作者:安恒信息
2020 RSA创新沙盒大赛圆满结束,Securiti.ai公司从十大“劲敌”中脱颖而出,蟾宫折桂。Securiti.ai引入PrivacyOps的全新概念,旗下的产品套件Privacy.ai核心的三项能力包括个人数据关联报告的生成、可视化管理跨国企业的个人数据及数据泄露发生后及时通知受影响的数据主体。今天,AiLPHA君为大家浅析RSAC热点技术PrivacyOps(隐私运维)。
此文主要内容来自于2020 RSAC 创新沙盒冠军得主Securiti.ai。
1 、什么是PrivacyOps
PrivacyOps是理念、实践、跨职能协作、自动化和编排的组合,能够提高组织可靠且快速地遵守众多全球隐私法规的能力。它使组织从传统的跨越多职能孤岛的手动方法演变为全自动化的跨职能协作框架,以实现隐私合规性的大多数方面。对主体的可信赖和响应性增强了组织的信任度,并使其在敏感的个人数据方面更值得信任。
在PrivacyOps模型下,法务、IT、数据、研发以及信息安全团队在隐私合规性方面不再孤立。他们在一个通用框架内运行,使他们可以就隐私合规性的最重要实践进行交流和协作。
团队在所有隐私实践中使用自动化替代在过去手动且缓慢的方式,从而使他们能够更好地实时了解隐私问题、准备情况和合规性要求。自动化关联个人数据到其合法拥有人及用户许可的目的,可以实时查看监管风险,并为团队做好准备以响应DSR,或在发生数据泄漏时迅速通知相应的数据主体。
PrivacyOps将安全协作带入到处理敏感的个人数据中,从而消除了通过合规和审查目的在不安全的通信渠道上共享敏感数据和评估的历史方法。通过电子邮件和通用消息传递等通信渠道共享个人数据会进一步加剧个人身份信息蔓延。
团队使用编排及自动化以更快的速度可靠地满足DSR,从而降低成本及合规风险。
2 、从PrivacyOps视角看GDPR和CCPA
《通用数据保护条例》(General Data Protection Regulation,简称GDPR)为欧洲联盟的条例,欧盟议会于2016年4月14日通过该条例,并于2018年5月25日在欧盟成员国内正式生效实施。2.1 GDPR数据合规要点
定制DSR门户,以实现无缝的客户服务
GDPR文章:12
构建定制的品牌化的Web表单,以接受身份验证过的数据主体权限请求。当收到经过验证的请求时,自动启动执行工作流。
数据主体访问请求处理自动化
GDPR文章:12, 13, 14, 15, 20
通知数据主体其数据隐私权,并简化对已验证的数据主体权限请求的发起。自动生成并交付安全数据访问及数据端口报告。
安全实现数据访问和端口请求
GDPR文章:12, 13, 14, 15, 19, 20
在收到可验证的数据请求后30天内向客户公开所需信息。免费,并通过安全的门户进行交付。
异议和处理限制请求自动化
GDPR文章:16, 19
借助自动的数据主体验证和整改工作流,对一个主体出现的所有个人数据无缝地满足数据整改请求。
擦除请求自动化
GDPR文章:17
通过灵活的、自动化的、可定制的工作流程可靠地满足擦除请求。
反对及处理请求限制自动化
GDPR文章:16, 19
通过协作工作流,基于业务需求构建一个反对和限制处理的处理框架
持续监控及追踪
GDPR数据治理
持续扫描和监控数据,防止其不遵守主体权利、数据驻留或安全控制。持续不断地发现新的PD类型、类别和数据流风险。
链接个人身份信息数据自动化
GDPR数据治理
使用我们的协作式、多级监管、准备状态评估系统,根据CCPA要求衡量您组织的状况,找出差距并解决风险。在您的供应商生态系统中无缝扩展评估功能,以保持符合CCPA要求。
符合cookie规定
GDPR文章:7, 21
自动扫描组织的web特性,并对cookies和tags进行分类。利用结果构建自定义的cookie标语,以展示标语,收集许可并提供首选项中心来管理cookie首选项。
监控并追踪许可
GDPR文章:7
监控许可,以确保数据得到合法处理。追踪许可撤销,以防止未经许可的数据处理或传输。向监管机构和数据主体证明许可的合规性。
评估GDPR准备情况
GDPR文章:5, 24, 25, 35, 36
使用我们的协作式、多级监管、准备状态和DPIA评估系统,根据GDPR的要求来衡量您组织的状态,发现差距并解决风险。在您的供应商生态系统中无缝扩展评估功能,以保持符合GDPR要求。
数据流测绘并生成第30条款要求的报告
GDPR文章:6, 30, 32
跟踪数据流,包括数字资产、目录数据收集和传输点,在内部记录所有业务流程,并记录给服务提供商或第三方。维护处理组件的清单,并生成第30条款要求的处理报告。
数据交易商风险管控
GDPR文章:28 (1)(2)(3), 24(1), 29, 46(1)
通过一个接口追踪、监控并管理所有服务供应商的隐私和安全状况。及时协作,自动化数据请求和删除,并管理所有数据交易商合同和合规性文档。
2.2 CCPA数据合规要点
2018年6月28日,《加利福尼亚州消费者隐私保护法案》(CCPA)经州长签署公布,并于2020年1月1日起正式实施。
消费者数据访问请求处理自动化
CCPA: 1798.100, 1798.105, 1798.110, 1798.115
通知消费者其数据隐私权,并简化已验证数据访问请求的发起。自动生成并交付安全数据访问报告。
安全实现数据访问请求
CCPA: 1798.130
在收到可验证的数据请求后45天内向客户公开所需信息。免费,并通过安全的门户进行交付。
满足CCPA“不出售”要求
CCPA: 1798.120 (a), 1798.135 (a)
通过自动化的消费者验证和工作流程实现来无缝履行不出售要求。
持续监控及追踪
CCPA治理
持续扫描和监控数据是否违反删除和选择退出请求。持续不断地发现新的PD类型、类别和数据流风险。
链接个人身份信息数据自动化
CCPA治理
发现存储在所有系统中的个人信息,并将其链接到个人数据的所有者。通过身份可视化数据蔓延,并根据主体所在位置识别合规风险。
启用选择退出机制
CCPA: 1798.135.(1)(2)
启用带有消费者权利说明以及清晰明了的“请勿出售”链接的本地化许可标语。
监控并追踪许可
CCPA治理
监控许可,以确保数据得到合法处理。追踪许可撤销,以防止未经许可的数据出售或转移。
评估CCPA准备情况
CCPA: 1798.135.(1)(2)
使用我们的协作式、多级监管、准备状态评估系统,根据CCPA的要求来衡量组织的状态,找出差距并解决风险。在您的供应商生态系统中无缝扩展评估功能,以保持符合CCPA要求。
评估第三方
CCPA: 1798.105(c), 1798.145
通过一个接口追踪、监控并管理所有服务供应商的隐私和安全状况。及时协作,自动化数据请求和删除,并管理所有供应商合同和合规文档。
绘制数据流
CCPA治理
跟踪数据流,包括数字资产、目录数据收集和传输点,在内部记录所有业务流程,并记录给服务提供商或第三方。
3 、PrivacyOps解决哪些问题(使用场景)
3.1 DSR自动化
#接受人们的数据请求
收集DSR请求及请求者信息,同时阻止任何僵尸活动或欺诈尝试。
#验证主体身份并创建DSR工作流
通过多种身份认证和认证方法防止欺诈和身份盗用的尝试。
#查找个人数据并确定其所有者
Autopilot和个人身份信息链接器一起工作,为实现DSR查找并推荐具有主体个人身份信息的系统和对象。
#创建任务和子任务并邀请利益相关者
利用协作式处理敏感数据,而不是通过不安全的系统发送数据进行审核和批准。减少个人身份信息蔓延并提升安全性和合规性。
#安全的与人们共享数据报告
通过审查和批准过程发送报告。主体通过安全门户接收报告。文件使用主体独有秘钥进行加密。
#完成DSR,创建合规报告
DSR系统日志可在法规审查或法律诉讼中证明您的合规性。
3.2个人数据链接自动化
#智能扫描
学习数据系统,并根据组织需求调整和优化深度扫描。
#自动将个人数据链接到用户
将个人数据链接到用户身份。通过链接限制个人身份信息数据的蔓延。
#构建跨系统和地理位置的个人身份信息热图
提供有关跨系统分布的个人身份信息数据的重要见解。
#构建跨系统的个人身份信息数据的关系图
对个人身份信息数据、属性、驻留时间、数据位置和数据源之间的关系进行细分。
3.3 评估自动化
#发起评估
通过从多个合规性类别中选择预定义的模板来启动评估,或者使用您自己的客户评估模板。
#邀请利益相关者
通过向利益相关者分配问题,邀请他们完成评估中的部分。
#利益相关者邀请团队成员
利益相关者可以邀请组织内的其他成员参与并审查响应。
#正式的工作流程审查
正式审查工作流程以确保响应在组织内部发布或外部共享之前由评估所有者进行验证。
#一键完成共享评估
简单的一键式发布过程,以在内部和外部完成和共享评估。
#与客户分享完成的评估
有信心的与客户和第三方分享完成的、核准的评估。保持对版本的完全控制,并保留来自一个或所有客户的能力修订评估。
4、 PrivacyOps为企业带来的价值
以下是PrivacyOps在文化变革、自动化、编排和协作式中带来一些好处。
更好的理解
对组织所有职能部门的数据隐私法规义务及合规性要求有更好的共识。团队可以更好地了解跨系统存储的个人数据或与个人数据相关的组织惯例中存在的隐私风险。一个通用的PrivacyOps框架可以将来自各种隐私实践的信息关联起来,例如准备情况评估、数据发现/链接、许可管理和DSR执行,这能够更好地全面了解组织隐私状况和监管风险。
实时监控隐私风险
根据如何从分散的主体处收集数据、如何将许可与数据一起收集、如何在内部和外部共享个人数据以及数据的存储位置,来了解组织内部可能存在的数据隐私风险的最新实时信息。
敏捷
高速变革以实现并持续遵守各个地区不断变化的隐私法规。快速地响应来自不同地区的DSR,从而为主体提供愉悦且建立信任的体验。根据各种隐私条例要求,将任何安全事件及违规迅速通知受影响的对象。减少花在体力劳动上的时间,提高生产力和效率。
信任
确保整个组织内隐私合规的各个方面都是可靠的,包括内部评估、供应商评估、个人身份信息数据链接、许可理解、DSR的实现和合规记录。建立更高的可靠性能够获取主体的信任,避免监管处罚,并提升组织的品牌。
延展性
跨多应用程序、大规模数据集,跨不同地区、不同利益相关者及法规,大规模地开展多方面的隐私实践。
专业知识增强
通过花更多的时间在专家级任务上,而不是评估、DSR实现、数据发现、主体通信等简单的手动任务上,来提高组织中各个团队的隐私理解及专业知识。
改进的安全协作
在法务、隐私、IT、网络安全、市场、研发和支撑小组的不同团队之间实现有效的协作。围绕敏感个人身份信息数据进行协作,而无需通过电子邮件和消息传递工具共享敏感个人身份信息数据。
提升品牌
通过与潜在的和现有的客户基于信任关系发展独有的市场地位。提供透明的数据处理实践并快速满足访问请求能够建立信任。实施安全透明的PrivacyOps基础架构的前景使人们进一步意识到在整个行业范围内采用这种做法的迫切需求。巧合的是,这是研发标准化PrivacyOps实践的动机,因此,可能是单一平台的市场利基。