何謂 GDPR?

歐盟的一般資料保護規範 (General Data Protection Regulation, GDPR) 是攸關消費者資料保護暨隱私權的歷史性變革。 GDPR 的目標很簡單: 要讓歐盟公民有能力進一步控制各公司持有的關於其個人的資料。 儘管目標簡單扼要,對大多數企業而言,要遵循規範也並非易事。

經過四年的審慎研議後,歐盟在 2016 年 4 月正式通過現行的 GDPR 版本,該版本也於 2018 年 5 月 25 日開始生效。 不過,根據一項由 Crowd Research Partners 進行的研究,60% 的公司不太可能趕在期限之前遵守新的 GDPR 規章。

有些組織已經開始採行能夠在當下並維持遵循 GDPR 以及證明遵循相關規章之實的流程和程序,但仍有許多組織低估了這項重責大任,以及持續遵循 GDPR 規範所需付出的努力。 這方面的努力除了要能進行必要的資安稽核及施行連續控制措施之外,還包括深入審查誰有權存取哪些資料,以及受監管的資料所存放的位置。

85%

的商業風險可能
僅與 5% 的使用者有關

2000 萬歐元起

這是違反 GDPR 規範
的最低罰金

GDPR 會影響哪些對象?

這項規章只規範屬於歐盟公民的資料,但舉凡經營範圍包含歐盟境內,或者在歐盟境內能夠搜尋到其網站的公司行號,無論經營據點設在世界上哪一個國家或地區,皆須遵循 GDPR 規範,因此,影響所及範圍確實涵蓋世界各地。 針對組織存放客戶資料的方式及位置,尤其是組織授權員工、承包商以及業務合作夥伴存取客戶資料的方式,這項新的規章也有非常大的變動。

GDPR 的主要規定與違規罰則

包括健康保險流通與責任法案 (Health Insurance Portability and Accountability Act, HIPPA)、支付卡產業資料安全標準 (Payment Card Industry Data Security Standard, PCI DSS) 以及諸項資料外洩通報法在內,許多產業及政府規章均旨在保護消費者的個人身分資訊 (personally identifiable information, PII),但 GDPR 的規範更為嚴謹和廣泛。 這項規章旨在統一歐洲全境一體適用的資料隱私權法,以利保護所有歐盟公民的資料隱私權,以及將資料隱私權的實質權力還諸歐洲公民,同時也要改革在歐洲境內經營的組織用來處理資料隱私權的方式。

依據 GDPR 的要求,除了個人資料的處理、使用、清除及傳輸方式,還必須讓歐盟公民有權存取及控制其個人資料的相關方面。 GDPR 中包括以下規定:

  • 為保護、管理及控制任何一項歐盟公民 PII 而研擬的嚴格規定;
  • 組織存放客戶資料的方式和位置的重大改變;
  • 規定須在發現資料外洩後 72 小時內通報;以及
  • 組織遭受風險的機率越高,資料管理義務就越多。

 

歐盟公民的 PII 如有資料外洩之實,罰金最高上看組織全球年度營收的 4% 或 2000 萬歐元 (以其中金額較高者為準)。 也即表示,未能遵守 GDPR 規範以及資安問題,都可能對組織營收造成非常嚴重的後果。 務必要做好萬全準備。 下載 SailPoint 的 GDPR 預備電子書,或是取得 GDPR 法規遵循逐步教學指南的解決方案簡介。

Get Your Organization Ready for GDPR

取得電子書

逐步教學指南: GDPR 法規遵循

取得解決方案簡介

關於 GDPR 的其他注意事項

GDPR 不但規定各組織必須針對歐盟公民的 PII 資料採行最低權限許可,也要求組織必須有能力立即偵測違反該原則的行為並採取補救措施。 現在,組織一旦得知發生攸關客戶資料的資料外洩事件,必須在 72 小時內主動通報,如判定可能會對個人造成不良影響,也必須通知相關個人。 此外,公司的資料處理者 (data processor) 得知個人資料外洩之實後,必須立刻通知控制者,不得耽誤。 因為以上變革,即時發現並防堵任何企業資安漏洞成為當務之急。

企業身分、GDPR 法規遵循以及資料保護,各個層面均非易事,因此,眼前最能發揮效益的做法,就是在合理範圍內盡可能多加採行能夠自動處理的身分與存取管理工具以及資安稽核流程。 在必須定期重複流程時,以及發生必須即時因應的情況時,自動作業都能發揮至關重要的作用。

組織要做到確實厲行安全控制措施並發揮業務效率,只能透過少數幾種方法,存取權限自動化佈建及取消佈建就是其中的一項。 歡迎下載下方的解決方案簡報,深入瞭解本公司以流程與規劃以及技術為重的完善方法。

因應 GDPR 法規遵循帶來的挑戰

下載解決方案簡介

法規遵循性雷區導航 - 您看不到的東西可能會讓您付出代價

閱讀更多內容

如何確保 GDPR 法規遵循

組織需採行數個步驟,才能確實遵循 GDPR 規範。 第一個也是最重要的步驟,就是組織需進行詳盡的資安稽核和風險評估,而且必須將整個組織中的資料分派給相關的資料負責人加以管理。 要成功確保 GDPR 法規遵循,各組織必須知道組織內使用者是誰、受到監管控制的資料及敏感資料存放於何處,以及組織內資料的存在方式。

一旦取得了資料和負責人,企業就需要加強控制,確定哪些人有權存取特定資料,哪些人無權存取。 資料存取需要由「最低特殊權限」控制,以便僅允許存取最少的資源,並且高度限制對敏感資料的存取。 此外還必須定期檢查這些權限。

一開始您可能會因為 GDPR 的規定而感到不知所措,更何況違反規定對財務造成的影響甚鉅。 但是,只要您的安全策略能以身分治理為中心,妥善保護組織內部客戶資料的存取權,就有助於減輕資料外洩風險,也有助於避免因相關事件而受罰。

實況記錄: GDPR 倒數計時

閱讀更多內容

不要低估即將發生的 GDPR 要求

閱讀更多內容

身分治理如何協助確保 GDPR 法規遵循

符合並維持 GDPR 法規遵循的最符合成本效益的方法是讓身分治理為安全與法規遵循策略的中心。 具體而言,組織可以放心地運用身分治理工具評估風險、加強控制措施、防堵企業漏洞,以及自動執行偵測與稽核流程。 身分管理能夠確保唯有具有實際需要的人員可以存取特定資料,因此得以提高應用程式及資料的安全保障。

為順利因應 GDPR 規範,企業必須評估諸多風險:

  • 發現散佈在整個環境中的敏感資料,結構化資料 (例如應用程式和資料庫中的資料) 以及非結構化資料 (例如 Word 文件、試算表、簡報) 均包括在內。
  • 找出儲存該等資料的位置 (本機或各類雲端服務上)
  • 辨別過度暴露在風險中與過時的資料
  • 辨別資料負責人及其存取權限 (包括已經過時無用的權限)
  • 監視使用者活動,留意異常要求

 

只要能從一開始就運用身分治理方式來評估風險,組織就能規劃出一份藍圖,按照優先順序排列及補救最急迫的管制漏洞,進而有效控制及防護組織的資料。

我們的開放雲端身分治理平台如何協助您的企業?

我們使您能夠查看和控制所有使用者對所有應用程式和資料的存取,包括例如機器人等非人類使用者。

瞭解更多
聯絡 SailPoint

瞭解 SailPoint 如何提供幫助

我們非常樂意與您討論您的身分挑戰,並向您示範 SailPoint 的身分平台如何解決這些挑戰。