改善企业数据隐私的 5 个步骤
Posted: Tue Dec 10, 2024 7:19 am
您知道您从客户那里收集了哪些个人信息吗?您如何保护这些信息?姓名、电子邮件地址和银行信息等基本信息通常是黑客实施复杂身份盗窃计划所需的全部信息。然而,许多企业主并不清楚他们掌握了哪些个人信息以及他们应该如何保护这些信息。
对数据隐私视而不见可能会给企业带来 斯洛文尼亚电话号码数据 高昂代价。2022年 6 月,魁北克高等法院批准了一起针对金融合作社 Desjardins 的集体诉讼,并支付了2.009 亿美元的和解金。该公司被发现存在漏洞,导致一名员工窃取了420 万人的个人信息。
数据泄露事件的激增以及消 费者对隐私和自身数据控制权的需求促使各国政府出台了新的法规,例如欧洲的《通用数据保护条例》(GDPR)和加州《消费者隐私法案》(CCPA)。魁北克省政府于 2021 年出台了一项数据隐私法案 。该法案为个人隐私权和企业数据管理政策等引入了新标准,开创了加拿大隐私法的先例。
在联邦层面,目前正在议会审议的C-27法案旨在加强加拿大数据保护立法的力度。如果该法案获得通过,如果一家公司没有采取足够的措施保护其敏感数据,则可能会被处以最高相当于其全球收入 5% 或2500 万美元的罚款(以较高者为准) 。
2022 年及以后,数据隐私应该成为所有加拿大企业最关心的问题。
罗达·莫哈末
BDC 咨询服务高级业务顾问
根据我与加拿大各地大中小型企业合作的经验,大多数公司的隐私计划未能满足消费者的期望,也未能满足该拟议立法的许多要求。
消费者本身也开始意识到数据隐私。
我最近拒绝与一家干洗公司做生意,因为他们要求我提供姓名、电话号码、地址和电子邮件,以提供一项简单的服务。他们无法充分解释为什么他们需要这些信息,也不清楚他们将如何使用我的个人信息。
而且我并不是唯一一个这样想的人。消费者们并不愿意为了他们认为不太重要的交易而分享私人数据。
加拿大隐私专员办公室在2020-21 年进行的一项调查发现:
71%的加拿大人出于隐私考虑拒绝提供个人信息。
40% 的加拿大人表示他们已经停止与遭遇数据泄露的公司做生意。
企业需要预料到客户会就其数据隐私计划提出更多精明的问题。然而,根据我与加拿大各地中小型企业合作的经验,这些计划未能满足消费者的期望和拟议立法的要求。
什么是个人信息?
个人信息是指任何能够直接或间接识别个人身份的信息。其中包括:
个人姓名
地址
出生日期
种族
性别
联系信息
信用卡号码
照片
社会保险号码
IP 地址
位置数据
从消费者的角度来看,数据隐私是了解和控制以下内容的能力:
正在收集有关他们的哪些信息
谁在访问它以及谁在存储它
为了什么目的
保存多长时间
如何处理,如果有的话
如何保护它
无论是转让还是出售给第三方
如果做得好,您处理数据隐私的方式可以成为您企业的差异点,甚至是竞争优势的来源。
优先考虑数据隐私的 5 个步骤
1. 查看你收集和存储的数据及其原因
我拒绝与之合作的那家干洗公司收集的信息超出了他们所需的范围,这种情况并不罕见。考虑一下你真正需要哪些私人信息来为你的客户服务是很重要的。
您只是遵循模板吗?
您的方法是否与理性人的期望一致?
您是否清楚您的客户的价值?
收集的数据越多,保护和存储数据的风险就越大,成本也越高——无论是以纸质文件还是数字文件形式存储。如果您没有刻意收集和保留数据,可能会浪费大量的数据存储成本。搜索较大的数据存储也更加复杂。
请记住:良好的数据治理包括符合您的需求、行业法规和客户隐私期望的收集和保留策略。
2. 定义谁有权访问数据
在 Desjardins 数据泄露事件中,一名员工最终对数百万客户的隐私泄露负有责任。这是因为他们基本上可以在数字保险库中随意走动,随意获取他们想要的任何数据。
有多种方法可以防止这种情况发生。最常见的方法是定义角色以及与每个角色相关的访问权限。然后,授予某些权限,同时限制其他权限。这似乎很明显,但我合作的大多数企业都没有严格执行这一点。最小访问原则是一种很好的通用方法。
考虑:
您的正式用户 ID 注册/注销流程是什么?这些流程是否与您入职/离职和角色变更相关的人力资源流程相关?
您是否有一个明确的流程来授予和撤销访问权限?一个好的做法是限制共享访问权限,将个人 ID 与人员联系起来,并记录和定期审查访问权限。
谁可以访问人力资源、薪资和会计平台等重要业务应用程序,因为这些平台上有大量敏感数据?每个人应拥有哪些级别的访问权限(例如,读取、写入、删除、下载等)?
尽管安全和隐私通常是公司最不愿意花钱的事情,但不幸的事实是,许多公司无法在数据隐私泄露的情况下生存下来。
罗达·莫哈末
BDC 咨询服务高级业务顾问
3.了解数据的风险
当我向客户询问他们的数字安全以及他们如何管理数据隐私时,几乎所有人都说:“我们的数据在云端,是安全的。”确实,云平台确实具有严格的安全功能。
然而,无论环境看起来多么安全,企业仍然需要审查数据风险:
数据的价值;
丢失数据的成本;
收集数据的隐私影响;
应对风险的各种解决方案的成本。
风险评估将帮助您确定是否需要通过改变流程来实施额外的安全控制来降低、转移或避免风险。
IT监控服务的价值
云配置错误是导致网络攻击的主要原因。例如,用户和应用程序可能会积累超出必要的访问权限。当新资源或服务添加到云环境时,有时会默认授予这些过多的权限。攻击者可能会利用这些默认权限窃取敏感数据并破坏操作。
持续实时监控您的整个 IT 基础架构(包括云部署)以快速检测和响应安全事件的服务可以帮助保护您的业务数据并保障您的业务。
4. 培训员工了解数据隐私及其角色
人为错误和不当行为是网络攻击的另一个常见原因。为了防止这种情况发生,重要的是培训员工如何为整体网络安全和数据隐私做出贡献。
这种培训应该有助于他们了解未能遵守企业及其客户数据隐私协议的风险。
可帮助您实现此目的的工具包括:
年度网络安全和数据隐私培训
通过网络钓鱼模拟来评估培训效果并强化所需的行为
持续沟通对企业的好处
更有知识、更自信的员工将有能力发现和避免常见的网络和隐私威胁,这对您的公司来说是一种福音。
5. 超越最低限度
遵守当地法律并没有什么错。毕竟,不遵守法律可能会导致罚款、名誉受损、个人责任等。
然而,仅仅关注合规性有时可能会导致只做最低限度的工作并错失从同行中脱颖而出的机会。
通过有意识地将数据隐私纳入您的产品、服务和业务流程中,您可以将重点从允许或不允许转移到为客户创造价值。这将帮助您利用新技术,同时从一开始就将无意和不良后果降至最低。
获得专家帮助
我们可以帮助您向客户和员工证明他们的敏感信息是安全的。请联系我们了解有关数据隐私认证的更多信息。
对数据隐私视而不见可能会给企业带来 斯洛文尼亚电话号码数据 高昂代价。2022年 6 月,魁北克高等法院批准了一起针对金融合作社 Desjardins 的集体诉讼,并支付了2.009 亿美元的和解金。该公司被发现存在漏洞,导致一名员工窃取了420 万人的个人信息。
数据泄露事件的激增以及消 费者对隐私和自身数据控制权的需求促使各国政府出台了新的法规,例如欧洲的《通用数据保护条例》(GDPR)和加州《消费者隐私法案》(CCPA)。魁北克省政府于 2021 年出台了一项数据隐私法案 。该法案为个人隐私权和企业数据管理政策等引入了新标准,开创了加拿大隐私法的先例。
在联邦层面,目前正在议会审议的C-27法案旨在加强加拿大数据保护立法的力度。如果该法案获得通过,如果一家公司没有采取足够的措施保护其敏感数据,则可能会被处以最高相当于其全球收入 5% 或2500 万美元的罚款(以较高者为准) 。
2022 年及以后,数据隐私应该成为所有加拿大企业最关心的问题。
罗达·莫哈末
BDC 咨询服务高级业务顾问
根据我与加拿大各地大中小型企业合作的经验,大多数公司的隐私计划未能满足消费者的期望,也未能满足该拟议立法的许多要求。
消费者本身也开始意识到数据隐私。
我最近拒绝与一家干洗公司做生意,因为他们要求我提供姓名、电话号码、地址和电子邮件,以提供一项简单的服务。他们无法充分解释为什么他们需要这些信息,也不清楚他们将如何使用我的个人信息。
而且我并不是唯一一个这样想的人。消费者们并不愿意为了他们认为不太重要的交易而分享私人数据。
加拿大隐私专员办公室在2020-21 年进行的一项调查发现:
71%的加拿大人出于隐私考虑拒绝提供个人信息。
40% 的加拿大人表示他们已经停止与遭遇数据泄露的公司做生意。
企业需要预料到客户会就其数据隐私计划提出更多精明的问题。然而,根据我与加拿大各地中小型企业合作的经验,这些计划未能满足消费者的期望和拟议立法的要求。
什么是个人信息?
个人信息是指任何能够直接或间接识别个人身份的信息。其中包括:
个人姓名
地址
出生日期
种族
性别
联系信息
信用卡号码
照片
社会保险号码
IP 地址
位置数据
从消费者的角度来看,数据隐私是了解和控制以下内容的能力:
正在收集有关他们的哪些信息
谁在访问它以及谁在存储它
为了什么目的
保存多长时间
如何处理,如果有的话
如何保护它
无论是转让还是出售给第三方
如果做得好,您处理数据隐私的方式可以成为您企业的差异点,甚至是竞争优势的来源。
优先考虑数据隐私的 5 个步骤
1. 查看你收集和存储的数据及其原因
我拒绝与之合作的那家干洗公司收集的信息超出了他们所需的范围,这种情况并不罕见。考虑一下你真正需要哪些私人信息来为你的客户服务是很重要的。
您只是遵循模板吗?
您的方法是否与理性人的期望一致?
您是否清楚您的客户的价值?
收集的数据越多,保护和存储数据的风险就越大,成本也越高——无论是以纸质文件还是数字文件形式存储。如果您没有刻意收集和保留数据,可能会浪费大量的数据存储成本。搜索较大的数据存储也更加复杂。
请记住:良好的数据治理包括符合您的需求、行业法规和客户隐私期望的收集和保留策略。
2. 定义谁有权访问数据
在 Desjardins 数据泄露事件中,一名员工最终对数百万客户的隐私泄露负有责任。这是因为他们基本上可以在数字保险库中随意走动,随意获取他们想要的任何数据。
有多种方法可以防止这种情况发生。最常见的方法是定义角色以及与每个角色相关的访问权限。然后,授予某些权限,同时限制其他权限。这似乎很明显,但我合作的大多数企业都没有严格执行这一点。最小访问原则是一种很好的通用方法。
考虑:
您的正式用户 ID 注册/注销流程是什么?这些流程是否与您入职/离职和角色变更相关的人力资源流程相关?
您是否有一个明确的流程来授予和撤销访问权限?一个好的做法是限制共享访问权限,将个人 ID 与人员联系起来,并记录和定期审查访问权限。
谁可以访问人力资源、薪资和会计平台等重要业务应用程序,因为这些平台上有大量敏感数据?每个人应拥有哪些级别的访问权限(例如,读取、写入、删除、下载等)?
尽管安全和隐私通常是公司最不愿意花钱的事情,但不幸的事实是,许多公司无法在数据隐私泄露的情况下生存下来。
罗达·莫哈末
BDC 咨询服务高级业务顾问
3.了解数据的风险
当我向客户询问他们的数字安全以及他们如何管理数据隐私时,几乎所有人都说:“我们的数据在云端,是安全的。”确实,云平台确实具有严格的安全功能。
然而,无论环境看起来多么安全,企业仍然需要审查数据风险:
数据的价值;
丢失数据的成本;
收集数据的隐私影响;
应对风险的各种解决方案的成本。
风险评估将帮助您确定是否需要通过改变流程来实施额外的安全控制来降低、转移或避免风险。
IT监控服务的价值
云配置错误是导致网络攻击的主要原因。例如,用户和应用程序可能会积累超出必要的访问权限。当新资源或服务添加到云环境时,有时会默认授予这些过多的权限。攻击者可能会利用这些默认权限窃取敏感数据并破坏操作。
持续实时监控您的整个 IT 基础架构(包括云部署)以快速检测和响应安全事件的服务可以帮助保护您的业务数据并保障您的业务。
4. 培训员工了解数据隐私及其角色
人为错误和不当行为是网络攻击的另一个常见原因。为了防止这种情况发生,重要的是培训员工如何为整体网络安全和数据隐私做出贡献。
这种培训应该有助于他们了解未能遵守企业及其客户数据隐私协议的风险。
可帮助您实现此目的的工具包括:
年度网络安全和数据隐私培训
通过网络钓鱼模拟来评估培训效果并强化所需的行为
持续沟通对企业的好处
更有知识、更自信的员工将有能力发现和避免常见的网络和隐私威胁,这对您的公司来说是一种福音。
5. 超越最低限度
遵守当地法律并没有什么错。毕竟,不遵守法律可能会导致罚款、名誉受损、个人责任等。
然而,仅仅关注合规性有时可能会导致只做最低限度的工作并错失从同行中脱颖而出的机会。
通过有意识地将数据隐私纳入您的产品、服务和业务流程中,您可以将重点从允许或不允许转移到为客户创造价值。这将帮助您利用新技术,同时从一开始就将无意和不良后果降至最低。
获得专家帮助
我们可以帮助您向客户和员工证明他们的敏感信息是安全的。请联系我们了解有关数据隐私认证的更多信息。