數(shù)據(jù)越多，問(wèn)題越多

廠商和解決方案提供商致力于讓客戶應(yīng)對(duì)GDPR不那么困難，推出了各種功能和能力評(píng)估GDPR相關(guān)數(shù)據(jù)所在位置、將用戶意愿偏好付諸行動(dòng)、讓用戶能夠統(tǒng)一查看關(guān)于企業(yè)組織的所有數(shù)據(jù)、以及為未來(lái)管理GDPR數(shù)據(jù)制定計(jì)劃。

歐盟在2016年4月通過(guò)了“通用數(shù)據(jù)保護(hù)條例”（簡(jiǎn)稱GDPR），并于本周五開(kāi)始實(shí)施。該條例旨在讓歐盟公民和居民更好地控制他們個(gè)人數(shù)據(jù)被使用的方式。

為了更好地解決大量GDPR相關(guān)需求，安全廠商們已經(jīng)開(kāi)始致力于讓識(shí)別和隔離非結(jié)構(gòu)化數(shù)據(jù)、在IT管理員區(qū)域內(nèi)保留記錄、設(shè)置閾值以便企業(yè)組織更專注于帶有個(gè)人身份信息集群區(qū)域（PII）變得容易一些。

下面就讓我們來(lái)看看這13家廠商和解決方案提供商首席執(zhí)行官和技術(shù)領(lǐng)導(dǎo)在幫助客戶簡(jiǎn)化GDPR合規(guī)性方面都做了哪些工作。

高級(jí)策略管理器

根據(jù)美國(guó)俄勒岡州波特蘭市Janrain公司的首席執(zhí)行官Jim Kaskade表示，Janrain的Advanced Policy Manager允許企業(yè)定義如何使用和執(zhí)行關(guān)于用戶同意的政策，一旦有人訪問(wèn)這些數(shù)據(jù)，實(shí)時(shí)規(guī)則引擎就會(huì)對(duì)這些數(shù)據(jù)進(jìn)行查詢。

Kaskade表示，一旦同意被撤銷(xiāo)，Advanced Policy Manager就會(huì)從下游系統(tǒng)中刪除數(shù)據(jù)，以免數(shù)據(jù)被人不恰當(dāng)?shù)厥褂谩?/p>

據(jù)Kaskade稱，Janrain在2017年5月25日發(fā)布該產(chǎn)品，也就是GDPR執(zhí)行生效的前一年，該產(chǎn)品用于管理和審計(jì)有關(guān)GDPR的政策。

具體來(lái)說(shuō)，圍繞個(gè)人信息的每個(gè)元素提供的中央管理和精細(xì)控制（例如，用戶可以同意使用他們的名字，但地址不行）都是GDPR所要求的。

顯示GDPR業(yè)務(wù)數(shù)據(jù)所在位置的評(píng)估工具

位于美國(guó)馬薩諸塞州沃爾瑟姆的Digital Guardian公司全球渠道副總裁Marcus Brown表示，Digital Guardian在過(guò)去的一年中通過(guò)渠道提供了一套打包的評(píng)估工具，合作伙伴可以利用這些評(píng)估工具掃描客戶的GDPR項(xiàng)目。

這種快速實(shí)施的評(píng)估工具能夠快速掃描GDPR數(shù)據(jù)，并創(chuàng)建一份報(bào)告，顯示企業(yè)相關(guān)的GDPR敏感數(shù)據(jù)是如何激增的。Brown表示，客戶可以清楚地了解自己當(dāng)前的風(fēng)險(xiǎn)水平，這些評(píng)估與GDPR是高度相關(guān)的，因?yàn)槠髽I(yè)需要了解哪些方面可能發(fā)生違規(guī)行為以防止這些行為的發(fā)生。

Brown表示，該工具目前在歐洲市場(chǎng)提供，并且已被證明在該地區(qū)非常受歡迎，客戶使用這些工具初步掌握自己可能存在的GDPR相關(guān)問(wèn)題。Brown說(shuō)，該工具還給他們帶來(lái)了一些列強(qiáng)大的后續(xù)業(yè)務(wù)，許多客戶選擇實(shí)施更完整的產(chǎn)品以獲得持續(xù)的可見(jiàn)性和保護(hù)。

使用分布式賬本重建身份驗(yàn)證系統(tǒng)

位于多倫多的SecureKey Technologies公司首席執(zhí)行官Greg Wolfond表示，SecureKey Technologies正在通過(guò)設(shè)計(jì)要求和消除集中節(jié)點(diǎn)中任何數(shù)據(jù)可見(jiàn)性，來(lái)重建其認(rèn)證系統(tǒng)以滿足監(jiān)管隱私要求。

為確保存在三重盲隱私，Wolfond表示SecureKey正在使用區(qū)塊鏈或分布式賬本方法重新改寫(xiě)認(rèn)證系統(tǒng)。一旦工作完成，中間的網(wǎng)絡(luò)將無(wú)法看到任何加密或未加密的數(shù)據(jù)，并且中央節(jié)點(diǎn)無(wú)法知道用戶登錄納稅或者失業(yè)系統(tǒng)時(shí)都訪問(wèn)了哪些信息。

Wolfond說(shuō)，SecureKey在重建過(guò)程中所做的一切都與GDPR保持一致，也就是消費(fèi)者是數(shù)據(jù)的核心，每次共享數(shù)據(jù)時(shí)都需要得到他們的同意。Wolfond表示，為期三年的重建預(yù)計(jì)在今年秋季完成，并且需要與SecureKey的銀行合作伙伴展開(kāi)合作，因?yàn)樗麄冃枰軌蚺c該系統(tǒng)進(jìn)行交互。

確定GDPR職責(zé)的基準(zhǔn)評(píng)估

位于美國(guó)休斯敦的Accudata Systems公司咨詢服務(wù)負(fù)責(zé)人Paul Kendall表示，Accudata Systems提供的基準(zhǔn)評(píng)估可以幫助客戶了解他們必須采取何種程度的補(bǔ)救措施，以符合GDPR標(biāo)準(zhǔn)。

Kendall說(shuō)，典型的基準(zhǔn)評(píng)估包括進(jìn)行業(yè)務(wù)和IT方面的廣泛面談，目的是弄清楚獲取了哪些數(shù)據(jù)、數(shù)據(jù)來(lái)自何處以及它如何流經(jīng)企業(yè)組織。

在這個(gè)過(guò)程中，Accudata通過(guò)差距評(píng)估告訴客戶他們目前的狀況、GDPR要求什么、以及他們需要什么才能達(dá)到要求。Kendall說(shuō)，Accudata通常會(huì)根據(jù)客戶情況以及滿足合規(guī)性要求的復(fù)雜程度來(lái)對(duì)各項(xiàng)改進(jìn)設(shè)置優(yōu)先級(jí)。

DLP產(chǎn)品中專門(mén)針對(duì)GDPR數(shù)據(jù)的爬蟲(chóng)程序

位于美國(guó)奧斯汀的Forcepoint公司CISO Allan Alford表示，F(xiàn)orcepoint的DLP（數(shù)據(jù)丟失防護(hù)）產(chǎn)品除了具有桌面代理和阻止項(xiàng)目外，還提供了一個(gè)爬蟲(chóng)程序，它可以在網(wǎng)絡(luò)中查查看文件共享、網(wǎng)絡(luò)文件夾和內(nèi)部數(shù)據(jù)庫(kù)。

Alford表示，F(xiàn)orcepoint在2017年上半年推出了一個(gè)爬蟲(chóng)程序，專門(mén)針對(duì)GDPR類(lèi)型的信息和數(shù)據(jù)。他說(shuō)，用戶所要做的就是輸入國(guó)家名稱和他們尋找的信息的類(lèi)型（例如法國(guó)政府定義的所有個(gè)人身份信息實(shí)例）。他說(shuō)，這個(gè)爬蟲(chóng)程序會(huì)進(jìn)入數(shù)據(jù)庫(kù)，為客戶找到這些信息。

Alford表示：“這個(gè)工具真的很棒，是一款非常成功和有用的工具，只有少數(shù)廠商在做類(lèi)似的事情。”

數(shù)據(jù)治理產(chǎn)品

位于美國(guó)丹佛市的Ping Identity公司CTO辦公室負(fù)責(zé)人Baber Amin表示，Ping Identity的數(shù)據(jù)治理產(chǎn)品提供基于靜態(tài)或動(dòng)態(tài)規(guī)則的細(xì)粒度訪問(wèn)。該產(chǎn)品可以讀取已經(jīng)得到同意的信息，基于此客戶能夠做出實(shí)時(shí)的決定，以什么樣的方式使用什么樣的數(shù)據(jù)。

Amin表示，到目前為止客戶主要查看他們有什么數(shù)據(jù)、以及數(shù)據(jù)位于何處，以便弄清楚他們需要采用什么樣的系統(tǒng)。Amin說(shuō)，Ping Identity現(xiàn)在剛剛開(kāi)始看到有越來(lái)越多的實(shí)際支出花在了技術(shù)控制上，旨在解決企業(yè)希望未來(lái)如何管理數(shù)據(jù)的問(wèn)題。

Amin預(yù)計(jì)大多數(shù)技術(shù)控制方面的支出將發(fā)生在今年下半年，強(qiáng)調(diào)強(qiáng)大的身份驗(yàn)證、強(qiáng)大的加密保護(hù)以保護(hù)靜止數(shù)據(jù)、以及檢查數(shù)據(jù)層的治理情況。

發(fā)現(xiàn)并映射數(shù)據(jù)

位于美國(guó)新澤西州蒙特韋爾的Gotham Technology Group公司首席技術(shù)官Ken Phelan表示，GDPR合規(guī)性的初期階段實(shí)際主要集中在發(fā)現(xiàn)和映射方面，企業(yè)組織可以找出數(shù)據(jù)的位置、數(shù)據(jù)如何移動(dòng)、分類(lèi)數(shù)據(jù)和數(shù)據(jù)流。

Phelan說(shuō)，企業(yè)組織經(jīng)的數(shù)據(jù)情況要比他們最初想象地復(fù)雜得多，他們數(shù)據(jù)所處的界限遠(yuǎn)遠(yuǎn)超出了結(jié)構(gòu)化數(shù)據(jù)庫(kù)的范圍，擴(kuò)展到了非結(jié)構(gòu)化電子表格和影子IT應(yīng)用例如Dropbox。

他說(shuō)，當(dāng)客戶遇到數(shù)據(jù)流問(wèn)題時(shí)，就會(huì)選擇網(wǎng)絡(luò)分化和東西方向的防火墻。Phelan表示，這是圍繞特權(quán)訪問(wèn)和控制誰(shuí)有控制權(quán)的問(wèn)題，因?yàn)橐坏┯脩臬@得管理訪問(wèn)權(quán)限，游戲就結(jié)束了。

超越法律風(fēng)險(xiǎn)的整體咨詢方法

位于芬蘭艾斯堡的解決方案提供商GDPR Tech公司創(chuàng)始人兼首席執(zhí)行官Juha Sallinen表示，那些最關(guān)心GDPR法規(guī)的大型客戶，已經(jīng)花了大量時(shí)間在衡量法律后果上，現(xiàn)在他們需要更全面的視角。

Sallinen說(shuō)，GDPR Tech為客戶提供了一個(gè)全景視圖，不僅覆蓋關(guān)注法律方面，還涉及安全、息治理、人員和流程。

Sallinen表示，對(duì)于沒(méi)有對(duì)GDPR做好準(zhǔn)備的客戶來(lái)說(shuō)，GDPR Tech舉辦了幾個(gè)探討目前最重要問(wèn)題的研討會(huì)，因?yàn)楹芏喙救狈π畔⒅卫?，也沒(méi)有任何形式的風(fēng)險(xiǎn)評(píng)估。在這方面， GDPR Tech試圖幫助客戶了解數(shù)據(jù)從哪里進(jìn)入公司，以及他們隱藏?cái)?shù)據(jù)可能帶來(lái)的風(fēng)險(xiǎn)。

隱私和配置管理儀表板

位于美國(guó)舊金山的ForgeRock公司金融服務(wù)和法規(guī)副總裁Nick Caley表示，F(xiàn)orgeRock的隱私和配置資料管理儀表板是對(duì)企業(yè)現(xiàn)有身份管理模塊的擴(kuò)展，讓企業(yè)組織能夠從單一位置管理個(gè)人、他們的設(shè)備、他們?cè)L問(wèn)的服務(wù)這整個(gè)生命周期。

該公司一直致力于幫助企業(yè)通過(guò)讓來(lái)自不同業(yè)務(wù)領(lǐng)域的人員加入其中為企業(yè)提供單一視圖來(lái)管理身份?，F(xiàn)在，通過(guò)新的儀表盤(pán)，F(xiàn)orgeRock已經(jīng)將這樣的單一視圖擴(kuò)展到最終用戶，使企業(yè)更容易滿足GDPR要求，讓用戶可以訪問(wèn)企業(yè)組織內(nèi)關(guān)于用戶的數(shù)據(jù)。

Caley說(shuō)，這個(gè)儀表板為最終用戶提供了可見(jiàn)性可了解企業(yè)是如何使用關(guān)于用戶的數(shù)據(jù)，與內(nèi)部處理相關(guān)的，以及他們與第三方共享的信息。

項(xiàng)目組合管理

為了遵守包括GDPR在內(nèi)的一些隱私政策，CA Technologies現(xiàn)在允許企業(yè)在項(xiàng)目組合管理（PPM）工具集中匿名處理非動(dòng)態(tài)資源的個(gè)人信息。根據(jù)CA Technologies的說(shuō)法，得到授權(quán)的管理員或經(jīng)理也可以匿名自定義資源數(shù)據(jù)。

資源ID、名字、中間名、姓氏和電子郵件地址現(xiàn)在都是做了匿名化處理，資源信息顯示為帶有序列化代碼值的擾碼。CA Technologies表示，現(xiàn)在在網(wǎng)站的各個(gè)部分不再能夠訪問(wèn)到客戶個(gè)人數(shù)據(jù)，包括聯(lián)系信息、用戶信息、審計(jì)跟蹤數(shù)據(jù)、費(fèi)率矩陣、賬單數(shù)據(jù)和會(huì)話。

CA Technologies首席隱私策略師Christoph Luykx表示，CA Technologies還在PPM工具中添加了一項(xiàng)功能，讓企業(yè)在數(shù)據(jù)主體提出請(qǐng)求時(shí)可以輕松刪除數(shù)據(jù)。

SecurityIQ敏感數(shù)據(jù)發(fā)現(xiàn)規(guī)則集

位于美國(guó)奧斯汀的SailPoint公司首席產(chǎn)品官Paul Trulove表示，目前SailPoint看到企業(yè)在安全方面存在最大空白就是無(wú)法掌握誰(shuí)訪問(wèn)了文件和文件存儲(chǔ)系統(tǒng)。

Trulove表示，在2017年第四季度SailPoint開(kāi)始提供其最新版本的SecurityIQ身份治理工具，采用一項(xiàng)新的GDPR策略，其中有針對(duì)非結(jié)構(gòu)化數(shù)據(jù)預(yù)先制定的規(guī)則。這是針對(duì)企業(yè)文件存儲(chǔ)環(huán)境的，幫助隔離非結(jié)構(gòu)化數(shù)據(jù)實(shí)例或那些在本應(yīng)位置之外的數(shù)據(jù)實(shí)例。

總而言之，Trulove表示這個(gè)敏感數(shù)據(jù)發(fā)現(xiàn)規(guī)則集讓SailPoint及其客戶專注于那些審計(jì)發(fā)現(xiàn)存在合規(guī)性空白可能性非常高的領(lǐng)域。根據(jù)Trulove的說(shuō)法，客戶的接受度能夠提供更全面的覆蓋GDPR等法規(guī)的信息。

始終保持在區(qū)域內(nèi)的會(huì)話記錄

位于美國(guó)馬薩諸塞州牛頓的CyberArk公司EMEA客戶開(kāi)發(fā)總監(jiān)David Higgins表示，CyberArk一直為客戶提供客戶IT管理員正在做什么的記錄，這些記錄需要存儲(chǔ)在某個(gè)地方。

作為IT管理員角色的副產(chǎn)品，Higgins表示他們可能會(huì)查看用戶數(shù)據(jù)，反過(guò)來(lái)這意味著記錄會(huì)話實(shí)際上是在獲取他們的數(shù)據(jù)。Higgins表示，為了遵守GDPR，CyberArk已經(jīng)讓客戶可以將這些會(huì)話保留在區(qū)域內(nèi)，以確保關(guān)鍵用戶數(shù)據(jù)留在歐盟內(nèi)，最終不會(huì)保存在美國(guó)或亞洲某個(gè)地方。

Higgins表示，地域上的控制是在去年推出的，該工具集的模塊化設(shè)計(jì)使CyberArk能夠控制數(shù)據(jù)流動(dòng)的位置，而無(wú)需對(duì)架構(gòu)進(jìn)行重大改動(dòng)。

搜索GDPR分類(lèi)數(shù)據(jù)的模板

位于美國(guó)加利福尼亞州桑尼維爾的Druva公司產(chǎn)品和聯(lián)盟營(yíng)銷(xiāo)副總裁Dave Packer表示，Druva在幾個(gè)月前推出了一個(gè)模板，該模板允許企業(yè)在整個(gè)生態(tài)系統(tǒng)中搜索與GDPR相關(guān)的數(shù)據(jù)，而不必為GDPR數(shù)據(jù)的每個(gè)特征進(jìn)行單獨(dú)配置。

Packer表示，為了構(gòu)建模板，Druva需要查看整個(gè)歐盟國(guó)家的系統(tǒng)，了解構(gòu)成識(shí)別信息以及需要追蹤的各種要素。因此，Druva構(gòu)建了模板來(lái)識(shí)別這些要素，并設(shè)置了閾值，以便將重點(diǎn)放在大量敏感數(shù)據(jù)而不是單個(gè)實(shí)例上。

Packer說(shuō)，例如用戶機(jī)器上的單個(gè)驅(qū)動(dòng)程序許可證號(hào)碼可能有問(wèn)題，也可能沒(méi)有問(wèn)題，但單個(gè)機(jī)器上的十個(gè)驅(qū)動(dòng)程序號(hào)碼可以很好地表明用戶可以訪問(wèn)敏感文件。他表示，Druva已經(jīng)調(diào)整了其參數(shù)以提高效率，將誤報(bào)和漏報(bào)的可能性降至最低，同時(shí)仍然能夠獲得假定的違規(guī)情況。