与欧盟的通用数据保护规定的(GDPR)1时间越来越近了。从2018年5月25日起,任何一个未能满足新法规的组织将面临高达全球收入4%的罚款,或者是2000万欧元——无论哪种罚款——任何进一步的数据处理活动都将遭受潜在的叫停风险。因此无论是否加入了欧盟,只要你正在以任何方式处理欧盟公民的数据,就必须服从GDPR的条约。
也就是说,该规定不应该被视为一些不知名的官文强加的。相反,对于更积极的组织来说,它提供了一个机会来改变他们在数字经济中与客户的关系。
在接下来的博客系列中,将深入去了解这份规定,了解这份规定对我们而言意味着什么:
- 第1部分,将提供一个GDPR的入门介绍–这将会覆盖规定的基本原理和关键措施。
- 第2部分,将探讨GDPR对我们的数据平台意味着什么。
- 第3部分,我们将讨论MongoDB的产品和服务将如何支持我们的业务。
- 第4部分,我们将探讨GDPR将如何帮助客户去实施,并提供了几个案例供研究。
如果你不能等到所有的4个部分内容,就想现在了解全部的话,可以下载完整的GDPR:Impact to Your Data Management Landscape 白皮书。
GDPR基本原理
像其他旨在强制实施数据安全和隐私标准的法规(例如,HIPAA,PCI DSS,SOX,FISMA,FERPA)一样,仅通过应用可以总结为人员,流程和产品的控制组合来实现GDPR合规性:
- “人”定义具体的角色,责任和责任。
- “流程”定义了经营原则和业务实践。
- “产品”定义了用于数据存储和处理的技术。
与任何数据安全规则一样,在存储个人数据的数据库中启用控制只是遵守法规的一个步骤 — 人员和流程也是至关重要的。 然而,GDPR文本中规定了一组定义控制组织需要在其数据管理领域实施的具体要求。 我们可以将这些要求分为三个方面:
- Discover:范围数据科目到规定。
- Defend:实施保护发现的数据的措施。
- Detect:确定违反该数据的违规行为,并纠正安全和过程差距。
后续部分检查GDPR要求,并将其映射回所需的数据库功能。 请注意,下面的列表仅是说明性的,并不是详尽无遗的。
Discover
在实施安全控制之前,组织首先需要识别存储在其数据库中的个人数据,以及允许组织保留该数据的时间长短。 如果将个人资料透露给未经授权的一方,他们还需要评估对个人的潜在影响。
识别对个人资料的影响
国内生产总值要求组织进行数据保护影响评估,记录在GDPR文本第35条(第1节)中,其中规定:
“特别是使用新技术,需要考虑到处理的性质,范围,背景和目的的处理类型可能会导致自然人的权利和自由的高风险,控制人应在之前对该处理进行评估,对所设想的处理操作及保护个人资料的影响进行评估。”
因此,重要的是访问使数据控制器能够快速方便地查看其数据库内容的工具,并且作为正在进行的发现过程的一部分,以检查在新服务正在开发中将会捕获什么额外的数据。
保留个人资料
如“要提供的信息”第13条(第2a条)所述,GDPR文本规定,在从个人收集数据时,组织必须说明:
“个人资料储存的期限,或不可能的时间,用于确定该期间的标准”
因此,组织需要实现的所需能力是识别个人数据的能力,并且一旦达到期限,或个人特别要求删除,就可以从数据库中安全地将其清除。 因此,存储(包括备份)应具有根据所有者的要求可靠地擦除数据的能力。
Defend
一旦组织进行了Discover阶段,定义了影响评估和到期策略,就需要实施保护公民数据的控制。
GDPR的一般安全要求
“处理安全”第32条(第1节)概述了组织需要执行的安全控制:
“......控制人和处理者应实施适当的技术和组织措施,以确保适合风险的安全级别,包括酌情包括:
(a)个人资料的假名和加密; (b)确保处理系统和服务的持续保密性,完整性,可用性和弹性的能力; (c)能够在发生身体或技术事件时及时恢复个人数据的可用性和访问权限; (d)定期测试,评估和评估技术和组织措施确保加工安全性的有效性的过程。“
每个项目符号条款在GDPR文本内进一步扩展,如下所示。
访问控制
GDPR强调确保只有授权用户才能访问个人数据的重要性。 正如“设计和默认的数据保护”一文所述,第25条(第2款):
“控制人应实施适当的技术和组织措施,以确保在默认情况下,仅处理每个处理特定目的所必需的个人数据”
在第29条“控制器或处理器管理下的处理”中进一步强调了这一要求
“处理器和任何在控制器或处理器授权下进行操作的人员可以访问个人数据,除了控制器的指示外,不得处理这些数据。”
在数据库中,应该可以实施身份验证控制,以便只有数据处理器授权的客户端(例如,用户,应用程序,管理员)可以访问数据。 数据库还应允许数据控制器定义每个客户端对数据执行的具体角色,职责和职责。 例如,一些客户端可能被允许读取在数据主题上收集的所有源数据,而其他客户端可能只能访问不包含引用回到个人标识符的聚合数据的权限。 这种方法允许对每个数据处理器进行细粒度的职责分离和特权。
假名和加密
在发生违规的情况下,数据的假名和加密被设计为防止任何特定个体被识别为受损数据。 在GDPR文本的定义部分,假名意味着:
“...以个人资料的处理方式,使个人资料不再能被归咎于特定的资料主体而无须使用额外的资料”
总则第28条规定:
“假名应用于个人数据可以减少有关数据主体的风险,并帮助控制器和处理器实现其数据保护义务。”
假名数据的最有效和最有效的手段之一是基于上一步中定义的访问控制权限。 通过过滤返回到应用程序的查询结果,数据库将个人标识符转换
加密在上面引用的第32条(第1条)中具体引用。 第34条(第3a条)中的“个人数据泄露到数据主体的通信”的文本中进一步扩展了加密的优点,如果:
“控制人已经实施了适当的技术和组织保护措施,这些措施适用于受个人资料违规影响的个人资料,特别是使个人资料难以理解的任何人无权访问的个人资料,例如 加密;”
数据库应提供一种使用网络连接来加密数据“传输中”的方法,以及使用存储和备份数据“休息”的方式。
快速恢复和灾难恢复
如“安全处理”中的B和C亮点所述,上文引用的第32条,系统和服务可用性以及及时恢复数据的手段都是GDPR的核心业务要求。
因此,数据库需要为系统故障提供容错能力,以及备份和恢复机制以实现灾难恢复。
*“个人资料泄露”是指违反安全性,导致意外或非法破坏,丢失,更改,未经授权的披露或访问发送,存储或以其他方式处理的个人数据*
Data Sovereignty:欧盟以外的数据传输
GDPR第5章致力于如何处理欧盟以外的个人资料转移 — 确定何时允许转让,何时不允许。了解数据传输的关键在于,欧盟公民在GDPR中的有权将数据附加到全球移动的任何地方,必须采用相同的保障措施。总结本章,第45条(第1条)规定:
“将个人资料转交给第三国或国际组织可能会发生在委员会决定第三国,一个领土或该第三国内的一个或多个具体部门,或有关国际组织,能够确保足够的保护“。
为了支持全球分布式应用,组织越来越多地将数据分发到位于全球多个国家的数据中心和云设施。在国内生产总值方面,数据库应该可以通过仅将欧盟公民数据分发并存储到被认可符合该条例的地区来实施数据主权政策。
Detect
在数据泄露的情况下,组织必须能够及时发现和报告该问题,并且还会生成对数据执行的活动记录。
监控和报告
监控对于识别潜在漏洞至关重要。 更接近于实时,更有可能限制数据泄露的影响。 例如,数据库资源消耗中的突然高峰可以指示正在进行的攻击。
第三十三条(第一款)在GDPR文本中“通知监督管理机构的个人数据违规”描述道:
“在个人资料违规的情况下,控制人不得有任何不当的拖延,并且在可能的情况下不迟于知道之后的72小时内,通知个人资料违反监管机构。”
因此,数据库应提供管理工具,可以持续监控数据库行为,以主动减轻威胁,并使组织能够在指定的时间范围内报告任何违规行为。
审计
在“设计默认的数据保护”第25条(第2款)中强调要保持对数据执行的活动日志:
“...每个控制人,需在适用情况下,控制人的代表应保存其责任下的加工活动记录”
在“处理器”第28条(第3H条)中进一步扩大了对审计的要求,指出数据处理器:
“向控制人提供必要的所有信息,以证明遵守本条规定的义务,并允许和协助控制人或由控制人授权的另一审核员进行的审计,包括检查。”
数据库需要提供记录数据库活动的机制,并在控制器请求时提供用于取证分析的活动。
第二部分总结
这一部分是博客系列的第二部分。 在第三部分中,将讨论MongoDB的产品和服务如何帮助您满足今天讨论的要求。
声明
要了解国内生产总值的规定,作用和责任的全面描述,建议读者参考“欧盟官方公报”(EU(EU)2016/679)(国际劳工组织(EU)2016/679)的案文,并参考法律 律师解释规则如何适用于其组织。 此外,为了有效地实现本博客系列中描述的功能,至关重要的是确保根据MongoDB安全文档中详细说明的说明和说明实现数据库。 读者应考虑聘请MongoDB全球咨询服务部门协助实施。
本文翻译自:https://www.mongodb.com/blog/post/gdpr-impact-to-your-data-management-landscape-part-2
- GDPR: General Data Protection Regulation. ↩