在过去的一年中，我们在全球数十个大型组织中实施了隐私合规性：GDPR、CCPA、POPI、HIPAA和亚太隐私法。

这是主要的陷阱，以及我从中学到的知识：

“如果可以的话，找到它”

许多大型组织被供应商的产品误导了，他们认为发现和分类是合规性的关键。

您是否相信“神奇的AI发现棒”将在几周内识别并分类所有敏感数据？

即使存在这种情况，了解个人信息的位置也很重要，但是您是否真的需要发现并映射成千上万个可能包含个人数据的隐式列，却不知道如何实际访问这些列，何时何地？通过谁？

现实反击了……

1. 即使使用最佳的“ AI”，发现和分类的准确性也可以达到75％– 85％，因此，对于所有您不知道的个人数据，数据丢失的风险仍然很高。

2. 查找和扫描您知道的所有个人数据存储库大约需要一个月的时间。

3. 经过一个月的工作，发现级别随着新存储库和克隆的创建，数据模型的更改而下降，从而增加了盲目性

4. 通过将所有“ IT资本”集中并投入到发现追逐中，您将无法执行更重要的合规性IT工作，例如应用“擦除权”，同意并最大程度地减少对“需要”的个人数据的访问。知道”的依据。

5. 最重要的是，通过无休止的发现项目使海洋沸腾，会给您一种错误的进步感觉，并误导了真正的遵从水平。您仍然不知道谁在访问数据，访问频率以及从哪个应用程序/工具访问-这甚至是在您开始在这些系统上实施“擦除权”，同意或任何级别的访问控制以强制执行“需求”之前的线索。知道”的法律依据访问。

建议：基于风险的合规计划

我们了解到，对客户最有效的方法是使用自上而下的基于风险的合规性项目方法，其方法如下：

确定您的个人数据处理的主要来源。

自然，您的CRM、面向客户的应用程序、数据库和大数据就是您的起点。大部分个人数据都驻留和处理的十几个系统的列表是一个很好的起点。

只需向您的应用程序所有者发送问卷调查表，以获取估计的个人数据量，并向最终用户（内部最终用户、IT员工、第三方和客户）公开信息或通过API即可完成。

如下表所示：

*最终用户列可以分为内部用户、外部用户、IT人员和外部API调用。

对于范围内的每个系统，执行以下过程：

1. 通过使用搜寻器和/或基于屏幕的发现来发现敏感数据。

2. 监视对个人数据的访问，并应用异常检测/行为分析检测来检测内部人员特权滥用和黑客凭证盗窃。

3. 应用补救措施，包括个人数据访问过滤器（行或列），在检测到异常行为时发出警报，对特定列进行静态加密，并在解决“需要知道”的原则时屏蔽对敏感数据的访问。

4. 实施数据主体的权利，包括“擦除权”，同意书和DSR摘录

根据我们的经验，每个系统可以在几天之内完成所有四个步骤，而开发人员无需更改应用程序代码或数据库配置。

基于风险的合规性方法的好处：

1. 在几周内符合您主要系统中的所有主要要求，并获得可衡量的结果和明确的前进道路。

2. 根据审核员的要求获得敏感的数据使用可见性，实时访问监控，取证和保证。

3. 最佳利用预算和可用的IT资源

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Luna HSM v7.8.4 和 Luna HSM Universal Client v10.7 现已推出

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• 如何遵守不断变化的数据保护法规

• Oracle的欧盟主权云和 Thales CipherTrust：数字主权的新时代

• 简化密钥和证书的审核和修复