收集客户数据可以帮助企业改进产品和服务。然而,当消费者发现他们的数据被大量泄漏并被用于非法牟利活动时,就会变得越来越谨慎,不再愿意将个人隐私数据提交给企业。企业只有制定公布并有效实施稳健全面的数据安全政策,才能赢得消费者的信任。

根据近年来个人隐私信息保护领域的最佳实践,本文收集整理了能够有效帮助企业保护其用户数据的12条安全措施,可以作为企业数据保护建设中的参考。

1. 明确外包服务供应商的保密义务

外包业务(服务)加大了企业因安全事件而遭受财务和声誉损失的风险。企业需要和服务提供商在合同条款中明确约定来应对这些风险。在合同中洽谈安全条款时,应综合考虑信息的敏感性,了解服务提供商的能力,以及依据双方内部政策和程序所开展的尽职调查的结果。

2. 选择安全可信的员工

当企业业务开展涉及大量用户敏感数据时,选用业务人员时必须考虑其是否值得信任。鉴于目前人才紧缺的现状,在员工招聘时就应该关注其的可信度和履历透明度。比如说,背景筛查很重要(对银行和医疗保健等行业而言尤其如此),只有通过透明度和信任能力测试,才能找到更加合适的人选,公司才能将敏感数据放心地交给他们。

3. 利用第三方安全服务

审计和合规要求迫使企业在技术环境中实施可落地的安全方案,但企业中常常会存在通过常规审计发现不了的安全隐患。利用第三方安全测试服务可以发现企业自身安全团队可能错过的漏洞,实践证明,开展漏洞悬赏计划对企业的安全建设会有帮助。

4. 采用安全设计方法

让公司业务系统在开发时就采用安全设计方法(security by design)可大大提高企业隐私数据的安全性。安全设计方法涉及多个方面,包括教育员工、尽量减少收集的数据量、加密数据、安全设计系统、数据访问控制以及在整个软件开发生命周期中关注安全等。

5. 为客户提供价值

收集客户数据的企业应该让用户了解,其收集数据的目的是什么。通过使用收集的数据能够为客户、社会和国家提供价值,而不只是一味牟取商业价值。企业需要确定所收集数据适用的使用场景,熟悉快速不断变化的数据技术和法规要求,并与业务团队密切联系。

6. 确保全面遵守安全和隐私框架

企业应该遵守数据在收集、存储和传输阶段的信息安全或隐私合规框架,这样才能确保数据的安全使用。此外,应审查任何接触消费者数据的供应商,确保供应链中每个环节也能够遵守信息安全法规或标准。

7. 得到客户的授权

知情同意(informed consent)是赢得消费者信任的主要基础。“知情同意”是指企业明确告知客户他们的个人数据现在和未来的可能用处,以及在企业重新获得客户同意之前会将个人数据保留的具体时间,让每个消费者可以选择其同意生效的时间长度可以使政策更具个性化。

8. 让客户有选择退出的权利

企业应经常告知消费者所收集数据的存储和使用情况,并询问他们是否想要选择退出。有的企业每季度对消费者做一次隐私安全健康检查,这将有利于赢得用户的理解和信任。

9. 对用户隐私数据安全加密

对用户数据中的重要敏感数据进行安全加密是最基础的防护要求,但却被很多企业忽视,甚至包括一些大型互联网企业。为了让客户更加放心,需要告诉他们提交的个人数据都会经过加密处理,连企业员工都无法随意读取。

10. 聘请第三方机构来收集和管理数据

对于中小型企业组织,建议使用第三方服务来收集并保管客户数据,许多软件即服务(SaaS)产品都可以提供此类服务。调查发现,用户会更愿意将其个人数据提交给SaaS产品而不是一家不知名的小公司来保管。

11. 至少保留三份数据

企业有责任确保数据得到合理存储和全面保护,建议企业至少备份三份数据,存储在至少两种不同形式的介质上,一份离线保存、一份异地保存。若有任何变化,都应告知客户,以便他们放心地将数据交给企业保管。

12. 尽量少访问客户数据

企业在必须收集用户数据时,应只授权给必须访问数据的员工。数据还应该有合适的保留期,这意味着一旦数据满足使用要求并且不再需要,就应该删除。合法收集的数据应妥善存档。这种做法将有助于向消费者证明企业有能力保护其数据的安全。

参考链接:

https://www.forbes.com/sites/forbestechcouncil/2022/05/13/15-strategic-steps-companies-should-take-to-secure-customer-data/?sh=1a8963255133

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。