商业领域的转型创造了一个不断扩大的数字宇宙和爆炸式的数据增长, 要求组织充当数据的储存库和墓地. 随着现有的数据量每两年翻一番,1 管理数据的难度加大了, 往往导致数据无休止地停留在原地,数据处理任务变得模糊和令人生畏. 尽管数据在推动商业和消费者价值方面发挥着重要作用, 对收集和处理的数据具有可见性甚至更为重要, 了解他们的商业目的, 了解哪些数据应该保留,哪些数据应该保留. 处理.
可防御的数据处理是数据最小化过程中的重要一步. 它使组织能够使用基于风险的方法系统地处理已达到与业务一致的基线数据保留需求所规定的保留阈值的数据, 合规性和法律义务, 比如巴西的Dados保护总局(LGPD), 欧盟通用数据保护条例(GDPR), 法国国家信息与自由委员会(CNIL), 德国联邦数据中心(BDSG), 以及美国加州消费者隐私法(CCPA).
Multiple factors drive the need for defensible data disposition; however, 建立一个实际的数据处理例程经常受到缺陷的挑战,如 图1.
图1数据处置挑战
|
Data-hoarding心态 |
组织可能出于竞争原因寻求无限期保留数据,而没有充分考虑数据的正确使用及其影响. |
|
对处理数据的误解 |
数据的及时跟踪和处理取决于处理过的结构化和非结构化数据元素的可见性, 相关系统和数据流交叉点的体系结构, 哪些是经常不完整的. |
|
有限的治理和业务集成 |
在业务涉众之间驱动和执行数据处理工作的有限治理和协调可能是由who的模糊性造成的, 什么, 数据处理工作的原因和方式. |
|
数据保留和处理阈值不透明 |
国家和国际隐私法律法规在数据保留期望方面存在分歧(对于选定的数据类型,有些法律法规的保留时间表比其他法律法规的保留时间表更长, 如客户投诉). 灌输一个通用的数据处理标准通常是一个挑战. |
|
技术限制 |
由于增量修复而过度紧张的遗留平台,以及具有复合或高可用性/零停机数据架构的系统,会在执行数据处理方面造成困难和分歧. |
开始数据处理旅程的实用方法
图2 说明数据处理的方法. 该方法适用于下列情况:
- 打算对正在运行的追溯系统和数据进行数据处理的组织
- 当达到数据处理阈值时,打算主动建立系统处理数据的例程的组织
- 响应按需用户请求或在没有合法业务需要时行使用户权利处置数据的组织
图2 -数据处理方法
有几个步骤可以为执行可防御的数据处理程序设置最低基线. 除了, 应从国家和国际隐私法律和条例的变化和更新的角度不断审查对隐私授权的遵守情况.
步骤1:基础数据处理能力
治理和操作模型是组织驱动可重复数据处理例程的有意义和及时协调的基础. 以下步骤总结了建立基础数据处理能力的考虑因素:
- 建立治理和操作模型以及执行数据处置的操作程序.
- 描述与组织相关的数据类别和数据元素,并根据组织适用的绑定规则确定数据保留和处理需求, 商业义务和国家/国际法律法规.
注意事项
业务流程处理的数据类别和数据元素, 系统和应用各不相同, 数据删除要求应考虑到所处理的数据以及与之相关的数据主体, 比如员工, 客户和供应商.
步骤2:基于风险的优先排序
如果不是不可能的话,一次性操作数据处理将是具有挑战性的. 基于风险的数据删除方法有助于识别关键业务流程并确定其优先级,并将数据处理工作组织到具有增量价值的模块中. 以下步骤总结了建立基于风险的优先级的考虑因素:
- 定义数据处理的业务流程和系统的边界,并根据处理的数据的类别和类型等因素对它们进行优先级排序, 用户基础(如面向客户或面向内部), 处理的数据量, 并支持相关地区和司法管辖区.
- 利用优先级列表对业务流程进行分组, 基于它们对组织的复合风险的系统和应用.
注意事项
Data are shared between systems; therefore, 理解数据沿袭对于从整体上辨别基于风险的优先级非常重要. 孤立地审查系统或应用程序可能会降低风险, 但是,当考虑到上游和下游接口时,可能会呈现出更高的风险状态.
Data are shared between systems; therefore, 理解数据沿袭对于从整体上辨别基于风险的优先级非常重要.
步骤3:分析系统、数据和遵从性属性
典型的数字业务环境的特点是与许多系统的关系的复杂网络, 跨越多个业务流程的设备和数据交互. 对业务流程上下游相互关系的准确和可信的洞察, 系统和数据是合理规划和管理数据配置的关键. 以下步骤总结了评估定义数据处理范围和边界条件的属性时需要考虑的事项:
- 系统架构及其内部的互连通常是微妙的, 在每个交叉点,数据可能以各种形式从一个系统共享到另一个系统. 分析系统属性,包括数据源和目标、系统类型(i.e.(澳门赌场官方下载数据仓库、大数据、快到日落、遗留系统)、系统运营(i.e.,实时,时间触发,在线)和系统所有权(i.e.、托管、云、供应商管理).
- 分析数据属性,包括如何收集、处理和存储数据. 理解数据模型也很重要, 例如,它是否具有关系或非关系数据结构, 并根据数据的分类进行分析, 资料当事人(i).e., 员工, 供应商, 客户或用户组合)和存储在系统中的记录的最早日期(包括生产), 非生产和离线备份).
- 法律和遵从性考虑的水平设置了基线保留目标/期望,并在发生诉讼或法律保留时重置数据处理基线. 分析目标保留率计划, 受诉讼约束的数据类别和数据处理限定符, 哪个设置了何时应该清除数据的条件.e.,交易完成,记录创建日期,用户关系结束日期).
注意事项
有些系统支持多个数据类别和多个国家,可能需要遵守不同的保留要求. 确定目标保留期或清除限定条件应基于合理的基于风险的方法.
了解数据谱系对于辨别记录系统(数据来源或数据的主要摄取点)和参考系统(从记录系统获取数据的下游系统)非常重要。. 仅在参考级系统(下游系统)上处理的数据不会呈现任何值,因为记录系统仍将保存数据并在下一个刷新周期中更新下游系统.
步骤4:处理数据
可辩护的数据处理可以通过各种方法完成,大致分为以下几种:
- 数据删除-清除数据和相关引用属性的方法,这些数据和引用属性将被完全擦除,将来不可用
- 数据pseudonymization-用随机生成的数字或令牌代替可识别数据的方法. 此方法提供了使用附加信息(如密钥)重新标识数据的能力。. 在存储或使用个人数据时,应该考虑使用这种方法,因为这些数据以后可能需要完全访问以实现所需的业务用例的功能.
- 数据匿名化-假名化和匿名化的方法通常相似-主要区别在于假名化是为了保留在数据集中重新识别个人的能力而进行的. Anonymization is irreversible; the original values are 处理 of properly. 这应该用于个人值,因为业务不需要以完全可识别的格式保留数据.
- 数据屏蔽-字符屏蔽是改变数据值的字符. 屏蔽通常是部分的,并且只应用于属性中的某些字符. 当数据值是一串字符并且隐藏它的一部分足以提供所需的匿名程度时,将使用此方法.
- 数据标记-用唯一的识别符号或算法生成的数字取代敏感数据的方法,这些数字保留了有关数据的所有重要信息,而不会损害其安全性
注意事项
业务需要和法律依据应该定义对业务最优的数据处理类型.
结论
传统做法往往不考虑最终用户的数据隐私利益, 例如数据最小化和及时的数据处理. 新一代消费者的行为和期望要求商业运营对隐私友好. 法律、监管和消费者的需求聚集在一起,成为可辩护的数据处理的强大力量和令人信服的驱动因素. 组织的运作方式必须考虑到尽可能高的消费者信任,并重新考虑管理数据处置的方式.
尾注
1 EMC2国际数据公司(IDC), 机会的数字宇宙:丰富的数据和物联网的不断增长的价值2014年4月
Sudhakar Sathiyamurthy, CISA, CRISC, CGEIT, CIPP, ITIL(专家)
是否有经验丰富的领导者,在帮助组织和风险领导者计划和执行其安全和隐私目标和策略方面具有广泛的全球经验. Sathiyamurthy建议客户建立和扩展以用户为中心的安全和隐私风险解决方案,并帮助客户设计和工程技术,帮助实现风险智能状态. 可以通过以下方式联系Sathiyamurthy sudsathiyam@gmail.com.