处理诸如信用卡之类的财务数据的零售商、商人和组织受称为支付卡行业数据安全标准（PCI DSS）的行业标准的约束。该标准规定了组织应采用哪种类型的安全保护，并强制要求对客户记录进行严厉的财务处罚。对于医疗保健行业、金融服务行业和政府机构，存在类似的标准。此外，还有区域和国家法规，例如欧洲的通用数据保护法规（GDPR），印度的个人数据保护（PDP）法和加利福尼亚隐私权法案（CPRA）。但是，仍然没有适用于每个人的一组规则或法律要求。

尽管这些国家和行业标准中的许多标准相差很大，但它们具有几个共同的核心原则。例如，这些标准要求使用特定的安全机制或过程。他们对暴露受保护的数据施加严厉的处罚，有时甚至承担刑事责任。它们广泛地应用，不仅适用于特定地区或地区的客户，而且适用于全球。

从组织的角度来看，他们必须确保他们完全了解哪些法规适用于他们。但更重要的是，这意味着组织应首先找出可能的违规行为，然后再努力找出可能遭受的惩罚，然后尽一切努力避免违规。

数据保留最佳做法

一个常见的问题是，客户信息是否应在特定时间点后销毁？这是一个棘手的问题，没有一个明确的答案。从理论上讲，是的，应该销毁客户数据。但是，数字时代的好处之一是我们可以无限期地存储数据。许多组织都采用这种做法，许多客户希望将这些数据提供给他们。话虽如此，我认为最好的方法不一定应该着眼于旧数据的破坏，而应该着眼于所有旧数据和新数据的整体保护，以确保不会泄露这些数据。

立法

通用数据保护条例（GDPR）对组织产生了重大影响。它影响到总部位于欧盟的欧洲组织以及几乎每个组织都处理和存储欧盟公民数据的任何组织。

如今，GDPR不断发展。一项重大变化是欧盟决定使“美国隐私保护协议”无效，该协议允许在美国处理和存储欧盟PII。这一决定迫使许多公司重新考虑他们在欧盟以外处理欧盟数据的选择。在不久的将来，预计还会有其他类似的限制。

展望未来，我们将不断评估当地法规对我们的影响。例如，印度和巴西有许多新的隐私法规，这些法规与数据驻留以及将客户数据带出这些国家有关。这部分地导致了我们在2020年扩大在印度和巴西的服务。这是我们一直在不断评估并一直在寻找的东西。

每个企业都应该知道的5件事

1. 云不是“多”或“少”的安全；它是不同的。这意味着您需要专门针对云和组织所面临的独特威胁的防御措施。

   
   

2. 保护您的应用程序“表面”和云应用程序“基础结构”（即后端）。漏洞可能来自任何一方，因此必须同时保护两者。

   
   

3. 实施“积极”安全性。攻击变得越来越复杂，您不能再仅依赖现有攻击的特征了。您需要基于可靠的安全模型进行保护，该模型可以自动识别和阻止非法流量。

   
   

4. 安全是一门学科。其中有许多子学科（例如应用程序安全性，DDoS等）。组织需要专门依靠可以防止这些攻击的专家。

   
   

5. 检测是必不可少的，但相关性是至关重要的。仅*检测*攻击是不够的。您需要智能地关联多个威胁面，应用程序层和时间跨度的事件，以将事件A、事件B和事件C连接-即使它们相隔数月。这将帮助您确定何时受到攻击并能够及时阻止它。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• 如何遵守不断变化的数据保护法规

• Thales提前完成收购Imperva交易

• 经验教训：2023年全球网络安全的五个要点

• 数据安全的未来是什么