您当前的位置:   首页 > 新闻中心
如何避免GDPR和CCPA合规性的隐性成本
发布时间:2020-02-12 10:14:01   阅读次数:

如何避免GDPR和CCPA合规性的隐性成本(图1)

GDPR的“删除权”或“被遗忘权”和CCPA的“请求删除权”或“删除请求”是CCPA、GDPR和其他隐私法规所提出的最具挑战性的要求。它需要从数十个现成的商业(COTS)和本地定制的应用程序,遗留的大型机到Datawarehouse和数据湖以及任何数量的本地和内部运营数据存储或数据库中删除旧的(或当前的)客户或消费者记录。在云中(例如,Amazon Redshift、Snowflake)。


尽管听起来很简单,但“删除权”功能的实施难度很大

数据仓库、数据库、数据湖和其他数据存储区通常包含数千个表。这些表与逻辑和物理关系(联接)交织在一起,因此“简单地”删除分布在包含个人数据的多个表中的客户记录可能会破坏关系或引用完整性,并导致数据损坏,从而对关键业务应用程序产生负面影响。


将此与跟踪并遵守同意管理要求结合起来,例如对“加入/退出”首选项的肯定授权,授权的通信渠道限制。等,这很快成为任何组织的一项艰巨的任务。


大型组织正在尝试使用稍后描述的各种方法来遵守CCPA / GDPR“擦除权”,同意管理和肯定授权。首先,是一些为达到合规性而进行初步尝试的太普遍的例子。


做大,煮海洋方法

示例一:一家美国顶级银行决定从数据发现,数据流或数据沿袭映射项目开始。目的是,一旦他们创建了客户端数据位置和发现的数据存储上游和下游的数据流的“圣地图”,他们便可以应用客户端数据擦除,管理数据主体访问请求以及其他GDPR和CCPA规定的隐私权。


优点:

听起来像是一个好计划,因为如果可以经济有效地实现数据,则知道数据所在的位置是重要的第一步……


缺点:

  1. 很快发现,不良的数据治理实践,没有标准的命名约定,缺乏可靠的元数据以及跨应用程序和数据存储的数据沿袭,所有这些都使创建敏感数据清单成为一个重大挑战。

  2. 跨IT孤岛的数百个数据源的全面发现项目花费了数月的时间–在此期间,实际的合规性操作被延迟,单个客户记录并未被删除或“遗忘”,并且没有实际的补救途径。

  3. 利用现有的数据发现和分类工具,只能达到75%– 85%的准确性(即使使用AI和机器学习)。剩下的隐藏敏感数据怎么办?由于使用多年创建的各种方法和工具来构建上游或下游数据流,因此识别数据沿袭的准确性甚至更低。

  4. 在源头发现敏感数据并不能提供任何与相关风险有关的信息-谁在访问数据,从哪个系统访问数据以及出于什么目的。

  5. 在预算和IT资源有限的情况下,不是更好地利用时间和精力开始在用于访问和处理银行客户数据的主要应用程序上应用“删除权”吗?


沿着道路前进

示例二:大型美国电信决定每次客户被要求删除时都向数百个应用程序所有者发送电子邮件,这使应用程序所有者有责任遵守各自的应用程序。


优点:

发送200封电子邮件既便宜又快速。它不会对范围内的应用程序造成损坏风险,并且不需要对应用程序进行任何更改。


缺点:

  1. 这种“无所不能”的方法无法扩展,几乎没有或根本没有提供问责制或合规性审计线索,并且导致零星的物理删除,没有任何尝试的要点。

  2. 即使在其中一些应用程序所有者确实可以选择删除客户记录的情况下,它也不一定适用于数据流的上游和下游。由于现有的数据共享和常规的ETL流程将数据重新传播回组织并将组织返回到原来的正方形,因此被删除的数据经常“重新出现”。

 


有一个更好的方法…

考虑以下选项。每个最终产生几乎相同的结果。但是,所需时间,完全合规的途径以及与每个选项相关的成本都大不相同。


作为参考,英国信息专员办公室制作了一份有用的文档,有助于阐明物理删除(不可检索)与将数据“超出使用范围”过渡为临时数据之间的差异,以更好地符合数据隐私法规的意图。


数据隐私监管机构同意并理解,客户PII的所有电子副本的物理删除可能会花费一些时间,同时尊重数据主体要求删除或遗忘的请求,应尽快予以遵守。


最后,归结为以下三种方法之一,并估算了相关成本。

如何避免GDPR和CCPA合规性的隐性成本(图2)

最好的方法很明确。出于以下原因,软删除或逻辑删除是显而易见的选择:

  • 最容易实施

  • 最便宜的

  • 对业务流程和IT运营的破坏最小

  • 最灵活

  • 达到隐私合规性的最快途径

当可以使用单个集中管理的,基于策略的解决方案在所有核心应用程序和数据存储中一致地应用关于遗忘权和同意管理的相同规则时,此选项将变得更加明显。


然后,组织可以在不影响正常业务流程的情况下,以最经济、最有效的方式逐步完成对客户记录的完全物理删除。该方法还支持全部数据移动性,其中所有访问控制和首选项管理都遵循数据在内部还是在云中从数据存储库到数据存储库的迁移,而不考虑用于访问数据的应用程序。


揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:

您还可以得到揽阁信息所提供的优质服务。

揽阁信息是您的信息安全首选专家!


相关阅读

购买咨询电话
021-54410609