****的專業(yè)人工智能物聯(lián)網(wǎng)解決方案服務萬佳安�����。目前�,萬佳安創(chuàng)新推動科技進步的核心技術不斷推出,通信與模塊連接���、視覺與雷達傳感是兩大核心技術�����。此外���,萬佳安還經常獲得**和省市科研資格��,如**高新技術企業(yè)����、博士后創(chuàng)新實踐基地��、廣東省AIoT 大數(shù)據(jù)技術智能應用工程技術研究中心���、深圳專業(yè)新企業(yè)(預宣傳階段)��、青島干部培訓基地等�����?�;ヂ?lián)網(wǎng)云瑞視頻信息顯示方法及相關設備�、云視頻推送方法及推送系統(tǒng)等發(fā)明專利已獲得多項技術專利和認證���,在行業(yè)內影響力較大����。能找到相關信息的��。
2�、GDPR國內物聯(lián)網(wǎng)企業(yè)實施后應該如何應對?
在上一篇文章中(深度整理)|歐盟《一般數(shù)據(jù)保**》(GDPR)核心要點)�,我分享了GDPR法案的核心要點,方便企業(yè)直觀了解GDPR是什么�����,對企業(yè)未來的業(yè)務會有什么影響��。本文將重點深入分析物聯(lián)網(wǎng)行業(yè)企業(yè)應該如何應對GDPR的核心點���。這里的應對方案涉及系統(tǒng)結構�、人員管理��、流程管理��、風險評估�、業(yè)務邏輯、應急響應等多個環(huán)節(jié)。由于不同企業(yè)的具體業(yè)務情況不同�,以下內容可作為物聯(lián)網(wǎng)企業(yè)自檢的分析方法。
物聯(lián)網(wǎng)行業(yè)的特殊性在于���,許多設備不連接,因此沒有用戶隱私泄露的風險����。如今,設備網(wǎng)絡是時代的趨勢�,數(shù)據(jù)控制器和處理器將直接或間接接觸大量個人用戶數(shù)據(jù),如:姓名�、性別、年齡�����、身份證號碼����、手機號碼等,另一方面��,由于設備和用戶數(shù)據(jù)操作肖像和監(jiān)控的需要�����,也將收集更多關于用戶行為的隱私數(shù)據(jù)。所以���,GDPR對物聯(lián)網(wǎng)企業(yè)的影響仍然非常深遠和重要
青蓮云作為一家物聯(lián)網(wǎng)安全解決方案公司,通過多年的網(wǎng)絡安全���、云安全、黑客攻防和數(shù)據(jù)隱私保護經驗����,對于GDPR實施后����,國內物聯(lián)網(wǎng)企業(yè)�,總結以下要點���,可作為企業(yè)在GDPR合規(guī)過程中的參考方向,與您分享��。
國內物聯(lián)網(wǎng)企業(yè)應對GDPR的建議:
1����。直接重視企業(yè)高管
2。合理區(qū)分數(shù)據(jù)控制器和數(shù)據(jù)處理器
3���。從設計之初保護隱私物聯(lián)網(wǎng)行業(yè)解決方案�。
4�。明確獲得客戶數(shù)據(jù)授權同意物聯(lián)網(wǎng) 解決方案。
5����。識別數(shù)據(jù)的存儲位置
6。識別數(shù)據(jù)的類型和風險
7�。使用授權數(shù)據(jù)識別數(shù)據(jù)
8。識別數(shù)據(jù)的移植和傳輸能力家庭物聯(lián)網(wǎng)解決方案���。
9。必要時可以清除個人數(shù)據(jù)工廠物聯(lián)網(wǎng)解決方案����。
10。能夠快速識別和及時報告數(shù)據(jù)泄露事件
11��。遵循數(shù)據(jù)最小化的原則
12。匿名處理數(shù)據(jù)
13���。保證網(wǎng)絡通信的機密性和數(shù)據(jù)的完整性
14���。確保網(wǎng)絡通信的強身份認證
15。重視數(shù)據(jù)生命周期管理物聯(lián)網(wǎng)整體解決方案�����。
16���。重視企業(yè)內部的隱私控制物聯(lián)網(wǎng)一站式解決方案。
17����。檢查第三方供應商是否符合要求GDPR
18?���?紤]設立專門的隱私保護人員
19。有其他安全合規(guī)要求
與專業(yè)安全公司保持密切合作
直接重視企業(yè)高管
無論是GDPR還是其他安全合規(guī)法規(guī)�,都與企業(yè)的管理/研發(fā)流程密切相關。內部流程的推廣更多地取決于企業(yè)高管的關注和實踐決心��。推動一個過程的正確實施需要自上而下有序進行。如果企業(yè)高管對合規(guī)流程的推廣意識不足或重視不夠��,往往會造成大量的勞動力�����、時間和成本浪費��,也會影響正常業(yè)務的發(fā)展進度�。因此,我們把企業(yè)高管的重視放在首位�。
合理區(qū)分數(shù)據(jù)控制器和數(shù)據(jù)處理器
GDPR對控制器和處理器有明確的描述。在GDPR的實踐中�,企業(yè)首先要明確自己是數(shù)據(jù)控制器還是處理器,這是非常重要的�。例如,如果企業(yè)使用它:GoogleAnalytics(或其他第三方數(shù)據(jù)分析服務提供商)對網(wǎng)站進行用戶行為分析�,那么企業(yè)就是數(shù)據(jù)控制器,GoogleAnalytics是數(shù)據(jù)處理者����。當數(shù)據(jù)主體(消費者)按照GDPR的要求執(zhí)行“遺忘權”時,企業(yè)有責任履行用戶的法律要求����,企業(yè)應能夠刪除給第三方數(shù)據(jù)分析服務提供商的用戶個人數(shù)據(jù)�����。物聯(lián)網(wǎng)解決方案提供商��。
保護隱私從設計開始
高層建筑從地面開始��。事實很簡單��。安全是IT系統(tǒng)的基石��。如果基本IT系統(tǒng)存在安全漏洞�����,特別是對于物聯(lián)網(wǎng)行業(yè),通過批量遠程升級往往無法解決業(yè)務邏輯的安全問題����。物聯(lián)網(wǎng)企業(yè)應在系統(tǒng)架構設計開始時將安全因素納入架構設計范圍。只有從早期階段進行安全干預�,才能避免后期因安全事故造成的更嚴重的企業(yè)損失。
明確獲得客戶的數(shù)據(jù)授權同意
GDPR這里也有一個明確的描述�����,企業(yè)需要告訴客戶將收集哪些數(shù)據(jù)(類似于APP授權),特別是未成年人物聯(lián)網(wǎng)產品(如兒童手表�、兒童故事機器等),必須獲得監(jiān)護人的直接授權才能收集相關數(shù)據(jù)���。
識別數(shù)據(jù)存儲的位置物聯(lián)網(wǎng)智慧解決方案加盟合作��。
數(shù)據(jù)是企業(yè)IT資產的一部分��。在實踐GDPR之前�����,企業(yè)必須做的一件事就是識別數(shù)據(jù)存在于哪里����。物聯(lián)網(wǎng)的底層架構是云計算��。云計算將使用不同的數(shù)據(jù)存儲技術存儲不同類型的數(shù)據(jù)����,如Redis存儲緩存數(shù)據(jù)、Hadoop存儲離線大型日志文件���、Casandra存儲一些碎片化的小文件�����。企業(yè)技術負責人必須清楚地意識到內部使用的數(shù)據(jù)存儲技術或組件以及不同組件存儲的數(shù)據(jù)���。識別“數(shù)據(jù)戰(zhàn)場”是數(shù)據(jù)隱私保護的**步����。智慧校園物聯(lián)網(wǎng)解決方案�。
識別數(shù)據(jù)的類型和風險
在識別數(shù)據(jù)存儲的位置后,需要對數(shù)據(jù)資產進行風險評估���。想想企業(yè)存儲的數(shù)據(jù)類型:如個人身份數(shù)據(jù)����、定位數(shù)據(jù)��、行為數(shù)據(jù)�、金融數(shù)據(jù)�?數(shù)據(jù)的類型有哪些:整形?浮點型�?布爾型?圖片/視頻���?不同數(shù)據(jù)的泄露風險是什么:如果用戶信用卡被盜����?垃圾郵件攻擊會導致用戶?會導致用戶身份被偽造�����?用戶的下落會導致嗎���?等等����,根據(jù)企業(yè)建立的數(shù)據(jù)風險模型�����,可以為今后安全解決方案的有針對性的部署提供有力的支持����。
授權使用識別數(shù)據(jù)
在大多數(shù)數(shù)據(jù)使用場景中,企業(yè)并不是**擁有完全控制和處理數(shù)據(jù)的企業(yè)����。在大數(shù)據(jù)解決方案中��,往往需要借助外部第三方企業(yè)的能力對數(shù)據(jù)進行深入的挖掘和分析��。此時��,數(shù)據(jù)的使用和授權管理非常重要��。企業(yè)需要清楚地知道哪些數(shù)據(jù)與第三方數(shù)據(jù)服務交換或直接向第三方發(fā)送���。當出現(xiàn)這種情況時,企業(yè)將成為數(shù)據(jù)的控制器�����。如果第三方服務提供商有數(shù)據(jù)泄露問題��,企業(yè)作為控制器也有連帶責任����。
移植和傳輸數(shù)據(jù)識別能力物聯(lián)網(wǎng)方案。
GDPR規(guī)定�,數(shù)據(jù)主體(消費者)有權將個人信息傳輸給其他個人或組織�。這就要求企業(yè)在設計系統(tǒng)架構時支持數(shù)據(jù)的格式化處理、移植和共享數(shù)據(jù)。同時��,還需要有數(shù)據(jù)安全傳輸?shù)慕鉀Q方案�����,以確保數(shù)據(jù)在傳輸過程中的加密性�、完整性和嚴格的雙向身份認證。
必要時可以清除個人數(shù)據(jù)
數(shù)據(jù)主體的“被遺忘權”也作為GDPR的重點����。企業(yè)必須有能力刪除用戶指定的數(shù)據(jù)或用戶不再允許使用的數(shù)據(jù)。企業(yè)應能夠快速定位數(shù)據(jù)����,刪除定位的用戶數(shù)據(jù),并將需要刪除的數(shù)據(jù)通知第三方數(shù)據(jù)服務提供商(如果第三方使用該數(shù)據(jù))�����。
能夠快速識別和及時報告數(shù)據(jù)泄露事件物聯(lián)網(wǎng)企業(yè)����。
我認為這種能力非常重要和困難。困難有二:1�。企業(yè)如何快速識別自己的數(shù)據(jù)泄露?縱觀歷史或近期的數(shù)據(jù)泄露案例,企業(yè)基本上是后知后覺����;2。企業(yè)是否有能力(勇氣)在GDPR規(guī)定的72小時內及時向監(jiān)管機構和數(shù)據(jù)主體報告數(shù)據(jù)泄露事件���?我相信企業(yè)管理者能感覺到為什么這種能力很難����。事實上���,這并不完全是一種技術能力�。
遵循數(shù)據(jù)最小化的原則物聯(lián)網(wǎng)企業(yè)名單��。
在安全架構設計中有一個重要的原則:最小化權限����。也就是說,對業(yè)務進行風險評估只提供最小化的權限����,以滿足業(yè)務運營,如盡可能少地開放端口���、禁止Root權限等�。GDPR它明確規(guī)定了數(shù)據(jù)最小化的原則��,即盡可能少地收集用戶數(shù)據(jù)��,以滿足業(yè)務需求���。一般來說:功能少�,風險自然少�,數(shù)據(jù)安全也是如此。
匿名處理數(shù)據(jù)工業(yè)物聯(lián)網(wǎng)���。
GDPR對“匿名化”有明確的官方定義�����。有兩個含義:1�����。以青蓮云的系統(tǒng)架構為例��,對用戶和設備的不同類型數(shù)據(jù)進行分庫/分類加密存儲�,避免數(shù)據(jù)泄露時一次性泄露所有完整的用戶個人數(shù)據(jù);2�。匿名處理敏感數(shù)據(jù),如記錄身份證號碼時隱藏中間的生日數(shù)據(jù)段����,避免因數(shù)據(jù)泄露而直接定位或指向可識別的自然人。物聯(lián)網(wǎng)是���。
確保網(wǎng)絡通信的機密性和數(shù)據(jù)的完整性什么是物聯(lián)網(wǎng)��。
這里有兩個關鍵點:機密性和完整性�����。青蓮云系統(tǒng)架構內置物聯(lián)網(wǎng)安全接入網(wǎng)關系統(tǒng)����,網(wǎng)關不僅可以提供多種數(shù)據(jù)加密方法(AES/DES/SSL等)�,可以對每個數(shù)據(jù)包進行安全簽名和合法性驗證,以確保數(shù)據(jù)能夠抵抗黑客在加密傳輸過程中發(fā)起的設備重放攻擊�,實現(xiàn)安全穩(wěn)定的物聯(lián)網(wǎng)數(shù)據(jù)傳輸。
確保網(wǎng)絡通信的強身份認證
身份認證必須是雙向的����,而不是單向的�����。對于物聯(lián)網(wǎng)行業(yè)���,身份認證主要包括設備和云���、設備和設備端�����、客戶端和云���、客戶端和設備端、云和第三方接口以及云本身的身份認證��。在青蓮云的系統(tǒng)架構中�����,這一系列身份認證機制也由物聯(lián)網(wǎng)安全訪問網(wǎng)關系統(tǒng)實現(xiàn)����,可以抵抗黑客發(fā)起的設備偽造和其他數(shù)據(jù)偽造攻擊�����。物聯(lián)網(wǎng)模塊�。
重視數(shù)據(jù)生命周期管理物聯(lián)網(wǎng)技術���。
微軟提出了企業(yè)的研發(fā)流程SDL(安全開發(fā)生命周期)����,從培訓到最終應急響應�����,分為七個部分����。對于數(shù)據(jù),企業(yè)應進行自查��,從定義數(shù)據(jù)格式到收集數(shù)據(jù)���,再到分析顯示�,再到持久存儲的生命周期�,是否安全可控����。畢竟�����,企業(yè)在生命周期的不同環(huán)節(jié)面臨著不同的安全風險����,能夠有效地管理數(shù)據(jù)生命周期是必要的安全能力之一���。建議企業(yè)技術負責人認真學習微軟的SDL流程�。
重視企業(yè)內部隱私控制
隱私控制不**于GDPR��,企業(yè)應檢查其是否具備隱私控制的過程或技術能力�����。這里包括但不限于:數(shù)據(jù)存儲隱私控制�、OA系統(tǒng)隱私控制、銷售系統(tǒng)隱私控制���、辦公網(wǎng)絡隱私控制�、移動辦公隱私控制、離職員工隱私控制����、存儲數(shù)據(jù)硬件銷毀隱私控制能力等。
檢查第三方供應商是否符合要求GDPR
以青蓮云為例:青蓮云為物聯(lián)網(wǎng)企業(yè)提供安全可靠的物聯(lián)網(wǎng)私有云/公有云服務�,但作為一套物聯(lián)網(wǎng)安全軟件系統(tǒng),青蓮云產品必須依靠云計算IaaS服務提供商���,無論是公有云還是私有云����。因此���,在考慮第三方供應商是否符合GDPR合規(guī)要求的同時����,企業(yè)不僅要考慮第三方供應商自身的安全能力(青蓮云可以提供真正的端到端物聯(lián)網(wǎng)安全解決方案)��,還要考慮底層云計算制造商的GDPR合規(guī)性�。以亞馬遜AWS和中企動力為代表的云計算,兩家制造商都有標準的GDPR合規(guī)要求��,這也值得企業(yè)關注。物聯(lián)網(wǎng)的應用有哪些�����。
考慮設立專門的隱私保護人員
在GDPR的實踐中����,企業(yè)不僅需要高管的重視,還需要培養(yǎng)首席隱私官等專門的隱私保護人員(ChiefPrivacyOfficer���,CPO)���,或者GDPR中明確提出的數(shù)據(jù)保護官(DPO)。即使企業(yè)沒有這個職位��,也要對技術負責人和核心員工進行專門的隱私保護培訓����,建立相應的隱私保護流程���,以滿足GDPR的合規(guī)要求���。
其他安全合規(guī)要求
企業(yè)信息安全建設不能一蹴而就。在關注GDPR之前,企業(yè)應檢查是否符合**其他安全合規(guī)要求�,如網(wǎng)絡安全等級保護。至少在物聯(lián)網(wǎng)應用層面��,我們也應該有一定的安全防御能力���。我們不能理解我使用阿里巴巴云�����。安全是由阿里巴巴云保證的�,我們不能認為我的數(shù)據(jù)是加密的����,這相當于安全。安全漏洞的產生更多地與業(yè)務邏輯有關�����,不僅反映在數(shù)據(jù)保護上��,還可以為物聯(lián)網(wǎng)企業(yè)提供特殊的安全咨詢服務(安全培訓) 安全測試 物聯(lián)網(wǎng)安全解決方案)�。全球物聯(lián)網(wǎng)。
與專業(yè)安全公司保持密切合作
該行業(yè)有專業(yè)化��,安全來自于長期的經驗積累和真正的黑客攻防對抗。許多物聯(lián)網(wǎng)企業(yè)本身沒有能力建立一個專業(yè)的安全團隊�����,企業(yè)應該更加關注自己的業(yè)務和產品開發(fā)���,與安全企業(yè)建立長期的合作伙伴關系:一方面可以提高自己的業(yè)務安全保護能力�,另一方面也可以通過與安全企業(yè)合作提高員工的安全意識���,在研發(fā)和測試過程中扼殺安全漏洞��,從而提高批量產品的安全性����。
中企動力是一家專業(yè)的網(wǎng)絡推廣公司�����,我們擁有豐富的網(wǎng)絡推廣經驗和專業(yè)的團隊��,能夠為企業(yè)提供全方位的網(wǎng)絡推廣服務���。我們?yōu)槠髽I(yè)提供網(wǎng)站建設、網(wǎng)站優(yōu)化、平臺推廣等服務��,幫中企動力業(yè)在網(wǎng)絡上提升知名度�、擴大影響力、提升銷售額�。如果您有網(wǎng)絡推廣的需求,歡迎聯(lián)系中企動力加微信:CE4006608066�,我們將竭誠為您服務。
