GDPR 合规性软件

GDPR 指 2018 年 5 月实行的欧盟通用数据保护条例。按照 GDPR 法规，欧盟公民将获得个人数据和隐私方面的保护。GDPR 具体针对企业处理个人数据的方式以及企业使用的安全系统和协议。任何向欧盟居民营销商品或服务的公司，无论公司是否位于欧盟境内，必须遵守 GDPR 要求，否则可能面临违规处罚。

对于在欧盟境内开展运营的企业和个人，GDPR 合规性主要包括三个方面：

1. 收集个人数据，如姓名、电子邮件和 IP 地址
2. 对个人数据执行的操作或操作集合
3. 企业如何减少和保护个人数据的使用

要符合 GDPR，企业需要遵守各种义务。组织（或数据控制者）还对第三方用户的操作承担责任，必须审查其供应商和承包商对于数据的做法。  

GDPR 还要求一些公司指定数据保护专员 (DPO)，负责监管数据安全和实施 GDPR 合规性。 

证明 GDPR 合规性的最佳做法远不止更新网站和软件。对于大多数企业来说，培养更透明的数据做法意味着改变所有与消费者数据打交道的人员（包括 HR、IT、市场营销和安全人员）的思维方式。GDPR 合规性很可能包括建立新的机制，以及对产品、服务、工具、提供商和外部协作机构关系开展内部审查。  

除了针对欧盟公民和居民的 GDPR 外，其他几个政府还颁布了严格的数据隐私规定。包括：

• 巴西 - Lei Geral de Proteçao de Dados Pessoais (LGPD)
• 澳大利亚 - 隐私法的 Notifiable Data Breaches (NDB) 计划修正案
• 加利福尼亚州 - California Consumer Privacy Act (CCPA)
• 日本 – Act on the Protection of Personal Information Act
• 韩国 – Personal Information Protection Act (PIPA)
• 泰国 – Personal Data Protection Act (PDPA)
• 印度 – Personal Data Protection Bill (PDPB)
• 南非 - Protection of Personal Information Act (POPIA)
• 中国 – 个人信息保护法 (PDPL)
• 加拿大 – Digital Charter Implementation Act (DCIA)

GDPR 概述的大多数要求旨在调整企业做法，符合六个原则：

1. 隐私策略 / 合法性
2. 数据保护 / 安全性
3. 数据主体权利
4. 数据管理 / 映射
5. 意识 / 培训
6. 数据泄露通知

GDPR 合规性法规旨在为欧盟个人数据的数据保护、隐私和安全性制定更高标准，包括以下方式： 

• GDPR 拓展欧盟要求的地域范围，扩大到处理欧盟公民个人数据的欧盟以外企业。
• GDPR 要求保护个人数据，以及收集、处理、存储或传输个人数据的物理和数字地点的防护措施证明。
• 按照 GDPR，企业必须能够识别何时个人数据暴露或受威胁。

为了证明符合 GDPR，企业应完成评估，找出合规性漏洞，采取措施解决这些漏洞。确定当前程序与 GDPR 要求之间的漏洞后，公司应制定同意、程序和技术措施方面的相关运营策略，帮助保护数据和监测其可能负责的第三方合规性问题。公司还应盘点数据流以确定掌握的数据类型，对现有安全措施进行风险评估同时分析数据泄露的可能性。

GDPR 合规性软件旨在帮助企业在发生违规前主动符合 GDPR 要求。和其他策略要求不同，GDPR 不建议可以轻松添加的特定协议或控制措施，而是建议严格内部审查和实施新机制。

GDPR 合规性解决方案提供以下功能，帮助企业及其数据保护团队确保 GDPR 就绪性和加速审查：

• 彻底系统监测，通常利用日志数据捕获潜在数据泄露
• 安全泄露或潜在问题通知，包括可能影响 GDPR 合规性的安全问题自定义提醒
• 报告功能，改进内部监管或向审查人员证明合规性

有效的合规性软件可以更加方便持续保持系统合规性，通过方便审查人员的报告证明合规性。

GDPR 合规性软件为企业提供管理敏感数据内部访问权限的必要工具。

GDPR 合规性检查工具可以帮助您：

• 了解个人数据：您应先盘点您处理的可能受 GDPR 合规性影响的数据。GDPR 规则在个人数据方面范围广泛—您可能需要考虑各个 IP 地址和 cookie 数据，以及名称、标识号和地址等典型数据点。GDPR 合规性工具可以帮助您快速检测对关键文件和文件夹的未经授权改动，从而避免泄露数据。 
• 管理内部用户访问权限：外部威胁可能影响个人数据，同样内部威胁也可能导致违反 GDPR 规定。这包括意外和恶意用户活动。GDPR 合规性检查工具可以帮助您主动管理用户，从而减少暴露数据的可能。GDPR 工具还可以通过自动模板等功能，帮助提高向最终用户分配权限的准确性。此外，使用软件管理用户访问权限很重要，这样管理员可以更好地了解存在哪些用户帐户，这些用户当前能够访问哪些资源，从而更好地跟踪高风险帐户（如具有高访问权限的帐户），如果发生可疑访问，管理员可以尽快调查该活动。 
• 运行合规性报告：自动报告主要具有两个优点。首先，为管理员提供用户活动和权限设置的快速清晰概览。您可以筛选自定义条件，这样报告可以准确提供需要的信息。其次，在需要报告合规性或支持鉴证调查时，可与审查人员分享自动报告。如果在 GDPR 软件中创建，这些报告可以设计为突出显示 GDPR 法规相关信息。 

Access Right Manager 通过自动化风险评估，生成证明合规性的报告，支持制定流程以处理数据主体访问权限请求，帮助企业加速并简化 GDPR 合规性。

GDPR 合规性要求公司开展数据访问权限的内部审查和就绪性评估，解决任何安全问题。Access Right Manager 允许管理员通过用户管理系统监测和审核数据访问权限，改进对用户访问权限的监管。管理员收到访问的帐户、流动的数据、进行的更改等详细记录。 

Access Right Manager 还可以通过可视化帐户权限，帮助您避免成本高昂的数据泄露。ARM 用户管理系统以树状结构显示 SharePoint 权限，清晰指示每个用户具有的具体权限。快速查看对 Windows 文件服务器的未经授权访问和更改，令监测更加轻松。

手动生成合规性报告非常耗费时间。ARM 自动执行该流程。ARM 生成用户访问权限报告，提高报告准确度并简化审查工作，支持管理员记录访问活动，并且更加轻松证明合规性。

• PCI DSS 合规性软件
• SOX 合规性工具
• NERC CIP 合规性工具
• HIPAA 合规性软件
• DISA STIG 合规性工具
• 合规性管理软件
• 合规性报告工具
• 网络安全风险管理
• 信息安全风险管理