「CDP涉及到的敏感數(shù)據(jù),這幾天盤點一下,要根據(jù)公司的數(shù)據(jù)安全規(guī)范做統(tǒng)一處理。」
「……怎么盤?」
自《個人信息保護法》(簡稱PIPL)正式生效已近2年,在國家法律法規(guī)及行業(yè)標準要求下,越來越多企業(yè)開始著手數(shù)據(jù)安全合規(guī)工作。圍繞個人信息保護,企業(yè)對隱私條款、同意追蹤、數(shù)據(jù)處理協(xié)議等采集端的管控也日益規(guī)范。
然而,具體到數(shù)據(jù)應用層,諸多落地問題仍然困擾著企業(yè),例如:
「我們使用的CDP(客戶數(shù)據(jù)平臺)已經(jīng)有權(quán)限管控功能了,也具備不少安全資質(zhì),但集團的數(shù)據(jù)安全部門仍然說沒達到合規(guī)監(jiān)管的要求。」
「UBA(用戶行為分析工具)里肯定有大量用戶數(shù)據(jù),道理我都懂,但到底哪些需要特殊處理,怎么產(chǎn)出報告用于審計?」
伴隨數(shù)字化轉(zhuǎn)型的深入,企業(yè)采購或自建的數(shù)據(jù)應用越來越多,而分別設(shè)立安全規(guī)則、分別定制開發(fā)安全合規(guī)功能并不現(xiàn)實。
為幫助企業(yè)切實落地各應用的安全合規(guī),實現(xiàn)企業(yè)數(shù)據(jù)資產(chǎn)安全的統(tǒng)一管理,奇點云數(shù)據(jù)安全引擎DataBlack自R2.0起,正式支持對接CDP、UBA等多類數(shù)據(jù)應用產(chǎn)品,為企業(yè)提供一站式的數(shù)據(jù)安全能力,從而支撐全域數(shù)據(jù)滿足PIPL、數(shù)據(jù)安全法等安全合規(guī)要求。
本文將分享2個案例實踐,解讀DataBlack在數(shù)據(jù)應用的典型場景中如何為數(shù)據(jù)安全合規(guī)護航。
案例一:滿足全集團統(tǒng)一的數(shù)據(jù)安全管理要求
CDP中存儲了大量用戶信息,其中通常包含個人識別信息(PII,Personally Identifiable Information,即憑借這些信息能夠識別出特定的個人身份)的數(shù)據(jù)字段。在CDP的日常使用過程中,還涉及到PII信息的加工和使用。而PII數(shù)據(jù)恰恰是企業(yè)需要著重關(guān)注的重要敏感數(shù)據(jù)。
基于PIPL等法律法規(guī)的要求,PII數(shù)據(jù)應當?shù)玫椒诸惞芾恚扇∠鄳募用堋⑷俗R化等安全技術(shù)措施,并制定操作規(guī)程、確定企業(yè)員工的操作權(quán)限。
本案例的客戶是一家國際時尚集團,早在幾年前就組建了數(shù)據(jù)安全團隊。借鑒海外總部的管理經(jīng)驗,安全團隊為整個集團設(shè)計了詳盡的數(shù)據(jù)安全管理規(guī)范。當需要在數(shù)字化運營部門常用的CDP完成落地時,企業(yè)采用了DataBlack:
敏感數(shù)據(jù)發(fā)現(xiàn):通過DataBlack配置姓名、手機號、身份證等敏感數(shù)據(jù)識別規(guī)則,定期識別CDP內(nèi)的敏感數(shù)據(jù)。
數(shù)據(jù)分級分類:依據(jù)PIPL等安全法律法規(guī),DataBlack內(nèi)置了開箱即用的分類分級標準模板。安全團隊以模板為基準,高效完成了CDP中敏感數(shù)據(jù)的分類分級,并自動生成全景圖,以便了解敏感數(shù)據(jù)所在。
數(shù)據(jù)動態(tài)脫敏:在DataBlack中配置敏感數(shù)據(jù)的動態(tài)脫敏規(guī)則,當企業(yè)用戶在CDP中查詢或下載敏感數(shù)據(jù)時,會自動呈現(xiàn)脫敏后的結(jié)果,降低數(shù)據(jù)泄露風險。
圖:DataBlack的敏感數(shù)據(jù)識別和管理步驟
針對用戶相關(guān)數(shù)據(jù),集團數(shù)據(jù)安全團隊在DataBlack中配置了一套完整的分級分類及識別規(guī)則。因此,不僅是CDP,其他涉及到個人信息的數(shù)據(jù)應用也遵循集團一致的數(shù)據(jù)安全策略,得到統(tǒng)一管理。
案例二:滿足行業(yè)監(jiān)管合規(guī)要求
除了PIPL、數(shù)據(jù)安全法等國家級的法律法規(guī),金融、汽車等行業(yè)也針對各自業(yè)務特性,出臺了更具針對性和實操性的數(shù)據(jù)安全管理辦法。
本案例是一家大型車企集團。根據(jù)《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》等要求,企業(yè)必須定期報送數(shù)據(jù)安全管理情況。這其中,也包括企業(yè)外采的數(shù)據(jù)分析工具涉及的敏感個人信息和重要數(shù)據(jù)。
為明確汽車應用程序相關(guān)用戶數(shù)據(jù)的管理情況,集團的數(shù)據(jù)安全部門將DataBlack接入了UBA,依據(jù)數(shù)據(jù)分類分級標準配置了L1至L5的數(shù)據(jù)等級及敏感數(shù)據(jù)類別。按預設(shè)的敏感數(shù)據(jù)識別規(guī)則,集團定期對UBA內(nèi)的數(shù)據(jù)進行全量掃描、安全打標,產(chǎn)出掃描報告用于審計。
圖:DataBlack分析云版 - 風險明細下載功能
對于大多數(shù)業(yè)務與用戶密切相關(guān)的企業(yè)而言,數(shù)據(jù)安全合規(guī)工作中最首要的任務,往往就是確保敏感數(shù)據(jù)(尤其是用戶的個人信息數(shù)據(jù))能得到識別和相應合規(guī)處置,以及可安全審計。
奇點云數(shù)據(jù)安全引擎DataBlack,提供敏感數(shù)據(jù)自動化發(fā)現(xiàn)、數(shù)據(jù)脫敏和加密、權(quán)限管理、風險識別和監(jiān)控、數(shù)據(jù)審計等五大核心功能,協(xié)助客戶完成全域數(shù)據(jù)全生命周期安全管控,從而保障數(shù)據(jù)資產(chǎn)的保密性、完整性、可用性。
圖:DataBlack架構(gòu)
從集團管理層面,企業(yè)的數(shù)據(jù)安全部門可以借助DataBlack,對全域數(shù)據(jù)(包括大數(shù)據(jù)平臺及數(shù)據(jù)應用)采取一致的數(shù)據(jù)安全策略與流程應用,給用戶授予對應應用的安全角色、配置安全能力,建立全局的數(shù)據(jù)安全視角,為合規(guī)管控提效。
針對特定的數(shù)據(jù)應用,DataBlack也在不斷優(yōu)化。以分析云的增長分析產(chǎn)品(UBA)為例,DataBlack已具備對UEI模型的表級敏感數(shù)據(jù)發(fā)現(xiàn)能力,企業(yè)用戶可以對UBA內(nèi)Event、User、Item三張表中存在安全風險的敏感信息進行統(tǒng)一管理,也可以下載風險明細,更精細化地滿足審計要求。
