GDPR的创建是为了赋予欧盟公民更多的个人数据控制权。 就投诉数量而言,目标是“实现”的:在过去的一年中,欧洲人开始更频繁地报告公司的违规行为,并且公司本身收到了
很多指示,并开始迅速关闭漏洞以免被罚款。 但是“突然”事实证明,当涉及到逃避金融制裁或非常需要遵守GDPR时,GDPR最为明显和有效。 更重要的是,旨在杜绝个人数据泄露的最新法规成为了其原因。
我们告诉你怎么了。
照片-Daan Mooij-不飞溅有什么问题
根据GDPR,欧盟公民有权索取存储在公司服务器上的个人数据的副本。 最近,人们知道该机制可用于收集另一个人的PD。 黑帽会议的
一位参与者
进行了一项实验,在
实验中,他收到了来自多家公司的新娘个人数据的档案。 他代表她向150个组织发送了相关请求。 有趣的是,有24%的公司拥有足够的电子邮件地址和电话号码作为身份证-收到它们之后,他们将档案和文件退还给档案。 约有16%的组织还要求提供护照照片(或其他文件)。
结果,詹姆斯设法获得了社会保险号和信用卡,他的“受害者”的出生日期,娘家姓和住址。 一项服务使您可以检查是否在任何泄漏(例如我可以伪造吗? )中“打开”了电子邮件地址,甚至发送了以前使用的身份验证数据的列表。 如果用户未更改密码或在其他地方使用过密码,则此信息可能会导致黑客入侵。
还有其他一些例子,数据在“错误”发送之后落入了不正确的人手中。 因此,三个月前,一名Reddit用户
向 Epic Games
要求提供有关自己的个人信息。 但是,她错误地将他的PD发送给了另一位玩家。 去年发生了类似的故事。 一个亚马逊客户端
意外地收到了一个 100 MB的存档,其中包含对Alexa的Internet请求以及来自另一个用户的数千个WAF文件。
照片- 汤姆·索多 ( Tom Sodoge) -不飞溅发生这种情况的主要原因之一是,专家称通用数据保护条例不完整。 GDPR特别指出了公司必须响应用户要求的时间范围(一个月之内),并指出未能遵守此要求的罚款-最高2000万欧元或年收入的4%。 但是,未在其中指定程序本身,这些程序应有助于公司遵守法律(例如,确保将数据发送给其所有者)。 因此,组织必须独立(有时通过反复试验)构建其工作流程。
如何解决这种情况
最激进的建议之一是放弃GDPR或从根本上改变它。 人们认为该法律无法以其当前形式运行,因为它非常
复杂且过于严格,必须花费大量金钱才能满足其所有要求。
例如,去年超级星期一之夜战斗游戏的开发人员被迫缩减项目。 根据其创建者的说法,为GDPR重建系统所需的预算
超出了分配给7年游戏
的预算 。
IaaS提供商1cloud.ru的开发部门负责人Sergey Belkin表示:“中小型企业实际上通常没有技术和人力资源来了解监管机构的要求并进行必要的准备。” -在这里,可以租用安全的IT基础架构的大型供应商和IaaS提供商。 例如,我们将设备放在经过 Tier III标准认证的数据中心的1cloud.ru中,可以帮助客户满足俄罗斯联邦第152号法律“关于个人数据”的要求。
照片- 色谱 -不飞溅有一种相反的观点认为,这里的问题不在于法律本身,而在于公司仅希望正式地满足其要求。 Hacker News的一位居民
指出 :个人数据泄漏的原因在于组织
没有实施最简单的验证机制,这是由常识决定的。
一种或另一种方式是,在不久的将来,欧盟不会放弃GDPR,因此,在黑帽会议上发现的情况应成为促使公司更加关注PD安全的一种诱因。
我们在博客和社交网络中写的内容:
766公里-LoRaWAN的新里程记录
谁使用SAML 2.0身份验证协议
大数据:大机遇或大骗局
个人数据:公共云功能
为已经从事系统管理或计划入门的人员选择的书籍
1cloud技术支持如何工作
莫斯科的1cloud基础设施
位于 Dataspace中。 这是第一个通过Uptime Institute的Til ll认证的俄罗斯数据中心。