在部署任何持有客户或用户数据的应用程序时,数据合规性和数据隐私都是需要考虑的重要领域。然而,数据管理的这两个领域有时被误解了。这篇博文将阐明数据合规性和数据隐私之间的一些区别。
什么是数据合规性?
数据合规性是指在收集、处理和存储数据方面满足某些法律义务的要求。
例如,在欧洲有客户的公司,必须遵守《通用数据保护条例》(GDPR)。这是一个法律框架,让消费者有权查看公司持有他们的哪些数据,反对公司处理这些数据,并要求公司删除这些数据。同样,在加州有客户的公司必须遵守加州消费者隐私法(CCPA)。
除了GDPR/CCPA,其他合规框架的例子包括《健康保险可携性和责任法案》(HIPAA)、SOC 2审计框架和ISO/IEC 27001标准。 这可能包括公司为确保数据合规而制定的一套政策、程序和审计。
什么是数据隐私?
数据隐私与保持敏感数据的隐私和机密有关。数据合规性是数据管理的法律方面,保持数据的私密性是一个实际/技术问题。 隐私计划的目标是倡导数据的私密性,并确保只有授权用户可以在需要知道的基础上查看数据。它包括超出典型合规计划的内容。
数据隐私通常适用于任何个人可识别信息(PII),这是任何可用于识别某人的数据。社会安全号码、电子邮件地址、IP地址等都可以被视为PII。争取数据隐私的公司需要制定措施来保护这些数据的机密性,即使不是为了合规而需要,从而倡导数据相关的个人隐私。数据隐私确保机制到位,以确保只有经授权的人才能访问数据。
储存敏感数据
围绕数据合规性和数据隐私的一个误解是,公司不能用任何第三方工具存储其数据,因此必须诉诸 "内部 "解决方案。事实并非如此。 第三方工具可能有强大的访问控制和安全性,并根据第三方框架(如SOC 2和ISO/IEC 27001)进行了严格的审计。 而 "内部 "数据存储可能允许许多员工通过一个共同的根密码访问,没有任何强大的审计记录,可能远远不符合规定。
相反,工程师必须评估工具(无论是内部还是外部),以确保正确的机制到位,以满足安全和数据合规标准。 如果一个公司不对内部工具采用与外部工具同样严格的安全标准,那么数据泄露的概率就会上升。
合规性不仅仅是一个工程方面的问题
GDPR、SOC 2和其他框架是法律和操作框架。虽然它们对工程有很大影响,但这些框架影响到公司的整个运营,包括法律、销售和支持。如果一家公司需要与另一家企业合作,是法律文件为他们铺平道路。在AWS建立一个 "安全 "环境并不意味着你符合SOC 2的要求。在 "内部 "数据库中存储你的数据并不意味着你符合GDPR,因为像支持和销售团队需要有操作程序。
为了遵守GDPR,两家公司可能会签署一份通常称为 "数据处理附录 "的法律文件,该文件定义了不同当事方之间如何处理和保护数据。它将定义谁是数据控制者,谁是数据处理者,数据如何处理,服务水平协议和违约期间的程序,等等。该协议应涵盖所有可能被列为PII的数据,并确保其遵循相关合规立法的要求。
以GDPR为例,这意味着需要有一个程序来满足个人访问、反对和要求删除其数据的要求(无论其存储在何处)。
保持数据的私密性
仅仅因为你遵守GDPR或SOC 2,并不一定意味着数据是私有的,无论数据是存储在第三方工具还是你的内部解决方案中。 数据隐私是 "超越 "合规框架的艺术,以尽你所能确保客户数据的隐私。
有几种不同的方法来确保数据隐私。例如,Moesif平台有一个称为隐私规则的功能,使你能够使用基于角色的访问控制(RBAC)在需要知道的基础上限制对某些领域的访问。例如,你可以创建一个隐私规则,确保技术支持人员不能查看或检查敏感的HTTP头或PHI(受保护健康信息)。而一个分析员可能需要额外的访问字段,以达到报告目的。这超出了通常的合规性要求,以真正确保数据保持尽可能的隐私。
你可以保持数据隐私的第二种方式是通过客户端加密,这是一个最近的趋势,以减少数据泄露的风险和改善数据隐私状况。客户端加密使你能够使用一组轮流的加密密钥对数据进行加密,而你的员工中很少有人能够接触到这些密钥。维护底层数据基础设施和处理管道的工程师,但没有业务需要看到实际数据,只要他们不能访问加密密钥,就不能看到。
这也是Moesif平台的一项功能,确保只有贵公司的一小部分授权团队成员可以检查敏感数据。Moesif员工将无法检查数据,因为他们无法访问客户管理的加密密钥。
放心吧
数据合规性和数据隐私是重要而严肃的话题,影响到企业中接触敏感数据或客户数据的任何人。法律、运营和工程部门应共同努力,确保合规性。此外,公司应在合规性框架所要求的范围之外,进一步争取数据隐私。这可以是为了数据道德,也可以是为了在发生数据泄露的情况下减少风险。了解这两者之间的区别是减少对整个主题的压力的第一步--希望这篇文章能帮助你做到这一点!
如果你想了解更多信息,为什么不读一读Moeif如何简化GDPR合规性并确保数据保持隐私?您还可以与我们的团队聊天,他们将很乐意回答您所有的数据合规性与数据隐私问题。
