10月個資法正式實施,無論是公務機關或非公務機關都得採取適當措施保護個人資料。針對存放最多重要個資的資料庫應如何遵循個資法,有兩大重點不可不知。
資料庫個資盤點自動化,省時省力
個資法施行細則第12條第2項明定,企業為保護個資得落實安全維護措施,其中第2項安全維護措施「界定個人資料之範圍」就是大家最廣為討論的個資盤點。個資盤點是企業建置個資保護制度時最重要也最麻煩的過程,企業組織將重要個資都存放在資料庫當中,面對眾多資料庫與成千上萬筆資料,若靠人力盤點不僅費時費力,也可能有所遺漏。
現在市面上已經有專門進行自動化資料庫盤點的個資清查工具,使用該項個資盤點軟體可在30分鐘內快速清查資料庫當中的個資。業者開發獨家的個資搜尋技術,連一般個資盤點工具最難識別的中文個資,例如中文姓名與中文地址等,也能準確辨識無誤。
使用自動化資料庫個資盤點工具能協助使用者快速找出高風險的資料庫與表格,個資盤點完畢後,會自動產生一份完整的個資清查報告,圖形化的設計讓管理者全盤掌握個資分散於資料庫的哪些表格、哪些欄位,避免發生遺漏盤點的風險,提高個資盤點的正確性與完整性。
無法辨識終端使用者,保留使用記錄失去意義
個資盤點是因應個資的第一步,確定個資的範圍之後,便可進行第二步的適當安全維護措施,包括安全維護措施第4項「針對事故的預防通報及應變機制」、第9項「資料安全稽核機制」、以及第10項「必要使用記錄、軌跡資料及證據之保存」等;其中「使用記錄」指的是「使用者」的存取行為紀錄,目前市場上能完全落實上述維護措施的產品為資料庫活動監控系統DAM,而「是否能辨識出使用者」正是採購DAM時需要考量的關鍵重點。
目前市面上的DAM產品十之八九有一個難以突破的瓶頸,就是無法辨識終端使用者,一般DAM產品記錄的是應用伺服器對資料庫伺服器的SQL的指令,及所用的資料庫使用者,然而現今的AP架構, N-Tier的終端使用者共用資料庫使用者帳號與資料庫伺服器溝通,換言之無法辨識SQL指令所對應到的真正終端使用者,這樣的設計雖然保留了使用記錄,卻因為無法辨識終端使用者是誰,而使紀錄失去了意義。
要解決這項瓶頸,大多數的DAM產品都必須修改應用程式才能解決,但對現今的企業來說,修改應用程式工程浩大且有其風險,企業多半不會採行。
能辨識終端使用者真實身份,才能落實使用記錄與證據保存
庫柏資訊的dbAegis資料庫活動監控系統,擁有獨家專利技術,可以在不修改應用程式的前題下,辨識終端使用者的真實身分。dbAegis擷取終端使用者與應用伺服器的連線紀錄,利用特別的演算法,進而比對應用伺服器與資料庫伺服器的SQL執行紀錄,找出每個SQL資料庫活動為前方哪個終端使用者所為,達到追究責任的目的。
能辨識終端使用者的DAM,所保存的使用紀錄才有意義,才能真正落實安全維護措施所要求的「必要使用記錄、軌跡資料及證據之保存」,萬一發生個資外洩事件時,才有舉證能力進行責任追究,使用者最好慎選DAM產品,方為上策。