數據匿名化最佳做法可保護敏感數據
發(fā)布時(shí)間:2021-07-07 12:36
來(lái)源:TechTarget中國
閱讀:0
作者:TechTarget中國
欄目: 數據庫
歡迎投稿:712375056
對于很多企業(yè)而言��,保護個(gè)人身份信息越來(lái)越具有挑戰性�����,隨著(zhù)全球數據量的增加��,用于管理和保護數據的規則���、法律和政策的數量也在增加����。即使是最精明的數據隱私和法律專(zhuān)業(yè)人士��,這種不斷增長(cháng)的法規政策也會(huì )使他們感到困惑��。
企業(yè)確保個(gè)人身份信息(PII)的安全性和隱私性的主要方法之一是遵循數據匿名化最佳做法���。
什么是PII����?
從高層次上講���,PII是可以單獨使用或與其他信息組合以識別個(gè)人的數據��。政府和行業(yè)PII法規的目標是定義和執行政策����,以保持該信息的隱私性���。
歐盟委員會(huì )的GDPR條例和《加州消費者隱私法案》(CCPA)是兩個(gè)廣為人知的政府監管條例���,它們?yōu)镻II制定了一套隱私政策��。這兩個(gè)政府機構的罰款都可能很高��。從發(fā)布之初到2020年1月����,GDPR收集超過(guò)1.26億美元的罰款��,每項記錄的CCPA罰款從2500美元到7500美元不等����。
識別PII的挑戰在于���,數十個(gè)數據元素都是潛在的個(gè)人標識符�����。此外���,政府網(wǎng)站(例如GDPR的信息門(mén)戶(hù))提供PII數據描述和示例���,所使用的語(yǔ)言故意含糊不清�,以免將數據元素限制為預定義的集合��。因為每個(gè)監管條例可能對PII都有不同的解釋?zhuān)宰詈冕槍μ囟ǖ碾[私控制咨詢(xún)專(zhuān)家�����。
數據匿名化
從PII的角度來(lái)看���,數據匿名化是模糊化信息的過(guò)程���,使這些信息無(wú)法用于識別個(gè)人��。匿名化可減少意外泄露PII數據的風(fēng)險��,并且�,如果確實(shí)發(fā)生數據泄露�,則被竊取的信息將對攻擊者毫無(wú)用處���。
從合規性來(lái)看�����,匿名數據被認為是非個(gè)人數據��,因為它無(wú)法識別個(gè)人�����。
匿名化的最終目標是消除PII暴露個(gè)人的機會(huì )�����,同時(shí)保留信息對企業(yè)的價(jià)值���。匿名化數據與破壞數據使其無(wú)法提供有意義的業(yè)務(wù)洞察力之間只存在細微的界限�。
數據匿名化是PII隱私的關(guān)鍵
為適當地保護PII數據�,企業(yè)必須制定戰略計劃�����,定義角色����、規則�����、流程和最佳做法�����,以確保其PII數據的安全性�����、質(zhì)量以及正確使用��。該計劃的目標是提供控件的藍圖����,以確保在企業(yè)級有效管理PII數據��。
該計劃需要包括標準IT社區數據匿名化最佳做法����,以及企業(yè)��、特定于行業(yè)和政府的法規條例規范和控制��。該計劃應該是一項業(yè)務(wù)和IT聯(lián)合計劃�����,兩個(gè)部門(mén)都應發(fā)揮同等重要的作用�。
其中的一項輸出應是文檔記錄技術(shù)無(wú)關(guān)的控件�,這些控件在企業(yè)中普遍應用���。這些控件必須包括一組可靠的數據匿名化策略和程序���。
保護任何敏感信息的關(guān)鍵組成部分是制定企業(yè)范圍的意識計劃��。IT部門(mén)無(wú)法獨自保護PII��。與PII進(jìn)行交互的所有業(yè)務(wù)和運營(yíng)組必須積極參與���,管理層的支持至關(guān)重要���。
你無(wú)法匿名處理你不知道的數據
在制定政策和程序���、購買(mǎi)產(chǎn)品或實(shí)施手動(dòng)數據匿名化過(guò)程之前�,請確定企業(yè)中所有潛在的PII數據元素���。你的環(huán)境越大���,你的企業(yè)就越容易存儲未標識的PII數據����。
這不是一件容易的事����。大多數包含PII的數據都不是處于空閑狀態(tài)�。在創(chuàng )建數據元素后�����,它會(huì )迅速傳播到整個(gè)企業(yè)中的報表�、儀表板和其他數據存儲�����。
確保一個(gè)人在整個(gè)企業(yè)中的持續匿名性具有內在的可變性���。換句話(huà)說(shuō):事情會(huì )發(fā)生變化���。數據審計以及來(lái)自與PII交互的IT和業(yè)務(wù)人員的持續反饋將有助于發(fā)現潛在問(wèn)題����。
數據匿名化產(chǎn)品
現在有大量可用的軟件解決方案����,從專(zhuān)門(mén)關(guān)注數據匿名化最佳做法的產(chǎn)品到提供廣泛數據安全功能的企業(yè)范圍產(chǎn)品�。企業(yè)規模越大���,這些工具就越重要��。根據企業(yè)存儲的數據量��,你可能需要購買(mǎi)一兩個(gè)產(chǎn)品才能正確識別和保護敏感的PII數據資產(chǎn)��。
現在有各種可用的數據匿名化產(chǎn)品�。此外�,現有的數據存儲平臺也可提供匿名化功能����。例如�����,很多領(lǐng)先的數據庫提供匿名化組件(例如加密)作為其基礎軟件堆棧的一部分��。還有些產(chǎn)品專(zhuān)門(mén)用于匿名化各種數據存儲中的數據��,包含云端和本地數據庫以及平面文件等���。
為了正確選擇和部署最合適的PII識別和數據匿名化軟件�����,技術(shù)專(zhuān)業(yè)人員必須創(chuàng )建和執行經(jīng)過(guò)深思熟慮的詳細競爭產(chǎn)品分析�。
以下是一般建議�,可幫助你快速開(kāi)始分析:
- 在評估PII數據標識和匿名產(chǎn)品時(shí)�,企業(yè)應遵循標準化的產(chǎn)品評估方法��,以幫助做出選擇�。評估最佳做法包括:選擇合適的評估團隊�、執行全面的需求分析以及創(chuàng )建一組強大的加權評估指標����。使用評估指標來(lái)創(chuàng )建供應商候選清單����,并對其余供應商進(jìn)行深入比較����。
- 了解你的業(yè)務(wù)需求�����。你想達到什么目的����?你是否正在尋找專(zhuān)門(mén)針對數據匿名化�、PII數據識別的產(chǎn)品�����,還是提供更廣泛特性和功能的平臺���?
- 使用同行評估網(wǎng)站(例如Gartner Peer Insights)對不同產(chǎn)品進(jìn)行社區評審���。
- 訪(fǎng)問(wèn)供應商網(wǎng)站和IT社區討論論壇���。供應商經(jīng)常會(huì )購買(mǎi)Gartner的《供應商魔力象限》���,并向公眾開(kāi)放��,這可能有助于縮小供應商的候選清單
- 根據你當前和預期的未來(lái)需求��,確定供應商是支持云端�����、內部還是兩者�。
