随着 GDPR 在即将实施的过程中,处理欧盟数据主体个人信息的公司需要加强其数据保护政策,并采取果断措施以达到合规性。根据新法规,组织将不再具有将数据安全性放在其优先级列表上或假装对其数据处理实践无知的奢望。他们将被追究法律责任,并且必须向数据保护机构证明其符合GDPR要求。

公司必须朝这个方向采取的第一步措施是了解组织内部处理数据的方式。这意味着对欧盟数据主体的权利以及GDPR包含的与处理个人数据有关的原则有深入的了解。

根据GDPR,敏感信息必须以透明的方式进行处理,其使用仅限于最初授予许可的目的,并且仅在处理数据的目的所需的时间内存储。还必须通过使用适当的技术和组织措施来保护敏感信息,防止未经授权或非法的处理,以及防止意外丢失,破坏或损坏。数据主体还可以随时撤消同意,并要求通过被遗忘权删除其数据。

所有这些规定实际上意味着企业必须知道敏感数据位于何处,由谁进行处理并始终对其进行控制。那么公司如何实现这一目标?审核是实现GDPR合规性的关键的第一步,但是从长远来看,组织需要软件,例如 数据丢失防护工具,以确保敏感数据受到监视和保护。

静态数据的威胁

根据数据的使用方式,可以将数据分为三个不同的类别:使用中的数据,运动中的数据和静止数据。使用中的数据是指经常由网络中的多个用户访问的频繁更新的信息,而运动中的数据是指在网络外部传输的数据。最后,静态数据是本地存储在硬盘驱动器上的静态数据,不经常访问或修改,可以将其视为已存档。

静态数据通常被认为是最安全的数据类型,因为它不会面临互联网传输或第三方安全漏洞的危险。静态数据通常经常受到防火墙和防病毒软件的保护,免受网络攻击,硬盘驱动器加密也可防止盗窃,因此仍然容易受到人为错误的影响。在GDPR时代,这是合规性的最大危险之一。

用户可以有意或无意地将敏感数据长期存储在其硬盘上,这直接与GDPR的一些关键要求相矛盾,例如有限的时限数据应由数据处理器保存或被遗忘。当数据主体撤消访问权限或要求删除其数据时,由于流氓数据副本而无法将其从系统中完全删除的公司将面临违规和可能的罚款。

全网扫描敏感数据

减轻这些风险的方法之一是通过雇用 电子发现 Endpoint Protector提供的工具,它们可以扫描和识别组织中所有端点上的个人信息。然后,管理员可以根据结果采取补救措施,例如删除或加密在未经授权的用户计算机上找到的文件。

在被遗忘权的情况下,它允许公司在整个网络中彻底搜索要删除的数据,并确保系统中任何地方都没有副本,从而确保符合GDPR。这同样适用于数据存储的时间限制,额外的好处是可以预先安排扫描的时间并自动启动一次和重复扫描。

通过其广泛的扫描功能和针对GDPR下定义的敏感数据的预定义配置文件,电子数据发现在GDPR合规性的初始审核阶段也非常有用。可以从结果中生成报告,这些报告可以使公司准确评估敏感数据的存储位置以及网络中的存储对象。

距GDPR于2018年5月25日生效只有不到两个月的时间,公司必须确保所处理或收集的所有个人数据得到适当保护,并且可以随时跟踪其下落。 GDPR不仅意味着对敏感信息的更高安全性,而且还意味着更高程度的透明度以及对如何使用和存储数据的了解。因此,组织不能只处理一种类型的数据,而必须制定合理涵盖所有数据的包罗万象的政策。

 

 

 

Source://www.endpointprotector.com/blog/