2016年通过的《欧盟通用数据保护规范(GDPR)》即将于2018年5月25日开始实施。该规范要求在欧盟内经营的所有企业以及收集或处理源自欧盟的个人数据的企业都遵守该规范。对于在欧盟境内未设立实体办公地点或并未处理源自欧盟国家的个人数据的企业也并非不受GDPR约束。一旦违反该规范,则企业将面临极其严格的罚款,即:企业前一财年全球总收入4%或2230万美元的罚款,以较高者为准。
在整个88页的GDPR文件中,我们将与数据安全有关的主要条款归纳如下(图1)
第25条:数据保护设计与默认设置
第32条:数据处理安全性
第33条:数据违规情况通报给相关监管机构
第35条:数据保护影响评估
第44条:数据传输的一般原则
之前曾提过,为协助企业满足GDPR合规规定,Imperva可提供的专业服务项目。本文中将进一步说明产品的具体特性以及其满足上述GDPR数据安全规定的方法。Imperva数据安全解决方案有五种方法帮助企业满足GDPR合规要求。
图1:关键GDPR数据保护要求及Imperva数据安全解决方案
数据发现与分类
GDPR要求企业建立与保留详细的个人数据库清单,然后按风险预测与优先性分类数据。为满足这一要求,首先需要了解数据库的位置,以及其内存储的数据类型。Imperva SecureSphere可自动扫描企业网络找到已知与未知的数据库,帮助企业轻松创建定制自己的数据发现策略,并应用于企业网络任意部分的扫描。为确保数据发现的持续性,并将新数据纳入安全与防护范围,SecureSphere还支持自动定时扫描。拥有自动与定时扫描功能可便于企业随时获取自己的网络内的最新的全部数据清单。
个人数据遮蔽与假名化
GDPR要求企业实行数据最小化与用途限制措施。这意味着企业只能因特定用途去收集与使用数据,且数据保留时限不得超出需知的范围 。例如,有一家保险公司因制作保单需要收集个人信息,则其再不能将该数据用于定价分析等用途,因为该个人数据仅为制作保单所收集,再不得将该数据用于其它用途(如:开发定价分析数据库)。但如通过数据屏蔽法将数据假名化,则仍然可以将被屏蔽的数据用于定价分析,使得该个人数据会被用于其它用途。
数据假名化:根据GDPR规定,数据假名化是指将数据去识别化,使数据无法直接识别主体。ImpervaCamouflage通过数据遮蔽方法隐藏个人数据,即:利用现实虚构数据来代替真实数据,使得数据在功能性与统计性上更精准。这种方法可以降低数据违规风险,便于用于商业用途。
数据处理安全性
GDPR的核心就是要确保个人数据的安全。因此非常注重数据处理安全,如:数据控制方与数据处理方都需要采取适当的技术措施确保数据安全。SecureSphere正是这样一款产品,可帮助企业保护数据,识别出数据库漏洞并监控数据库活动。
数据库漏洞评估
GDPR要求企业对数据采取连续保护,并定期测试与验证所采用的技术保护措施有效性,确保数据处理的安全性。同时还需连续进行数据库漏洞评估,识别出个人数据风险。Imperva SecureSphere可识别出数据库的安全漏洞,并可对数据库服务器及操作系统平台进行1500种以上预设漏洞与不当配置(如:未安装补丁包、默认密码或权限配置不当)的测试与扫描。同时还可生成评估报告,并针对识别出的漏洞提供具体的建议方案,增强被扫描数据库服务器的安全性能。
监控数据访问活动
数据活动监控是GDPR规范中最重要的内容之一,要求企业为数据处理提供安全环境。为满足GDPR规定,企业需回答下列问题:数据访问者是谁?数据用途是什么?
应对这一合规要求,SecureSphere利用其对所有数据库活动的持续监控与分析功能,帮助用户实现对数据活动的实时完全可见,包括本地特权用户访问与服务帐号。数据库活动的监控与审计功能可确保个人数据的适当使用,以及授权用户对个人数据的访问。此外,数据监控功能还可防止外部攻击盗窃数据,如SQL注入,并防止内部威胁,如:恶意、疏忽、或受到侵犯的用户。随时警惕数据安全,才能使企业在发生数据违规前识别与阻止可疑或非法数据访问。
违规检查与事件响应
一旦发生个人数据违规,GDPR要求数据控制方必需“不得无故拖延,如可能,应在获取该消息后72小时内上报给监管机关”。如未能在72小时内发出通知,则数据控制方必需为其延迟提交合理说明。
目前面临的最大挑战是,由于安全团队要处理大量的事件预警情报,导致真实报警事件容易被忽略。针对这种情况,ImpervaCounterBreach利用其先进的机器学习与peer group分析,优先处理数据访问事件,无需对数据环境进行深入了解就能使安全团队及时发现预警。CounterBreach可分析用户行为与数据访问活动,识别出真正需要关注(或危险)的事件,并降低数据暴露的风险。
实施跨境数据传输策略
GDPR为向欧洲经济区(EEA)以外的个人数据传输做出了严格的限制规定,确保在这一过程中不会影响数据保护与隐私保护。GDPR第44条中规定,禁止向EEA以外的地区传输个人数据,除非接收国可证明其可提供充足的数据保护。
SecureSphere可帮助企业满足制式合同以及关于欧盟“公司约束令”(BCR)的要求。该产品支持对数据库进行连续的发现与分类扫描,确保数据库与个人数据适当分类与保护。还可帮助企业用户创建数据库流量检查策略。一旦发现政策违规,如:非法访问、阻止用户接入或终止会话等,都可确保适当的跨境数据访问与使用。
申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!
