2018年5月25日,歐盟發佈的 GDPR 正式生效,這是自 1995 年以來對歐洲資料保護法律的最大更新,旨在為使用者的個人資訊提供更高保護級別。看起來這跟國內的企業沒有太大的關係,理解其中對應的條款之後,會明白它的作用範圍不僅限於歐盟地區,而是會影響到全球各地。
國內有很多企業的業務延伸至國外,只要企業會搜集和處理歐盟成員國的使用者資訊,就會受到 GDPR 的制約。這意味著 GDPR 適用於幾乎所有在歐盟開展業務的公司。有人可能會問到,擴展業務到英國的企業,還需不需要遵守歐盟的GDPR,因為英國已經在 2020年1 月底正式脫離歐盟。表面上看是不再受 GDPR 的制約,但實際上英國已經將 GDPR 所有的法規條款轉移至了《2018年資料保護法》,這意味著英國企業在脫歐後跟之前有一致的合規要求。
這裡有一些關鍵字我們可以理解一下:
• 個人可標識資訊
任何可用於識別個人身份的資訊,例如電話號碼、郵寄地址或 IP 位址、Cookie 和設備識序號。
• 資料處理
指對資料的收集、存儲、使用及可以對個人資料執行的任何其它操作。
雖然 GDPR 的準備工作可能會給許多企業帶來重大挑戰,但其中許多對技術上的要求是能夠與 Citrix 在安全和合規性最佳實踐的解決方案緊密結合的。
通過 Citrix 的解決方案, IT 部門能夠創建一個軟體定義的邊界,將對應用和資料的安全存取與跨設備、網路和基於上下文的控制以及視覺化結合起來,簡化了安全以及合規性。控制資料傳輸到資料中心之外,避免使用者終端與應用程式和資料的交互,IT 部門可以根據每個特定場景來主動保護、檢測和降低風險。
Citrix 解決方案可以為 私有雲、混合雲或公有雲 IT 環境提供保密性、完整性和可用性的基礎,從而使企業更好的遵從 GDPR,Citrix 的安全和合規性以如下原則為中心:
• 將應用和資料集中在資料中心或平臺內部,這樣企業資料就不會存儲在使用者終端設備上。
• 對敏感性資料進行分發、調用時,確保其在安全的環境內得到保護。
• 利用基於使用者、設備、位置、應用和資料敏感性的上下文感知策略,精確控制對資源的存取。
• 提供視覺化和管理功能,將企業的整個IT 基礎架構聯合起來,以提供特定於應用程式和資料的安全性。
Citrix 解決方案中對於上下文存取、網路安全、應用安全、資料安全以及資料分析的技術,可以支援以下幾個領域的 GDPR 合規性。
一、獲取個人資料
GDPR 要求企業控制和限制對個人資料的存取。通過 Citrix 解決方案,企業可以通過多因子認證來控制和保護對應用程式及其資料的存取。基於用戶的存取策略與上下文控制相輔相成,上下文控制可根據檢測到的使用者當前使用的設備、位置和網路動態調整存取權限。
二、傳輸中的資料加密
GDPR 要求對傳輸的個人資料進行加密。為了防止資料在網路上傳輸時被洩露,Citrix 解決方案對終端和資料中心之間的通信鏈路進行加密。因此,企業可以允許員工、供應商、合作夥伴和其他協力廠商安全地遠端存取虛擬應用程式和桌面,並受到上下文存取控制的約束,從而不會將資料置於風險之中。
三、資料隔離和保護
為了進一步加強資料保護,降低 GDPR 所要求的違規風險,Citrix 為應用和資料安全提供了全面的措施,Citrix 解決方案將資料保存在資料中心,員工和授權的協力廠商都可以遠端安全的存取資料,而不會將真實資料傳輸至使用者的終端上。還可以通過更簡單、更高效和統一的管理手段對系統進行備份、補丁、升級,從而更好的加強資料保護,這也有助於企業減少系統被攻擊的可能性,更好的抵禦勒索軟體和其他威脅,並且在事故發生時可以快速的恢復。在資料中心內,IT 部門可以實現網路隔離,將每個客戶的個人資料與後臺應用以及 IT 基礎設施隔離。
四、靜止狀態下的資料加密
GDPR 旨在保護使用者的資料不被內部人員或協力廠商意外洩露,Citrix 解決方案可幫助企業保護和加密集中存儲的資料。IT 部門可以在資料中心對資料進行加密,防止資料殘留在終端上,避免因終端丟失、被盜或被破壞而導致的資料丟失和洩漏的風險。
五、記錄活動的記錄
GDPR 要求組織保持對個人資料處理的完整記錄。Citrix 解決方案提供了用戶存取的可視性和可審核性,可準確跟蹤個人資料的存取方式和存取人。通過保護和報告資料在資料中心和終端之間的移動,企業可以更好地滿足 GDPR 準則。
以上是 Citrix 可以為 GDPR 的合規之旅能夠提供的支援。通過 Citrix 解決方案,可以確保 Windows 和 Linux 應用程式的安全,同時可以將 Web 應用和 SaaS 應用納入Citrix 平臺統一管理,使資料和應用更好的遵從 GDPR 的標準,關於行動應用和檔案,可以考慮採用行動設備管理以及企業內容管理的解決方案。
發表迴響