GDPR

如何在不降低安全性的情況下增加協同作業

協作在現代工作場所中至關重要,但如果做得不正確,協作環境也可能是不安全的。以下是如何在不降低安全性的情況下增加工作場所協作的方法。

詢問任何經理或任何工人,他們認為這是健康工作場所的一個要點,你肯定會聽到合作這個詞,或者它是同義詞,團隊合作。

團隊合作對於快樂,實用的辦公室至關重要,增加協作應始終是優先考慮的事項。而且,隨著雲端計算和協作文字處理器的出現,每天進行協作變得更加容易。

但不幸的是,這一切都有不利因素。如果沒有適當的預防措施,開放的協作環境也可能是不安全的 – 特別是在涉及敏感數據的情況下。

值得注意的是,敏感數據不僅僅意味著信用卡號碼和醫療數據等訊息。我們生活在GDPR時代,現在,如果處理不當,即使是包含電話號碼和電子郵件地址的銷售電子表單也會導致大規模的合規性問題,罰款和安全問題。

協作會帶來哪些安全風險?

如上所述,在協作方面,主要關注的是安全數據的不當處理,這可能導致安全問題和合規性問題。

到目前為止,眾所周知,任何安全環境中最薄弱的環節都不是防火牆,防毒或SIEM。這是人民。一次又一次,大數據洩露是由簡單的人為錯誤引起的。人們忘記鎖定充滿敏感信息的S3存儲裝置,人們通過Google雲端硬碟分享患者數據,人們陷入網路釣魚計劃。事實上,根據Verizon公司2018年數據洩露調查報告,企業也超過三倍,可能被成功的社會攻擊(那些以人),比實際的漏洞被擊中。

所以這是一個事實:當您允許更多人訪問和使用敏感訊息時,您將增加數據洩漏的風險,以指數方式抵禦所有這些威脅。

讓用戶遠離影子IT

在協作時代,BYOD和雲端計算,Shadow IT對於大大小小的組織來說,這已成為一個長期存在 由於企業防火牆變得不那麼明確,並允許用戶使用自己的設備進行工作或在家工作,他們也可能希望在提供給他們的工具之外使用技術。無處不在的免費云存儲工具只會加劇這個問題。如果兩個在異地工作的用戶需要共享大量大文件,他們的第一選擇可能是轉向他們在私人生活中使用的工具之一:Dropbox或Google Drive。不幸的是,如果設置不當,這些工具可能會非常不安全,而免費版本肯定不符合嚴格的合規標準。那麼如何讓您的用戶遠離Shadow IT?通過為他們提供他們需要的工具。找到一個能夠完成他們需要做的事情的解決方案,

讓員工協作……安全合規的方式。閱讀這本免費電子書以了解如何。

例如,如果您的用戶需要傳輸大量敏感數據,那麼像MOVEit這樣的檔案傳輸管理解決方案可以讓他們掌握自己的功能,同時通過端到端加密和審計跟踪來保持安全性。

管理者如何建立安全的協作文化?

因此,我們已經確定了用戶在沒有適當安全預防措施的情況下進行協作時所產生的安全風險,但這並不意味著我們希望徹底遏制協作。那麼,如何在不用限制性政策束縛員工的情況下創造安全文化?

答案是員工培訓和為工作找到合適工具的組合。讓我們從訓練開始吧。

理想情況下,您所在組織的每位員工,即首席執行官,都應該接受一些安全和合規意識培訓。將其視為預防性維護。您使用威脅情報訓練和教育用戶的次數越多,他們犯下代價高昂的錯誤的可能性就越小。因此,培訓您的員工識別網路釣魚電子郵件,並在通過不安全的渠道發送敏感數據之前對其進行識別。如果您讓員工意識到安全性和合規性風險,那麼他們將您的業務置於危險之中的可能性就大大降低。您甚至可以設置虛假的網絡釣魚電子郵件來定位您的員工,並發送最快點擊的員工,以進行進一步的安全意識培訓。

如果您擁有資源,或者在外部公司的幫助下,您可以自己做這件事。您越熟悉用戶的網路安全,他們就越不可能被它們嚇倒或淹沒。

安全資料夾共享允許輕鬆檔案共享

如果您希望您的員工能夠以安全的方式進行協作,那麼您必須為他們提供相應的工具。

在敏感數據方面,消費者級文件共享解決方案根本不會這樣做。您需要一個檔案傳輸管理工具,如MOVEit,它可以保護您的數據,在傳輸和靜止時使用端到端加密,以及訪問控制和審計跟踪,使您可以準確管理允許訪問和傳輸的人員敏感數據。

MOVEit的新安全資料夾共享功能通過讓用戶建立自己的安全共享資料夾來與網路內外的任何人進行協作來消除瓶頸,同時管理員可以完全控制權限和審核日誌。靈活的部署選項可以使安全資料夾共享與在Windows和MacOS上拖放文件夾傳輸一樣簡單,允許與無限的內部和外部用戶進行更多協作,具有MOVEit的所有標準安全功能,包括防篡改審計文件可見性的日誌和細化權限。

英國航空違反 GDPR 了嗎?

全球公司都在焦急等待,想知道誰會成為 GDPR 監管規定新制殺雞儆猴的對象。按照 GDPR 規定,凡違反監管規定的事業體,除須繳納巨額罰金外,也難逃民事訴訟。

GDPR 自 2018 年 5 月 25 日起開始實施,而在此數月甚至數年之前,許多公司行號早已開始準備因應各項新規定的施行。目前甚至仍有許多企業努力迎頭趕上,以免因資料外洩或未通過稽核而受罰。然而,目前仍有許多攸關 GDPR 的細節懸而未決。即便如此,如有任何事業體需要操作及處理歐盟居民的個人資料,仍有義務遵守 GDPR 法規。

哪一家公司將成為 GDPR 規定殺雞儆猴的對象?

眾所皆知,出現第一批違反 GDPR 規定的公司行號並進行相關調查及法律訴訟之後,才能斷定 GDPR 的施行成效。現在似乎已經出現了第一間違反 GDPR 規定的知名公司:英國航空公司 (British Airways)。

第一間違反 GDPR 規定並成為媒體關注焦點的知名公司出自航空業,這一點不足為奇。多年來,航空業的網路資安始終為人詬病。眾所皆知,航空業多半靠微薄的淨利率苦苦經營,因此,資料安全防護向來不是高階主管在乎的第一要務。

據航空業前員工及資安專業人員所述,有些航空公司直到現在仍在使用已經用了 30 多年的系統,也運用這些系統連上更新穎的網路服務。航空業的問題癥結仍然在於舊型系統 (尤其是用於處理客戶個人資料的系統)。

航空業最重視的始終是盈虧,但現在這個產業也不得不迫於時勢所趨,必須更加重視資安相關議題。

力求遵循 GDPR 規定。下載這份免費指南。

歐盟會制裁違反 GDPR 規定的英國航空嗎?

就在這個月,英國航空發生了大規模資料外洩事故,波及 380,000 筆交易。外洩的資料包括在 2018 年 8 月至 9 月間曾經與該航空公司交易之客戶的詳細財務資訊。

施行 GDPR 的理由正是要厲行資料外洩罰則。舉凡經營據點設於歐盟境內的公司,現在無不面臨艱難處境,一旦個人資料出現漏洞,一切作為 (或無作為) 都將接受調查。倘若公司違反 GDPR 規定,最高罰金可能高達年營業額的 4%,代價可謂慘重,甚至可能令公司陷入財務危機。對 BA 這樣的大型公司而言,這樣的懲處也許不算高,但中小型企業一旦違反規定,恐怕就在劫難逃了。

由於 BA 在發生外洩事故後即刻通報,甚至在報紙上刊登廣告,設法提高這個問題的曝光率。企業能採取這樣的反應措施相當值得稱許,而這著棋或許能夠阻止政府官員依據 GDPR 展開調查。不過,事實證明 BA 確實清楚自家公司的網頁應用程式早在多年前就出現了漏洞。光憑這一點,確實就有必要展開徹底調查,也應該這麼做。最起碼,應該要趁著這個機會證明 GDPR 的施行成效

相關文章:詳細解讀 GDPR 的資料保護原則,第二部分:目的限制與資料最小化

英國航空能躲過嚴格審查嗎?

大多數公司行號所能做的,就是密切關注 BA 是否會成為 GDPR 殺雞儆猴的對象。截至目前為止,是否會發生此事、會發生什麼情況,一切仍是未知數。

重點在於 BA 並不是唯一一家發生這類資料外洩事故的企業。達美航空 (Delta Airlines) 在今年 4 月份就發生過類似的資料外洩事故。TicketMaster UK 也一樣。若 GDPR 在當時已經生效,達美航空和 TicketMaster UK 或許早已因為違反 GDPR 而受罰。

原來,之所以會發生這類資料外洩事故,往往是因為使用第三方指令碼執行收集付款資訊的網站電子商務活動。依據過去調查網頁盜刷讀卡機類似案件所掌握的證據,這種情況的罪魁禍首似乎指向 Magecart 集團的駭客。

過去一段時間,RiskIQ 經常針對這類供應鏈攻擊手法的使用情形提出相關報告。您可以參閱他們所做的 BA 事故完整分析

公司行號應不應該在自家網站使用第三方指令碼?

在網站上使用第三方程式碼、指令碼、工具或外掛程式有助於提升開發速度。這是很普遍的做法,也能發揮許多優點,不過,若要實作任何第三方程式碼 (尤其是用於需要處理及操作個人資料的網站時),公司行號應格外謹慎。使用第三方程式碼讓網頁開發人員不需要自行編寫及測試程式碼,因此大大減輕其工作負擔。但是,許多公司會使用久未更新 (甚至不再受到支援) 的第三方指令碼和外掛程式。

您該不該全面避用第三方指令碼?該怎麼做才好,其實取決於應用方式,不過,由於這類工具和指令碼引發的供應鏈攻擊事件越來越多,自然有必要額外確認這類指令碼的安全程度。具體而言,免費的開放原始碼工具雖然很好,也有助於控制預算,但倘若您要開發需處理個人資料的網站,最好還是改與會定期更新程式碼及外掛程式的廠商合作。

目前我們只能觀察主管機關會如何處理 BA 資料外洩事故,但那並不表示我們不能趁著此時此刻做好安全防護措施。

GDPR 的資料保護原則,第四部分:完整性、機密性與責任歸屬

歐盟開始實施象徵其資料保護規範重要里程碑的一般資料保護規範 (General Data Protection Regulation, GDPR),迄今已歷經數個月的時間。也就是說,從現在起,全球舉凡需收集歐盟居民個人資料的公司行號,在處理這些個人資料時皆須更加謹慎,必須保障這類資訊的安全與隱私。違反相關規範者恐將面臨巨額罰款及重大懲處,目前已有數家公司行號受罰。不過,仍有部分公司尚未釐清這項最新立法規範。事實上,依據一項針對歐盟七國所做的新聞網站意見調查結果,自實施 GDPR 以來,同意橫幅的增加比例僅為 16%,同時,每個網頁的第三方 Cookie 數量下降了 22%。

數字看似不少,但相較於 5 月 26 日如洪水般猛烈的「我們已更新條款」電子郵件攻勢,這樣的結果並不如預期。這代表什麼?

這種現象意味著許多公司還不清楚 GDPR 規範,同時也表示現在我們該繼續探討延宕許久但未曾遺忘的「詳細解讀 GDPR 的資料保護原則」系列文章了。

在本系列連載文章中,我們將探討七項資料保護原則、這些原則與 GDPR 之間的關係,以及如何運用這些原則保障貴公司的資料並確保確實遵守 GDPR 與其他監管準則。

本系列的第一篇文章探討了 GDPR 的基礎概念:何謂 GDPR、GDPR 在規範什麼、GDPR 會對哪些人造成影響等等,同時,我們也探討了第一項資料保護原則,那就是有權要求公平、合法且公開透明的資料處理流程。您猜對了!第二篇文章探討的是第二項和第三項原則:目的限制與資料減縮。第三篇文章闡明了第四項和第五項原則:準確性及儲存限制。

現在,我們接續上一次的內容,繼續討論第六項原則:完整性與機密性,以及第七項原則:責任歸屬。

第六項原則:完整性與機密性

在 GDPR 堅守的七大原則當中,第六項原則是相當重要的一項,理由非常充分,即一切都是為了安全。

第六項原則載明資料「處理方式必須能夠適度保障個人資料的安全,包括必須採行相關技術或組織措施,盡力防範未經授權或不合法的處理方式,也須避免不慎遺失、摧毀或損壞資料。」

若以白話文解釋,這段法律條文的意思是:企業組織處理個人身分識別資訊 (Personally Identifiable Information, PII) 的方式,必須能夠防範資料遭竊、遭摧毀或不慎遺失等事故。所謂「採行相關技術或組織措施」的定義稍顯模糊,GDPR 法規撰寫人有可能是刻意避免釐清強制規定的安全防護措施,因為相關技術和最佳實務會不斷變化。

對我而言,這項規定似乎是在要求大家採行可靠完善的安全防護最佳實務,例如加密傳輸中或閒置中的資料、使用兩階段驗證,以及使用防篡改記錄技術追蹤存取資料的人員、時間和方法。企業組織過去若習慣採用無安全防護措施的 S3 Buckets 技術留存 PII,這項規定可能看似相當嚴苛,不過,實際改革起來並不至於大費周章,無論是否需要遵守 GDPR 規範,我都建議各企業採行這項措施。

第七項原則:責任歸屬

第六項原則是唯一明確著重於安全規範的原則,而最後一項原則強調的重點則在人人真正在乎的問題:後果。

第七項原則簡潔明了地載明「資料控管者應承擔遵循 [前幾項原則] 的責任並具備這種能力。」

未能確實遵循前六項原則的後果恐怕相當嚴重,最高可罰款 2400 萬美元或是全球年營收的 4%,以其中金額較高者為準。凡需收集、儲存或處理歐盟居民個人資料的企業組織,皆須遵循相關規範。無論貴公司的總部設於何處,概無例外。即便公司行號在歐盟地區並未設立實際據點,仍須遵循 GDPR 規範。

不過,什麼叫做遵循規範?該如何展現您確實是遵循規範的優良企業?GDPR 並未說明企業該如何證明確實遵循了規範,這是因為產業類型不同、需要處理的資料不同,以及組織規模大小不同,所謂遵循規範的定義就大相逕庭。不過,無論組織規模是大是小,您一定要做好隨時接受稽核的準備。建議採行普遍的最佳實務,例如記錄安全事件及 PII 存取情形,以及進行內部稽核。

再者,建議進行業務風險評估,這項評估可以協助您發現任何漏洞,同時也能評估您是否需要加強或實施具體的安全管制措施。

管理式檔案傳輸對於協助貴公司遵循規範有何助益

如前所述,只要貴公司需收集、儲存、處理或傳輸歐盟居民的個人資料,就必須遵循「一般資料保護規範」(GDPR)。在這千鈞一髮的時刻,最佳措施就是保證個人資料傳輸過程中所用的系統、使用者驗證以及加密技術全數安全無虞,而且確實符合 GDPR 的規定。

像 MOVEit 這般可靠的管理式檔案傳輸解決方案,可以運用許多方式協助貴公司遵循 GDPR。

  • 自動檢查檔案完整性 (Automatic File Integrity Checking) 能夠檢查檔案是否遭到竄改,從而避免導致資料不正確的重大錯誤,同時也能避免任何人不當存取資料。
  • 加密傳輸中及閒置中的資料。MOVEit 採傳輸及儲存加密技術並行方式,一方面運用 SSL 或 SSH 加密傳輸中的檔案,另一方面則運用 FIPS 140-2 驗證合格的 256 位元 AES 加密磁碟中的閒置檔案。即使發生資料外洩事故,這些步驟仍然能夠保障檔案及您所處理的 PII 安全無虞。
  • 詳細的防篡改記錄功能,可以詳實記錄檔案傳輸活動,讓您確切掌握存取資料的人員、時間、地點及方式。如此一來,即使資料遭到篡改,您仍然能夠掌控大局。
  • 內建資料不可否認機制,這項機制可讓您證明上傳、下載了某個特定檔案的人員,也能證明上傳及下載的檔案完全一致,使您能夠查證每一位處理過某個檔案的使用者,並且提供可靠的存取記錄。

本文轉載自ipswitch官方網站部落格

GDPR 的資料保護原則,第三部分:準確度與儲存限制

今年五月是個很有意思的月份。Google 和 Facebook 雙雙面臨 88 億美元的訴訟;Kanye West 宣佈支持 Donald Trump;而幾乎所有人的收件匣都擠滿了「我們已更新隱私權聲明」電子郵件。這一切代表什麼?癥結點是什麼?當然,這意味著我們也必須遵守 GDPR。Kanye 那件事毫不相關,所以不算在內。

一般資料保護規範 (General Data Protection Regulation, GDPR) 自 2018 年 5 月 25 日起正式生效。也就是說,從現在起,全球舉凡需收集歐盟居民個人資料的公司行號,在處理這些個人資料時皆須更加謹慎,必須保障這類資訊的安全與隱私。同時,這也表示現在該繼續探討系列文章「詳細解讀 GDPR 的資料保護原則」了。

請務必遵守 GDPR。下載這份免費指南。

在本系列連載文章中,我們將探討這七項資料保護原則、這些原則與 GDPR 之間的關係,以及如何運用這些原則保障貴公司的資料並確實遵守 GDPR 與其他監管準則。

第一篇文章中,我們介紹了 GDPR 的基本概念,包括何謂 GDPR、GDPR 的重點,以及 GDPR 所影響的對象;此外,我們也探討了資料保護的第一條原則:有權要求公平、合法且公開透明的資料處理流程。不出您所料,我們的第二篇文章已經探討過第二條和第三條原則:目的限制與資料最小化。

所以,現在就接續之前的內容,繼續探討第四條和第五條原則:準確度與儲存限制。

個人資料必須準確無誤

依據 GDPR 的第四條原則,舉凡所收集或處理的個人資料,皆須「準確無誤,且必須酌情保持更新。」GDPR 進一步規定以資料處理目的為前提,「必須在合理範圍內盡一切可能立即刪除或更正不準確的個人資料,不得延誤」。

這究竟是什麼意思?簡而言之:您不能保留無用資料,而且有責任確保資料的準確度與時效性。如果資料不準確或不符合時效,就必須刪除。舉例來說,假設您忙著處理一項政治宣傳活動,而您所用的資料是上一次大選期間得到的資料。第四條原則規定您有責任先確認自己使用的資料準確無誤且符合時效,之後才能將資料寄給選民。

這項規定牽涉到資料當事人更正及刪除資料的權利,而這兩項權利都是 GDPR 的重要條款。依據更正權的規定,個人有權要求更正不正確的資訊,也有權要求補齊不完整的資訊。依據刪除權的規定,個人有權要求刪除其資料,而且您應該及時進行刪除。

GDPR 並未深入規範資料準確度原則。具體而言,這條原則並未確切列舉出何謂「盡一切可能」保障準確度。不過,有一點是肯定的:若不更新或刪除已經過時的無用資料,您有可能會面臨重罰,這就關係到下一條原則。

您必須針對個人資料的儲存設限 (亦即不可保留不再需要的資料!)

我在探討第三條原則時曾經提過,保留一切資料以備不時之需是違反 GDPR 的行為,還記得嗎?規定制訂者太重視這條規定了,所以整份資料保護原則皆以這條規定為準據:即儲存限制原則。

依據這條原則,個人資料「不得以能夠辨別資料當事人身分的形式進行保存,且保存期限不可超過個人資料處理目的所需時間」。若要長時間儲存個人資料,必須證明該項資料「經處理後純粹做為歸檔之用,其目的是以公共利益、科學或歷史研究或統計為準據」。

基本上,就像之前提過的,唯有在依據資料收集目的完成作業所需的期間內,您才能保留資料。資料可用期限也許更長,但您不能繼續持有,也不能將資料重複運用於其他用途 (或將資料出售給他人)。這樣的規定有助於預防諸如 Facebook/Cambridge Analytica 所發生的醜聞,同時這也是 GDPR 所賦予的基本權利。

您必須備妥規定留存期限的政策,以及該項政策的文件記錄規定 (為進行法遵稽查所需),才算遵守這項原則。此外,您還要經常檢查已經過時的資料,適時刪除已經不再需要的資料。

管理式檔案傳輸對於企業遵守規定的助益

如前所述,若貴公司需收集、儲存、處理或傳輸歐盟居民的個人資料,就必須遵守一般資料保護規範 (GDPR)。有鑑於此,最佳做法就是保證個人資料傳輸流程所用的系統、使用者驗證及加密技術全數安全無虞且遵守 GDPR。

像 MOVEit 如此可靠的管理式檔案傳輸解決方案,能夠透過許多方式協助貴公司遵守 GDPR。

MOVEit 可以讓您運用自動的檔案完整性檢查流程,以利證明檔案未經竄改,避免出現嚴重錯誤而導致資料不準確。

同理可證,您可以運用 MOVEit 的內建排程工具安排一般資料傳輸前及傳輸後作業,例如確認資料的準確度和效力,以及檢查並遵守留存期間。

MOVEit 安全管理式檔案傳輸也具備傳輸及閒置資料加密功能,不但能與既有資安系統整合,也能提供詳細的檔案傳輸活動記錄。

本文轉載自ipswitch官方網站部落格

GDPR 的資料保護原則,第二部分:目的限制與資料最小化

一般資料保護規範 (General Data Protection Regulation, GDPR) 自 2018 年 5 月 25 日起正式生效。也就是說,從現在起,全球舉凡需收集歐盟居民個人資料的公司行號,在處理這些個人資料時皆須更加謹慎,必須保障這類資訊的安全與隱私。同時,這也表示現在該繼續探討系列文章「詳細解讀 GDPR 的資料保護原則」了。

在本系列連載文章中,我們將探討這七項資料保護原則、這些原則與 GDPR 之間的關係,以及如何運用這些原則保障貴公司的資料並確實遵守 GDPR 與其他監管準則。

第一篇文章中,我們介紹了 GDPR 的基本概念,包括何謂 GDPR、GDPR 的重點,以及 GDPR 所影響的對象;此外,我們也探討了資料保護的第一條原則:有權要求公平、合法且公開透明的資料處理流程。本週文章將接續上一篇文章的主題,繼續介紹第二條和第三條原則:目的限制與資料最小化。

GDPR 規定必須針對收集資料的目的設限

依據 GDPR [第 5 項第 1(b) 條]中的第二項資料保護原則,收集個人資料時必須「秉持具體、明確且正當的目的為之,如需進一步處理,處理方式不得與其目的相悖。」舉凡進一步處理個人資料之行為,一概不得「背離其原始目的」。

請務必遵守 GDPR。下載這份免費指南。

簡而言之,意思是要有正當、合法的目的才能收集和處理使用者資料,再也不能單憑做得到就將所有資料一網打盡。如果您收集不符合具體目的的資料,可能就違反了 GDPR 規定。同理可證,倘若您為了某個特定目的而收集並處理資料,就不能為了其他不相關的目的處理該項資料。例如,依據 GDPR 的規定,若收集資料的目的是為了研究,就不能為了行銷目的而處理及出售該項資料。

依據 GDPR 的規定,個人資料是指資料本身或合併處理者可能取得的其他資料後,能夠用於辨別個人身分的資料。姓名、電話號碼、IP 位址、電子郵件等等,全都屬於個人資料。

不久前 Cambridge Analytica/Facebook 爆出醜聞,Mark Zuckerberg 甚至為此親赴美國國會及歐盟議會,在議員面前作證;這樁醜聞讓世人得知,英國政治顧問公司 Cambridge Analytica 在 2016 年美國大選期間挪用以研究為目的收集而來的資料,鎖定數百萬名美國與歐盟公民進行政治宣傳。若以 GDPR 規定的最新限制為準,Cambridge Analytica 和 Facebook 會面臨鉅額罰金,最高可罰全球年營業額的 4%。美國現行法規並沒有這類目的限制法。

各企業還必須盡可能減少需要收集與儲存的資料

GDPR 大刀闊斧改革資料收集與處理流程,其中第 5 節第 1(c) 條的資料最小化原則特別值得注意。依據這條原則,舉凡所收集到的個人資料,皆須「適當、相關,且僅止於符合資料處理目的所需的程度」。

這項規定與目的限制息息相關,不同之處在於資料最小化原則限制的重點在於所儲存及收集的資料。重點是,從收集到處理、儲存與使用,舉凡資料生命週期當中的每一個階段,皆須採行資料最小化流程及規定,才算遵守 GDPR。在這個流程當中的每一個環節,您都要捫心自問:我們真的需要這項資料嗎?如果答案是否定的,就該刪除這項資訊。您應該將此流程記載於可資證明的稽核記錄中。

此外,要做到資料最小化,您就需要思考打算儲存特定資料多久。例如,若需要資料的目的是用於一項將會持續七週的專案,則在專案結案後、不再需要該項資料時,您就必須刪除資料。目前業界的慣例是保留一切資料,以防不時之需。敬請注意:這種慣例違反 GDPR。

為遵守 GDPR,收集資料之前請先自問以下問題:

  • 我會如何運用這項資料?
  • 如果不收集這項資料,我能達成目標嗎?
  • 我需要儲存這項資料多久,才能達成目標?

MOVEit 對於遵守 GDPR 第二條和第三條原則的助益

若貴公司需收集、儲存、處理或傳輸歐盟居民的個人資料,就必須遵守一般資料保護規範 (GDPR)。有鑑於此,最佳做法就是保證個人資料傳輸流程所用的系統、使用者驗證及加密技術全數安全無虞且遵守 GDPR。

不需編寫指令碼就能掌握先進的工作流程自動化功能。立即試用 MOVEit Automation 免費試用版。

像 MOVEit 如此可靠的管理式檔案傳輸解決方案,能夠透過許多方式協助貴公司遵守 GDPR。

MOVEit 就是一套以表單為主的解決方案,讓您能夠進行符合標準、安全又有記錄可循的資料傳輸作業,以利追蹤資料的去向、使用者,以及瀏覽者。MOVEit 能讓您全權掌握資料生命週期,因此是遵守資料最小化原則不可或缺的要素。MOVEit 提供詳盡而全面的分析功能,您可以深入洞悉檔案傳輸活動的各項資訊,由始至終嚴格遵守 GDPR 的資料保護原則。

MOVEit 安全管理式檔案傳輸也具備傳輸及閒置資料加密功能、資料完整性檢查功能,不但能與既有資安系統整合,也能提供詳細的檔案傳輸活動記錄。

本文轉載自ipswitch官方網站部落格

GDPR 的資料保護原則,第一部分 基本概念

歐盟將於兩週後開始實施一般資料保護規範 (General Data Protection Regulation, GDPR),值此之際,全球各企業的首要之務就是 GDPR 就緒程度。除了據點設於歐盟 (EU) 地區的企業和組織,其他各地的企業也一樣嚴陣以待。

GDPR 制定高標準資料保護規範,舉凡需要處理歐盟地區居民個人資料的組織,無論組織本身是否設於歐盟境內,一律必須遵守這項規範。這件事非常重要,因為 GDPR 制定的標準遠比現行美國隱私權法規定的標準更加嚴格。違規罰金也相當嚴苛:最高可罰 2400 萬美元或全球年營業額的 4%,且以其中金額較高者為準。

GDPR 奠基於七項資料保護原則,七項原則共同發揮作用,確保企業在收集與處理個人資料時不得不格外留意個人權利。

在本系列連載文章中,我們將探討這七項資料保護原則、這些原則與 GDPR 之間的關係,以及如何運用這些原則保障貴公司的資料並確實遵守 GDPR 與其他監管準則。

首先,我們來瞭解一下 GDPR 的基本概念。

具體而言,GDPR 到底是什麼?

 一般資料保護規範 (GDPR) 是即將針對 28 個歐盟會員國實施的全新資料保護法。

鑑於 28 個歐盟會員國現階段採行的資料保護規章及權力亂無章法,因此,GDPR 的用意即在於取代現行規範,即將成為全歐盟境內完全同調且一體適用的法規。

這項改革措施將歐盟 1995 年資料保護指導方針的各項原則修訂得更符合現代需求,而且能夠規範法規所稱的資料控管者及資料處理者 (文後將詳細探討),進一步保障資料控管者及資料處理者所處理的歐盟公民個人資料。

請務必遵守 GDPR。下載這份免費指南。

新法規加強了使用者對於個人資料處理及儲存方式的掌控權,同時讓使用者得以享有重要的權利及自由,例如刪除權、同意權、知情權、資料流通權,以及個人資料刪除權 (亦即「被遺忘權」)。

接下來,我們來深入探討幾個攸關 GDPR 的重要問題:

GDPR 何時開始生效?

GDPR 是在 2016 年 4 月底簽訂立法,自 2018  5  25 開始生效。自生效日起,任何組織,凡需收集、儲存或處理歐盟居民個人資料者,皆須遵守一般資料保護規範。

何謂個人資料?

個人資料是指資料本身或合併處理者可能取得的其他資料後,能夠用於辨別個人身分的資料。各行各業的組織多需收集、處理及傳輸個人資料,因此成為網路罪犯眼中有利可圖的目標,自然也是網路釣魚、拒絕服務、勒索軟體及進階持續性威脅等各類攻擊的對象。

資料控管者和資料處理者又是什麼?

控管者和處理者是兩種截然不同的組織,但兩者皆須遵守 GDPR。顧名思義,前者是指「控管」使用者資料的組織,後者是指「處理」這類資料的組織。

處理者泛指任何收集、處理、儲存或傳輸歐盟公民個人資料的組織。控管者則是主導處理者所行活動的組織。

也就是說,控管者負責決定個人資料的處理方式和理由,處理者則負責代控管者執行。例如,將支票攝影流程外包出去的銀行稱為資料控管者,其承包商即為處理者。

依據 GDPR 規定,處理者需保留一切處理活動的稽核記錄,但控管者有責任確保其所有資料處理者均遵守規定。一旦處理者網路出現漏洞,控管者也難辭其咎,同樣必須承擔資料保護義務。

控管者和處理者之間的個人資料傳輸作業必須安全無虞,處理資料的過程中,也必須妥善保護資料。在某些情況下,GDPR 也可以要求資料處理者刪除處理完畢後不再需要的個人資料。

誰必須遵守 GDPR

GDPR 規範任何收集、儲存或處理歐盟居民個人資料的組織。無論貴公司的總部設於何處,皆須遵守這項規範。即使在歐盟地區並未設立實體據點的公司,一樣必須遵守 GDPR。

我已經遵守 HIPAA 了,應該不會違反 GDPR 吧?

不一定。兩項規範雖有一些重疊的部分,但 GDPR 的法規範圍更大,影響也更深遠。若有意深入瞭解兩者之間的差異,請參閱這裡。

違規會遭受什麼樣的懲罰?

若不遵守 GDPR,後果相當嚴重,罰金最高可達 2000 萬歐元或全球年營業額的 4%,且以其中金額較高者為準。

英國呢?英國脫歐之後就不需要遵守這項規範了吧?

不,即便脫歐之後,英國的公司行號仍須遵守 GDPR。英國退出歐盟的日期在 2018 年 5 月 GDPR 生效日之後。因此,英國企業仍屬於歐盟管轄範圍,必須遵守 GDPR。脫歐之後,英國企業如需收集、儲存或處理歐盟居民的個人資料,仍然必須遵守這項規範。

還有其他疑問嗎?請參閱我們的給拖延者的 GDPR 指南,查看關於 GDPR 及其象徵含義的深度剖析。現在,我們繼續探討第一條資料保護原則:公正、合法且公開透明的資料處理流程。

公正、合法且公開透明的資料處理流程

「公正、合法且公開透明的資料處理流程」,這項規定是資料保護法案的第一條資料保護原則,同時也是 GDPR 新式規定的基礎。這是什麼意思?

依據這項規定,GDPR 要求資料控管者必須能夠針對個人資料處理事宜提供詳細的資訊給資料當事人 (亦即使用者)。

資料控管者必須以容易取得的方式提供這項資料,並且必須採用簡明扼要、一目瞭然的用語,否則視同違反規定。換句話說,冗長的使用者協議此後再也不管用了。

為遵守公開透明這項規定,資料控管者收集任何資料前皆須告知資料當事人,無論何時,只要變更資料收集流程,也必須告知資料當事人,最後,資料控管者必須請資料當事人同意資料處理事宜。

同意的形式不只一種,但必須是出於資料當事人的自由意志,而且必須由資料當事人主動表達同意 (即按下核取方塊)。也就是說,GDPR 嚴禁默許行為。

這條法律同時也闡明,收集並用於處理的資料必須「適當、相關,且符合資料處理目的所需」,而且該項資料的儲存期限必須「嚴格維持在最短期限內」。

MOVEit 對於遵守 GDPR 的助益

如前所述,若貴公司需收集、儲存、處理或傳輸歐盟居民的個人資料,就必須遵守一般資料保護規範 (GDPR)。有鑑於此,最佳做法就是保證個人資料傳輸流程所用的系統、使用者驗證及加密技術全數安全無虞且遵守 GDPR。

第一條原則的重點主要著重於同意權,但像 MOVEit 如此可靠的管理式檔案傳輸解決方案仍然能夠透過許多方式協助貴公司遵守 GDPR。例如,若使用者要求索取一份資料處理記錄副本,由於您必須遵守 GDPR 規定,因此一定要答應對方提出的要求。MOVEit 內建資料不可否認技術,因此您可以證明上傳、下載某個特定檔案的人員,也可以證明上傳及下載的檔案完全一致,從而能夠驗證每一位檔案存取使用者的身分,也能提供一份可靠的檔案存取記錄。

MOVEit 安全管理式檔案傳輸也具備傳輸及閒置資料加密功能、資料完整性檢查功能,不但能與既有資安系統整合,也能提供詳細的檔案傳輸活動記錄。

歡迎參閱下列資源,進一步瞭解 GDPR 及其象徵含義。

符合數據保護法規的七個步驟

遵守 GDPR 的七個步驟(英文)

檔案傳輸與 GDPR(英文)

英國脫歐與 GDPR(英文)

金融服務資料傳輸與 GDPR(英文)

本文轉載自ipswitch官方網站部落格

符合GDPR的5個關鍵步驟

歐盟的一般資料保護規範(GDPR)於2016年4月通過,並於2018年5月生效。歐洲議會建立了GDPR,作為保護歐盟公民個人身份信息(PII)的機制。根據GDPR的定義,PII不僅包含姓名,地址和生日等詳細信息,而且範圍更廣,包括網路身份資訊,如IP地址,MAC地址,cookie等。

GDPR為歐盟公民提供與其PII相關的特定權利,並概述了組織必須如何處理這些數據。GDPR迫使組織改變他們收集,存儲,管理,傳輸,共享和保護PII的方式。

誰適用GDPR?

儘管歐盟建立了GDPR,但它將法律責任擴展到歐盟境外,因此世界上任何維持歐盟公民PII的組織都必須遵守。

第1步:了解存儲客戶資料的位置

首先,您應該檢查您的網路以確定存儲客戶資料的每個位置。GDPR涵蓋所有IT系統和設備,包括移動設備以及公共,私有和混合雲環境。

一旦建立存儲每個客戶資料的位置就可以監控進出這些資料的所有流量。

第2步:利用網路流量分析來監控每個對話

在GDPR下,資料控制者必須保留其職責範圍內的處理活動記錄。

一旦知道客戶資料的存儲位置,就要監控每個對話,以了解誰訪問了哪些數據資料。結合使用安全分析來查找異常行為並發出警報。然後,如果遇到問題,您將可以調閱歷史取證資訊進行調查。這將允許事件反應團隊成員快速確定原因,修復問題,識別可能已訪問的訊息,並使業務恢復正常。

第3步:監控資料洩漏

現在您已知道敏感資料存在於何處以及誰擁有合法訪問權限,您可以採用最小權限方法來確保只有那些人訪問它,以及查找哪些資料被緩慢的模式被偷偷竊取。

但是,如果安全和網路團隊在資料孤島中工作,這可能會很困難。在許多組織中,網路團隊可以獨占存取對安全團隊非常有價值的通訊訊息。

通過部署其中兩個團隊都可以訪問相同資料系統,可以更快地檢測和緩解諸如低速和慢速資料竊取之類的威脅。

第4步:建立快速調查系統

可能導致組織最大困難的GDPR方面的違規通知要求。如果資料處理器發生違規,他們有義務在沒有不當延遲的情況下通知資料控制器。資料控制人員有法律義務在發現資料洩露後72小時內通知監管機構。72小時內調查和了解發生的事情是一個非常緊迫的時間。對於擔心GDPR符合規範的任何組織而言,網路流量分析平台是絕對必須的。您必須能夠收集有關網路上每個對話的詳細訊息,並能夠快速提交報告並確定根本原因。

步驟5:記錄事件反應過程以幫助導引相關數據

事件反應處置是人員,流程和技術的組合:

  • 人們將始終發揮核心作用,每個組織都必須分配資源,具體負責反應安全事件。
  • 過程是應該發生什麼以及何時發生的定義。該流程定義了誰參與,誰必須得到通知,如何升級訊息,哪些部門必須參與以及團隊可以使用哪些技術工具。
  • 技術提供了識別所發生事件並迅速恢復正常所需的歷史取證數據。

同樣,不要將安全和網路團隊視為單獨的。事件反應必須是努力合作,並且兩個團隊都需要可存取公共資料。

透過制定明確的事件反應計劃並定期練習,您的組織將更好地準備快速反應並控制攻擊或入侵。

Plixer提供免費版的網路流量分析平台Scrutinizer。如果您對部署Scrutinizer以幫助維護GDPR符合法規感興趣,可以在此處下載免費版https://www.ecnetworker.com/trial/

Ipswitch宣布MOVEit已為客戶就GDPR(通用數據保護條例)作好準備

美國馬薩諸塞州伯靈頓市 – 2018年6月19日 – Ipswitch公司宣佈其可管理檔案傳輸解決方案MOVEit已準備好用於2018年5月25日全面生效的通用數據保護條例(GDPR)。

GDPR為數據保護設定高標準,並適用於任何處理歐盟居民個人數據的組織,包括地理位置上不屬於於歐盟國家中的公司,對違規行為的處罰非常苛刻。因此,世界各地的公司必須為GDPR做好準備。
GDPR基於七項數據保護原則,共同確保個人權利為收集和處理個人數據的核心。 Ipswitch的MOVEit遵守GDPR的數據保護原則,以安全、準確、可控、以文件化的方式支援外部數據傳輸,以確保符合GDPR

我們收集的數據比以往更多,包含個人數據的檔案、表單和數據庫分佈在世界各國的伺服器。可管理檔案傳輸解決方案的出現的因此而變得十分重要。 MOVEit為GDPR做好準備,符合ISO 27001,HIPAA,PCI,SOX,BASEL I / II / III,FIPS,FISMA,GLBA,FFIEC,ITAR和其他數據隱私法規。這對每個行業都是一個有用的解決方案。最新版本MOVEit 2018於GDPR生效之前於2018年4月 發布。

全球數千家公司正使用MOVEit可管理檔案傳輸(MFT)軟件:

快來下載測試最新釋出的Ipswitch MOVEit 2018吧:D
https://www.ecnetworker.com/trial/

任何MOVEit技術問題,歡迎與我們易璽科技聯繫

 

文章轉載自:https://tw.ipswitch.com/about/news-and-events/ipswitch-news/ipswitch宣布moveit已為客戶就gdpr(通用數據保護條例)作好準備