GDPR对应用安全的好处

随着互联网的发展，保护用户免受隐私侵犯、欺诈或攻击者的其他类型的滥用的需求也在增加。欧盟的解决方案是《通用数据保护条例》，即GDPR。该政策于2018年首次生效，不仅适用于欧盟的组织，而且适用于任何使用或收集欧盟人民的数据的组织。

如果你的组织受制于GDPR，你就需要知道如何保持合规。本文将分解这一政策的细节，以便你了解它对你的应用的潜在影响。

关于GDPR需要了解的内容

GDPR于2018年5月25日正式生效，主要是鼓励企业妥善处理用户数据和隐私。那些不遵守规定的人可能会面临罚款，在某些情况下，像Facebook这样的大的罚款。

GDPR要求

GDPR合规性对你的组织提出了多种要求。以下是你必须在你的应用程序中包括的内容：

• 增强应用程序的安全性。例如，端到端加密，多因素认证等。
• 用户行使其数据隐私权利的设施。
• 根据用户的要求快速清除数据。
• 允许用户访问从他们那里收集的或关于他们的数据。
• 用户对获得哪些数据以及如何使用这些数据表示同意。
• 以不损害用户的方式处理用户数据。

GDPR的处罚

违反GDPR的处罚上限为较高的金额：2280万美元或全球收入的百分之四。在过去的三年里，这导致了对科技巨头、酒店、政府机构和其他行业的违规者征收了超过14亿美元的罚款。

GDPR如何影响应用安全

如果你负责管理你的应用程序的安全，GDPR可能会让你觉得是一种威胁。这涉及到很多工作，而错误可能会导致昂贵的罚款。不过，如果你使用得当，遵循GDPR可以帮助你的应用程序。以下是它能提供的一些好处。

更大的安全预算

在GDPR之前，许多组织将网络安全视为一种支出，而不是一种投资。这种态度反映在人员不足和关键网络安全功能的购买力下降。其结果是数字基础设施容易被利用。

由于GDPR要求企业加强数据安全，并以罚款来支持这些要求，企业的管理者宁愿将更多的预算用于网络安全，也不愿冒着因安全漏洞而损失利润的风险。

更多的安全集成

有助于自动化测试、自动化漏洞和攻击模拟、虚拟私人网络（VPN）和虚拟私人云（VPC）的产品和服务更有可能被添加到一个组织的安全战略中。这种补充可以加强数字基础设施的防御；VPC和VPN还提供了一个沙盒环境，供员工试验安全功能。

对安全事件的更快反应

以前，用户数据被盗并不总是能得到应有的及时处理。GDPR的执行要求企业迅速沟通安全漏洞，这有助于保护受影响的用户，并使其他利益相关者充分了解情况。这可以减少数据盗窃的后果。

如何遵守GDPR

GDPR核对表提供了你和你的组织需要采取的行动的快照，以实现合规。它们包括：

• 雇用一名数据保护官员。
• 投资于员工培训。
• 确保你转移数据的第三方组织也是合规的。
• 随时了解哪些国家被允许进行数据传输的最新情况。

GDPR在你的应用中

以下是您需要回答的问题，以保持您的应用程序符合GDPR。

数据收集

• 收集这些数据是否有充分的理由？
• 是否已将非必要数据的收集降到最低？
• 用户是否同意收集这些数据？

数据的准确性

• 你是否采取了合理的步骤来保持数据的准确性？
• 用户可以编辑和更新可能不准确的信息吗？

数据泄露

• 如果发生了数据泄露，你是否在泄露发生后七十二小时内通知主管人员？
• 在采用与用户数据互动的新技术之前，你是否进行了数据保护影响评估？

数据保护

• 你是否采取了足够的措施来防止用户数据的泄露？
• 你的网络安全政策和措施是否是最新的？
• 用户的个人身份信息（PII）是否被适当加密，以防止被恶性行为者滥用？

数据权利

• 用户是否有能力要求获得其数据的副本？
• 用户是否有能力反对对其数据的某些使用？
• 如果用户要求，你能立即删除他们的数据吗？这是否包括从你的备份中删除他们的数据？

数据传输

• 数据传输过程是否以不损害数据的方式处理？
• 接收方是否有足够的安全装置来保护数据？
• 接收者是否遵守人权宪章？
• 接收者是否被允许从受GDPR法律约束的实体获得数据？

常见的GDPR特征

以下是您可以在您的应用程序中实施的功能的例子，以确保GDPR合规性。

前端cookie同意

用户必须能够选择是否接受cookies。GDPR强调，用户应该能够轻松地拒绝cookies。一些组织让人很难做到这一点，但这种暗箱操作会导致重罚。

一个经验法则是将拒绝按钮显示在接受按钮的旁边（而且字体大小相同），而不是提供一个 "设置 "或 "管理cookies "的链接，这使得用户更难拒绝cookies，并巧妙地欺负他们接受你平台上的cookies。网上有大量的资源可以帮助你实施GDPR友好的前端cookies。比较你的选择，以便你能采用最适合你的组织的选择。

数据映射

数据映射，或连接来自多个数据集的信息，需要自上而下地分析一个组织的所有数据库以及它们持有的信息。这可能是一项巨大的任务，但它能确保透明度和问责制。在接下来的步骤中，需要进行数据映射。

数据映射可以是手动的，半自动的，或自动的。你应该根据你公司的规模、你的预算、你的数据管理团队的质量以及你工作的数据量，来决定哪种方法最适合你。决定如何实施数据映射，需要对你的数据库有一定的了解，也需要知道哪些重复的列可以被优化以减少冗余。

数据清除功能

以前，即使在用户要求删除他们的数据后，组织可以将其从公共访问中删除，并将其保存在某个隐蔽的地方；然而，GDPR规定，"正式 "删除的数据必须在任何地方删除。组织必须确保他们监控数据，以便根据需要从所有资源中正确地删除它。

实施数据清除功能很可能需要对你的数据库模式进行一些修改，这样你就可以根据用户的要求，确定要标记为删除的数据，以及由于陈旧性而要清除的数据。在你的数据表中使用last_updated_date 和is_deleted 列，对于识别这两种类型的数据都很有用。

重构数据库模式

数据清除功能可能涉及到重构数据库（DB）模式，以添加列，指出资源何时被创建或是否被删除。例如，这些列可以用来根据数据的持有时间是否超过需要而自动进行数据清除。

可能还需要进一步的数据库模式分析，以确保收集的数据不会超过绝对必要的数量。

合规是值得努力的

GDPR规则可能很长、很深奥，但对你的组织来说，了解如何保持对政策的遵守是很重要的。你不仅可以避免违规的罚款，而且用户会更愿意信任你的应用程序。确保更好的数据隐私有助于所有利益相关者。

如果有必要，请记住你可以寻求GDPR官员的帮助以确保合规。在前期做这些工作可以使你的组织免于日后更昂贵的后果。