为 GDPR 如何有益于企业做好准备

已发表: 2018-05-24

隐私和数据保护不仅仅是流行语。 它们是由越来越多的数据泄露和网络安全威胁引发的严重的消费者担忧,这些威胁会损害消费者的个人信息并削弱消费者的信任。

根据 RSA 的数据隐私和安全调查,该调查对五个国家的 7,500 人进行了调查,消费者报告说他们更加关注在线安全漏洞。 当他们的信息被盗时,他们让公司承担责任。

以下是该调查的两个主要发现:

  • 73% 的受访者比五年前更了解数据泄露。
  • 62% 的受访者表示,在指责黑客之前,他们会指责丢失数据的公司。

总体而言,消费者表明他们越来越保护自己的数字隐私。 请记住,消费者数据的泄露并不一定意味着有预谋的盗窃或对私人信息的大规模侵犯。 当第三方购买公司的电子邮件订阅者列表,然后主动向该列表发送电子邮件时,这也可能构成数据泄露。

这些活动都没有受到消费者的欢迎,而这些消费者情绪正迫使公司重新思考他们如何保护在线消费者数据。

这些情绪也迫使政府采取更积极的方法来规范消费者信息的保护。 一些政府开始制定法律,让消费者对他们的数据拥有更多的所有权,无论这些数据是谁存储的。

其中一项法规是欧盟的通用数据保护条例 (GDPR),该条例于 2018 年 5 月 25 日生效。该数据保护标准——旨在赋予消费者权力,以便他们可以就谁可以访问他们的数据授予或拒绝同意——提出了严峻的挑战对于电子商务公司。

但公司应该将其视为与消费者建立更好关系的机会来迎接挑战。

如果消费者更有可能将数据泄露归咎于公司,那么他们也更有可能赞扬与他们合作保护其数据的公司。 因此,组织明智地表明他们希望通过迅速遵守 GDPR 来保护他们的消费者。

GDPR 的范围

《通用数据保护条例》将欧盟所有 28 个成员国的数据保护法标准化。 该法规的主要目标是为整个欧盟国家的消费者数据提供更加一致的保护。

GDPR 是一项非常全面的法规,包含 200 多页和 90 多篇文章。 Digital Guardian 的 Nate Lord 指出了 GDPR 的一些关键要求,这些要求将对企业产生重大影响:

  • 同意数据处理
  • 匿名和透明的数据
  • 数据泄露通知
  • 删除权
  • 数据保护官
  • 违规处罚

正如 MarTech Today 所指出的,GDPR 保护的核心是执行清晰简洁的流程和沟通,这些流程和沟通是在消费者明确和肯定同意的情况下完成的。 为此,GDPR 保护可用于直接或间接识别个人身份的任何信息。 这包括基本识别信息、网络数据、健康数据、种族数据和政治观点。

为了符合 GDPR 规定,公司必须谨慎处理任何属于消费者的个人数据,并为消费者提供各种方式来控制、监控和删除他们的信息(如果他们愿意的话)。

GDPR 适用于两类主要实体:

  • 位于欧盟的公司
  • 不在欧盟境内提供免费或付费商品或服务,或监控欧盟居民行为的公司

因此,即使对于主要向美国消费者销售产品的美国电子商务公司来说,像 AdWords 重新定位广告这样简单的事情也可以用来监控欧盟居民的行为。

对于非欧盟电子商务公司,则有两种选择:符合 GDPR 或完全无法进入欧盟消费者市场。

第二种选择既麻烦又短视。 想想阻止欧盟公民在您的网站上进行橱窗购物需要做多少工作。

相反,明智的做法是遵守 GDPR,从而满足您营销和销售对象的消费者的需求。

为什么 GDPR 有利于电子商务

Egnyte 的联合创始人兼首席安全官 Kris Lahiri 表示,GDPR 使消费者能够更好地控制他们委托给公司的数据。

这里的关键思想是“信任”:GDPR 打算为企业对消费者的关系制定新的基本规则,在这种新格局中,直接面向消费者的销售成功将取决于零售商展示可信度的能力。 正如我们所见,近三分之二的消费者认为数据保护的责任在于收集数据的公司。 通过像法律要求的那样认真对待这一责任,在线零售商可以向消费者展示他们的可信度。

同样,GDPR 不仅仅是一项数据安全措施。 这是一项渐进式法律,强制公司尊重欧盟消费者对自己数据的所有权。 该法律规定,除其他外,欧盟公民有权在未首先选择参与该对话的情况下不被营销信息所针对。

在电子商务等行业,必须随着时间的推移赢得消费者的忠诚度,尊重消费者的隐私权不仅仅是一件好事。

这是信任的基本要素。

处理数字:积极遵守合规的商业案例

企业合规的工作量可能很重,这取决于组织当前的安全结构和流程,以及它们与 GDPR 的差异程度。 GDPR 合规性也有可能给公司带来非常高的成本。 根据 2018 年 3 月的 Propeller Insights 调查,36% 的公司计划在 GDPR 合规工作上花费 50,000 至 100,000 美元。 另有 24% 的人将花费 100,000 至 100 万美元。

但是,如果消费者失去对组织的信任,那么与业务损失相比,这些货币投资可能会显得苍白无力。 在线保护他们的隐私对消费者来说至关重要,他们有能力伤害没有采取足够措施保护他们的公司。

在努力实现 GDPR 合规性的过程中,组织可以将监管转变为良好的商业实践,它们可以用来与消费者建立更好的关系。

此外,从业务角度来看,从长远来看,为合规性投入时间和金钱可以防止代价高昂的违规行为,从而为公司节省资金。 根据 Ponemon Institute 的 2017 年数据泄露成本研究,数据泄露的平均成本为 362 万美元。 对于可预防的原因,这是一笔可观的资金。

通过实施 GDPR 的安全要求,公司现在可能会花费五位数,以避免以后不得不支付七位数。

如何为 GDPR 合规做准备

GDPR 的准备工作因组织而异,但这里有一些电子商务公司可以采取的基本步骤,以朝着正确的方向前进。

1. 让所有利益相关者都参与进来

首先要做的是建立一个 GDPR 工作组,其中包括来自组织各个级别的团队成员。 公司内收集、分析、处理或以其他方式与消费者数据交互的任何团体都应包括在内。 这些团队成员可以轻松共享任何有助于实施 GDPR 合规性必要更改的信息,以及处理对各自团队的影响。

为了激励工作组,Marsh & McLennan 的 Peter Beshar 鼓励公司在执行层面设定一种意识和紧迫性的基调,这种基调会渗透到组织中并促进合规的重要性。

个性化法规以获得更大的影响。 没有人希望他们的私人信息受到损害。 在强调合规性的重要性时使用该角度。 通过使其个性化,您的团队成员将更好地了解使组织合规所需完成的工作的价值。

GDPR 范围很广。 所有利益相关者都需要接受 GDPR 要求方面的培训,其中包括制定培训课程、提供信息资源以及定期与员工进行咨询,Above the Law 的创始编辑 David Lat 解释说。 以每个人都能理解和消化材料的方式呈现信息至关重要,因此海报和视频等视觉效果可以成为解释 GDPR 复杂性的绝佳工具。

2. 实施 SIEM 工具

信息安全公司 AlienVault 的安全倡导者 Javvad Malik 指出,GDPR 要求控制者跟踪和记录其职责范围内的所有处理活动,大多数组织利用安全信息和事件管理 (SIEM) 工具来做到这一点。

技术作家 Paul Rubens 在 eSecurity Planet 的一份报告中解释说,SIEM 工具从硬件和软件系统网络收集数据并实时分析数据以关联事件并发现可能表明安全漏洞的异常或行为模式。 Rubens 指出,SIEM 工具管理跨各种设备的安全日志,发现威胁,预防和检测漏洞,并提供取证证据以确定安全事件如何发生及其潜在影响。

Malik 建议,在实施 SIEM 工具之前,一定要创建一个可以访问消费者个人信息的所有关键资产的清单。 并且不要忘记在清单中包括移动设备。 移动安全公司 Lookout, Inc. 的一项调查显示,63% 的企业员工在移动设备上访问客户、合作伙伴和员工数据。

了解此信息可确保 SIEM 系统包含所有必要的系统以收集数据。

3. 进行风险评估

在非常广泛的意义上,GDPR 法规要求公司实施适合其系统面临的风险的安全措施。 法规有意没有定义风险,而是由组织来决定如何最好地应对风险和实现 GDPR 合规性。

全面的风险评估包括识别风险和制定缓解计划以应对已识别的风险。 网络安全和合规公司 Netwrix 的 EMEA 总经理 Matt Middleton-Leal 为企业在进行风险评估方面提出了一些建议:

  • 查看替代合规性标准以获取灵感(例如 PCI、DSS)。
  • 对数据进行分类,以便每个人都知道并理解所有数据点及其敏感性。
  • 识别特定风险并根据风险/收益比率权衡它们。
  • 不断评估。

最好在整个 GDPR 合规过程中咨询您的法律团队,但尤其是在这一步骤中,法律可以成为重要的合作伙伴。 法律可以帮助指导您的风险评估,帮助进行持续规划并不断检查您的合规性。

4. 实施威胁检测控制

GDPR 要求公司在 72 小时内报告安全漏洞。 为了满足这一需求,组织必须拥有适当的威胁检测控制,以便在发生违规行为时立即触发警报。 控制必须足以允许在那个小时间窗口内做出响应。

数据安全公司 Imperva 的 Sara Pan 建议提出以下问题:

  • “谁在访问数据?”
  • “访问是否适合用户?”
  • “我们如何实现最快的发病响应?”

威胁检测不是一劳永逸的过程。 它需要对内部和外部威胁进行持续监控,因此公司还必须建立持续评估流程并制定详细的事件响应计划。 响应计划需要专注于调查事件以确定源头和控制过程。

通过定期测试这些流程和计划,公司可以更好地以符合 GDPR 的方式应对威胁和攻击。

这是一个捍卫消费者数据保护的机会

GDPR 计划从 2018 年 5 月 25 日起对不合规的公司处以罚款。组织需要注意两个级别的罚款,并在 GDPREU.org 上进行了更详细的解释。

  • 较低级别:最高 1000 万欧元或上一财政年度全球年收入的 2%,以较高者为准。
  • 上一级:最高 2000 万欧元或上一财政年度全球年收入的 4%,以较高者为准。

尽管罚款数额很高,但公司需要更多地关注实施适当的流程以确保数据保护和隐私,而不是为了避免处罚而走捷径。 通过试图规避流程只是为了避免罚款,组织不仅会冒着激怒监管机构的风险,还会激怒让他们继续开展业务的消费者。 GDPR 的通过不是为了惩罚企业,而是为了保护消费者。

考虑到这一目标,组织应该有动力向消费者表明他们关心保护私人信息,并愿意采取以消费者的最大利益为核心的安全措施。 当消费者更愿意与他们信任的公司做生意时,所有花在合规上的精力和资源都会得到回报。

但这需要企业的不懈努力。 随着 5 月 25 日截止日期的临近,组织需要积极追求 GDPR 合规性。

免责声明:本出版物不构成任何类型的法律建议,不应阻止您从合格的律师那里获得自己的法律建议。 此外,本文不是具有法律约束力的文件,不用于执行。 本文中提供的内容可能会发生变化,并不完全反映适用法律的要求。 在提供本出版物时,Scalefast 不表示将执行任何具有法律约束力的文件,并保留随时退出讨论而不承担任何责任的权利。

图片来源:Comfreak、rawpixel.com、免费照片