021-54410609
印度议会于 2023年8月通过了《2023 年数字个人数据保护 (DPDP) 法案》。DPDP 法案将取代《2000 年信息技术法案》(“IT 法案”)第 43A 条以及《信息技术(合理的安全实践和程序)》 敏感个人数据或信息)规则,2011(“SPDI 规则”),迄今为止一直是印度的数据保护框架。 DPDP 法案是印度第一部关于个人数据保护的跨部门法律,该法旨在以承认个人保护其数据的权利以及为合法目的处理此类个人数据的需要的方式处理数字个人数据,以及与之相关或附带的事项。
概述
该法案通过规定以下内容来保护数字个人数据(即可以识别个人身份的数据):
数据受托人(即处理数据的个人、公司和政府实体)对数据处理(即收集、存储或对个人数据进行任何其他操作)的义务
数据主体(即数据相关人)的权利和义务
对违反权利、义务和义务的经济处罚
印度数据保护委员会成立
DPDP 法案的范围
DPDP 法案是“基于原则的立法”,其概念与 GDPR 中的概念大致相似。 它管理数据受托人(即数据控制者)、数据处理者和数据主体(即数据主体)。
DPDP 法适用于以下情况:
能够识别数据主体的个人数据,可以通过数字方式收集,或者在非数字化收集后进行数字化。
为个人或家庭目的而处理的个人数据,或为研究和统计目的而收集的汇总个人数据,如果不用于特定于数据主体的任何决策,则不包括在 DPDP 法案中。 公开提供的个人数据也不属于 DPDP 法案的范围。
在印度境内处理的数据,或者如果在境外处理,则与向印度境内的个人提供商品和服务相关的任何活动有关。
2023年DPDP法的要点
它适用于在印度境内在线收集或离线收集并数字化此类数据的数字个人数据的处理。 如果是为了在印度提供商品或服务,它也适用于印度境外的此类处理。 该法案允许将个人数据传输到印度境外,但中央政府通过通知限制的国家除外。
个人数据只能在个人同意的情况下出于合法目的进行处理。 特定的合法用途可能不需要征得同意,例如个人自愿共享数据或国家处理许可证、执照、福利和服务。
数据受托人有义务维护数据的准确性、保证数据的安全,并在达到目的后删除数据。
它授予个人某些权利,包括获取信息、寻求更正和删除以及申诉纠正的权利。
出于国家安全、公共秩序和预防犯罪等特定理由,政府机构可免受该法案条款的适用。
中央政府将成立印度数据保护委员会来裁决不遵守该法案规定的行为。
该法案规定了对各种违法行为的处罚,例如:(i) 不履行对儿童的义务,最高处罚 20 亿卢比;(ii) 未采取安全措施防止数据泄露,最高处罚 25 亿卢比。 委员会将在调查后作出处罚。
组织如何为此做好准备?
揽阁信息提供以数据为中心的安全方法,帮助组织保护敏感数据并遵守DPDP法的要求。 这种方法侧重于保护数据本身,无论其位置如何,而不仅仅是存储在何处。 以数据为中心的安全性可确保在整个数据生命周期中通过基于策略的保护来识别和保护敏感信息。
加密是保护传输和静态数据安全的流行工具。 组织通常选择在移动敏感数据之前对其进行加密,或使用加密器来保护传输中的数据内容。 对于静态数据,企业可以在存储文件和数据库中的敏感数据或存储驱动器本身之前对其进行加密。
企业安全取决于强大的密钥管理以及访问敏感数据的不同角色之间的职责分离。良好的密钥管理系统可以利用基于硬件的信任根(例如 HSM)来创建和存储密钥。
以数据为中心的安全性使组织能够从创建每个文件或数据库记录的那一刻起完全控制其敏感数据并正确实施。 可以随时授予或撤销对受保护数据的访问权限,并且所有活动都会被记录以供审核和报告。 选择拥有最广泛可用解决方案集以及集中式密钥和策略管理的供应商,将在您的组织发展时提供更轻松的部署和管理控制。
什么构成有效的数据安全?
作为Thales(泰雷兹)的合作伙伴,揽阁信息出售的产品通过满足监管要求所需的适当数据安全和身份管理技术,已经帮助数百家组织遵守全球法规。 先进的数据发现、数据加密、密钥管理、网络加密、硬件安全模块 (HSM) 和数据保护按需解决方案使客户能够保护并保持对数据的控制,无论数据位于云端、本地还是混合环境 IT 环境。
我们相信,最好的数据安全解决方案提供了一套集成的数据保护功能,使组织能够在整个数据保护过程中获得更大的可见性、使用可操作的见解、实施实时控制并自动化合规性支持。 一些关键的数据保护功能如下图所示。
数据安全
CipherTrust Data Security Platform(CDSP/数据安全平台)统一了数据发现、分类和保护,并提供了前所未有的精细访问控制,所有这些都具有集中密钥管理。 您可以依靠 Thales CDSP 来发现、保护和控制组织的敏感数据,无论其位于何处。
发现:数据发现和分类
保护敏感数据的第一步是查找组织中任何位置的数据,将其分类为敏感数据并输入数据(例如 PII、财务、IP、HHI、客户机密等),以便您可以应用最合适的方法 数据保护技术。 定期监控和评估对于防止数据泄露至关重要。 CipherTrust 数据发现和分类可有效识别本地和云中的结构化和非结构化数据,支持无代理和基于代理的部署模型。 它提供内置模板,用于快速识别、安全风险识别和合规性差距,减少补救时间并促进高管沟通。
数据发现和分类是有效数据安全的第一步
保护静态数据
一旦组织知道其敏感数据在哪里,就可以应用加密或标记化等保护措施。 为了通过加密和令牌化成功保护敏感数据,加密密钥本身必须由组织保护、管理和控制。
CipherTrust 令牌化提供全面的数据安全功能,包括具有访问控制的文件级加密、应用程序层加密、数据库加密、静态数据脱敏、具有基于策略的动态数据脱敏的无保险令牌化以及支持广泛数据保护的有保险令牌化用例。
CipherTrust 数据保护网关 (DPG) 为任何利用 REST API 的 RESTful Web 服务或微服务提供透明的数据保护。 DPG 部署在客户端和 Web 服务之间,可以透明地内联保护敏感数据,而无需修改旧版或云原生应用程序。 DPG 解释 RESTful 数据,根据Thales CipherTrust Manager 中集中定义的策略执行数据保护操作。
CipherTrust 透明加密 (CTE) 通过集中密钥管理、特权用户访问控制和详细的数据访问审核日志记录提供静态数据加密。 这可以保护数据,无论数据位于本地、跨多个云、大数据和容器环境中。
CipherTrust 安全情报日志和报告使用领先的 SIEM 系统简化合规性报告并加速威胁检测。 该解决方案允许立即自动升级和响应未经授权的访问尝试,并提供构建识别授权用户可疑使用所需的行为模式所需的所有数据。
控制:
组织需要控制对其数据的访问并集中密钥管理。 每项数据安全法规和要求都要求组织能够监视、检测、控制和报告对数据和加密密钥的授权和未授权访问。
CipherTrust 数据安全 (CDSP) 平台通过 CipherTrust Cloud Key Manager 跨多个云服务提供商 (CSP) 和混合云环境提供强大的企业密钥管理,以集中管理加密密钥并配置安全策略,以便组织可以控制和保护数据中心中的敏感数据。 云、本地和跨混合环境。
CipherTrust 数据安全平台允许管理员在特权管理员和数据所有者之间建立严格的职责分离,并强制执行非常细粒度的、最小特权的用户访问管理策略,这些策略可以按用户、进程、文件类型、一天中的时间、 和其他参数。
可以应用严格的职责分离策略来确保一名管理员无法完全控制数据安全活动、加密密钥或管理。 此外,CipherTrust Manager 支持管理访问的双因素身份验证。
保护动态/传输中的数据
Thales High Speed Encryption(HSE/高速网络链路加密机) 提供独立于网络的动态数据加密(第 2 层、第 3 层和第 4 层),确保数据在站点之间、或在本地与云端之间移动时的安全。 它使客户能够更好地保护数据、视频、语音和元数据免遭窃听、监视以及公开和隐蔽的拦截,而不会影响性能。 Thales HSE 可用作物理和虚拟设备,支持从 10 Mbps 到 100 Gbp 的广泛网络速度
强大的身份验证和访问管理
Thales OneWelcome 身份和访问管理解决方案提供组织遵守 DPDP 要求所需的安全机制和报告功能。 我们的解决方案通过在用户登录存储敏感数据的应用程序时实施适当的访问控制来保护敏感数据。 通过支持广泛的身份验证方法和策略驱动的基于角色的访问,我们的解决方案可帮助企业降低因凭证泄露或被盗或内部凭证滥用而导致数据泄露的风险。 对智能单点登录和逐步身份验证的支持使组织能够优化最终用户的便利性,确保他们只需要在需要时进行身份验证。 广泛的报告使企业能够对所有访问和身份验证事件进行详细的审计跟踪,确保他们能够证明其符合广泛的法规。
组织可以利用在单一统一平台上提供的“Thales身份和数据保护解决方案套件”来实现当前合规并在未来保持合规。
想了解更多产品和方案的信息,欢迎联系揽阁信息。
揽阁信息可提供的部分安全产品和解决方案信息
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
-
数据库访问控制:揽阁LGPAC系统
-
通用HSM:Luna HSM、ProtectServer HSM
-
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!
联系我们
免费试用留言
客服电话