许多企业已经实施了旨在证明符合欧盟通用数据保护法规(GDPR)要求的流程和程序,这些要求将于2018年春季全面生效。然而,组织可能低估了这些要求与过去的法规遵从性计划有多大的不同,并且满足过去的标准并不是确定GDPR合规性的可靠标准。GDPR不同GDPR改变了法规遵从性的观点,它要求从消费者的角度而不是从业务角度来保护数据。这意味着支持数据的可移植性和被"遗忘"的权利,达到过去立法所没有规定的程度。与以前的倡议不同,GDPR有真正的牙齿。涉及欧盟公民PII的数据泄露的经济处罚最高可达组织全球年收入的4%。这意味着覆盖范围的差距可能会对组织的底线产生重大影响。满足GDPR合规要求有几件事是组织需要关注的,以确保他们准备好了GDPR合规性要求的细节。组织应该从对整个基础设施的数据和所有者进行全面的风险分析和映射开始。他们需要知道他们的用户是谁,以及他们的风险数据驻留在哪里,无论是数据库还是电子表格、NAS设备还是云中。未能采取主动分配数据责任的第一步的组织将面临GDPR处罚。一旦数据和所有者被映射,组织就需要加强控制,以确定谁有权访问特定数据,谁无权访问。消除对系统、应用程序和数据的不必要和不必要的访问是必不可少的。GDPR要求意味着用户应该有"最小特权"访问他们所需的最小资源,并且对敏感数据的访问应该受到高度限制。需要在这些权限的基础上进行检查。问责是关键遵守GDPR也意味着更高级别的责任。企业必须准备好根据要求提供合规性证据,并相应地记录其所有数据处理政策、程序和操作。他们需要能够回答一些基本问题,比如他们所有的敏感数据存放在哪里,谁有权访问这些数据,而GDPR合规性意味着在72小时内通知数据被泄露的高风险个人。这样的响应时间根本不是早期计划的一部分。它要求自动化,特别是对于那些潜在风险和惩罚随着规模增大而增加的大公司。当需要实时响应时,这一点至关重要。自动化的访问资源调配和取消资源调配允许企业加强安全控制,同时提高业务效率。身份治理提供了必要的可见性满足GDPR遵从性的一种方法是将身份治理置于任何安全策略的核心。SailPoint增强了GDPR对身份管理和数据访问治理的遵从性,使企业组织能够自信地评估风险、加强控制并自动化检测和审计过程。身份允许企业在开发业务流程和系统时设计保护。它提供了必要的控制和程序,以保证数据的安全性,并且只在需要时才可用。将身份管理平台与数据访问治理功能相结合,可以让组织充分了解"谁有权访问什么",并深入了解如何利用这种访问。它还使企业不仅能够满足GDPR合规性和其他法规要求,还可以实现全面改进的安全态势。阅读我们的解决方案简介,了解更多关于满足GDPR遵从性挑战的信息。
