欧盟的《通用数据保护条例》是世界上最具影响力的隐私法。它正在激发远超出欧洲的隐私法。此外，GDPR 还对如何使用密码学来确保数据安全产生全球影响。

什么是 GDPR？

GDPR 是一项全面的隐私法。GDPR 于 2018 年生效，是欧洲隐私法的延伸，其根源可追溯到几十年前。GDPR 要求数据持有者采取广泛的措施来保护个人隐私，包括：

通知个人数据的收集、使用和共享；

• 在某些情况下销毁数据；

• 仅将数据用于预期目的；

• 以隐私为明确目的的计算机系统设计。

遵守 GDPR 需要什么？

对于较大的组织，遵守 GDPR 可能涉及对个人数据收集和使用政策的广泛审查和实施。完全遵守 GDPR 可能具有挑战性，因为规则含糊不清，而且当局仍在努力解决这些规则的实际解释问题。通常，规则是根据理想的目标而不是适用于所有情况的高度规范的步骤来说明的。

GDPR 如何促进密码学的不断改进？

GDPR 要求数据持有者保护个人信息，未能保护个人信息可能会导致 GDPR 第 32 条规定的罚款。

根据 GDPR 当局的说法，一种重要的安全技术是密码学。例如，根据英国监管机构在信用卡数据泄露后调查英国航空公司的说法，未能加密数据被视为 GDPR 合规性的“错误” 。

但加密和密码学是复杂、微妙的技术。加密的任何特定部署在什么时候满足 GDPR？答案是动态的，会随着时间而变化。这意味着它必须随着时间的推移而改进。

在密码学中，最先进的技术总是在进步

第 32 条承认适当的安全需要随着威胁和技术的变化而发展和改进。第 32 条规定，数据持有者为保护数据而采取的步骤必须考虑到“最先进的技术”。对于密码学，最先进的技术在不断进步：新算法、新信任模型、新密钥管理架构、与其他网络安全控制的新集成。因此，随着更好的安全技术可用，数据持有者必须考虑使用它，而不是盲目地使用旧技术。

例如，在上面提到的英国航空公司案例中，监管机构在发现公司存在漏洞并通过一种名为“Crowdstrike Falcon”的更新、更有效的端点监控工具解决该问题时，就授予该公司信用。

跟不上最先进技术的步伐可能是灾难性的

不出所料，大型组织广泛使用密码学来保护个人信息。但是，如果一个组织实施了密码学但未能对其进行重新评估，则该组织不仅违反了第 32 条，而且还面临新出现的威胁和漏洞。

美国大型零售商 TJX 是组织未能领先于威胁的一个典型例子。TJX 依靠过时的 WEP 加密来保护其许多商店的内部 Wi-Fi，但众所周知，WEP 已经过时，需要更换为 WPA 加密。黑客利用这一密码学弱点，成功闯入该公司的企业网络，窃取了大量信用卡数据。

TJX 没有达到第 32 条的授权。第 32 条呼吁像 TJX 这样的数据持有者做更多的事情，而不是实施一项技术并忘记它。第 32 条希望数据持有者能够跟上密码学的变化、改进或变得脆弱。

但在实践中，保持最新状态是一个模糊的想法。那么，一个组织如何多年来证明它遵守第 32 条对不断改进密码的期望？

GDPR 合规性：如何跟上加密技术的进步

以下是组织可以采取的步骤，向监管机构证明它正在采取必要的努力以保持最新状态。

风险评估

组织应定期对其加密资源进行风险评估。第 32 条明确指出，它希望组织采用一种基于风险的安全方法。更大的风险需要付出更大的努力和费用。根据具体情况，风险评估可以是一份冗长、详尽的文件，也可以是一封由安全团队成员组成的三句话电子邮件，用于评估针对当前的特定问题应采取的措施。

意识

第 32 条要求持续努力以了解最新技术并考虑采用它。

组织应积极研究密码\密钥技术的进步。它应该投资于密码\密钥管理员的培训，以便他们能够跟上最新的威胁和发展。

认证

组织应定期让负责人员签署一份证书，表明该组织正在做出适当的努力来重新评估和改进其加密资源。

这个想法的灵感来自于美国联邦信息安全现代化法案 (FISMA)和纽约金融服务部的网络安全条例等法律。这些法律要求负责的网络安全官员签署符合安全要求的证书。这样的证书是组织为遵守而付出的巨大努力的证据。但如果该官员拒绝签字，这对高管来说是一个危险信号，需要解决问题。

组织应进一步聘请第三方（如审计师）根据最新和未来的威胁评估加密实施的有效性。

有效沟通

组织应该肯定地传达密码学的良好部署并不意味着您达到完美状态并保持在那里。

一个组织很容易在内部将密码学视为一个神奇的黑匣子，它只是实现了一个目标，而没有进行更深入的评估。然而，组织必须认识到加密的使用是一个永无止境的过程，必须适应动态的商业环境，承认现实并寻求不断的警惕和改进，知道永远不会达到完美。

关于密码学的有效沟通可能包括政策、使命陈述、审计报告、员工培训、向高管的演示和其他内部信息，这些信息将影响：

• 密码学管理员及其组织中的合作伙伴理解和执行密码学使命的方式；
  

• 审计师和监管机构如何评估密码学的使用；

• 高管在为密码学分配资源和评估密码学在管理风险中的作用时的期望；

• 员工对威胁以及需要警惕攻击和异常情况的看法。

监管机构尊重合规文件

显示组织已采取上述步骤的文件为监管机构提供了证据，表明该组织具有遵守第 32 条的跟踪记录。当组织不断努力改进密码学时，它不仅更接近合规目标。它也更接近于在危险且瞬息万变的世界中保持安全。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• 如何遵守不断变化的数据保护法规

• 揭示PKI动态：全球各地区技术趋势和监管见解

• BigID和Thales合作提供全面的数据保护和隐私合规性

• 以魔法打败魔法？Thales用加密技术揪出勒索软件