「CDP涉及到的敏感數據,這幾天盤點一下,要根據公司的數據安全規范做統一處理。」
「……怎么盤?」
自《個人信息保護法》(簡稱PIPL)正式生效已近2年,在國家法律法規及行業標準要求下,越來越多企業開始著手數據安全合規工作。圍繞個人信息保護,企業對隱私條款、同意追蹤、數據處理協議等采集端的管控也日益規范。
然而,具體到數據應用層,諸多落地問題仍然困擾著企業,例如:
「我們使用的CDP(客戶數據平臺)已經有權限管控功能了,也具備不少安全資質,但集團的數據安全部門仍然說沒達到合規監管的要求。」
「UBA(用戶行為分析工具)里肯定有大量用戶數據,道理我都懂,但到底哪些需要特殊處理,怎么產出報告用于審計?」
伴隨數字化轉型的深入,企業采購或自建的數據應用越來越多,而分別設立安全規則、分別定制開發安全合規功能并不現實。
為幫助企業切實落地各應用的安全合規,實現企業數據資產安全的統一管理,奇點云數據安全引擎DataBlack自R2.0起,正式支持對接CDP、UBA等多類數據應用產品,為企業提供一站式的數據安全能力,從而支撐全域數據滿足PIPL、數據安全法等安全合規要求。
本文將分享2個案例實踐,解讀DataBlack在數據應用的典型場景中如何為數據安全合規護航。
案例一:滿足全集團統一的數據安全管理要求
CDP中存儲了大量用戶信息,其中通常包含個人識別信息(PII,Personally Identifiable Information,即憑借這些信息能夠識別出特定的個人身份)的數據字段。在CDP的日常使用過程中,還涉及到PII信息的加工和使用。而PII數據恰恰是企業需要著重關注的重要敏感數據。
基于PIPL等法律法規的要求,PII數據應當得到分類管理,采取相應的加密、去標識化等安全技術措施,并制定操作規程、確定企業員工的操作權限。
本案例的客戶是一家國際時尚集團,早在幾年前就組建了數據安全團隊。借鑒海外總部的管理經驗,安全團隊為整個集團設計了詳盡的數據安全管理規范。當需要在數字化運營部門常用的CDP完成落地時,企業采用了DataBlack:
敏感數據發現:通過DataBlack配置姓名、手機號、身份證等敏感數據識別規則,定期識別CDP內的敏感數據。
數據分級分類:依據PIPL等安全法律法規,DataBlack內置了開箱即用的分類分級標準模板。安全團隊以模板為基準,高效完成了CDP中敏感數據的分類分級,并自動生成全景圖,以便了解敏感數據所在。
數據動態脫敏:在DataBlack中配置敏感數據的動態脫敏規則,當企業用戶在CDP中查詢或下載敏感數據時,會自動呈現脫敏后的結果,降低數據泄露風險。
圖:DataBlack的敏感數據識別和管理步驟
針對用戶相關數據,集團數據安全團隊在DataBlack中配置了一套完整的分級分類及識別規則。因此,不僅是CDP,其他涉及到個人信息的數據應用也遵循集團一致的數據安全策略,得到統一管理。
案例二:滿足行業監管合規要求
除了PIPL、數據安全法等國家級的法律法規,金融、汽車等行業也針對各自業務特性,出臺了更具針對性和實操性的數據安全管理辦法。
本案例是一家大型車企集團。根據《汽車數據安全管理若干規定(試行)》等要求,企業必須定期報送數據安全管理情況。這其中,也包括企業外采的數據分析工具涉及的敏感個人信息和重要數據。
為明確汽車應用程序相關用戶數據的管理情況,集團的數據安全部門將DataBlack接入了UBA,依據數據分類分級標準配置了L1至L5的數據等級及敏感數據類別。按預設的敏感數據識別規則,集團定期對UBA內的數據進行全量掃描、安全打標,產出掃描報告用于審計。
圖:DataBlack分析云版 - 風險明細下載功能
對于大多數業務與用戶密切相關的企業而言,數據安全合規工作中最首要的任務,往往就是確保敏感數據(尤其是用戶的個人信息數據)能得到識別和相應合規處置,以及可安全審計。
奇點云數據安全引擎DataBlack,提供敏感數據自動化發現、數據脫敏和加密、權限管理、風險識別和監控、數據審計等五大核心功能,協助客戶完成全域數據全生命周期安全管控,從而保障數據資產的保密性、完整性、可用性。
圖:DataBlack架構
從集團管理層面,企業的數據安全部門可以借助DataBlack,對全域數據(包括大數據平臺及數據應用)采取一致的數據安全策略與流程應用,給用戶授予對應應用的安全角色、配置安全能力,建立全局的數據安全視角,為合規管控提效。
針對特定的數據應用,DataBlack也在不斷優化。以分析云的增長分析產品(UBA)為例,DataBlack已具備對UEI模型的表級敏感數據發現能力,企業用戶可以對UBA內Event、User、Item三張表中存在安全風險的敏感信息進行統一管理,也可以下載風險明細,更精細化地滿足審計要求。
