即使你不与欧盟做生意,也可能会对未来的全球安全标准产生影响。因此,在欧盟工作或拥有受 GDPR 影响的数据的公司正在迅速尝试提前遵守规定。对于安全团队来说,这意味着确保 PII 得到充分保护并制定适当的报告流程。
正如 Varonis 技术传播者 Brian Vecci 所说:“大多数公司根本没有做好准备。美国中西部的一些公司,因为来自欧盟的人订阅了他们的时事通讯,突然受到有史以来最严格的隐私法规之一的约束。这就是我对 GDPR 如此着迷的原因。它跨越所有垂直领域。它不仅影响金融组织或医院。如果你拥有来自 28 个成员国之一的 PII,那么它会影响你的组织。
无论好坏,GDPR 都没有定义组织必须遵循的任何特定数据保护控制措施。每个组织都可以自行确定所收集数据、机密性和风险的必要安全控制措施。
Collibra 欧洲预销售经理 Olivier Van Hoof 表示,GDPR 从数据治理开始,“你必须先建立一个数据治理平台,然后才能真正开始保护数据。这不仅仅是从技术上保护数据。
大多数组织首先查看其业务流程,然后查看收集数据的逻辑流程,最后查看物理数据本身。GDPR 还在于了解数据确实属于个人所有。你实际上只是托管数据。”
GDPR 中的“个人”数据是什么意思?
GDPR 下的个人数据定义非常广泛,远远超过大多数其他国家当前或以前存在的个人数据保护。它包括与特定个人相关的任何信息,无论该数据是私人的、公共的还是专业的。
它不仅适用于姓名、地址和财务信息,还适用于任何可以识别个人身份的信息(例如,IP 地址、登录 ID、生物识别标识符、地理位置数据、视频片段、客户忠诚度历史记录、社交媒体帖子和照片)。如果特定个人可以识别该信息,则将其包含在内。
GDPR 的影响意味着你将来不仅必须保护更多类型的数据,而且还要花费更多的精力来识别以前可能不被视为 PII 的现有数据。
Vecci 说:“以前,即使你从某个欧盟国家获得了 PII,你所收集的信息在该国家也可能不会被视为 PII。现在,从 5 月份开始,突然就变成了 PII。”
受 GDPR 影响的公司将需要尽其所能识别以前未跟踪或索引的信息。例如,可能需要定位、保护、跟踪和报告录制的客户支持呼叫。
PII 的新用户权限有哪些?
每个人(或其法定监护人)都必须获得书面的“选择加入”同意。同意书必须明确说明所收集的数据、其用途以及保留时间。
此外,参与者可以随时取消同意并要求删除其个人数据(只要他们提供批准的理由之一)。
根据 GDPR,个人还可以控制其 PII 的处理情况。除了能够请求删除数据之外,他们还可以更正事实错误,查看存储了哪些数据,甚至可以将其导出以供个人查看和使用。这些重要权利对于大多数组织来说都是全新的。
Vecci 认为,大多数公司最初只是想了解他们面临的 GDPR 问题有多大。他们不知道自己不知道什么。他们需要查明数据的存储位置以及数据是否受 GDPR 保护。然后他们必须以最低权限保护它并跟踪它。
幸运的是,我的公司 Varonis 从一开始就一直在这样做。我们不仅专注于查找数据,还专注于确定谁有权访问什么数据,以及他们是否需要访问数据。根据其他数据保护法规,足以保证数据免受外部侵害。
现在,它必须在内部得到更好的保护,因为 GDPR 第 25 条规定,数据必须通过设计和默认情况受到最小特权保护。如果你不先了解它在哪里以及谁可以访问它,你就无法做到这一点。”
消费者对保护其 PII 有何看法
在设计与消费者互动的在线系统时,公司始终青睐易用性而非安全性。他们希望消费者拥有积极的体验,尤其是在购买或访问帐户等交易期间,这是可以理解的。他们相信消费者有同样的优先考虑。
这可能正在改变。身份验证公司 Trulioo最近的一项研究发现,越来越多的消费者担心公司将速度置于安全之上。事实上,71% 的受访者表示,安全是开设新账户时最重要的因素。
担心成为欺诈受害者是主要驱动因素,76% 的受访者表示,他们感到比一年前面临更大的风险。
然而,只有 49% 的人表示,他们的 PII 收集和使用的透明度现在对他们来说更加重要。尽管 72% 的人表示他们相信自己的个人信息在网上出售,但情况还是如此。
0黑客能否利用有关 PII 的 GDPR 规则?
是的!安全研究员、牛津大学学生 James Pavur在最近的黑帽会议上演示了他如何使用 GDPR 请求(经她许可)从多个组织收集其经她许可的 PII。
事实证明,这种社会工程是有效的,而且对帕沃尔来说并不是很有挑战性。在发送的 150 个 GDPR 请求中,24% 的组织接受其未婚夫的电子邮件地址和电话号码作为身份证明。
他获得了她的社会安全号码、信用卡号码和有效期、帐户密码、出生日期和母亲的婚前姓名,这足以造成一些真正的损失。
GDPR 如何影响安全团队的结构?
GDPR 定义了多个角色以及每个角色的规则和责任。数据主体是其个人数据被收集的个人。数据控制者是收集数据的组织。
处理者是代表数据控制者处理数据的组织。控制者和处理者必须保留关于收集哪些数据、如何适当收集数据、如何使用数据以及何时处置数据的书面记录。
尽管对于数据主体的控制和隐私来说非常有用,但大多数公司还没有这些类型的数据保护跟踪系统。
安全团队不仅必须保护数据免受传统威胁,而且必须以透明、记录且可供大量数据主体检索的方式进行保护,同时保持数据的强大安全性。每个计算机安全团队成员都必须接受 GDPR 合规性及其对组织现有和未来安全控制意味着什么的培训。
许多参与的企业,无论是私营企业还是公共企业,都必须有一名官方数据保护官 (DPO)。
DPO 不仅是维持 GDPR 法律合规性的关键人物,而且需要技术知识或员工来保护数据并确保业务连续性。
DPO 应独立于雇用他或她的组织运作。欧盟认为 DPO 的立场至关重要,因此他们就该立场发布了一份单独的、更详细的18 页文件。
DPO 职位似乎很适合 CSO,也确实可能如此。CSO 当然熟悉计算机安全技术要求和控制,以及与高层管理人员的沟通。
DPO 必须对隐私和合规要求有深入的了解,首席隐私官 (CPO) 或其他隐私倡导者通常可以更好地理解这一点。另一方面,隐私官员可能不了解事情的技术方面。
在所有情况下,GDPR 都要求 DPO 是独立的合规审计员,并且可以直接与数据主体、合规组织和 GDPR 监管人员接触。从主体收集数据时,必须提供实体控制者和 DPO 的联系方式。
Van Hoof 表示:“大多数欧洲大公司已经聘请了 DPO,但我也看到中小型企业外包 DPO 或共享 DPO。”
数据保护和处理记录必须保存并可供日常和定期检查,不仅可供审计员检查,还可供个人数据主体检查。
合规实体如何确保记录可供个人私人检查,同时防止未经授权的查看?
每个个体主体是否都需要一个新的身份管理跟踪和访问控制系统,以应对可能有数百万的数据主体?至少可能是这样。
或者,组织可以通过简单地打印个人记录并将纸质副本邮寄给他们来满足 GDPR 要求吗?这些是 DPO、管理和安全团队必须解决的重要细节。
国家数据保护机构
每个参与国(也称为成员国)都有一个国家数据保护机构(DPA)。DPA 负责确定合规性并在国家层面执行相关法律,但要求非常独立,甚至不受本国政府的控制。棘手的事情。
成员国可能有一个或多个国家 DPA 供合规实体选择。每个实体都可以选择一个 DPA,该 DPA 负责监管整个实体的 GDPR 合规性,无论该公司在多少个成员国运营或从中获取数据(称为“一站式服务”)。
“主要监管机构”有能力控制其他成员国发生的数据处理和保护。一些批评家正确地指出,在多成员国运营的公司可能会购买最灵活的 DPA 来运营,就像他们今天为降低税收和组织独立性所做的那样。
一些专家不确定“DPA 购物”能带来多少好处。Van Hoof 说:“你将看到来自不同国家的 DPA 之间进行大量的协调和沟通。
尽管由于当地法律法规的原因,每个国家的 DPA 之间都会存在一些差异,但无论在哪个国家,他们所做的 95% 的工作都是通用且相同的。”
DPA 是根据之前的欧盟数据保护法设立的,但在 GDPR 下得到了显着加强。DPA 本质上是 GDPR 计划中的官方监管机构和警察。
DPA 帮助决定法律问题,它可以调查公司是否存在潜在违规行为,并追究控制者或处理者对 GDPR 违规行为的法律责任,并评估处罚。
它还决定一个实体是否可以在欧盟之外传输数据,如果可以,必须应用哪些保护措施。对于特定组织,其 DPO 可能是 DPA 的主要联系人,反之亦然。
由于固有的职责,DPO,尤其是 DPA,很可能由一群人组成,而不是一个人。
如果数据主体认为发生了违规行为,他们可以联系由相关公司选择并传达给数据主体的 DPO 或 DPA。
这在实践中可能会很尴尬,因为控制者或处理者的 DPO 或 DPA 可能与主体不在同一个国家或使用相同的语言。
必须迅速报告数据泄露
个人数据泄露(包括盗窃、数据丢失、破坏或掺假)必须立即或至少在 72 小时内向主要监管机构(即 DPA)报告。如果预计会产生不利影响,则必须通知受影响的个人。
然而,如果数据被适当加密或匿名,并且最终保护没有被破坏,那么就不必通知个人。
安全团队可能会面临更大的压力,以确保所有 PII 数据都经过适当的加密或匿名处理。以前,加密工作主要集中在保护便携式设备,这些设备被认为在丢失、被盗或被利用时更容易被误用。
GDPR 合规性可能会导致整个企业急于进行更严格的数据加密,确保数据即使被盗也能保持加密状态,并尽可能对数据进行匿名或“伪匿名”。
首席执行官和其他 C 级官员希望听到他们对任何可能的数据泄露的报告要求被最小化。
此外,安全团队可能会面临越来越大的压力,需要比以往更快地快速确定数据泄露是否导致了可报告事件。
对于许多组织来说,72 小时是一个很快的时间窗口,尤其是在试图了解是否有任何事实可以阻止向受影响的数据主体或媒体报告违规行为时。
如何为 PII 保护法规做好准备
不用说,公司中负责收集、存储、处理受 GDPR 影响的数据的每个人都应该已经在学习 GDPR 的基础知识以及你的公司需要做哪些准备。应组建专门负责 GDPR 准备和合规性的团队。
你的公司可能应该创建一份自定义文档,向受影响的员工和客户介绍 GDPR,突出显示需要关注和改进的领域。你最关键的员工应该接受 GDPR 培训并测试他们的知识。
如果你的公司需要一名 GDPR 数据合规官,请指定某人或进行聘用。
接下来,评估你的公司对 GDPR 合规性的准备情况(例如人员、工具和流程),并指出最关注的领域。
简单地确定你已有的哪些数据适用于 GDPR 将是一项艰巨的起始任务。以及如何联系这些人并提供相关的所需信息?大多数公司将需要创建新系统来根据 GDPR 标准跟踪数据或修改现有系统。
提前确定你的公司在发生个人数据泄露事件时可能需要采取的措施。七十二小时并不是很多时间。你联系谁?谁联系他们?你必须提供什么信息?谁以及什么决定是否必须通知数据主体?不要让你第一次弄清楚如何应对 GDPR 个人数据泄露事件成为你的第一次泄露。
当然,大量的公司正在等待你询问他们的服务或产品。
GDPR 是个人数据隐私保护的新黄金标准。其努力是让数据主体对数据有更多的控制权,并确保操作和保护的透明度,而不是以前通常所做的。这对于隐私保护来说是一件很棒的事情,但对于那些负责遵守的人来说却有很多工作要做。
Van Hoof 将 GDPR 视为企业的机遇,“许多企业将 GDPR 视为另一个额外负担。另一项费用。但我认为这应该被视为一个机会。
公司长期以来一直在收集数据,甚至不确定他们拥有哪些数据或是否需要这些数据。他们通常不需要它。
GDPR 将迫使他们重新审视收集数据的原因、保留数据的时间、处理数据的方式,并提高整体效率。这不仅是简化数据的机会,也是简化数据处理的机会。
在线客服
微信
