GDPR這口鍋，剛剛開始沸騰。它會(huì)有多熱?會(huì)燙到誰(shuí)?對(duì)于安全，隱私專業(yè)人士和管理人員來說，已經(jīng)發(fā)生的大大小小的GDPR合規(guī)案例提供了豐富的安全與隱私課程。

“只有客戶發(fā)展了，才有我們的生存與發(fā)展！”這是創(chuàng)新互聯(lián)的服務(wù)宗旨！把網(wǎng)站當(dāng)作互聯(lián)網(wǎng)產(chǎn)品，產(chǎn)品思維更注重全局思維、需求分析和迭代思維，在網(wǎng)站建設(shè)中就是為了建設(shè)一個(gè)不僅審美在線，而且實(shí)用性極高的網(wǎng)站。創(chuàng)新互聯(lián)對(duì)網(wǎng)站制作、做網(wǎng)站、網(wǎng)站制作、網(wǎng)站開發(fā)、網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站優(yōu)化、網(wǎng)絡(luò)推廣、探索永無止境。

安全基礎(chǔ)已經(jīng)開始冒泡

數(shù)據(jù)安全基礎(chǔ)是監(jiān)管機(jī)構(gòu)的首要執(zhí)法行動(dòng)對(duì)象，包括罰款，這些監(jiān)管行動(dòng)發(fā)出了關(guān)于保護(hù)整個(gè)數(shù)據(jù)供應(yīng)鏈中個(gè)人數(shù)據(jù)的期望的明確信息。訪問控制，開放數(shù)據(jù)源和監(jiān)控等問題都適合這個(gè)問題。例如，英國(guó)，德國(guó)，法國(guó)和葡萄牙數(shù)據(jù)保護(hù)機(jī)構(gòu)(DPA)一直積極要求對(duì)安全實(shí)踐進(jìn)行具體更改并征收罰款。

• 德國(guó)聊天提供商將其平臺(tái)向公眾開放，并且需要添加更強(qiáng)大的帳戶管理，加密和訪問控制。
• 一家葡萄牙醫(yī)院的醫(yī)生賬戶數(shù)量是實(shí)際醫(yī)生的三倍以上，并允許訪問所有患者檔案。因此，他們需要?jiǎng)h除舊的和重復(fù)的帳戶并實(shí)施更嚴(yán)格的訪問控制。
• 英國(guó)的醫(yī)療實(shí)踐允許受訓(xùn)者閱讀同事，朋友和家人的患者記錄兩年。最終，他們需要添加基于角色的訪問權(quán)限。
• 一個(gè)突出的目標(biāo)是優(yōu)步。法國(guó)，英國(guó)和荷蘭因未能實(shí)施2016年違規(guī)行為的基本安全措施而對(duì)Uber處以罰款。強(qiáng)制實(shí)踐包括用于訪問AWS S3服務(wù)器的IP過濾系統(tǒng)，要求工程師使用2FA連接到GitHub，而不是以純文本格式存儲(chǔ)這些憑據(jù)。

傳遞出的訊息很明確： 無需再懷疑GDPR執(zhí)法行動(dòng)和罰款是否涉及數(shù)據(jù)安全，答案是肯定的。這些執(zhí)法行動(dòng)清楚地給出了對(duì)不同規(guī)模組織的最低安全實(shí)踐的預(yù)期目標(biāo)，并且未來涉及歐盟以外的企業(yè)的案例中，也將適用。

GDPR合規(guī)可不簡(jiǎn)單

有兩個(gè)標(biāo)志性案例表明GDPR即將開鍋：英國(guó)航空公司和萬(wàn)豪國(guó)際。英國(guó)航空公司(BA)的用戶被引導(dǎo)到一個(gè)欺詐網(wǎng)站收集付款和個(gè)人信息，Magecart注入腳本的一部分，充當(dāng)數(shù)字信用卡盜卡器，這是一種已知的攻擊。BA現(xiàn)在面臨的整改包括：實(shí)施定期安全審查，代碼分析和惡意軟件檢測(cè)技術(shù)和審查，并加密敏感數(shù)據(jù)。最后，他們必須在整個(gè)數(shù)據(jù)收集過程中增加額外的控制，從表單到付款提交，包括第三方，以及更積極地監(jiān)控和響應(yīng)外部威脅環(huán)境。

萬(wàn)豪酒店的情況是值得注意的，因?yàn)樯婕暗揭患颐绹?guó)公司，并強(qiáng)調(diào)并購(gòu)盡職調(diào)查，以評(píng)估安全實(shí)踐，安全代碼，并確定可能違規(guī)。具體而言，盡管萬(wàn)豪在2015年調(diào)查了最近收購(gòu)的喜達(dá)屋酒店的小規(guī)模違規(guī)行為，但安全專家和英國(guó)監(jiān)管機(jī)構(gòu)(ICO)表示，這應(yīng)該促使萬(wàn)豪進(jìn)行更深入的調(diào)查，這將使他們能夠找到潛伏在其預(yù)訂中長(zhǎng)達(dá)三年之久的黑客系統(tǒng)。根據(jù)ICO的說法，“憑借他們擁有的所有資源，他們?cè)缭?015年就應(yīng)該能隔絕黑客?！?/p>

現(xiàn)在，GDPR對(duì)企業(yè)并購(gòu)的要求是準(zhǔn)確的：展示安全措施和沒有違規(guī)行為是不夠的。企業(yè)將需要更多的安全實(shí)踐證明和技術(shù)監(jiān)控控制，執(zhí)行廣泛的技術(shù)盡職調(diào)查，包括書面測(cè)試和代碼審查。目標(biāo)組織也應(yīng)準(zhǔn)備作出回應(yīng)。

GDPR也賦予歐盟DPA更多執(zhí)法權(quán)力。2019年7月底發(fā)布的歐盟委員會(huì)年度報(bào)告呼吁通過歐盟內(nèi)外各國(guó)監(jiān)管機(jī)構(gòu)中共同努力來擴(kuò)大執(zhí)法活動(dòng)。歐盟認(rèn)為，GDPR在全球范圍提升并幫助所有經(jīng)濟(jì)體轉(zhuǎn)型——- 隨著越來越多的國(guó)家建立現(xiàn)代數(shù)據(jù)保護(hù)規(guī)則，全球范圍內(nèi)一致且更強(qiáng)大的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)講不斷擴(kuò)展。

網(wǎng)頁(yè)標(biāo)題：GDPR這鍋水啥時(shí)候開？會(huì)燙到誰(shuí)？
鏈接分享：http://uogjgqi.cn/article/dposjih.html