在许多页面中,成帧器制定了许多保护个人隐私和数据的要求,这些要求只能通过数据保护和治理产品来实现。


  GDPR通过更好地核算这些组织收集和处理的数据,迫使公司对其员工和客户负责。事实上,GDPR颠覆了传统企业对个人数据的看法;它编纂了数据属于个人的概念,公司只是信息的保管人。即使数据处于公司的管理之下,个人仍保留对数据使用的数据和保护的合法权利。


  这当然给企业IT带来了挑战,因为组织没有详细记录他们收集和处理的数据。毕竟大数据不是详细数据。更糟糕的是,新规则扩大了可识别和个人的定义。在GDPR下可以映射到用户的任何数据都是个人信息。这包括加密的数据。它还包括GPS坐标甚至动态IP地址等数据,这些数据以前从未被视为可识别或个人。在新的个人信息概念(PI)中,组织不仅要有章程来了解他们的PI,他们还有义务了解他们的所有个人数据。


在没有地图的情况下导航GDPR

  在安全方面有一句古老的格言,你不能保护你找不到的东西。 PI下落不明显,它只是脆弱的。了解组织的个人数据是满足GDPR合规义务的第一步。它也恰好是保护和管理现代组织所拥有的最重要资产的必要步骤:客户数据。


  GDPR不是第一个对公司负责查找和管理数据类型的法规。 PCI DSS执行此操作以获取支付卡信息。 HIPAA这样做是为了提供个人健康信息。然而,GDPR和世界各地的类似规则扩大了对所有个人数据的义务。在行业的白话中,它要求组织映射他们的个人信息。但根据GDPR进行的绘图不仅仅是另一种分类练习。它还要求组织将数据清点或关联回个人,居住国,同意,使用目的等。在GDPR下,仅了解数据内容是不够的;了解数据的上下文也很重要。


  当你深入研究一些更引人注目的义务时,理由变得更容易理解。根据GDPR和许多类似的法律,欧盟居民有权访问他们的数据;他们有权移植他们的数据;他们有权纠正他们的数据;他们有权删除他们的数据。显然,如果不知道哪些数据属于谁,就不可能提供任何这些个人数据权利。这是数据映射和库存(按数据主题)挑战。


  在GDPR下,组织有义务记录数据如何进入组织,处理和处置。这需要映射数据流的能力。显然,这可以在没有使用访谈和绘图工具的产品的情况下完成。但是,如果没有产品,就无法映射到实际数据并在不断发展的组织中维护必要的文档。


  在GDPR下,与世界上许多国家一样,公司需要确定违规行为并在有限的时间内通知受影响的个人。同样,要在规定的时间范围内执行此操作,需要组织映射其数据并按国家和州了解驻留,以确定法律义务。这只能通过个人数据驻留的映射和清点来影响。


  这些示例仅是有限数量的规则,需要个人信息组织收集的详细地图或地图集。当然,使用先前时代开发的技术来解决PCI或HIPAA等先前法规,很难实现这些地图。但幸运的是,对于公司而言,大数据和机器学习为在企业中查找,映射和库存个人信息提供了新的可能性。


隐私与保护:没有区别的差异

  对于习惯于在数据保护方面进行思考的安全专业人员而言,乍看之下的隐私可能看起来似乎是一个与自己有关的不自然的事情。但是,正如法规的名称选择所明确的那样,GDPR非常关注数据保护。它涉及保护个人数据以及保护数据免遭丢失,滥用和滥用。


  对于安全专业人员来说,它提高了管理组织数据的标准。它为如何以任何方式记录,管理,分析,共享或处理数据设置了一组标记。但是,组织不应将此视为负担,而应将其视为通过了解其数据来更好地了解客户的机会。


  客户是任何现代数字业务的生命线,因此,保护数据对于现代企业的成功至关重要。客户从他们信任的公司购买,而那些无法保护其最重要资产的公司,即他们的客户数据,无法保证这些客户的忠诚度。


  在过去的十年中,保护身份数据的唯一方法是间接的(端点,网络,应用程序,云,服务器,但不是PI),因此越来越不成功。 GDPR和类似的全球隐私法规提升了PI在企业中的重要性。就像Sarbanes Oxley带来了像SIEM和IAM这样不可或缺的安全创新,GDPR最终将为组织提供工具,通过了解和保护他们的数据来更好地了解和保护他们的客户。

关注沐鸣官网,获取更多最新行业资讯。


如果你对我们的服务感兴趣,可以给我们留言,我们会第一时间联系您。

扫描关注微信

Copyright © 2017 沐鸣网络科技有限公司 版权所有