「CDP涉及到的敏感數(shù)據(jù),這幾天盤點(diǎn)一下,要根據(jù)公司的數(shù)據(jù)安全規(guī)范做統(tǒng)一處理。」
「……怎么盤?」
自《個(gè)人信息保護(hù)法》(簡(jiǎn)稱PIPL)正式生效已近2年,在國(guó)家法律法規(guī)及行業(yè)標(biāo)準(zhǔn)要求下,越來越多企業(yè)開始著手?jǐn)?shù)據(jù)安全合規(guī)工作。圍繞個(gè)人信息保護(hù),企業(yè)對(duì)隱私條款、同意追蹤、數(shù)據(jù)處理協(xié)議等采集端的管控也日益規(guī)范。
然而,具體到數(shù)據(jù)應(yīng)用層,諸多落地問題仍然困擾著企業(yè),例如:
「我們使用的CDP(客戶數(shù)據(jù)平臺(tái))已經(jīng)有權(quán)限管控功能了,也具備不少安全資質(zhì),但集團(tuán)的數(shù)據(jù)安全部門仍然說沒達(dá)到合規(guī)監(jiān)管的要求。」
「UBA(用戶行為分析工具)里肯定有大量用戶數(shù)據(jù),道理我都懂,但到底哪些需要特殊處理,怎么產(chǎn)出報(bào)告用于審計(jì)?」
伴隨數(shù)字化轉(zhuǎn)型的深入,企業(yè)采購(gòu)或自建的數(shù)據(jù)應(yīng)用越來越多,而分別設(shè)立安全規(guī)則、分別定制開發(fā)安全合規(guī)功能并不現(xiàn)實(shí)。
為幫助企業(yè)切實(shí)落地各應(yīng)用的安全合規(guī),實(shí)現(xiàn)企業(yè)數(shù)據(jù)資產(chǎn)安全的統(tǒng)一管理,奇點(diǎn)云數(shù)據(jù)安全引擎DataBlack自R2.0起,正式支持對(duì)接CDP、UBA等多類數(shù)據(jù)應(yīng)用產(chǎn)品,為企業(yè)提供一站式的數(shù)據(jù)安全能力,從而支撐全域數(shù)據(jù)滿足PIPL、數(shù)據(jù)安全法等安全合規(guī)要求。
本文將分享2個(gè)案例實(shí)踐,解讀DataBlack在數(shù)據(jù)應(yīng)用的典型場(chǎng)景中如何為數(shù)據(jù)安全合規(guī)護(hù)航。
案例一:滿足全集團(tuán)統(tǒng)一的數(shù)據(jù)安全管理要求
CDP中存儲(chǔ)了大量用戶信息,其中通常包含個(gè)人識(shí)別信息(PII,Personally Identifiable Information,即憑借這些信息能夠識(shí)別出特定的個(gè)人身份)的數(shù)據(jù)字段。在CDP的日常使用過程中,還涉及到PII信息的加工和使用。而PII數(shù)據(jù)恰恰是企業(yè)需要著重關(guān)注的重要敏感數(shù)據(jù)。
基于PIPL等法律法規(guī)的要求,PII數(shù)據(jù)應(yīng)當(dāng)?shù)玫椒诸惞芾恚扇∠鄳?yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施,并制定操作規(guī)程、確定企業(yè)員工的操作權(quán)限。
本案例的客戶是一家國(guó)際時(shí)尚集團(tuán),早在幾年前就組建了數(shù)據(jù)安全團(tuán)隊(duì)。借鑒海外總部的管理經(jīng)驗(yàn),安全團(tuán)隊(duì)為整個(gè)集團(tuán)設(shè)計(jì)了詳盡的數(shù)據(jù)安全管理規(guī)范。當(dāng)需要在數(shù)字化運(yùn)營(yíng)部門常用的CDP完成落地時(shí),企業(yè)采用了DataBlack:
敏感數(shù)據(jù)發(fā)現(xiàn):通過DataBlack配置姓名、手機(jī)號(hào)、身份證等敏感數(shù)據(jù)識(shí)別規(guī)則,定期識(shí)別CDP內(nèi)的敏感數(shù)據(jù)。
數(shù)據(jù)分級(jí)分類:依據(jù)PIPL等安全法律法規(guī),DataBlack內(nèi)置了開箱即用的分類分級(jí)標(biāo)準(zhǔn)模板。安全團(tuán)隊(duì)以模板為基準(zhǔn),高效完成了CDP中敏感數(shù)據(jù)的分類分級(jí),并自動(dòng)生成全景圖,以便了解敏感數(shù)據(jù)所在。
數(shù)據(jù)動(dòng)態(tài)脫敏:在DataBlack中配置敏感數(shù)據(jù)的動(dòng)態(tài)脫敏規(guī)則,當(dāng)企業(yè)用戶在CDP中查詢或下載敏感數(shù)據(jù)時(shí),會(huì)自動(dòng)呈現(xiàn)脫敏后的結(jié)果,降低數(shù)據(jù)泄露風(fēng)險(xiǎn)。
圖:DataBlack的敏感數(shù)據(jù)識(shí)別和管理步驟
針對(duì)用戶相關(guān)數(shù)據(jù),集團(tuán)數(shù)據(jù)安全團(tuán)隊(duì)在DataBlack中配置了一套完整的分級(jí)分類及識(shí)別規(guī)則。因此,不僅是CDP,其他涉及到個(gè)人信息的數(shù)據(jù)應(yīng)用也遵循集團(tuán)一致的數(shù)據(jù)安全策略,得到統(tǒng)一管理。
案例二:滿足行業(yè)監(jiān)管合規(guī)要求
除了PIPL、數(shù)據(jù)安全法等國(guó)家級(jí)的法律法規(guī),金融、汽車等行業(yè)也針對(duì)各自業(yè)務(wù)特性,出臺(tái)了更具針對(duì)性和實(shí)操性的數(shù)據(jù)安全管理辦法。
本案例是一家大型車企集團(tuán)。根據(jù)《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》等要求,企業(yè)必須定期報(bào)送數(shù)據(jù)安全管理情況。這其中,也包括企業(yè)外采的數(shù)據(jù)分析工具涉及的敏感個(gè)人信息和重要數(shù)據(jù)。
為明確汽車應(yīng)用程序相關(guān)用戶數(shù)據(jù)的管理情況,集團(tuán)的數(shù)據(jù)安全部門將DataBlack接入了UBA,依據(jù)數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)配置了L1至L5的數(shù)據(jù)等級(jí)及敏感數(shù)據(jù)類別。按預(yù)設(shè)的敏感數(shù)據(jù)識(shí)別規(guī)則,集團(tuán)定期對(duì)UBA內(nèi)的數(shù)據(jù)進(jìn)行全量掃描、安全打標(biāo),產(chǎn)出掃描報(bào)告用于審計(jì)。
圖:DataBlack分析云版 - 風(fēng)險(xiǎn)明細(xì)下載功能
對(duì)于大多數(shù)業(yè)務(wù)與用戶密切相關(guān)的企業(yè)而言,數(shù)據(jù)安全合規(guī)工作中最首要的任務(wù),往往就是確保敏感數(shù)據(jù)(尤其是用戶的個(gè)人信息數(shù)據(jù))能得到識(shí)別和相應(yīng)合規(guī)處置,以及可安全審計(jì)。
奇點(diǎn)云數(shù)據(jù)安全引擎DataBlack,提供敏感數(shù)據(jù)自動(dòng)化發(fā)現(xiàn)、數(shù)據(jù)脫敏和加密、權(quán)限管理、風(fēng)險(xiǎn)識(shí)別和監(jiān)控、數(shù)據(jù)審計(jì)等五大核心功能,協(xié)助客戶完成全域數(shù)據(jù)全生命周期安全管控,從而保障數(shù)據(jù)資產(chǎn)的保密性、完整性、可用性。
圖:DataBlack架構(gòu)
從集團(tuán)管理層面,企業(yè)的數(shù)據(jù)安全部門可以借助DataBlack,對(duì)全域數(shù)據(jù)(包括大數(shù)據(jù)平臺(tái)及數(shù)據(jù)應(yīng)用)采取一致的數(shù)據(jù)安全策略與流程應(yīng)用,給用戶授予對(duì)應(yīng)應(yīng)用的安全角色、配置安全能力,建立全局的數(shù)據(jù)安全視角,為合規(guī)管控提效。
針對(duì)特定的數(shù)據(jù)應(yīng)用,DataBlack也在不斷優(yōu)化。以分析云的增長(zhǎng)分析產(chǎn)品(UBA)為例,DataBlack已具備對(duì)UEI模型的表級(jí)敏感數(shù)據(jù)發(fā)現(xiàn)能力,企業(yè)用戶可以對(duì)UBA內(nèi)Event、User、Item三張表中存在安全風(fēng)險(xiǎn)的敏感信息進(jìn)行統(tǒng)一管理,也可以下載風(fēng)險(xiǎn)明細(xì),更精細(xì)化地滿足審計(jì)要求。