欧盟的通用数据保护条例GDPR自2018年5月25日全面生效,对全球所有处理或存储欧盟居民个人数据的公司产生影响。违反该法规可能导致高达公司年收入4的罚款。GDPR 还要求公司必须在72小时内报告数据泄露事件。
即使您并未与欧盟进行商务往来,该法律依然可能会影响全球安全标准。因此,涉欧盟或处理受GDPR影响数据的公司正迅速采取合规措施。对于安全团队而言,确保 PII 安全,以及适当的报告流程至关重要。
Brian Vecci,Varonis 的技术传播者指出:“大多数公司甚至没有做好准备。因为有人在欧洲注册了他们的通讯,位于美国中西部的公司突然要遵循此隐私法规。这就是GDPR的宏伟之处,它跨越了所有行业。”
GDPR 对个人数据的定义非常广泛,远超大部分国家当前或以前的个人数据保护规定。它涵盖了任何与特定个人相关的信息,无论该数据是私密、公开还是专业性质,不仅包括姓名、地址和财务信息,还包括任何可以识别个人的信息如IP地址、登录ID、生物识别标识符、地理位置数据、视频资料、客户忠诚历史、社交媒体帖子和照片。只要能够识别特定个人的数据,都包括在内。
因而,GDPR 意味着今后需要保护更多类型的数据,并加大识别现有数据的努力,尤其是之前未被视为PII的数据。Vecci表示:“以前,即便您拥有来自其中一个欧盟国家的 PII,您收集的数据也可能未被认为是PII。而现在,从5月开始,它们就是PII。”
GDPR 影响的公司需要尽可能识别先前未进行跟踪或索引的信息。例如,一通录音的客户支持电话可能需要被定位、保护、追踪并报告。
每个人或其法定监护人必须事先给予书面“选择加入”的同意。此同意声明必须明确指出收集的数据、用途及保留时间。此外,参与者可以随时撤回同意并要求删除其个人数据只要提供所批准的理由之一。
根据GDPR,个人还可以控制他们的PII处理方式。他们不仅可以请求删除数据,还可以更正事实错误,查看其存储的数据,甚至导出以供个人审阅和使用。这些重要的权利对于大多数组织来说都是全新要求。
Vecci认为,许多公司最初只是试图理解GDPR对他们构成的威胁。他们不知道自己不知道什么。他们需要找出数据存储的位置,以及它是否受到GDPR的保护。然后,他们必须以最小特权的方式保护并追踪这些数据。幸运的是,我的公司 Varonis 自成立之初就一直专注于此。我们不仅专业于查找数据,还需确定谁可以访问这些数据,以及他们是否确实需要访问。现在,GDPR第25条规定数据必须在设计和默认情况下都以最小特权的形式进行保护。而这一切都需要在了解数据存放位置及访问对象的基础上完成。
蚂蚁加速器官网下载在设计与消费者互动的在线系统时,公司始终倾向于易用性而非安全性。他们希望消费者有良好的体验,尤其是在购买或访问账户的交易过程中,因此认为消费者也应有相同的优先考虑。
但局面可能在改变。[近期一项研究](https//idtrulioocom/digital
