首頁 > 關(guān)于我們 > 安恒動態(tài) > 2020 > 正文

PrivacyOps | 從RASC創(chuàng)新沙盒冠軍淺析數(shù)據(jù)和隱私合規(guī)的未來

閱讀量：次

2020 RSA創(chuàng)新沙盒大賽圓滿結(jié)束，Securiti.ai公司從十大“勁敵”中脫穎而出，蟾宮折桂。Securiti.ai引入PrivacyOps的全新概念，旗下的產(chǎn)品套件Privacy.ai核心的三項能力包括個人數(shù)據(jù)關(guān)聯(lián)報告的生成、可視化管理跨國企業(yè)的個人數(shù)據(jù)及數(shù)據(jù)泄露發(fā)生后及時通知受影響的數(shù)據(jù)主體。

AiLPHA君為大家，淺析RSAC熱點技術(shù)PrivacyOps（隱私運維）。

01什么是PrivacyOps

PrivacyOps是理念、實踐、跨職能協(xié)作、自動化和編排的組合，能夠提高組織可靠且快速地遵守眾多全球隱私法規(guī)的能力。它使組織從傳統(tǒng)的跨越多職能孤島的手動方法演變?yōu)槿詣踊目缏毮軈f(xié)作框架，以實現(xiàn)隱私合規(guī)性的大多數(shù)方面。對主體的可信賴和響應(yīng)性增強了組織的信任度，并使其在敏感的個人數(shù)據(jù)方面更值得信任。

在PrivacyOps模型下，法務(wù)、IT、數(shù)據(jù)、研發(fā)以及信息安全團隊在隱私合規(guī)性方面不再孤立。他們在一個通用框架內(nèi)運行，使他們可以就隱私合規(guī)性的最重要實踐進行交流和協(xié)作。

團隊在所有隱私實踐中使用自動化替代過去手動且緩慢的方式，從而使他們能夠更好地實時了解隱私問題、準備情況和合規(guī)性要求。自動化關(guān)聯(lián)個人數(shù)據(jù)到其合法擁有人及用戶許可的目的，可以實時查看監(jiān)管風(fēng)險，并為團隊做好準備以響應(yīng)DSR，或在發(fā)生數(shù)據(jù)泄漏時迅速通知相應(yīng)的的數(shù)據(jù)主體。

Tips: DSR，由隱私數(shù)據(jù)合法擁有人提出的各種數(shù)據(jù)處理請求，需要進行主體身份校驗，DSR請求需要合規(guī)留存。

PrivacyOps將安全協(xié)作帶入到處理敏感的個人數(shù)據(jù)中，從而消除了通過合規(guī)和審查目的在不安全的通信渠道上共享敏感數(shù)據(jù)和評估的歷史方法。通過電子郵件和通用消息傳遞等通信渠道共享個人數(shù)據(jù)會進一步加劇個人身份信息蔓延。

團隊使用編排及自動化以更快的速度可靠地滿足DSR，從而降低成本及合規(guī)風(fēng)險。

02從PrivacyOps視角看GDPR和CCPA

GDPR數(shù)據(jù)合規(guī)要點

《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，簡稱GDPR）為歐洲聯(lián)盟的條例，歐盟議會于2016年4月14日通過的該條例，并于2018年5月25日在歐盟成員國內(nèi)正式生效實施。

定制DSR門戶，以實現(xiàn)無縫的客戶服務(wù)

GDPR文章：12

構(gòu)建定制的品牌化的Web表單，以接受身份驗證過的數(shù)據(jù)主體權(quán)限請求。當收到經(jīng)過驗證的請求時，自動啟動執(zhí)行工作流。

數(shù)據(jù)主體訪問請求處理自動化

GDPR文章：12, 13, 14, 15, 20

通知數(shù)據(jù)主體其數(shù)據(jù)隱私權(quán)，并簡化對已驗證的數(shù)據(jù)主體權(quán)限請求的發(fā)起。自動生成并交付安全數(shù)據(jù)訪問及數(shù)據(jù)端口報告。

安全實現(xiàn)數(shù)據(jù)訪問和端口請求

GDPR文章：12, 13, 14, 15, 19, 20

在收到可驗證的數(shù)據(jù)請求后30天內(nèi)向客戶公開所需信息。免費，并通過安全的門戶進行交付。

異議和處理限制請求自動化

GDPR文章：16, 19

借助自動的數(shù)據(jù)主體驗證和整改工作流，對一個主體出現(xiàn)的所有個人數(shù)據(jù)無縫地滿足數(shù)據(jù)整改請求。

擦除請求自動化

GDPR文章：17

通過靈活的、自動化的、可定制的工作流程可靠地滿足擦除請求。

反對及處理請求限制自動化

GDPR文章：16, 19

通過協(xié)作工作流，基于業(yè)務(wù)需求構(gòu)建一個反對和限制處理的處理框架

持續(xù)監(jiān)控及追蹤

GDPR數(shù)據(jù)治理

持續(xù)掃描和監(jiān)控數(shù)據(jù)，防止其不遵守主體權(quán)利、數(shù)據(jù)駐留或安全控制。持續(xù)不斷地發(fā)現(xiàn)新的PD類型、類別和數(shù)據(jù)流風(fēng)險。

鏈接個人身份信息數(shù)據(jù)自動化

GDPR數(shù)據(jù)治理

使用我們的協(xié)作式、多級監(jiān)管、準備狀態(tài)評估系統(tǒng)，根據(jù)CCPA要求衡量您組織的狀況，找出差距并解決風(fēng)險。在您的供應(yīng)商生態(tài)系統(tǒng)中無縫擴展評估功能，以保持符合CCPA要求。

符合cookie規(guī)定

GDPR文章：7, 21

自動掃描組織的web特性，并對cookies和tags進行分類。利用結(jié)果構(gòu)建自定義的cookie標語，以展示標語，收集許可并提供首選項中心來管理cookie首選項。

監(jiān)控并追蹤許可

GDPR文章：7

監(jiān)控許可，以確保數(shù)據(jù)得到合法處理。追蹤許可撤銷，以防止未經(jīng)許可的數(shù)據(jù)處理或傳輸。向監(jiān)管機構(gòu)和數(shù)據(jù)主體證明許可的合規(guī)性。

評估GDPR準備情況

GDPR文章：5, 24, 25, 35, 36

使用我們的協(xié)作式、多級監(jiān)管、準備狀態(tài)和DPIA評估系統(tǒng)，根據(jù)GDPR的要求來衡量您組織的狀態(tài)，發(fā)現(xiàn)差距并解決風(fēng)險。在您的供應(yīng)商生態(tài)系統(tǒng)中無縫擴展評估功能，以保持符合GDPR要求。

數(shù)據(jù)流測繪并生成第30條款要求的報告

GDPR文章：6, 30, 32

跟蹤數(shù)據(jù)流，包括數(shù)字資產(chǎn)、目錄數(shù)據(jù)收集和傳輸點，在內(nèi)部記錄所有業(yè)務(wù)流程，并記錄給服務(wù)提供商或第三方。維護處理組件的清單，并生成第30條款要求的處理報告。

數(shù)據(jù)交易商風(fēng)險管控

GDPR文章：28 (1)(2)(3), 24(1), 29, 46(1)

通過一個接口追蹤、監(jiān)控并管理所有服務(wù)供應(yīng)商的隱私和安全狀況。及時協(xié)作，自動化數(shù)據(jù)請求和刪除，并管理所有數(shù)據(jù)交易商合同和合規(guī)性文檔。

CCPA數(shù)據(jù)合規(guī)要點

2018年6月28日，《加利福尼亞州消費者隱私保護法案》（CCPA）經(jīng)州長簽署公布，并于2020年1月1日起正式實施。

消費者數(shù)據(jù)訪問請求處理自動化

CCPA: 1798.100, 1798.105, 1798.110, 1798.115

通知消費者其數(shù)據(jù)隱私權(quán)，并簡化已驗證數(shù)據(jù)訪問請求的發(fā)起。自動生成并交付安全數(shù)據(jù)訪問報告。

安全實現(xiàn)數(shù)據(jù)訪問請求

CCPA: 1798.130

在收到可驗證的數(shù)據(jù)請求后45天內(nèi)向客戶公開所需信息。免費，并通過安全的門戶進行交付。

滿足CCPA“不出售”要求

CCPA: 1798.120 (a), 1798.135 (a)

通過自動化的消費者驗證和工作流程實現(xiàn)來無縫履行不出售要求。

持續(xù)監(jiān)控及追蹤

CCPA治理

持續(xù)掃描和監(jiān)控數(shù)據(jù)是否違反刪除和選擇退出請求。持續(xù)不斷地發(fā)現(xiàn)新的PD類型、類別和數(shù)據(jù)流風(fēng)險。

鏈接個人身份信息數(shù)據(jù)自動化

CCPA治理

發(fā)現(xiàn)存儲在所有系統(tǒng)中的個人信息，并將其鏈接到個人數(shù)據(jù)的所有者。通過身份可視化數(shù)據(jù)蔓延，并根據(jù)主體所在位置識別合規(guī)風(fēng)險。

啟用選擇退出機制

CCPA: 1798.135.(1)(2)

啟用帶有消費者權(quán)利說明以及清晰明了的“請勿出售”鏈接的本地化許可標語。

監(jiān)控并追蹤許可

CCPA治理

監(jiān)控許可，以確保數(shù)據(jù)得到合法處理。追蹤許可撤銷，以防止未經(jīng)許可的數(shù)據(jù)出售或轉(zhuǎn)移。

評估CCPA準備情況

CCPA: 1798.135.(1)(2)

使用我們的協(xié)作式、多級監(jiān)管、準備狀態(tài)評估系統(tǒng)，根據(jù)CCPA的要求來衡量組織的狀態(tài)，找出差距并解決風(fēng)險。在您的供應(yīng)商生態(tài)系統(tǒng)中無縫擴展評估功能，以保持符合CCPA要求。

評估第三方

CCPA: 1798.105(c), 1798.145

通過一個接口追蹤、監(jiān)控并管理所有服務(wù)供應(yīng)商的隱私和安全狀況。及時協(xié)作，自動化數(shù)據(jù)請求和刪除，并管理所有供應(yīng)商合同和合規(guī)文檔。

繪制數(shù)據(jù)流

CCPA治理

跟蹤數(shù)據(jù)流，包括數(shù)字資產(chǎn)、目錄數(shù)據(jù)收集和傳輸點，在內(nèi)部記錄所有業(yè)務(wù)流程，并記錄給服務(wù)提供商或第三方。

03PrivacyOps解決哪些問題（使用場景）

DSR自動化

接受人們的數(shù)據(jù)請求

收集DSR請求及請求者信息，同時阻止任何僵尸活動或欺詐嘗試。

驗證主體身份并創(chuàng)建DSR工作流

通過多種身份認證和認證方法，防止欺詐和身份盜用的嘗試。

查找個人數(shù)據(jù)并確定其所有者

Autopilot和個人身份信息鏈接器一起工作，為實現(xiàn)DSR查找并推薦具有主體個人身份信息的系統(tǒng)和對象。

創(chuàng)建任務(wù)和子任務(wù)并邀請利益相關(guān)者

利用協(xié)作式處理敏感數(shù)據(jù)，而不是通過不安全的系統(tǒng)發(fā)送數(shù)據(jù)進行審核和批準。減少個人身份信息蔓延并提升安全性和合規(guī)性。

安全的與人們共享數(shù)據(jù)報告

通過審查和批準過程發(fā)送報告。主體通過安全門戶接收報告。文件使用主體獨有秘鑰進行加密。

完成DSR，創(chuàng)建合規(guī)報告

DSR系統(tǒng)日志可在法規(guī)審查或法律訴訟中證明您的合規(guī)性。

個人數(shù)據(jù)鏈接自動化

智能掃描

學(xué)習(xí)數(shù)據(jù)系統(tǒng)，并根據(jù)組織需求調(diào)整和優(yōu)化深度掃描。

自動將個人數(shù)據(jù)鏈接到用戶

將個人數(shù)據(jù)鏈接到用戶身份，通過鏈接限制個人身份信息數(shù)據(jù)的蔓延。

構(gòu)建跨系統(tǒng)和地理位置的個人身份信息熱圖

提供有關(guān)跨系統(tǒng)分布的個人身份信息數(shù)據(jù)的重要見解。

構(gòu)建跨系統(tǒng)的個人身份信息數(shù)據(jù)的關(guān)系圖

對個人身份信息數(shù)據(jù)、屬性、駐留時間、數(shù)據(jù)位置和數(shù)據(jù)源之間的關(guān)系進行細分。

評估自動化

發(fā)起評估

通過從多個合規(guī)性類別中選擇預(yù)定義的模板來啟動評估，或者使用您自己的客戶評估模板。

邀請利益相關(guān)者

通過向利益相關(guān)者分配問題，邀請他們完成評估中的部分。

利益相關(guān)者邀請團隊成員

利益相關(guān)者可以邀請組織內(nèi)的其他成員參與并審查響應(yīng)。

正式的工作流程審查

正式審查工作流程以確保響應(yīng)在組織內(nèi)部發(fā)布或外部共享之前由評估所有者進行驗證。

一鍵完成共享評估

簡單的一鍵式發(fā)布過程，以在內(nèi)部和外部完成和共享評估。

與客戶分享完成的評估

有信心的與客戶和第三方分享完成的、核準的評估。保持對版本的完全控制，并保留來自一個或所有客戶的能力修訂評估。

PrivacyOps為企業(yè)帶來的價值

以下是PrivacyOps在文化變革、自動化、編排和協(xié)作式中帶來一些好處。

更好的理解

對組織所有職能部門的數(shù)據(jù)隱私法規(guī)義務(wù)及合規(guī)性要求有更好的共識。團隊可以更好地了解跨系統(tǒng)存儲的個人數(shù)據(jù)或與個人數(shù)據(jù)相關(guān)的組織慣例中存在的隱私風(fēng)險。一個通用的PrivacyOps框架可以將來自各種隱私實踐的信息關(guān)聯(lián)起來，例如準備情況評估、數(shù)據(jù)發(fā)現(xiàn)/鏈接、許可管理和DSR執(zhí)行，這能夠更好地全面的了解組織隱私狀況和監(jiān)管風(fēng)險。

實時監(jiān)控隱私風(fēng)險

根據(jù)如何從分散的主體處收集數(shù)據(jù)、如何將許可與數(shù)據(jù)一起收集、如何在內(nèi)部和外部共享個人數(shù)據(jù)以及數(shù)據(jù)的存儲位置，來了解組織內(nèi)部可能存在的數(shù)據(jù)隱私風(fēng)險的最新實時信息。

敏捷

高速變革以實現(xiàn)并持續(xù)遵守各個地區(qū)不斷變化的隱私法規(guī)?？焖俚仨憫?yīng)來自不同地區(qū)的DSR，從而為主體提供愉悅且建立信任的體驗。根據(jù)各種隱私條例要求，將任何安全事件及違規(guī)迅速通知受影響的對象。減少花在體力勞動上的時間，提高生產(chǎn)力和效率。

信任

確保整個組織內(nèi)隱私合規(guī)的各個方面都是可靠的，包括內(nèi)部評估、供應(yīng)商評估、個人身份信息數(shù)據(jù)鏈接、許可理解、DSR的實現(xiàn)和合規(guī)記錄。建立更高的可靠性能夠獲取主體的信任，避免監(jiān)管處罰，并提升組織的品牌。

延展性

跨多應(yīng)用程序、大規(guī)模數(shù)據(jù)集，跨不同地區(qū)、不同利益相關(guān)者及法規(guī)，大規(guī)模地開展多方面的隱私實踐。

專業(yè)知識增強

通過花更多的時間在專家級任務(wù)上，而不是評估、DSR實現(xiàn)、數(shù)據(jù)發(fā)現(xiàn)、主體通信等簡單的手動任務(wù)上，來提高組織中各個團隊的隱私理解及專業(yè)知識。

改進的安全協(xié)作

在法務(wù)、隱私、IT、網(wǎng)絡(luò)安全、市場、研發(fā)和支撐小組的不同團隊之間實現(xiàn)有效的協(xié)作。圍繞敏感個人身份信息數(shù)據(jù)進行協(xié)作，而無需通過電子郵件和消息傳遞工具共享敏感個人身份信息數(shù)據(jù)。

提升品牌

通過與潛在的和現(xiàn)有的客戶基于信任關(guān)系發(fā)展獨有的市場地位。提供透明的數(shù)據(jù)處理實踐并快速滿足訪問請求能夠建立信任。實施安全透明的PrivacyOps基礎(chǔ)架構(gòu)的前景使人們進一步意識到在整個行業(yè)范圍內(nèi)采用這種做法的迫切需求。巧合的是，這是研發(fā)標準化PrivacyOps實踐的動機，因此，可能是單一平臺的市場利基。

安恒信息AiLPHA數(shù)據(jù)安全管控平臺圍繞數(shù)據(jù)全生命周期，實現(xiàn)數(shù)據(jù)操作行為審計、運維審計、數(shù)據(jù)血緣關(guān)系分解，為用戶滿足合規(guī)要求。平臺綜合運用數(shù)據(jù)脫敏和加密、UEBA技術(shù)以及聯(lián)動EDR、數(shù)據(jù)庫防火墻實現(xiàn)數(shù)據(jù)安全縱深防御，為用戶構(gòu)建具備人員管理、數(shù)據(jù)管理、策略管理以及動態(tài)鑒權(quán)于一體的智能數(shù)據(jù)安全運營中心。

（此文主要內(nèi)容來自于2020 RSAC 創(chuàng)新沙盒冠軍得主Securiti.ai）。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>