Некоторые из новых требований к конфиденциальности GDPR (Общего регламента по защите данных) ЕС на первый взгляд могут показаться пугающими для компании, на которую они распространяются. В отличие, например, от SOX, который предписывает использование средств контроля доступа к данным без подробного описания, GDPR закрепляет очень конкретные права граждан ЕС в отношении их данных, что налагает новое бремя учета данных и подотчетности на предприятия, регулируемые новым регламентом. А учитывая штрафы, которые могут достигать 4% от мирового дохода, компании очень заинтересованы в поиске способов автоматизации новых требований к доступу субъектов данных.
Права субъекта данных GDPR включают:
● Право человека на доступ к своим данным
● Право человека на передачу своих данных новому поставщику услуг.
● Право человека на стирание для забвения
● Право человека на уведомление в течение 72 часов в случае нарушения
Для предприятий это создает новый набор обязанностей в отношении данных о резидентах ЕС. Организации, которые собирают и обрабатывают персональные данные, также должны иметь возможность учитывать эти данные вплоть до отдельного лица. Это значительный отход от требований соответствия в прошлом, когда организациям просто нужно было документировать политики конфиденциальности и демонстрировать общие элементы управления безопасностью. GDPR ЕС подчеркивает, что в качестве хранителей данных о потребителях и сотрудниках организации теперь должны иметь возможность учитывать данные каждого человека, хранящиеся внутри компании. Таким образом, перед организациями встает вопрос, как сделать это в масштабе для всех клиентов и сотрудников, проживающих в ЕС.
Новый программный подход к доступу субъектов данных
Хотя права субъектов данных в общих чертах изложены в положениях GDPR, включая доступ к данным, исправление неточных или неполных данных, блокирование данных, точность которых оспаривается, и удаление данных, каким образом компании должны выполнять требования, не указано.
Исторически сложилось так, что те компании, которые добровольно соглашались выполнять запросы субъектов данных на доступ, делали это вручную — запросы назначались техническим группам для обнаружения данных, а затем сообщали о местонахождении и использовании. Этот ручной процесс, однако, не поддается масштабированию, является случайным, а не точным, и упускает критическую возможность лучше защитить персональные данные на основе анализа данных.
Традиционные инструменты обнаружения данных не помогают организациям понять что-либо помимо базовой классификации данных. Обычно они требуют некоторого уровня ручного кодирования, чтобы предписать, какие типы данных искать, таким образом пропуская неизвестные типы; они оптимизированы для структурированных или неструктурированных данных, но не для того и другого одновременно; они не осведомлены о контексте и поэтому не могут различать похожие элементы данных; и, возможно, самое главное, они не раскрывают право собственности на данные или их происхождение. Это означает, что традиционные инструменты обнаружения данных не могут определить, какие данные кому принадлежат, и в то же время могут упустить большие массивы неизвестных или скрытых данных.
Такие инструменты, как BigID, переворачивают обычный процесс обнаружения данных с помощью нового подхода к программному обеспечению больших данных, специально созданного для поиска и инвентаризации персональных данных субъектами данных. Используя науку о данных, машинное обучение и контекст идентификации, такой инструмент, как BigID, представляет собой простой сканер, который может находить, инвентаризировать и отслеживать личные данные по субъекту данных на предприятии и в облаке.
Наука о данных и машинное обучение в сочетании с конфиденциальностью данных
Программное обеспечение для автоматизации конфиденциальности, такое как BigID, делает сопоставление данных автоматическим. Например, BigID сканирует локальные и облачные источники данных, идентифицирует личную информацию, а затем каталогизирует эту личную информацию по субъекту данных в масштабе. В то время как традиционные инструменты обнаружения данных требуют инструментовки агента, определенного уровня пользовательского кодирования в загадочных методах программирования, таких как регулярное выражение, инструмент, такой как BigID, использует неконтролируемое обучение, чтобы помочь программному обеспечению сначала понять известные личные данные и связанные отношения с субъектом данных. Затем система использует этот обучающий набор для поиска и каталогизации других личных данных в хранилищах данных компании.
Результирующий индекс предоставляет карту данных пользователя с дополнительными метаданными, которые помогают организациям подтверждать потоки данных, их хранение и местонахождение. На запросы субъекта данных можно ответить за считанные секунды и легко передать аналитику для дополнительной обработки, будь то доступ, переносимость или стирание. Наконец, в случае утечки данных организация может сравнить украденный дамп данных со своей картой данных, чтобы определить, действительно ли они были взломаны, и/или идентифицировать затронутых пользователей за считанные минуты — намного меньше 72-часового порога, установленного GDPR.
