「CDP涉及到的敏感数据,这几天盘点一下,要根据公司的数据安全规范做统一处理。」
「……怎么盘?」
【资料图】
自《个人信息保护法》(简称PIPL)正式生效已近2年,在国家法律法规及行业标准要求下,越来越多企业开始着手数据安全合规工作。围绕个人信息保护,企业对隐私条款、同意追踪、数据处理协议等采集端的管控也日益规范。
然而,具体到数据应用层,诸多落地问题仍然困扰着企业,例如:
「我们使用的CDP(客户数据平台)已经有权限管控功能了,也具备不少安全资质,但集团的数据安全部门仍然说没达到合规监管的要求。」
「UBA(用户行为分析工具)里肯定有大量用户数据,道理我都懂,但到底哪些需要特殊处理,怎么产出报告用于审计?」
伴随数字化转型的深入,企业采购或自建的数据应用越来越多,而分别设立安全规则、分别定制开发安全合规功能并不现实。
为帮助企业切实落地各应用的安全合规,实现企业数据资产安全的统一管理,奇点云数据安全引擎DataBlack自R2.0起,正式支持对接CDP、UBA等多类数据应用产品,为企业提供一站式的数据安全能力,从而支撑全域数据满足PIPL、数据安全法等安全合规要求。
本文将分享2个案例实践,解读DataBlack在数据应用的典型场景中如何为数据安全合规护航。
案例一:满足全集团统一的数据安全管理要求
CDP中存储了大量用户信息,其中通常包含个人识别信息(PII,Personally Identifiable Information,即凭借这些信息能够识别出特定的个人身份)的数据字段。在CDP的日常使用过程中,还涉及到PII信息的加工和使用。而PII数据恰恰是企业需要着重关注的重要敏感数据。
基于PIPL等法律法规的要求,PII数据应当得到分类管理,采取相应的加密、去标识化等安全技术措施,并制定操作规程、确定企业员工的操作权限。
本案例的客户是一家国际时尚集团,早在几年前就组建了数据安全团队。借鉴海外总部的管理经验,安全团队为整个集团设计了详尽的数据安全管理规范。当需要在数字化运营部门常用的CDP完成落地时,企业采用了DataBlack:
敏感数据发现:通过DataBlack配置姓名、手机号、身份证等敏感数据识别规则,定期识别CDP内的敏感数据。
数据分级分类:依据PIPL等安全法律法规,DataBlack内置了开箱即用的分类分级标准模板。安全团队以模板为基准,高效完成了CDP中敏感数据的分类分级,并自动生成全景图,以便了解敏感数据所在。
数据动态脱敏:在DataBlack中配置敏感数据的动态脱敏规则,当企业用户在CDP中查询或下载敏感数据时,会自动呈现脱敏后的结果,降低数据泄露风险。
图:DataBlack的敏感数据识别和管理步骤
针对用户相关数据,集团数据安全团队在DataBlack中配置了一套完整的分级分类及识别规则。因此,不仅是CDP,其他涉及到个人信息的数据应用也遵循集团一致的数据安全策略,得到统一管理。
案例二:满足行业监管合规要求
除了PIPL、数据安全法等国家级的法律法规,金融、汽车等行业也针对各自业务特性,出台了更具针对性和实操性的数据安全管理办法。
本案例是一家大型车企集团。根据《汽车数据安全管理若干规定(试行)》等要求,企业必须定期报送数据安全管理情况。这其中,也包括企业外采的数据分析工具涉及的敏感个人信息和重要数据。
为明确汽车应用程序相关用户数据的管理情况,集团的数据安全部门将DataBlack接入了UBA,依据数据分类分级标准配置了L1至L5的数据等级及敏感数据类别。按预设的敏感数据识别规则,集团定期对UBA内的数据进行全量扫描、安全打标,产出扫描报告用于审计。
图:DataBlack分析云版 - 风险明细下载功能
对于大多数业务与用户密切相关的企业而言,数据安全合规工作中最首要的任务,往往就是确保敏感数据(尤其是用户的个人信息数据)能得到识别和相应合规处置,以及可安全审计。
奇点云数据安全引擎DataBlack,提供敏感数据自动化发现、数据脱敏和加密、权限管理、风险识别和监控、数据审计等五大核心功能,协助客户完成全域数据全生命周期安全管控,从而保障数据资产的保密性、完整性、可用性。
图:DataBlack架构
从集团管理层面,企业的数据安全部门可以借助DataBlack,对全域数据(包括大数据平台及数据应用)采取一致的数据安全策略与流程应用,给用户授予对应应用的安全角色、配置安全能力,建立全局的数据安全视角,为合规管控提效。
针对特定的数据应用,DataBlack也在不断优化。以分析云的增长分析产品(UBA)为例,DataBlack已具备对UEI模型的表级敏感数据发现能力,企业用户可以对UBA内Event、User、Item三张表中存在安全风险的敏感信息进行统一管理,也可以下载风险明细,更精细化地满足审计要求。
关键词: