淺析RSAC數據安全熱點技術PrivacyOps
責編:gltian |2020-03-09 14:01:00作者:安恒信息
2020 RSA創新沙盒大賽圓滿結束,Securiti.ai公司從十大“勁敵”中脫穎而出,蟾宮折桂。Securiti.ai引入PrivacyOps的全新概念,旗下的產品套件Privacy.ai核心的三項能力包括個人數據關聯報告的生成、可視化管理跨國企業的個人數據及數據泄露發生后及時通知受影響的數據主體。今天,AiLPHA君為大家淺析RSAC熱點技術PrivacyOps(隱私運維)。
此文主要內容來自于2020 RSAC 創新沙盒冠軍得主Securiti.ai。
1 、什么是PrivacyOps
PrivacyOps是理念、實踐、跨職能協作、自動化和編排的組合,能夠提高組織可靠且快速地遵守眾多全球隱私法規的能力。它使組織從傳統的跨越多職能孤島的手動方法演變為全自動化的跨職能協作框架,以實現隱私合規性的大多數方面。對主體的可信賴和響應性增強了組織的信任度,并使其在敏感的個人數據方面更值得信任。
在PrivacyOps模型下,法務、IT、數據、研發以及信息安全團隊在隱私合規性方面不再孤立。他們在一個通用框架內運行,使他們可以就隱私合規性的最重要實踐進行交流和協作。
團隊在所有隱私實踐中使用自動化替代在過去手動且緩慢的方式,從而使他們能夠更好地實時了解隱私問題、準備情況和合規性要求。自動化關聯個人數據到其合法擁有人及用戶許可的目的,可以實時查看監管風險,并為團隊做好準備以響應DSR,或在發生數據泄漏時迅速通知相應的數據主體。
- Tips: DSR,由隱私數據合法擁有人提出的各種數據處理請求,需要進行主體身份校驗,DSR請求需要合規留存。
PrivacyOps將安全協作帶入到處理敏感的個人數據中,從而消除了通過合規和審查目的在不安全的通信渠道上共享敏感數據和評估的歷史方法。通過電子郵件和通用消息傳遞等通信渠道共享個人數據會進一步加劇個人身份信息蔓延。
團隊使用編排及自動化以更快的速度可靠地滿足DSR,從而降低成本及合規風險。
2 、從PrivacyOps視角看GDPR和CCPA
《通用數據保護條例》(General Data Protection Regulation,簡稱GDPR)為歐洲聯盟的條例,歐盟議會于2016年4月14日通過該條例,并于2018年5月25日在歐盟成員國內正式生效實施。2.1 GDPR數據合規要點
定制DSR門戶,以實現無縫的客戶服務
GDPR文章:12
構建定制的品牌化的Web表單,以接受身份驗證過的數據主體權限請求。當收到經過驗證的請求時,自動啟動執行工作流。
數據主體訪問請求處理自動化
GDPR文章:12, 13, 14, 15, 20
通知數據主體其數據隱私權,并簡化對已驗證的數據主體權限請求的發起。自動生成并交付安全數據訪問及數據端口報告。
安全實現數據訪問和端口請求
GDPR文章:12, 13, 14, 15, 19, 20
在收到可驗證的數據請求后30天內向客戶公開所需信息。免費,并通過安全的門戶進行交付。
異議和處理限制請求自動化
GDPR文章:16, 19
借助自動的數據主體驗證和整改工作流,對一個主體出現的所有個人數據無縫地滿足數據整改請求。
擦除請求自動化
GDPR文章:17
通過靈活的、自動化的、可定制的工作流程可靠地滿足擦除請求。
反對及處理請求限制自動化
GDPR文章:16, 19
通過協作工作流,基于業務需求構建一個反對和限制處理的處理框架
持續監控及追蹤
GDPR數據治理
持續掃描和監控數據,防止其不遵守主體權利、數據駐留或安全控制。持續不斷地發現新的PD類型、類別和數據流風險。
鏈接個人身份信息數據自動化
GDPR數據治理
使用我們的協作式、多級監管、準備狀態評估系統,根據CCPA要求衡量您組織的狀況,找出差距并解決風險。在您的供應商生態系統中無縫擴展評估功能,以保持符合CCPA要求。
符合cookie規定
GDPR文章:7, 21
自動掃描組織的web特性,并對cookies和tags進行分類。利用結果構建自定義的cookie標語,以展示標語,收集許可并提供首選項中心來管理cookie首選項。
監控并追蹤許可
GDPR文章:7
監控許可,以確保數據得到合法處理。追蹤許可撤銷,以防止未經許可的數據處理或傳輸。向監管機構和數據主體證明許可的合規性。
評估GDPR準備情況
GDPR文章:5, 24, 25, 35, 36
使用我們的協作式、多級監管、準備狀態和DPIA評估系統,根據GDPR的要求來衡量您組織的狀態,發現差距并解決風險。在您的供應商生態系統中無縫擴展評估功能,以保持符合GDPR要求。
數據流測繪并生成第30條款要求的報告
GDPR文章:6, 30, 32
跟蹤數據流,包括數字資產、目錄數據收集和傳輸點,在內部記錄所有業務流程,并記錄給服務提供商或第三方。維護處理組件的清單,并生成第30條款要求的處理報告。
數據交易商風險管控
GDPR文章:28 (1)(2)(3), 24(1), 29, 46(1)
通過一個接口追蹤、監控并管理所有服務供應商的隱私和安全狀況。及時協作,自動化數據請求和刪除,并管理所有數據交易商合同和合規性文檔。
2.2 CCPA數據合規要點
2018年6月28日,《加利福尼亞州消費者隱私保護法案》(CCPA)經州長簽署公布,并于2020年1月1日起正式實施。
消費者數據訪問請求處理自動化
CCPA: 1798.100, 1798.105, 1798.110, 1798.115
通知消費者其數據隱私權,并簡化已驗證數據訪問請求的發起。自動生成并交付安全數據訪問報告。
安全實現數據訪問請求
CCPA: 1798.130
在收到可驗證的數據請求后45天內向客戶公開所需信息。免費,并通過安全的門戶進行交付。
滿足CCPA“不出售”要求
CCPA: 1798.120 (a), 1798.135 (a)
通過自動化的消費者驗證和工作流程實現來無縫履行不出售要求。
持續監控及追蹤
CCPA治理
持續掃描和監控數據是否違反刪除和選擇退出請求。持續不斷地發現新的PD類型、類別和數據流風險。
鏈接個人身份信息數據自動化
CCPA治理
發現存儲在所有系統中的個人信息,并將其鏈接到個人數據的所有者。通過身份可視化數據蔓延,并根據主體所在位置識別合規風險。
啟用選擇退出機制
CCPA: 1798.135.(1)(2)
啟用帶有消費者權利說明以及清晰明了的“請勿出售”鏈接的本地化許可標語。
監控并追蹤許可
CCPA治理
監控許可,以確保數據得到合法處理。追蹤許可撤銷,以防止未經許可的數據出售或轉移。
評估CCPA準備情況
CCPA: 1798.135.(1)(2)
使用我們的協作式、多級監管、準備狀態評估系統,根據CCPA的要求來衡量組織的狀態,找出差距并解決風險。在您的供應商生態系統中無縫擴展評估功能,以保持符合CCPA要求。
評估第三方
CCPA: 1798.105(c), 1798.145
通過一個接口追蹤、監控并管理所有服務供應商的隱私和安全狀況。及時協作,自動化數據請求和刪除,并管理所有供應商合同和合規文檔。
繪制數據流
CCPA治理
跟蹤數據流,包括數字資產、目錄數據收集和傳輸點,在內部記錄所有業務流程,并記錄給服務提供商或第三方。
3 、PrivacyOps解決哪些問題(使用場景)
3.1 DSR自動化
#接受人們的數據請求
收集DSR請求及請求者信息,同時阻止任何僵尸活動或欺詐嘗試。
#驗證主體身份并創建DSR工作流
通過多種身份認證和認證方法防止欺詐和身份盜用的嘗試。
#查找個人數據并確定其所有者
Autopilot和個人身份信息鏈接器一起工作,為實現DSR查找并推薦具有主體個人身份信息的系統和對象。
#創建任務和子任務并邀請利益相關者
利用協作式處理敏感數據,而不是通過不安全的系統發送數據進行審核和批準。減少個人身份信息蔓延并提升安全性和合規性。
#安全的與人們共享數據報告
通過審查和批準過程發送報告。主體通過安全門戶接收報告。文件使用主體獨有秘鑰進行加密。
#完成DSR,創建合規報告
DSR系統日志可在法規審查或法律訴訟中證明您的合規性。
3.2個人數據鏈接自動化
#智能掃描
學習數據系統,并根據組織需求調整和優化深度掃描。
#自動將個人數據鏈接到用戶
將個人數據鏈接到用戶身份。通過鏈接限制個人身份信息數據的蔓延。
#構建跨系統和地理位置的個人身份信息熱圖
提供有關跨系統分布的個人身份信息數據的重要見解。
#構建跨系統的個人身份信息數據的關系圖
對個人身份信息數據、屬性、駐留時間、數據位置和數據源之間的關系進行細分。
3.3 評估自動化
#發起評估
通過從多個合規性類別中選擇預定義的模板來啟動評估,或者使用您自己的客戶評估模板。
#邀請利益相關者
通過向利益相關者分配問題,邀請他們完成評估中的部分。
#利益相關者邀請團隊成員
利益相關者可以邀請組織內的其他成員參與并審查響應。
#正式的工作流程審查
正式審查工作流程以確保響應在組織內部發布或外部共享之前由評估所有者進行驗證。
#一鍵完成共享評估
簡單的一鍵式發布過程,以在內部和外部完成和共享評估。
#與客戶分享完成的評估
有信心的與客戶和第三方分享完成的、核準的評估。保持對版本的完全控制,并保留來自一個或所有客戶的能力修訂評估。
4、 PrivacyOps為企業帶來的價值
以下是PrivacyOps在文化變革、自動化、編排和協作式中帶來一些好處。
更好的理解
對組織所有職能部門的數據隱私法規義務及合規性要求有更好的共識。團隊可以更好地了解跨系統存儲的個人數據或與個人數據相關的組織慣例中存在的隱私風險。一個通用的PrivacyOps框架可以將來自各種隱私實踐的信息關聯起來,例如準備情況評估、數據發現/鏈接、許可管理和DSR執行,這能夠更好地全面了解組織隱私狀況和監管風險。
實時監控隱私風險
根據如何從分散的主體處收集數據、如何將許可與數據一起收集、如何在內部和外部共享個人數據以及數據的存儲位置,來了解組織內部可能存在的數據隱私風險的最新實時信息。
敏捷
高速變革以實現并持續遵守各個地區不斷變化的隱私法規。快速地響應來自不同地區的DSR,從而為主體提供愉悅且建立信任的體驗。根據各種隱私條例要求,將任何安全事件及違規迅速通知受影響的對象。減少花在體力勞動上的時間,提高生產力和效率。
信任
確保整個組織內隱私合規的各個方面都是可靠的,包括內部評估、供應商評估、個人身份信息數據鏈接、許可理解、DSR的實現和合規記錄。建立更高的可靠性能夠獲取主體的信任,避免監管處罰,并提升組織的品牌。
延展性
跨多應用程序、大規模數據集,跨不同地區、不同利益相關者及法規,大規模地開展多方面的隱私實踐。
專業知識增強
通過花更多的時間在專家級任務上,而不是評估、DSR實現、數據發現、主體通信等簡單的手動任務上,來提高組織中各個團隊的隱私理解及專業知識。
改進的安全協作
在法務、隱私、IT、網絡安全、市場、研發和支撐小組的不同團隊之間實現有效的協作。圍繞敏感個人身份信息數據進行協作,而無需通過電子郵件和消息傳遞工具共享敏感個人身份信息數據。
提升品牌
通過與潛在的和現有的客戶基于信任關系發展獨有的市場地位。提供透明的數據處理實踐并快速滿足訪問請求能夠建立信任。實施安全透明的PrivacyOps基礎架構的前景使人們進一步意識到在整個行業范圍內采用這種做法的迫切需求。巧合的是,這是研發標準化PrivacyOps實踐的動機,因此,可能是單一平臺的市場利基。