根据《个人信息保护法》的合规要求,企业需要采用技术手段落实服务端的个人信息保护措施,在数据处理和使用环节加强个人敏感数据的保护和审计,以满足相关部门的合规监管要求,否则将面临来自监管部门的警告、罚款、甚至停业整顿等惩罚措施,给企业的财务和声誉造成恶劣的影响。
痛点需求
敏感个人信息盘点工作量巨大:
企业业务数据规模大,种类多,并且往往需要法律合规人员、数据安全人员、数据库运维人员、业务开发人员组成跨部门团队协同工作,才能准确梳理出其中的敏感个人信息,手工作业量巨大。即使借助一些数据库主动扫描工具,也面临获取数据库账户和口令的层层授权审批、无法及时跟进业务应用的升级迭代、难以保证敏感个人信息资产的“新鲜“度等问题,给个人信息保护的持续合规造成障碍。
敏感个人信息访问控制难实施:
敏感个人信息的存储和使用方式多种多样,利用数据库系统自身的授权机制实施数据权限的访问控制策略,给数据库运维人员增加了额外的工作量,并且这些策略很难持续维护。数据安全管理人员缺乏便捷的技术工具,落地实施针对敏感个人信息的访问控制。
敏感个人信息展示脱敏代价高:
传统的数据库审计产品往往只能记录针对数据库自身的访问请求,缺少应用用户、应用、应用API等上下文信息,无法构建“全链路”敏感数据访问链路,数据泄露事件追踪溯源难以定位,或者需要投入大量人力手工排查,效率低下。
解决方案
“一体化数据安全平台uDSP“产品为企业提供了“一站式”服务端敏感个人信息保护与合规方案。
事前:能够方便地实现敏感个人信息自动化发现、自动化标注,建立敏感个人信息分类分级以及敏感数据目录,并能够根据业务应用和数据库 Schema 的变化实时更新敏感数据目录,为敏感个人信息保护措施奠定基础。
事中:合规与数据安全人员可以方便地配置和实施敏感个人信息访问控制策略,实现最小化授权原则,并能够在充分考虑人员角色和岗位职责的基础上,灵活配置和实施敏感个人信息动态脱敏策略,无需对业务应用进行改造,即可满足合规要求。
事后:提供详尽的敏感个人信息访问日志,以及全链路敏感个人信息用户访问轨迹,强化数据安全审计能力,提升发生数据违规事件时的追踪溯源和定位能力,有效追责问责。
方案价值
免应用改造实现敏感个人信息保护持续合规,极大节省合规成本;为跨部门人员提供了一体化协同的工作平台,有效提升工作效率。
标签:数据库,个人信息,敏感,数据安全,敏感数据,合规 From: https://blog.51cto.com/OriPoint/6193433