Fortinet建議企業組織應做好最終準備,以遵守甫於日前(2018年5月25日)生效的歐盟「一般資料保護規定」(GDPR; General Data Protection Regulation)。該法律保護歐盟所有公民的個人資訊,並藉由罰款、制裁和受害方賠償來執法。
受GDPR影響的產業必須審查涉及個人身份資訊(PII; Personally Identifiable Information)的所有流程,並評估其組織的因應狀況,以符合72小時資料洩露報告的要求。
GDPR適當地兼顧「歐盟公民掌控個人資料」,以及「企業責任」這兩方面的權益,能同時在正常營運和資料洩露的情況下保護這些資料。新的歐盟個人資訊重要保護措施,包括明確批准個人資料的使用權,以及「被遺忘權(right to be forgotten)」,讓民眾可以要求企業組織清除任何有關他們的個人資料。雖然實際身在歐盟區的企業和政府需要遵守GDPR,但也能施行於那些擁有重要歐盟客戶或客戶群的公司。
儘管期即已到,但大部分服務歐盟市場或需要獲取個人身份資訊以進行重大交易的企業,仍未做好充分準備。根據之前安永會計師事務所(Ernst & Young)舉辦的第三屆雙年度鑑識資料分析調查顯示,亞太地區只有12%的企業制定了GDPR合規計畫。
Fortinet認為,GDPR對民營和公部門如何處理個資有所影響,但某些主要產業會因為個資的處理數量和業務性質,而有更高的曝露風險。這些包括全球營運的電子商務企業,以及為大量來自歐盟的遊客、旅客或外籍人士提供服務的公司。
Fortinet列舉受GDPR影響的前三大行業包括零售業、醫療保健、金融服務。
零售業-最有可能處理GDPR相關個資的零售業,包括跨境電子商務、零售連鎖業、酒店業、旅遊和餐飲服務。為歐盟客戶提供服務的實體企業,也會發現自己有責任採取GDPR PII的保護措施。使用信用卡或簽帳卡來支付、提供送貨地址資訊,或是參與客戶忠誠計畫,這些都屬於GDPR的保護範圍。
醫療保健 -GDPR將其涵蓋範圍,擴展到儲存或處理歐盟人民醫療資訊的非歐盟組織。GDPR為處理特定個資類型的醫療資訊,提供了特別嚴格的保護和流程。一般而言,只有在需要患者治療和診斷時,以及在患者明確同意的情況下,醫療單位才可以蒐集和處理個人醫療資訊。 GDPR也提及基因資料是一個值得關注的領域。
金融服務-金融機構往往擁有帳戶持有者大量的個資,也因為他們消費而不斷累積高度的個人行銷資料,來支援金融服務的銷售,同時評估企業和個人客戶的信用狀況。
要符合GDPR的規範,企業組織必須重新配置其業務流程和IT架構,並降低PII個資的曝露程度。
Fortinet建議企業採取以下步驟,來符合GDPR的規範:1. 聘請協力廠商評估資料保護措施,以及對GDPR的曝露風險。2.進行全面的資料審計,瞭解資料的來源、收集和處理。它應包括記錄受GDPR影響資料的存儲位置、網域內系統間的通訊方式,以及任何外部雲端或協力廠商資料保管人。3.確定資料洩漏時偵測和緩解所需的時間,以及為符合GDPR要求而改進這些流程的必要條件。這部分的行動計畫還應包括詳細的安全評估。
總結而言,遵守GDPR能保護企業組織相關者的隱私和權益。GDPR看起來似乎很繁絮,但它邁出了重大的一步,意即恢復公眾對「企業能帶來社會福祉」的信心,同時遏制社會風險。