遵守数据保护法规
许多技术和服务越来越依赖数据,包括敏感数据和个人数据,这提高了保护这些数据免受盗窃、腐败和丢失的重要性。国家和全球权威机构已经介入制定了《通用数据保护条例》(GDPR)等法规。
不符合数据保护的行业标准不仅会导致数据丢失或泄露,还会受到法律和经济处罚,并损害组织的声誉。继续阅读,了解有关数据保护法规以及如何遵守这些法规。
在本文中:
- •什么是数据保护?
- •什么是GDPR?
- •数据保护技术
- •如何实现数据隐私合规
- •使用Cloudian存储设备进行数据保护
什么是数据保护?
数据保护——有时被称为信息隐私或数据安全——是保护重要信息的隐私、完整性和数据可用性的过程。任何处理敏感数据的组织都必须实施数据保护策略,以防止其数据被盗、损坏或丢失,并在发生安全漏洞或灾难时减轻损失。
从数据泄露或数据丢失中恢复是时间敏感的,任何延迟都可能影响业务连续性。许多行业也有法律要求,适用于处理或存储姓名、地址、密码、信用卡详细信息和医疗记录等个人信息的组织。
什么是GDPR?
《通用数据保护条例》(GDPR)于2016年4月通过,并于2018年5月生效,旨在为整个欧盟(EU)和欧洲经济区(EAA)的数据保护提供统一的标准。它规定,任何处理个人数据的公共或私人组织都必须致力于维护高水平的数据安全。
GDPR强调欧盟居民与个人数据相关的权利,包括访问、修改、转移或删除其数据的权利。GDPR中定义的个人数据是指与个人有关的任何信息。这包括个人识别信息(PII),例如姓名;地址;身体特征,包括体重、身高、民族或种族特征;生物特征数据,例如DNA和指纹;以及健康数据。
GDPR规定,组织必须在使用个人数据方面提供透明度,要求他们披露任何数据处理活动,证明使用这些数据的合法依据,并在72小时内报告任何数据泄露。
数据保护是GDPR的重要组成部分,几乎所有在线企业都必须遵守这些或类似的标准。GDPR合规性要求实施数据隐私政策,确保只收集必要的数据;个人对可以收集哪些数据以及如何使用这些数据有发言权;所有敏感数据在达到目的后立即删除。对违规行为的处罚是高达20000000欧元的罚款,即一个组织全球收入的4%。
为了帮助组织满足合规要求,GDPR概述了数据保护官员(DPO)和数据控制者(data controller)等角色的职责。数据管理员的职责包括采取措施,确保个人数据不会被滥用,并保持机密。GDPR赋予数据控制者实施额外数据保护措施的灵活性,但要求数据控制者评估与这些措施相关的风险和成本。
阅读数据存储GDPR合规性完整指南
数据保护技术和实践
有许多数据管理和存储解决方案可以帮助您保护数据。有几种类型的数据安全措施旨在限制对数据的访问,监控网络中的活动,并部署对可疑或已确认的漏洞的响应。一些常见技术和预防性安全措施包括:
- 数据备份--存储定期更新的数据副本。这通常涉及到对数据进行整体“镜像”,以便您可以从多个位置访问数据。您可以利用基于内部部署磁盘的存储系统进行安全、快速访问的本地备份、磁带作为本地或远程备份或云备份。
- 数据丢失预防(DLP)--一种利用多种工具来帮助减轻数据丢失的解决方案。
- 防火墙--帮助您监控网络流量,以便检测和阻止恶意软件。
- 身份验证和授权--确认用户的身份并验证用户的访问权限。凭据(即密码)、访问令牌和身份验证密钥的组合有助于提供额外的安全层。这可以是更大的身份和访问管理(IAM)解决方案的一部分,以及基于角色的访问控制(RBAC)等措施。
- 加密--将数据转换为不可读的格式,这样只有加密密钥才能将其转换回简单文本。数据安全解决方案通常将加密作为其数据保护策略的重要组成部分。
- 端点保护--监控端点活动的软件,当有人在您的网络中传输数据时向您发出警报。
- 数据擦除——一旦敏感数据被处理,就删除它,以降低暴露的风险。这是GDPR等法规的重要要求。
- 灾难恢复计划(DRP)--使您能够在发生损坏数据中心的事件后恢复数据。组织应始终制定计划,以便能够快速轻松地恢复丢失的数据。
阅读 On-Prem vs. Public Cloud for Data Protection 报告。
如何实现数据隐私合规
为了帮助您的组织满足GDPR等数据保护法规的要求,您应该制定一个全面的数据保护战略,并在整个组织中实施。您的合规策略应包括:
- 企业范围内对义务的理解——组织中的每个人都应该知道他们的职责包括什么。您可能还需要遵守运营所在国或影响您所在行业的其他当地法规。确保每位员工都知道如何应对数据安全事件,并且至少熟悉GDPR的七项关键原则。
- 识别风险领域——你应该评估任何使用个人数据的活动所涉及的风险。这可以帮助您识别现有安全策略中的漏洞,以便更新您的合规措施。
- 保持可见性和透明度--使用数据映射等措施来跟踪组织处理的所有个人数据。这应该包括记录您收集的数据类型、存储位置以及为什么需要处理这些数据。
- 任命一名数据保护官(DPO)——这对于处理高风险活动的个人数据的组织来说是强制性的,例如对敏感数据的大规模分析。DPO负责监督GDPR的遵守情况并提供建议。您也可以从DPO中受益,即使法律上没有要求您雇佣DPO。
- 隐私计划——GDPR提倡“默认和设计隐私”的方法,包括在数据处理活动的整个生命周期中实施数据保护措施。组织必须能够证明他们有足够的计划,否则就有可能面临执法行动。因此,您应该将隐私影响评估(PIA)纳入您的隐私保护策略中。
最新内容
- 3 days 1 hour ago
- 3 days 3 hours ago
- 3 days 3 hours ago
- 5 days 19 hours ago
- 6 days 2 hours ago
- 6 days 3 hours ago
- 6 days 3 hours ago
- 6 days 3 hours ago
- 1 week 3 days ago
- 1 week 3 days ago