遵守數據隱私法規,如歐盟的《通用數據保護條例》(GDPR) 和《加州消費者隱私法案》(CCPA),需要對遠端員工採取不同的安全立場。 請繼續閱讀,瞭解 Splashtop 在擁有遠端員工的同時實現合規性的五個行之有效的最佳實踐。
遠端工作為時勢所趨。近期一份 Gartner 預估數據顯示,到了 2022 年初,將會有 51% 知識工作者採取遠端辦公型態,而且隨著最近 Omicron 變異株肆虐全球,目前實際數字應該更高。
落實合規的難度,也因為遠端工作條件而更上層樓。以《安全雜誌》(Security Magazine) 近期這篇報導為例,文中探討了對北美和歐洲 400 多名 IT 安全從業人員進行 Apricorn「2021 年全球 IT 安全調查」的結果,並聚焦於過去 12 個月遠端工作的安全措施和政策。其中幾項結果精準總結出了遠端工作的風險:
60% 的受訪者表示,COVID 引起的遠端工作條件在其組織內造成了數據安全問題
38%的受訪者表示數據控制非常難以管理
儘管存在數據控制問題,但近20%的人承認他們的工作設備已被其他家庭成員使用。
遠端工作者的資料隱私合規問題,目前還未受到 IT 團隊的重視。《醫療 IT 新知》(Healthcare IT News) 2021 年發表的一篇文章指出,每 10 個 IT 團隊中,只有 2 個團隊表示已提供足夠的工具和資源來支援長期遠端工作的員工。而這類準備不足的情況,導致組織機構面臨違反 GDPR 和 CCPA 等消費者資料隱私法的風險。
不遵守情事的影響
當發現組織因未正確保護其個人身份資訊 (PII) 而對消費者造成潛在傷害時,結果可能包括巨額罰款、客戶流失和重大品牌損害。 當然,大多數人都記得一些備受矚目的案件,例如歐盟因違反GDPR而對亞馬遜和H&M處以罰款,金額分別為7.46億歐元和3500萬歐元。 然而,在短短 3 年內,歐盟已經在歐洲經濟區 (EEA) 和英國(即使在英國脫歐後仍保持 GDPR 規則)發出了 800 多張罰款。
沒錯,小型組織也會面臨罰款。以瑞典醫療服務業者 Capio St. Göran 為例:他們不僅品牌形象受創,還要負擔 290 萬歐元的 GDPR 罰款,而這全是因為某家合作醫院進行了一次稽核。稽核結果顯示,Capio St. Göran 並未採取適當風險評估,也未落實有效存取控制,導致有過多員工都能存取敏感的個人資料。
根據加州的 CCPA,這類執法的適用對象也同樣不分規模大小。根據 2021 年 9 月 TechTarget 一篇文章報導,加州最近對一家汽車轉銷商、一家連鎖雜貨店、一個線上交友平台、一家寵物收容機構處以罰款,但這些單位都��算不上是當代工業的巨頭。
底線:如果您發現自己在管理遠程團隊,則需要採取幾個步驟來調整您的安全策略和實踐,以遵守個人數據隱私法。
幸運的是,Splashtop 已經使成千上萬的組織能夠遠端工作。 以下是Splashtop的5個經過驗證的最佳實踐,可在擁有遠端員工的同時實現合規性。
GDPR 和 CCPA 下的數據合規性意味著什麼
GDPR 和 CCPA 都規定各公司要確保個人資訊的隱私和安全。關於涉及個人資料的業務流程,其規劃和制定均須採取資料保護安全措施 (例如,視情況進行假名化或完全匿名化)。控制資料的組織在設計資訊系統時,也必須以隱私為原則。
2018 年頒布的《加州消費者隱私保護法》(CCPA) 第 55 章與 GDPR 同樣將個人資訊定義為識別、涉及、描述、合理能關聯或合理能 (直接或間接) 連結到特定消費者或家庭的資訊,例如真實姓名、別名、郵政地址、唯一個人識別碼、線上識別碼、網際網路通訊協定位址、電子郵件地址、帳戶名稱、社會安全號碼、駕照號碼、車牌號碼、護照號碼或其他類似的識別碼。
這些規定適用於在任何地點工作的任何組織的員工,無論是在辦公室還是遠端。 重要的是,員工在世界的哪個地方工作並不重要。 當受法規保護的消費者居住在歐盟地區、英國和/或加利福尼亞州時,該法規適用。 (請注意,許多其他國家,如巴西、南非��、韓國、日本和許多其他國家,也在 2019-2021 年制定了類似的法規)。
最佳實踐#1:更新您的網路安全策略以反映「遠端工作」的現實
如上述數據所示,許多員工不熟悉數據安全和數據主體隱私問題,並且根本沒有意識到他們的行為如何導致數據洩露,從而暴露您的組織必須保護的個人數據。
通知員工的最佳方式是建立並共用網路安全政策,指導員工如何確保企業數據安全。 好消息是,您的IT安全策略可以是一個簡單的文件。 它應該解釋它存在的原因,並提供所有員工都應遵循的特定安全協定(非技術術語)。 它還應該為需要額外説明理解它的員工提供聯繫來源(電子郵件或電話 #)。
最佳實踐 #2:培訓員工並確保IT能夠為他們提供支援
員工往往是網路安全中最薄弱的環節。 定期的安全培訓有助於讓員工及時瞭解如何保護組織免受惡意攻擊。
帳戶和密碼策略:
為所有使用者分配自己的登錄名,並通過強密碼和雙因素/多因素身份驗證授予訪問許可權。
資料安全控制:
數據安全控制包括基於最小特權原則的基於角色的訪問、訪問監控、帳戶審查/清單和日誌記錄。 這意味著所有使用者都具有最低級別的數據訪問許可權。
存取控制:
訪問控制管理對數據和系統的電子訪問,並基於許可權級別、需要知道的參數以及訪問系統的人員的明確職責分離。
安全事件回應:
“安全事件回應”程式使組織能夠調查、回應、緩解和通知與Splashtop服務和資訊資產相關的事件。
最佳實踐 #3:在傳輸中和靜態時保持數據加密
GDPR 第 83 條要求 保護個人數據 - 無論是傳輸中還是靜態。 每當有人存取資料時,例如當資料從網站伺服器傳輸到使用者設備時,您應該將其視為正在傳輸中。 “靜態數據”是指存儲中的數據,例如設備硬碟驅動器或USB快閃記憶體驅動器上的數據。
員工遠端工作時維護數據保護的兩個關鍵是加密和訪問控制。
加密:
Splashtop 對傳輸中和靜態的所有用戶數據進行加密,並使用 TLS 安全地建立所有用戶會話。 每個會話中訪問的內容始終通過 256 位 AES 進行加密。
存取控制:
Splashtop 已實施訪問控制來管理對數據和系統的電子訪問。 我們的訪問控制基於許可權級別、需要知道的級別以及訪問系統的人員的職責分離。
Splashtop 故意避免過度收集數據 - 許多企業在沒有合法業務服務原因的情況下會這樣做。 通過不收集敏感數據/信息,我們更容易與法規保持一致。 我們僅收集、存儲和處理有限的 PII,例如使用者名(電子郵件)、密碼和會話日誌(供客戶查看、故障排除等),並且 Splashtop 不會根據 GDPR 和 CCPA 指南出售客戶資訊。
最佳實踐 #4:在其自己的堆疊中處理特定於地理位置的數據
如果您的企業為受管制區域內的使用者提供服務,則最安全的舉措是創建特定於每個受管制區域的數據/技術堆棧。 Splashtop 利用位於德國的歐盟堆疊。 這可確保與歐盟居民相關的數據傳輸保持在歐盟主權範圍內(GDPR 的嚴格規則)。
最佳實踐 #5:使用安全的遠端訪問
遠端工作者通常會使用 VPN 和遠端桌面通訊協定 (RDP) 來存取公務所需的應用程式和資料,導致網路犯罪分子有機可乘,透��過密碼強度偏弱的安全機制和 VPN 漏洞存取公司網路,藉此竊取資訊和資料。
Splashtop 的遠端存取解決方案不依賴於 VPN。 此外,它遵循零信任方法。 當員工遠端訪問他們的辦公室計算機或工作站時,他們通過特殊的Splashtop連接進入。 不屬於企業網路的連接。 這意味著他們只能在遠端桌面上查看和處理數據(即 Word 文件),並且數據永遠不會傳輸到公司網路之外。 IT 安全領導者還可以選擇 Splashtop 來啟用或禁用檔傳輸和列印功能。 強烈建議使用這些選項以實現合規性,但 RDP/VPN 策略不存在這些選擇。
Splashtop 遠端訪問引入了更多安全功能,例如設備身份驗證、雙因素身份驗證 (2FA)、單點登錄 (SSO) 等。 這些現代安全措施在VPN架構中不存在。
預防勝於治療
正如這些最佳實踐所表明的那樣,您可以採取五個常識性步驟來與數據隱私法規保持一致,而無需付出巨大的努力。 隨著遠端工作的繼續存在,在遠端工作者環境中保護消費者數據的好處遠遠超過被發現“不合規”的負面影響。
