為 GDPR 如何有益於企業做好準備

已發表: 2018-05-24

隱私和數據保護不僅僅是流行語。 它們是由越來越多的數據洩露和網絡安全威脅引發的嚴重的消費者擔憂,這些威脅會損害消費者的個人信息並削弱消費者的信任。

根據 RSA 的數據隱私和安​​全調查,該調查對五個國家的 7,500 人進行了調查,消費者報告說他們更加關注在線安全漏洞。 當他們的信息被盜時,他們讓公司承擔責任。

以下是該調查的兩個主要發現:

  • 73% 的受訪者比五年前更了解數據洩露。
  • 62% 的受訪者表示,在指責黑客之前,他們會指責丟失數據的公司。

總體而言,消費者表明他們越來越保護自己的數字隱私。 請記住,消費者數據的洩露並不一定意味著有預謀的盜竊或對私人信息的大規模侵犯。 當第三方購買公司的電子郵件訂閱者列表,然後主動向該列表發送電子郵件時,這也可能構成數據洩露。

這些活動都沒有受到消費者的歡迎,而這些消費者情緒正迫使公司重新思考他們如何保護在線消費者數據。

這些情緒也迫使政府採取更積極的方法來規範消費者信息的保護。 一些政府開始製定法律,讓消費者對他們的數據擁有更多的所有權,無論這些數據是誰存儲的。

其中一項法規是歐盟的通用數據保護條例 (GDPR),該條例於 2018 年 5 月 25 日生效。該數據保護標準 - 旨在授權消費者,以便他們可以就誰可以訪問他們的數據授予或拒絕同意 - 提出了嚴峻的挑戰對於電子商務公司。

但公司應該將其視為與消費者建立更好關係的機會來迎接挑戰。

如果消費者更有可能將數據洩露歸咎於公司,那麼他們也更有可能讚揚與他們合作保護其數據的公司。 因此,組織明智地表明他們希望通過迅速遵守 GDPR 來保護他們的消費者。

GDPR 的範圍

《通用數據保護條例》將歐盟所有 28 個成員國的數據保護法標準化。 該法規的主要目標是為整個歐盟國家的消費者數據提供更加一致的保護。

GDPR 是一項非常全面的法規,包含 200 多頁和 90 多篇文章。 Digital Guardian 的 Nate Lord 指出了 GDPR 的一些關鍵要求,這些要求將對企業產生重大影響:

  • 同意數據處理
  • 匿名和透明的數據
  • 數據洩露通知
  • 刪除權
  • 數據保護官
  • 違規處罰

正如 MarTech Today 所指出的,GDPR 保護的核心是執行清晰簡潔的流程和溝通,這些流程和溝通是在消費者明確和肯定同意的情況下完成的。 為此,GDPR 保護可用於直接或間接識別個人身份的任何信息。 這包括基本識別信息、網絡數據、健康數據、種族數據和政治觀點。

為了符合 GDPR 規定,公司必須謹慎處理任何屬於消費者的個人數據,並為消費者提供各種方式來控制、監控和刪除他們的信息(如果他們願意的話)。

GDPR 適用於兩類主要實體:

  • 位於歐盟的公司
  • 不在歐盟境內提供免費或付費商品或服務,或監控歐盟居民行為的公司

因此,即使對於主要向美國消費者銷售產品的美國電子商務公司來說,像 AdWords 重新定位廣告這樣簡單的事情也可以用來監控歐盟居民的行為。

對於非歐盟電子商務公司,則有兩種選擇:符合 GDPR 或完全無法進入歐盟消費者市場。

第二種選擇既麻煩又短視。 想想阻止歐盟公民在您的網站上進行櫥窗購物需要做多少工作。

相反,明智的做法是遵守 GDPR,從而滿足您營銷和銷售對象的消費者的需求。

為什麼 GDPR 有利於電子商務

Egnyte 的聯合創始人兼首席安全官 Kris Lahiri 表示,GDPR 使消費者能夠更好地控制他們委託給公司的數據。

這裡的關鍵思想是“信任”:GDPR 打算為企業對消費者的關係制定新的基本規則,在這種新格局中,直接面向消費者的銷售成​​功將取決於零售商展示可信度的能力。 正如我們所見,近三分之二的消費者認為數據保護的責任在於收集數據的公司。 通過像法律要求的那樣認真對待這一責任,在線零售商可以向消費者展示他們的可信度。

同樣,GDPR 不僅僅是一項數據安全措施。 這是一項漸進式法律,強制公司尊重歐盟消費者對自己數據的所有權。 該法律規定,除其他外,歐盟公民有權在未首先選擇參與該對話的情況下不被營銷信息所針對。

在電子商務等行業,必須隨著時間的推移贏得消費者的忠誠度,尊重消費者的隱私權不僅僅是一件好事。

這是信任的基本要素。

處理數字:積極遵守合規的商業案例

企業合規的工作量可能很重,這取決於組織當前的安全結構和流程,以及它們與 GDPR 的差異程度。 GDPR 合規性也有可能給公司帶來非常高的成本。 根據 2018 年 3 月的 Propeller Insights 調查,36% 的公司計劃在 GDPR 合規工作上花費 50,000 至 100,000 美元。 另有 24% 的人將花費 100,000 至 100 萬美元。

但是,如果消費者失去對組織的信任,那麼與業務損失相比,這些貨幣投資可能會顯得蒼白無力。 在線保護他們的隱私對消費者來說至關重要,他們有能力傷害沒有採取足夠措施保護他們的公司。

在努力實現 GDPR 合規性的過程中,組織可以將監管轉變為良好的商業實踐,它們可以用來與消費者建立更好的關係。

此外,從業務角度來看,從長遠來看,為合規性投入時間和金錢可以防止代價高昂的違規行為,從而為公司節省資金。 根據 Ponemon Institute 的 2017 年數據洩露成本研究,數據洩露的平均成本為 362 萬美元。 對於可預防的原因,這是一筆可觀的資金。

通過實施 GDPR 的安全要求,公司現在可能會花費五位數,以避免以後不得不支付七位數。

如何為 GDPR 合規做準備

GDPR 的準備工作因組織而異,但這裡有一些電子商務公司可以採取的基本步驟,以朝著正確的方向前進。

1. 讓所有利益相關者都參與進來

首先要做的是建立一個 GDPR 工作組,其中包括來自組織各個級別的團隊成員。 公司內收集、分析、處理或以其他方式與消費者數據交互的任何團體都應包括在內。 這些團隊成員可以輕鬆共享任何有助於實施 GDPR 合規性必要更改的信息,以及處理對各自團隊的影響。

為了激勵工作組,Marsh & McLennan 的 Peter Beshar 鼓勵公司在執行層面設定一種意識和緊迫性的基調,這種基調會滲透到組織中並促進合規的重要性。

個性化法規以獲得更大的影響。 沒有人希望他們的私人信息受到損害。 在強調合規性的重要性時使用該角度。 通過使其個性化,您的團隊成員將更好地了解使組織合規所需完成的工作的價值。

GDPR 範圍很廣。 所有利益相關者都需要接受 GDPR 要求方面的培訓,其中包括制定培訓課程、提供信息資源以及定期與員工進行諮詢,Above the Law 的創始編輯 David Lat 解釋說。 以每個人都能理解和消化材料的方式呈現信息至關重要,因此海報和視頻等視覺效果可以成為解釋 GDPR 複雜性的絕佳工具。

2. 實施 SIEM 工具

信息安全公司 AlienVault 的安全倡導者 Javvad Malik 指出,GDPR 要求控制者跟踪和記錄其職責範圍內的所有處理活動,大多數組織利用安全信息和事件管理 (SIEM) 工具來做到這一點。

技術作家 Paul Rubens 在 eSecurity Planet 的一份報告中解釋說,SIEM 工具從硬件和軟件系統網絡收集數據並實時分析數據以關聯事件並發現可能表明安全漏洞的異常或行為模式。 Rubens 指出,SIEM 工具管理跨各種設備的安全日誌,發現威脅,預防和檢測漏洞,並提供取證證據以確定安全事件如何發生及其潛在影響。

Malik 建議,在實施 SIEM 工具之前,一定要創建一個可以訪問消費者個人信息的所有關鍵資產的清單。 並且不要忘記在清單中包括移動設備。 移動安全公司 Lookout, Inc. 的一項調查顯示,63% 的企業員工在移動設備上訪問客戶、合作夥伴和員工數據。

了解此信息可確保 SIEM 系統包含所有必要的系統以收集數據。

3. 進行風險評估

在非常廣泛的意義上,GDPR 法規要求公司實施適合其係統面臨的風險的安全措施。 法規有意沒有定義風險,而是由組織來決定如何最好地應對風險和實現 GDPR 合規性。

全面的風險評估包括識別風險和製定緩解計劃以應對已識別的風險。 網絡安全和合規公司 Netwrix 的 EMEA 總經理 Matt Middleton-Leal 為企業在進行風險評估方面提出了一些建議:

  • 查看替代合規性標準以獲取靈感(例如 PCI、DSS)。
  • 對數據進行分類,以便每個人都知道並理解所有數據點及其敏感性。
  • 識別特定風險並根據風險/收益比率權衡它們。
  • 不斷評估。

最好在整個 GDPR 合規過程中諮詢您的法律團隊,但尤其是在這一步驟中,法律可以成為重要的合作夥伴。 法律可以幫助指導您的風險評估,幫助進行持續規劃並不斷檢查您的合規性。

4. 實施威脅檢測控制

GDPR 要求公司在 72 小時內報告安全漏洞。 為了滿足這一需求,組織必須擁有適當的威脅檢測控制,以便在發生違規行為時立即觸發警報。 控制必須足以允許在那個小時間窗口內做出響應。

數據安全公司 Imperva 的 Sara Pan 建議提出以下問題:

  • “誰在訪問數據?”
  • “訪問是否適合用戶?”
  • “我們如何實現最快的發病響應?”

威脅檢測不是一勞永逸的過程。 它需要對內部和外部威脅進行持續監控,因此公司還必須建立持續評估流程並製定詳細的事件響應計劃。 響應計劃需要專注於調查事件以確定源頭和控製過程。

通過定期測試這些流程和計劃,公司可以更好地以符合 GDPR 的方式應對威脅和攻擊。

這是一個捍衛消費者數據保護的機會

GDPR 計劃從 2018 年 5 月 25 日起對不合規的公司處以罰款。組織需要注意兩個級別的罰款,並在 GDPREU.org 上進行了更詳細的解釋。

  • 較低級別:最高 1000 萬歐元或上一財政年度全球年收入的 2%,以較高者為準。
  • 上一級:最高 2000 萬歐元或上一財政年度全球年收入的 4%,以較高者為準。

儘管罰款數額很高,但公司需要更多地關注實施適當的流程以確保數據保護和隱私,而不是為了避免處罰而走捷徑。 通過試圖規避流程只是為了避免罰款,組織不僅會冒著激怒監管機構的風險,還會激怒讓他們繼續開展業務的消費者。 GDPR 的通過不是為了懲罰企業,而是為了保護消費者。

考慮到這一目標,組織應該有動力向消費者表明他們關心保護私人信息,並願意採取以消費者的最大利益為核心的安全措施。 當消費者更願意與他們信任的公司做生意時,所有花在合規上的精力和資源都會得到回報。

但這需要企業的不懈努力。 隨著 5 月 25 日截止日期的臨近,組織需要積極追求 GDPR 合規性。

免責聲明:本出版物不構成任何類型的法律建議,不應阻止您從合格的律師那裡獲得自己的法律建議。 此外,本文不是具有法律約束力的文件,不用於執行。 本文中提供的內容可能會發生變化,並不完全反映適用法律的要求。 在提供本出版物時,Scalefast 不表示將執行任何具有法律約束力的文件,並保留隨時退出討論而不承擔任何責任的權利。

圖片來源:Comfreak、rawpixel.com、免費照片