首頁 > 資安知識庫 > 法規遵循與個人資料保護  > 法規與標準

GDPR已生效 企業加強網路安全的初步驟

作者:Fortinet (www.fortinet.com) 提供 -2018 / 08 / 17 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪
列舉一些受歐盟GDPR影響的主要產業,包括零售、醫療保健和金融服務業,建議採取預防措施,檢測和修復可能的資料洩露。

2018年5月25日生效的歐盟「一般資料保護規定」(GDPR; General Data Protection Regulation),該法律保護歐盟所有公民的個人資訊,並藉由罰款、制裁和受害方賠償來執法。受GDPR影響的產業必須審查涉及個人身份資訊(PII; Personally Identifiable Information)的所有流程,並評估其組織的因應狀況,以符合72小時資料洩露報告的要求。

GDPR適當地兼顧「歐盟公民掌控個人資料」,以及「企業責任」這兩方面的權益,能同時在正常營運和資料洩露的情況下保護這些資料。新的歐盟個人資訊重要保護措施,包括明確批准個人資料的使用權,以及「被遺忘權(right to be forgotten)」,讓民眾可以要求企業組織清除任何有關他們的個人資料。雖然實際身在歐盟區的企業和政府需要遵守GDPR,但也能施行於那些擁有重要歐盟客戶或客戶群的公司。

儘管期即已到,但大部分服務歐盟市場或需要獲取個人身份資訊以進行重大交易的企業,仍未做好充分準備。根據之前安永會計師事務所(Ernst & Young)舉辦的第三屆雙年度鑑識資料分析調查顯示,亞太地區只有12%的企業制定了GDPR合規計畫。

雖然GDPR對民營和公部門如何處理個資有所影響,但某些主要產業會因為個資的處理數量和業務性質,而有更高的曝露風險。這些包括全球營運的電子商務企業,以及為大量來自歐盟的遊客、旅客或外籍人士提供服務的公司。

我們列舉出可能會受到GDPR影響的前三大行業:
v零售業-包括跨境電子商務、零售連鎖業、酒店業、旅遊和餐飲服務。為歐盟客戶提供服務的實體企業,也會發現自己有責任採取GDPR PII的保護措施。使用信用卡或簽帳卡來支付、提供送貨地址資訊,或是參與客戶忠誠計畫,這些都屬於GDPR的保護範圍。
v醫療保健-GDPR將其涵蓋範圍,擴展到儲存或處理歐盟人民醫療資訊的非歐盟組織。GDPR為處理特定個資類型的醫療資訊,提供了特別嚴格的保護和流程。一般而言,只有在需要患者治療和診斷時,以及在患者明確同意的情況下,醫療單位才可以蒐集和處理個人醫療資訊。 GDPR也提及基因資料是一個值得關注的領域。
v金融服務-金融機構往往擁有帳戶持有者大量的個資,也因為他們消費而不斷累積高度的個人行銷資料,來支援金融服務的銷售,同時評估企業和個人客戶的信用狀況。 


1
推薦此文章
4
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…