遵守数据隐私法规,如欧盟的《通用数据保护条例》(GDPR)和《加州消费者隐私法》(CCPA),需要对远程团队采取不同的安全立场。继续阅读,了解 Splashtop 面向远程团队的五个经过验证的合规性使用场景。
远程办公不会消失。根据 Gartner 最近的一项估计,51%的知识工作者将在2022年初选择远程办公。近日,由于全球奥密克戎变异毒株激增,预计占比实际上更高。
在远程办公情况下,确保合规性更加困难。《安全性》杂志的一篇文章讨论了“Apricorn 2021年全球 IT 安全性调查”的结果,该调查以北美和欧洲的400余名 IT 安全从业者为研究对象,调查内容是关于过去12个月远程办公的安全实践和政策。以下几个结果很好地总结了其中的风险:
60%的受访者表示,新冠疫情引起的远程办公导致组织内部面临数据安全问题
38%的受访者表示,数据控制非常难以管理
尽管存在数据控制问题,但几乎20%的受访者承认其他家庭成员会使用自己的工作设备
遵守远程工作人员的数据隐私法规尚未引起 IT 团队的重�视。2021 Healthcare IT News 的一篇文章指出,每10个 IT 团队中只有2个表示已为员工提供充足的工具和资源以支持长期远程办公。远程工具或资源准备不足使组织面临违反消费者数据隐私法的风险,尤其是 GDPR 和 CCPA。
不合规的影响
据发现,如果某一组织因未妥善保护其个人身份信息(PII)而对消费者造成潜在伤害,则可能导致巨额罚款、客户流失、重大品牌损害等后果。大多人肯定记得那些备受瞩目的案例,比如亚马逊和 H&M 因违反 GDPR 而分别接受欧盟的罚款7.46亿欧元和3500万欧元。在短短三年内,欧盟已在欧洲经济区(EEA)以及英国(即使在英国脱欧后仍坚持遵守 GDPR 法规)开出800多张罚款单。
没错,小型组织也会受罚。以瑞典医疗保健提供商 Capio St. Göran 为例。该供应商的一家医院接受审计后,品牌受损并受到290万欧元的 GDPR 罚款。审计表明,该公司没有使用恰当的风险评估,也没有实施有效的访问控制。结果导致过多员工能够访问敏感的个人数据。
根据加州消费者隐私法案(CCPA),同类强制措施适用于所有规模的组织。TechTarget 在2021年9月发布的一篇文章指出,加利福尼亚州最近对一家汽车经销店、杂货连锁店、在线约会平台和宠物收养机构处以罚款,这些几乎都不是现代行业的巨头。
关键:如果您正在管理远程团队,则需采取几个步骤以调整您的安全政策与常规,以符合个人�数据隐私法。
幸运的是,Splashtop 已经帮助成千上万家组织实现远程办公。以下是 Sphalshtop 的五个经过验证的使用场景,均关于远程办公的合规性。
GDPR 和 CCPA 中数据合规性的含义
GDPR 和 CCPA 都要求企业保护个人信息的隐私性和安全性。必须设计并构建处理个人数据的业务流程以保护数据(例如,在适当的情况下使用化名或完全匿名)。控制数据的组织必须在设计信息系统时考虑到隐私问题。
与 GDPR 类似,《2018年加州消费者隐私法案》(CCPA)第55章将“个人信息”定义为直接或间接地识别、关系到、描述、能够相关联或可合理地连结到特定消费者或家庭的信息,例如真实姓名、别名、邮政地址、唯一的个人标识符、在线标识符、互联网协议地址、电子邮件地址、帐户名称、社会保险号、驾驶执照号码、车牌号码、护照号码或其他类似的标识符。
本法规适用于任何组织的员工,工作地点不限,既可以是在办公室办公也可以是远程办公。重要的是,本法规与员工的工作地点无关。适用条件:受本法规保护的消费者需居住在欧盟地区、英国和/或加利福尼亚。(注意:巴西、南非、韩国、日本等许多其他国家也在2019-2021年间制定了类似的法规)。
使用场景 #1:更新网络安全策略以体现“远程办公”
如上述数据所示,许多员工不熟悉数据安全和数据主体隐私问�题,而且根本没有意识到自己的行为如何导致数据泄露,从而让组织必须保护的个人数据处于危险之中。
通知员工最好的方式是制定并共享网络安全策略,指导员工如何保护企业数据的安全。好消息是 IT 安全策略可以是一个简单的文档,其中应说明该文档存在的原因并提供所有员工应遵循的特定安全协议(以非技术术语撰写),同时还要为有疑问或需要额外帮助的员工提供相应的联系方式(电子邮件或电话号码)。
使用场景 #2:培训员工并确保 IT 能够支持员工
员工往往是网络安全中最薄弱的一环。定期的安全培训可以帮助员工了解如何保护组织免受恶意攻击。
帐户与密码策略:为所有用户指定登录名,并通过强密码和双因子/多因子身份认证授予访问权限。
数据安全控制:数据安全控制包括基于角色的最小权限访问原则、访问监控、帐户审查/库存以及日志记录。这意味着所有用户具有最低级别的数据访问权限。
访问控制:访问控制管理对数据和系统的电子访问,并基于权限级别、按需知悉参数和明确的系统访问人员职责分离原则。
安全事件响应:“安全事件响应”程序可以帮助组织调查、响应、缓解和通知与 Splashtop 服务和信息资产相关的事件。
使用场景 #3:传输中和静态数据加密
GDPR 的第83条要求保护个人数据,无论是动态数据还是静态数据。任何在访问中的数据都将视为动态数据,例如从网站服务器传输到用户设备的数据。“静态数据”指存储的数据,例如设备硬盘驱动器或 USB 闪存驱动器上的数据。
员工在远程办公时,维护数据保护的两个关键是加密和访问控制。
加密:Splashtop 对所有传输中和静态用户数据进行加密,所有用户会话均使用 TLS 安全建立。每个会话的访问内容始终通过256位 AES 加密。
访问控制:Splashtop 已实施访问控制来管理对数据和系统的电子访问。我们的访问控制基于权限级别、按需知悉以及系统访问人员职责分离原则。
许多企业在没有合法商业服务理由的情况下会过度收集数据,Splashtop 则有意避免这种做法。Splashtop 不会收集敏感数据/信息,从而更容易与法规保持一致。我们仅收集、存储和处理有限的 PII,例如用户名(电子邮件)、密码和会话日志(供客户查看、故障排除等),Splashtop 不会违背 GDPR 和 CCPA 条例出售客户信息。
使用场景 #4:在特定堆栈中处理特定地理位置的数据
如果您的企业为受监管区域的用户提供服务,那么更加安全的做法是创建特定于每个受监管区域的数据/技术堆栈。Splashtop 使用位于德国的欧盟堆栈,确保与欧盟居民相关的数据传输仍在欧盟主权范围内(GDPR 的严格规则)。
使用场景 #5:使用安全远程访问
远程办公人员通常使用 VPN 和远程桌面协议(RDP)来访问工作所需的应用程序和数据。这种做法导致网络犯罪分子利用弱密码安全性和 VPN 漏洞来访问公司网络,窃取信息和数据。
Splashtop 的远程访问解决方案不依赖 VPN,且采用零信任方法。如果员工远程访问办公室计算机或工作站,则可通过专门的 Splashtop 连接访问。Splashtop 的远程连接不使用公司网络,员工只能在远程桌面查看和使用数据(即 Word 文档),而且这些数据绝不会传输到公司网络之外。IT 安全负责人还可以通过 Splashtop 启用或禁用文件传输和打印功能。我们强烈建议您启用以上功能以确保合规性,而 RDP/VPN 策略不支持这些功能。
Splashtop 远程访问引入了更多安全功能,例如设备身份验证、双因素身份验证(2FA)、单点登录(SSO)等。而 VPN 架构不具备此类现代安全功能。
预防比治疗更简单
正如上述使用场景所示,您无需大费周章,仅需采取5个简单步骤,即可遵守数据隐私法规。远程办公将持续存在,在远程办公环境中保护消费者数据的正面影响远远超过被发现“不合规”的负面影响。
