适用于GDPR合规之数据安全解决方案

本篇文章2148字，读完约5分钟

2016年通过的欧盟通用数据保护规范(gdpr)将于2018年5月25日实施。本守则要求所有在欧盟运营的企业以及从欧盟收集或处理个人数据的企业遵守本守则。在欧盟没有实体办事处或不处理来自欧盟国家的个人数据的企业不能免于gdpr。一旦违反该守则，企业将面临极其严厉的罚款，即罚款额为企业上一财年全球总收入的4%或2230万美元，以较高者为准。 在整个88页的gdpr文件中，我们将与数据安全相关的主要条款总结如下(图1) 第25条:数据保护设计和默认设置 第32条:数据处理安全 第33条:数据违规将通知相关监管机构 第35条本文将进一步说明产品的具体特性及其满足上述gdpr数据安全法规的方法。Imperva数据安全解决方案有五种方法来帮助企业满足gdpr合规性要求。

图1:关键的gdpr数据保护要求和客观的数据安全解决方案数据发现和分类gdpr要求企业建立并保存个人数据库的详细列表，然后根据风险预测和优先级对数据进行分类。为了满足这个要求，我们需要知道数据库的位置和存储在其中的数据类型。Impervasecuresphere可以自动扫描企业网络以查找已知和未知的数据库，这有助于企业轻松创建和自定义自己的数据发现策略，并将其应用于企业网络的任何部分的扫描。为了确保数据发现的连续性，并将新数据纳入安全和保护范围，securesphere还支持自动计划扫描。具有自动定时扫描功能，方便企业随时获取自己网络中所有数据的最新列表。 个人数据屏蔽和假名 gdpr要求企业实施数据最小化和使用限制措施。这意味着企业只能为特定目的收集和使用数据，并且数据保留的时间限制不得超出知识范围。例如，如果保险公司需要为制定政策收集个人信息，它就不能再将这些数据用于定价分析和其他目的，因为收集个人数据只是为了制定政策，而不能再将这些数据用于其他目的(如开发定价分析数据库)。但是，如果数据通过数据屏蔽被匿名化，被屏蔽的数据仍然可以用于定价分析，因此个人数据可以用于其他目的。 数据假名化:根据gdpr规定，数据假名化是指取消识别数据，因此数据不能直接识别主题。Impervacamouflage通过数据屏蔽的方式隐藏个人数据，即使用真实的虚构数据而不是真实数据，这使得数据在功能和统计上更加准确。这种方法可以降低数据违规的风险，便于商业使用。数据处理安全GDPR的核心是确保个人数据的安全。因此，我们非常重视数据处理的安全性，例如，数据控制器和数据处理器都需要采取适当的技术措施来确保数据的安全性。Securesphere就是这样一个产品，它可以帮助企业保护数据、识别数据库漏洞和监控数据库活动。 数据库脆弱性评估 gdpr要求企业持续保护数据，并定期测试和验证所采用的技术保护措施的有效性，以确保数据处理的安全性。同时，有必要持续评估数据库漏洞并识别个人数据风险。Imperservecourse可识别数据库安全漏洞，并可测试和扫描数据库服务器和操作系统平台上的1500多个预设漏洞和不正确的配置(如未安装补丁包、默认密码或不正确的权限配置)。同时，它还可以生成评估报告，并针对识别出的漏洞提供具体建议，从而提高扫描数据库服务器的安全性能。 监控数据访问活动 数据活动监控是gdpr规范中最重要的内容之一，它要求企业为数据处理提供一个安全的环境。为了符合gdpr规定，企业需要回答以下问题:谁是数据访问者？数据的目的是什么？ 为了满足这一法规遵从性要求，securesphere使用其对所有数据库活动的持续监控和分析功能来帮助用户实现数据活动的实时和完全可见性，包括本地特权用户访问和服务帐户。数据库活动的监控和审计功能可以确保个人数据的正确使用，并授权用户访问个人数据。此外，数据监控功能可以防止外部攻击窃取数据，如sql注入，并防止内部威胁，如恶意，疏忽或侵犯用户。始终防范数据安全，以便企业能够在数据违规发生之前识别并防止可疑或非法的数据访问。 违规检查和事件响应 如果发生违反个人数据的情况，gdpr要求数据控制员“不得无故拖延，如有可能，在获得信息后72小时内向监管机构报告信息。”如果通知未在72小时内发出，数据控制员必须对其延迟提交合理的解释。 目前，最大的挑战是真正的警报事件很容易被忽略，因为安全团队必须处理大量的预警信息。鉴于这种情况，impervacounterbreach利用其先进的机器学习和对等组分析来优先考虑数据访问事件，以便安全团队可以在不深入了解数据环境的情况下及时发现预警。抗衡可以分析用户行为和数据访问活动，识别真正需要关注的事件(或危险)，并降低数据暴露的风险。 实施跨境数据传输战略 gdpr对欧洲经济区(eea)以外的个人数据传输进行了严格限制，确保数据保护和隐私保护在此过程中不受影响。《公共数据保护法》第44条规定，除非接收国能够证明其能够提供充分的数据保护，否则禁止在欧洲经济区之外传输个人数据。 安全这里可以帮助企业满足标准合同和欧盟“公司限制令”(bcr)的要求。该产品支持数据库的连续发现和分类扫描，以确保数据库和个人数据的正确分类和保护。它还可以帮助企业用户创建数据库流量检查策略。一旦发现违反策略的情况，例如非法访问、阻止用户访问或终止会话，就可以确保适当的跨境数据访问和使用。