管理遠程員工的 GDPR 和 CCPA 合規性

遵守數據隱私法規,如歐盟的通用數據保護條例 (GDPR) 和加州消費者隱私法案 (CCPA),需要對遠程工作人員採取不同的安全立場。繼續閱讀 Splashtop 的五個經過驗證的最佳合規實踐,同時擁有遠程員工。

遠程工作不會消失。根據 Gartner最近的一項估計, 51% 的知識工作者將在 2022 年初遠程執行他們的工作——隨著最近全球 omicron 變體的激增,這個數字實際上更高。

在遠程工作條件下,合規性變得更加困難。考慮一下最近這篇安全雜誌文章中的發現,該文章討論了 Apricorn 2021 年全球 IT 安全調查的結果,該調查對北美和歐洲的 400 多名 IT 安全從業者進行了調查。該研究是關於過去 12 個月遠程工作的安全實踐和政策。幾個結果很好地總結了風險:

  • 60%的受訪者表示,新冠病毒引發的遠程工作條件在其組織內造成了數據安全問題
  • 38%表示數據控制非常難以管理
  • 儘管存在數據控制問題,但幾乎20%承認他們的工作設備已被其他家庭成員使用

遵守遠程工作人員的數據隱私法規尚未成為 IT 團隊關注的重點。 2021 年醫療保健 IT 新聞文章指出,每 10 個 IT 團隊中只有 2 個表示他們提供了足夠的工具和資源來支持員工長期遠程工作。這種準備不足使組織面臨違反消費者數據隱私法的風險,尤其是 GDPR 和 CCPA。

不合規的影響

當發現一個組織因未適當保護其個人身份信息 (PII) 而對消費者造成潛在傷害時,結果可能包括巨額罰款、客戶流失和重大品牌損害。當然,大多數人都可以回想起歐盟對亞馬遜和 H&M 因違反 GDPR 分別罰款 7.46 億歐元和 3500 萬歐元等備受矚目的案例。然而,在短短 3 年內,歐盟已在歐洲經濟區 (EEA) 和英國(即使在英國退歐後仍保持 GDPR 規則)開出 800 多張罰款單。

是的,較小的組織會被罰款。以瑞典醫療保健提供商 Capio St. Göran 為例。在對其一家醫院進行審計後,它受到了品牌損害和290 萬歐元的 GDPR 罰款。審計表明,該公司沒有使用適當的風險評估,也沒有實施有效的訪問控制。結果,太多的員工可以訪問敏感的個人數據。

同一類型的執法適用於加州 CCPA 下的所有規模的組織。 TechTarget 2021 年 9 月的一篇文章指出,加利福尼亞州最近對一家汽車經銷店、一家雜貨連鎖店、一家在線約會平台和一家寵物收養機構處以罰款——這幾乎不是現代工業的巨頭。

底線:如果您發現自己在管理遠程團隊,則需要採取幾個步驟來調整您的安全策略和實踐,以遵守個人數據隱私法。

幸運的是,Splashtop 已經使成千上萬的組織能夠遠程工作。以下是 Splashtop 的 5 個經過驗證的最佳合規實踐,同時擁有遠程員工。

GDPR 和 CCPA 下的數據合規性意味著什麼

GDPR 和 CCPA 都要求公司保持個人信息的私密性和安全性。必須設計和構建處理個人數據的業務流程以保護數據(例如,在適當的情況下使用假名或完全匿名)。控制數據的組織必須在設計信息系統時考慮到隱私。

同樣與 GDPR 類似,2018 年加州消費者隱私法 (CCPA) 第 55 章將個人信息定義為識別、關聯、描述、能夠合理地關聯或可以合理地關聯(直接或間接)與特定的消費者或家庭,例如真實姓名、別名、郵政地址、唯一的個人標識符、在線標識符、互聯網協議地址、電子郵件地址、帳戶名稱、社會保險號、駕駛執照號碼、車牌號碼、護照號碼或其他類似的標識符。

這些規定適用於在任何地點工作的任何組織的員工,無論是在辦公室還是在遠程。重要的是,員工在世界上的哪個地方工作並不重要。當受法規保護的消費者居住在歐盟地區、英國和/或加利福尼亞時,該法規適用。 (請注意,許多其他國家,如巴西、南非、韓國、日本和許多其他國家也從 2019 年到 2021 年制定了類似的規定)。

最佳實踐 #1:更新您的網絡安全政策以反映“遠程工作”現實

如上述數據所示,許多員工不熟悉數據安全和數據主體隱私問題,根本不知道他們的行為如何導致數據洩露,從而暴露組織必須保護的個人數據。

通知員工的最佳方式是製定和共享網絡安全政策,指導員工如何保護企業數據的安全。好消息是您的 IT 安全策略可以是一個簡單的文檔。它應解釋其存在的原因,並提供所有員工應遵循的特定安全協議(以非技術術語)。它還應該為需要額外幫助理解它的員工提供聯繫來源(電子郵件或電話號碼)。

最佳實踐 #2:培訓員工並確保 IT 能夠支持他們

員工通常是網絡安全中最薄弱的環節。定期的安全培訓有助於讓員工了解如何保護組織免受惡意攻擊。

  • 帳戶和密碼策略:為所有用戶分配自己的登錄名,並通過強密碼和雙因素/多因素身份驗證授予訪問權限。
  • 數據安全控制:數據安全控制包括基於最小權限原則的基於角色的訪問、訪問監控、帳戶審查/庫存和日誌記錄。這意味著所有用戶都擁有最低級別的數據訪問權限。
  • 訪問控制:訪問控制管理對數據和系統的電子訪問,並基於權限級別、需要知道的參數和訪問系統的人員的明確職責分離。
  • 安全事件響應: “安全事件響應”程序使組織能夠調查、響應、緩解和通知與 Splashtop 服務和信息資產相關的事件。

最佳實踐#3:在傳輸和靜止時保持數據加密

GDPR 的第 83 條要求保護個人數據——無論是在傳輸中還是在靜止狀態。您應該認為數據在有人訪問它的任何時候都在傳輸中,例如當它從網站服務器傳輸到用戶設備時。 “靜態數據”是指存儲中的數據,例如設備硬盤驅動器或 USB 閃存驅動器上的數據。

當您的員工遠程工作時,維護數據保護的兩個關鍵是加密和訪問控制。

  • 加密: Splashtop 對傳輸中和靜態的所有用戶數據進行加密,所有用戶會話均使用 TLS 安全建立。每個會話中訪問的內容始終通過 256 位 AES 加密。
  • 訪問控制: Splashtop 實施了訪問控制來管理對數據和系統的電子訪問。我們的訪問控制基於權限級別、需要知道的級別以及訪問系統的人員的職責劃分。

Splashtop 故意避免過度收集數據——這是太多企業在沒有合法商業服務原因的情況下所做的事情。通過不收集敏感數據/信息,我們更容易與法規保持一致。我們僅收集、存儲和處理有限的 PII,例如用戶名(電子郵件)、密碼和會話日誌(供客戶查看、故障排除等),並且 Splashtop 不會根據 GDPR 和 CCPA 指南出售客戶信息。

最佳實踐 #4:在自己的堆棧中處理特定於地理的數據

如果您的企業為受監管區域內的用戶提供服務,那麼您最安全的做法是創建一個特定於每個受監管區域的數據/技術堆棧。 Splashtop 利用位於德國的歐盟堆棧。這確保了與歐盟居民相關的數據傳輸仍在歐盟主權範圍內(GDPR 的嚴格規則)。

最佳實踐 #5:使用安全遠程訪問

遠程工作的人通常使用VPN 和遠程桌面協議 (RDP)來訪問執行工作所需的應用程序和數據。這導致網絡犯罪分子利用弱密碼安全和 VPN 漏洞來訪問公司網絡,竊取信息和數據。

Splashtop 的遠程訪問解決方案不依賴 VPN。此外,它遵循零信任方法。當員工遠程訪問他們的辦公室計算機或工作站時,他們通過特殊的 Splashtop 連接進入。不屬於公司網絡的連接。這意味著他們只能在遠程桌面上查看和使用數據(即 Word 文檔),並且數據永遠不會在公司網絡之外傳播。 IT 安全領導者還可以選擇使用 Splashtop 來啟用或禁用文件傳輸和打印功能。強烈建議使用這些選項以確保合規性,但在 RDP/VPN 策略中不存在這些選項。

Splashtop 遠程訪問引入了更多安全功能,例如設備身份驗證、雙因素身份驗證 (2FA)、單點登錄 (SSO) 等。這些現代安全措施在 VPN 架構中不存在。

預防比治療容易

正如這些最佳實踐所示,您可以採取五個常識性步驟來與數據隱私法規保持一致,而無需付出巨大的努力。隨著遠程工作的存在,在遠程工作環境中保護消費者數據的好處遠遠超過被發現“不合規”的負面影響。

要了解您的組織如何根據 CCPA、GDPR 和其他消費者隱私法規快速獲得安全可靠的遠程訪問,請訪問我們的合規性頁面。


相關內容

部落格下方的免費試用橫幅