《通用数据保护条例》(GDPR)——业务在欧洲或客户是欧洲公民的任何公司或组织都受管辖,收集的所有个人数据都要妥善防护。而且GDPR对违规行为的处罚非常严厉,任何导致数据泄露的不合规行为都会遭到重罚,罚金可高至总营业额的4%。
GDPR本质上是基于监管的倡议,不是基于技术的。换句话说,该条例没有指明必须使用什么技术来保护个人可识别信息(PII),只说了需要保护哪些东西以及怎样保护。GDPR从来都没有想驱动哪一种特定技术。尽管如此,GDPR无疑会在下一个十年里影响信息技术的发展。虽然现在就来判定GDPR的全部效应还为时过早,但有几个因素可供预测时参考。
合规需要什么?
GDPR专注于令公司企业采取合理的预防措施防止PII遭泄露。其中一些合规元素包括限制所收集数据的存储,以及不收集处理过程中非必要的数据等协议。即便没有GDPR,这些建议也有利于公司避免陷入困境。最小化数据存储、只收集必需的数据、只在必要时持有数据,可以确保即便数据泄露发生,损失也能控制在最小。
Equifax就是持有大量敏感数据的典型代表,某些消费者的被盗PII甚至可追溯到几十年前。除了持有大量数据,这家公司还没有专人负责数据保护,虽然不少高管据说是注意到了那些漏洞。GDPR旨在通过要求每家公司都设置专门的数据管理员,来防止此类事件的发生。这能在公司内部建立其问责制度,维护所收集数据的完整性。
如果发生数据泄露,必须在72小时内通告消费者,并提供所有可能被泄数据的副本。于是,最小化数据存储就能简化该过程,也能平复消费者对于自身暴露度的担心。
三大类要求
GDPR的要求主要分为三大类。
第一类是网络终端的安全改善。终端安全常被视为第一道防线,但也常常是最弱的一环。公司企业需从传统杀毒软件推进到更为实质性的设备防护,可能涉及从桌面电脑和笔记本电脑,到手机、平板或虚拟机。
第二类要求是数据安全。最小化数据、只收集必需的数据、加密并限制访问,以及设立内部负责人,都对公司有好处。当然,这些行动有赖于准确而及时更新的业务过程或数据分类项目。
最后,访问安全。公司需强调最小特权访问,不设超级管理员,没有共享管理员账户,业务用户仅能享有使用特定系统和工具完成工作所需的最小权限。很多数据泄露从攻击者染指某台终端开始,但几乎所有数据泄露都以攻击者获得管理员账户而告终。因此,访问管理工作必须包括限制高度敏感数据的管理员权限。
这三大类要求组成了GDPR合规的基础。公司企业在这三个方面都合规的最佳方式,就是弥合基础设施,减少数据足迹,以及指定专人或专门的团队负责数据安全和实施新的规定。数据及业务过程发现可找出隐藏及冗余的个人数据存储库,有助于GDPR合规的顺利达成。
这对下一个十年的技术发展有何意义?
软件开发人员会围绕GDPR设计出新的安全产品和过程。其中就可能包括敏感信息在超过一定时间后的强制转储。增加信息收集及传输过程透明度的技术将会供不应求。GDPR将无可避免地强制要求新的以数据为中心的解决方案,因为这些新方案有助于公司企业尽可能地达到理想的防护水平,尽可能地合规。但要记得,合规一词可不仅仅包含隐私;电子发现、保留、检索、归档和销毁都是GDPR合规中以数据为中心的要求。
对任何人来说,GDPR合规都不会是件轻松的事,但特定行业面临的困难会尤其大。制药和银行业或许是困难的行业,因为他们收集和存储的信息最多。但不愿意缩减数据保有量的组织才要面对艰难的现实:比及时转储PII并保持最小数据集的那些组织更容易成为黑客选择下手的目标。有可能这些行业会试图在其他领域投入更多,比如锁定他们的终端。这种方法短时间内会有效果,但三类GDPR要求都齐头并进均衡发展的组织才能走得更稳。
长期来看,GDPR会要求公司企业更妥善地处理他们的数据,包括减少数据收集量和缩减数据保存时间。辅助数据管理和定时清除遗留数据的技术,在GDPR时代将迎来快速发展。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
