跳转到主要内容
Splashtop
免费试用
安全远程工作

管理远程办公人员的 GDPR 和 CCPA 合规性

作者:Splashtop Team

订阅

通讯RSS 订阅源

分享

遵守数据隐私法规,如欧盟的《通用数据保护条例》(GDPR)和《加州消费者隐私法》(CCPA),需要对远程工作队伍采取不同的安全立场。 请继续阅读Splashtop ,了解在拥有远程劳动力的情况下实现合规性的五个经过验证的最佳做法。

远程工作并没有消失。 根据Gartner最近的估计 ,在2022年初,51%的知识工作者将以远程方式进行工作 ,而现在,随着最近全球范围内的omicron变体的激增,这个数字实际更高。

在远程办公情况下,确保合规性更加困难。《安全性》杂志的一篇文章讨论了“Apricorn 2021年全球 IT 安全性调查”的结果,该调查以北美和欧洲的400余名 IT 安全从业者为研究对象,调查内容是关于过去12个月远程办公的安全实践和政策。以下几个结果很好地总结了其中的风险:

  • 60%的受访者表示,COVID引起的远程工作条件在其组织内造成了数据安全问题

  • 38%的人表示,数据控制一直是非常难以管理的。

  • 尽管有数据控制方面的担忧,近20%的人承认他们的工作设备被家庭其他成员使用过。

遵守远程工作人员的数据隐私法规尚未引起 IT 团队的重视。2021 Healthcare IT News 的一篇文章指出,每10个 IT 团队中只有2个表示已为员工提供充足的工具和资源以支持长期远程办公。远程工具或资源准备不足使组织面临违反消费者数据隐私法的风险,尤其是 GDPR 和 CCPA。

违约的影响

据发现,如果某一组织因未妥善保护其个人身份信息(PII)而对消费者造成潜在伤害,则可能导致巨额罚款、客户流失、重大品牌损害等后果。大多人肯定记得那些备受瞩目的案例,比如亚马逊和 H&M 因违反 GDPR 而分别接受欧盟的罚款7.46亿欧元和3500万欧元。在短短三年内,欧盟已在欧洲经济区(EEA)以及英国(即使在英国脱欧后仍坚持遵守 GDPR 法规)开出800多张罚款单。

没错,小型组织也会受罚。以瑞典医疗保健提供商 Capio St. Göran 为例。该供应商的一家医院接受审计后,品牌受损并受到290万欧元的 GDPR 罚款。审计表明,该公司没有使用恰当的风险评估,也没有实施有效的访问控制。结果导致过多员工能够访问敏感的个人数据。

根据加州的CCPA,相同类型的执法适用于所有规模的组织。 2021年9月TechTarget的一篇文章 指出,加利福尼亚州最近对一家汽车经销商、一家连锁杂货店、一家在线约会平台和一家宠物收养机构开出了罚单--这些都不是现代工业的巨头。

关键:如果您正在管理远程团队,则需采取几个步骤以调整您的安全政策与常规,以符合个人数据隐私法。

幸运的是,Splashtop ,已经使成千上万的组织实现了远程工作。 以下是Splashtop ,在拥有远程劳动力的情况下,5个被证实的最佳合规做法。

GDPR 和 CCPA 中数据合规性的含义

GDPR 和 CCPA 都要求企业保护个人信息的隐私性和安全性。必须设计并构建处理个人数据的业务流程以保护数据(例如,在适当的情况下使用化名或完全匿名)。控制数据的组织必须在设计信息系统时考虑到隐私问题。

同样与GDPR类似, 《2018年加州消费者隐私法》(CCPA)第55章 ,将个人信息定义为可识别、与之相关、描述、有理由能够与之关联或可合理地与特定消费者或家庭 ,如真实姓名、别名、邮政地址、独特的个人标识符、在线标识符、互联网协议地址、电子邮件地址、账户名称、社会保险号码、驾驶执照号码、车牌号码、护照号码或其他类似标识。

这些规定适用于任何组织在任何地点工作的雇员,无论是在办公室还是在远程工作。 重要的是,员工在世界何处工作并不重要。 这些法规适用于受法规保护的消费者居住在欧盟区、英国和/或加利福尼亚州的情况。 (请注意,许多其他国家,如巴西、南非、韩国、日本和许多其他国家也从2019-2021年制定了类似的规定)。

使用场景 #1:更新网络安全策略以体现“远程办公”

如上述数据所示,许多员工不熟悉数据安全和数据主体隐私问题,而且根本没有意识到自己的行为如何导致数据泄露,从而让组织必须保护的个人数据处于危险之中。

告知员工的最佳方式是建立和分享网络安全政策,指导员工如何保持企业的数据安全。 好消息是,你的IT安全政策可以是一个简单的文件。 它应该解释它存在的原因,并提供所有员工应该遵循的具体安全协议(以非技术性术语)。 它还应该为需要额外帮助理解的员工提供一个联系渠道(电子邮件或电话号码)。

使用场景 #2:培训员工并确保 IT 能够支持员工

员工往往是网络安全中最薄弱的一环。定期的安全培训可以帮助员工了解如何保护组织免受恶意攻击。

使用场景 #3:传输中和静态数据加密

GDPR的Recital 83 要求个人数据得到保护--在运输过程中和休息时都要保护。 你应该认为,在有人访问数据的任何时候,例如从网站服务器到用户设备的过程中,数据都在传输中。 静态数据 "是指存储中的数据,如设备硬盘或U盘上的数据。

员工在远程办公时,维护数据保护的两个关键是加密和访问控制。

  • 加密。

    Splashtop 在传输过程中和休息时对所有用户数据进行加密,所有用户会话都使用TLS安全地建立。 每个会话中访问的内容总是通过256位AES进行加密。

  • 访问控制。

    Splashtop 已实施访问控制,以管理对数据和系统的电子访问。 我们的访问控制是基于权限级别、需要了解级别以及访问系统的人的职责分离。

Splashtop 故意避免过度收集数据--太多的企业在没有合法商业服务理由的情况下这样做。 通过不收集敏感数据/信息,我们更容易与法规接轨。 我们只收集、存储和处理有限的PII,如用户名(电子邮件)、密码和会话日志(供客户审查、故障排除等),而且根据GDPR和CCPA准则,Splashtop ,不出售客户信息。

使用场景 #4:在特定堆栈中处理特定地理位置的数据

如果您的企业为受监管区域的用户提供服务,那么更加安全的做法是创建特定于每个受监管区域的数据/技术堆栈。Splashtop 使用位于德国的欧盟堆栈,确保与欧盟居民相关的数据传输仍在欧盟主权范围内(GDPR 的严格规则)。

使用场景 #5:使用安全远程访问

远程办公人员通常使用 VPN 和远程桌面协议(RDP)来访问工作所需的应用程序和数据。这种做法导致网络犯罪分子利用弱密码安全性和 VPN 漏洞来访问公司网络,窃取信息和数据。

Splashtop遥感解决方案并不依赖于VPN 。 此外,它还采用了零信任的方法。 当员工远程访问他们的办公室电脑或工作站时,他们通过一个特殊的Splashtop 连接进入。 一个不属于公司网络的连接。 这意味着他们只能在他们的远程桌面上查看和处理数据(即Word文档),而数据永远不会传到公司网络之外。 IT安全负责人还可以通过Splashtop ,选择启用或禁用文件传输和打印功能。 这些选择是强烈推荐的合规性,然而在RDP/VPN 战略中并不存在。

Splashtop 远程访问引入了更多安全功能,例如设备身份验证、双因素身份验证(2FA)、单点登录(SSO)等。而 VPN 架构不具备此类现代安全功能。

预防比治疗更简单

正如这些最佳实践所证明的,你可以采取五个常识性的步骤来与数据隐私法规保持一致,而不需要付出巨大的努力。 随着远程工作的发展,在远程工作者环境中保护消费者数据的好处远远超过了被发现 "不符合规定 "的负面影响。

如需了解您的组织如何快速获得符合 CCPA、GDPR 等消费者隐私法规的安全可靠的远程访问,请前往我们的合规性页面。

Splashtop合规性

Splashtop
免费试用

相关内容

远程访问见解

Splashtop Enterprise 如何帮您实现 IT 堆栈集成

了解更多
远程工作

快速实现远程办公的方式

了解更多
安全

可以用 Splashtop 监视远程工作人员吗?Q&A

了解更多
远程访问见解

为什么 Splashtop 是最好的 iOS 远程桌面应用程序

了解更多
查看所有博客
联系我们
扫码关注 随时随地留言咨询
QR Code
电话咨询: 0571-87119188
工作日 9:00-17:00

我们希望听到您的意见

联系我们

获取最新的Splashtop 新闻和特价商品

立即订购
  • 规范与标准
  • 隐私政策
  • 使用条款
版权所有© 2023 Splashtop Inc.保留所有权利。
浙公网安备 33010602011788号 浙ICP备17034078号-3
QR Code
关注公众号 随时随地留言咨询
电话咨询: 0571-87119188
工作日: 9:00-17:00
WeChat关注官方微信公众号