联系我们

欧盟合规性:常规数据保护规定 (GDPR)

欧盟标记横幅 - GDPR 合规性

欧盟合规性的发展

欧洲委员会提议的常规数据保护规定 (GDPR) 可以为欧盟 (EU) 内的个人加强并实现统一数据保护,同时解决将个人数据出口到欧盟外的问题。

在 2015 年 12 月宣布颁布 GDPR 条例的协商结果之后,欧盟议会举行投票,将 GDPR 的合规最终期限设定在 2018 年 5 月。GDPR 要求以及处理这些要求所需的内部协作量意味着,各组织需要立即开始为合规做出计划安排。  

GDPR 的主要目标是让公民重新掌控个人数据的控制权。GDPR 生效后将弥补欧盟之前及其他数据保护规定的不足。

GDPR 合规的安全技术 - GQM GRC 白皮书图像

数据合规专家应对 GDPR 带来的安全需求

获取白皮书

GDPR 合规要求

这项欧盟合规规定将对全世界的企业产生深远的影响。 

随着安全港协议的结束,出口和处理欧洲公民个人数据的美国公司也将需要遵守新要求,否则要承担相同的后果。

如果贵企业发生了数据泄漏事件,则根据新欧盟合规性标准,根据泄漏的严重性可能会产生以下后果:

  • 贵企业必须通知本地数据保护机构以及所泄漏记录的潜在所有者

  • 贵企业会被处以高达 4% 的全球营业额或 2000 万欧元罚款

欧盟星级但是,GDPR 会根据企业内是否部署了合适的安全措施而实施例外处罚。例如,泄漏数据的企业如果通过加密使非法访问数据的人无法读取数据,则不强制通知受影响的记录所有者。 

如果企业能够证明已做好“泄漏保护”也会有减少罚款的机会。

为满足 GDPR 合规要求,企业可能需要在本地和云基础设施环境中部署一种或多种不同的加密方法,包括以下方法:

  • 服务器,包括通过文件、应用、数据库和全磁盘虚拟机加密。

  • 存储,包括通过网络连接存储和存储区域网络加密。

  • 介质,通过磁盘加密。

  • 网络,例如通过高速网络加密。

另外,还需要强密钥管理以保护加密的数据,以及保证删除文件和满足用户被遗忘权。 

组织还需要一种方式来验证用户身份和交易的合法性,以及证明合规性。当前使用的安全控制措施一定要是可以证明的,且是可以审计的。

金雅拓提供了市场上唯一的全套数据保护产品组合,这些产品搭配使用,能够一体化保护和管理敏感数据并可映射到 GDPR 框架。

没有哪一种单一的解决方案可以使组织符合 GDPR 标准。这一法规过于宽泛,涵盖了从管制理到合同义务的一切内容。但是,金雅拓的 SafeNet 解决方案组合可以帮助组织符合规定的数据安全法规。

法律规定的字里行间都贯穿着安全要求。这些要求可以被划分为以下几个主题:

GDPR 希望组织可以保持对其数据的控制权,以确保只有在适当的情况下,授权用户才能访问和处理数据。控制要求在第 5、25 和 32 条有所体现。

根据 GDPR,组织必须:

  • 仅为授权目的处理数据
  • 确保数据的准确性和完整性
  • 最大限度地减少个人身份暴露
  • 实施数据安全措施

除非用户或进程提供适当的密钥,否则加密操作应使数据处于不可读取状态。根据 GDPR,这种简单的控制方法可以使数据处理仅限于授权使用,并限制通过其数据即可识别个人身份的次数。加密还可以防止未经授权的数据操控;限制授权用户的数据访问以及监控密钥的使用,这可以大大降低未经授权擅自更改数据的能力。妥善使用加密及其访问控制的组织可以证明其数据的完整性。

多因素认证是任何场景下的第一道防线。强身份认证可以控制哪些用户访问了网络和网络内的资源。通过向个人分配凭证,组织可以跟踪对资源的访问以监控内部风险。多因素认证同样使得未授权用户更难访问敏感资源。对于已知和未知威胁,多因素身份验证都会增加数据访问的障碍,使组织更容易控制其数据。

 
 

GDPR 将安全性服务于隐私。安全性要求在第 6、25、28 和 32 条中有所体现。为了保护主体的隐私,组织必须实施:

  • 有意和默认的数据保护
  • 安全性作为合作伙伴和服务提供商的合同要求
  • 加密或假名化
  • 可对其风险评估做出回应的安全措施
  • 若欲保留数据以进行额外处理,则采取保护措施

GDPR 特别将加密作为安全性要求。此外,组织需要进行风险评估,然后采取措施以减轻发现的风险。由于没有哪个组织可以识别其数据的所有风险,并且没有哪种周界安全方法是万无一失的,所以组织应该加密其数据以“防范泄露”。通过加密,无论是否存在泄露,数据都将受到保护。

多因素认证可以控制对用于处理数据的网络资源的访问。为了防止数据遭到未经授权的处理,组织可以分配并更改身份验证设置,以便在第一个实例完成后对额外处理加以限制。此举还可以减轻组织风险评估中发现的风险,或保护对与第三方合作伙伴共享的数据的访问。

 

即使在收集数据之后,个人依然对该数据有支配权和一定程度的控制权。“删除权”在第 17 和 28 条中有所体现。GDPR 求组织在以下情况下完全删除所有存储库中的数据:

  • 资料对象撤销其许可(“被遗忘的权利”)
  • 合作伙伴组织请求删除数据
  • 服务或协议终结

当个人撤销对其数据的许可,组织需召回其分享的数据,或在服务期限结束时,组织需完全清除相关数据。这是一个很难达到要求,因为简单地删除数据并不能将其从磁盘上完全删除。为了完全符合规定,组织可以加密数据,然后删除密钥。这种数据删除方法将使数据完全永久不可读取。

 
 

组织必须对隐私和安全风险进行评估,并证明他们正在采取适当措施,以根据研究结果确保隐私安全。这些要求在第 2、24 和 28 条中有所体现。为了降低风险并进行尽职调查,组织必须:

  • 进行全面的风险评估
  • 实施措施以确保和证明合规性
  • 积极帮助合作伙伴和客户遵守规定
  • 展示全面的数据控制

当组织与合作伙伴或第三方服务签订合同时,组织不应放弃对数据安全的责任。事实上,组织将承担合同责任,帮助彼此实现安全性并降低风险。由于加密直接将安全性附加到数据上,因此可以保证数据的安全性,即便在组织的视线之外,也能保持对主要组织的控制权。

 
 

当安全漏洞威胁到数据主体的权利和隐私时,组织需要通知客户及其监督机构。数据泄露通知要求在第 33 和 34 条中有所体现。根据 GDPR,组织有以下义务:

  • 在 72 小时内通知其监督机构
  • 描述数据泄露的后果
  • 将泄露信息直接传达给数据主体

如果数据泄露导致不受保护的数据遭到暴露,组织将需要通知其所在地区的监管机构和受影响的客户。但是,如果数据得到加密并遵循了密钥管理最佳实践,组织可以避免执行这些通知义务。当数据主体的权利和自由处于危险之中时,通知仅作为一项要求存在。

 
 

下载金雅拓的 GDPR 电子书,了解金雅拓如何帮助您确定 GDPR 的关键内容,以及应采取哪些步骤来满足这些要求。

通用数据保护条例 - GDPR 扩展电子书图像

常规数据保护规定

获取扩展电子书

了解更多关于欧盟法规的信息

立即了解 GDPR、隐私和应用妥当安全控制 - 网络研讨会

立即了解 GDPR、隐私和应用妥当安全控制 - 网络研讨会

加入 (ISC)² 和金雅拓一起参与点播网络研讨会,了解您应该关注新“通用数据保护条例”的哪些内容:背景、内容变更、违规处罚、安全隐患等。

观看我们的点播网络研讨会
欧盟旗帜缩略图 - 呼吁 GDPR 合规行动

为 GDPR 做准备

从物理和虚拟数据中心到云,金雅拓可让组织始终得到保护、保持合规性并控制一切。 金雅拓加密和加密密钥管理产品使组织能够保护数据库、应用程序、存储系统、虚拟平台和云环境中的敏感数据。

若需 GDPR 方面的帮助,欢迎联系我们

索取信息

 

感谢您关注我们的产品。如果您希望获得更多信息,或者希望Gemalto代表与您联系,请您填写并提交此表格。

 

您的信息

* 电邮地址:  
* 名:  
* 姓:  
* 公司:  
* 手机:  
* 国家:  
* State (US Only):  
* Province (Canada/Australia Only):  
城市:  
备注:  
 


点击提交,即表示您同意接收Gemalto及其关联公司的电子邮件及同意隐私政策中的描述。