GDPR 和居家办公| GDPR 远程访问策略

为遵从一般数据保护条例(GDPR),具有远程员工的企业必须采取额外的举措来保护数据和管理员工访问。

Share facebook icon linkedin icon twitter icon email icon

GDPR 远程访问

学习目标

阅读本文后,您将能够:

  • 了解 GDPR 对远程员工的影响
  • 了解远程访问策略应包含的内容
  • 了解 Cloudflare 如何帮助公司保持 GDPR 合规性

什么是 GDPR?

一般数据保护条例(GDPR)是一套面向个人数据收集、存储和处理的规则。GDPR 适用于所有收集欧盟(EU)公民相关数据的公司。违反 GDPR 的企业将面临严厉的罚款和处罚,甚至包括不在欧盟境内的企业。

对于任何企业而言,遵从 GDPR 是一项挑战,而雇佣远程员工更会带来额外的复杂性。当企业的一部分或所有员工和承包商居家办公时,内部数据保护团队可能会失去对数据安全性的控制和可见性。严格的远程访问安全策略可以帮助保护纳入 GDPR 保护范围的个人和机密数据。

什么是远程访问策略?

远程访问策略是一系列面向远程员工和设备的安全标准。公司的 IT 或数据安全团队通常负责制定这些策略。使用虚拟专用网络(VPN)、在员工设备上安装反恶意软件以及多因素身份验证(MFA)都是可纳入远程访问安全策略的例子。

GDPR 有什么要求 ?

GDPR 是一套非常广泛的法规。简单说来,GDPR 的要求主要包括以下几项:

  • 消费者必须知道收集了哪些有关他们的数据
  • 如果消费者要求删除他们的个人数据,公司必须予以删除
  • 消费者必须能够将其数据从一家公司转移到另一家公司
  • 在收集数据之前,企业必须征得消费者的明确同意
  • 个人数据必须进行加密
  • 个人数据必须“假名化处理”,使其不与任何人关联
  • 未经授权的人应无法查看个人数据
  • 遭受数据泄露导致个人数据曝光的公司必须及时提醒有关当局
  • 公司不得与不适用 GDPR 的地区内的第三方或不合规的第三方共享个人数据
  • 达到一定规模的所有企业都必须指派专门的数据保护官

在这些要求中,一些要求不受雇佣远程员工的影响,另一些则直接受到影响。另外,由于数据安全是 GDPR 的主要关注点,允许员工居家办公的公司需要确保采取了正确的步骤,以保护其员工远程访问的数据。

GDPR 对从欧盟境外访问数据有何要求?

许多欧盟公司在海外设有办事处,或要管理位于其他地区的远程员工。只要个人数据保留在同一组织内并且不对外公开,即使有非 GDPR 地区的授权员工访问这些数据,这些公司仍然合规。

例如,假设鲍勃就职于一家收集消费者数据的法国公司,他在美国(不适用 GDPR)工作了一个月。即使他在美国时从自己的笔记本电脑查看消费者数据,其公司仍然符合 GDPR 要求。当然,只有数据仍然安全时才合规。

不过,这个逻辑不适用于独立承包商和外部机构,因为它们是组织外部的第三方。如果另一国家/地区的不合规远程承包商访问了鲍勃公司的数据,这就违反了 GDPR。

因此,在管理分散于各地的员工时,必须执行严格的访问控制。只有组织内指定的授权人员才可访问欧盟公民数据。

拥有远程员工的企业还应采取哪些措施来确保 GDPR 合规性?

一般而言,GDPR 的主要目标是确保消费者的数据既安全又私密。因此,以下步骤是任何远程访问策略非常重要的组成部分(并非详尽列表):

保护传输中和静止的数据。

传输中的数据是指正在从 A 点传送到 B 点的数据。例如,在 SaaS 应用程序和用户设备之间传递的数据。静止的数据是指存储的数据,例如用户笔记本电脑硬盘驱动器中的数据。无论哪种情形,都必须保护数据安全。

访问控制和加密是保护数据的关键技术。与所有员工一样,远程员工必须有充分的理由才能访问个人数据,并且他们对这些数据的访问必须受到跟踪和管理。身份和访问管理(IAM)技术有助于防止未经授权的人员查看和更改数据。

此外,通过网络(包括 Internet)传递的数据应使用HTTPS、VPN 或其他方法进行加密。(基于云的应用程序会使此规则在适用于远程员工时变得复杂。请阅读这篇有关商用 VPN 的文章来了解更多信息。)另外,数据在存储到服务器和硬盘驱动器时(静止时)也必须加密。为此,IT 团队需要在所有设备上实施与加密相关的安全策略,在某些情况下甚至也包括员工的个人设备。

保护员工端点。

必须保护远程员工端点设备(如笔记本电脑、台式计算机和智能手机)以防网络攻击,因为恶意软件感染可能会导致数据泄露。至少应在设备上安装反恶意软件。安全 Web 网关也有助于在员工浏览 Internet 时为其保驾护航。

不过,与恶意软件感染相比,设备遗失甚至更为常见:员工意外将本地存有敏感数据的笔记本电脑或智能手机遗忘在公共区域。这是设备加密异常重要的另一个原因。

防范网络钓鱼攻击和其他形式的帐户接管。

网络钓鱼攻击仍然是造成数据泄露的最常见原因之一。网络钓鱼攻击是指攻击者诱使用户交出其登录凭证,从而使他们能够接管用户的帐户。对于努力保持合规性的公司而言,帐户接管的后果可能是灾难性的,因为攻击者随后可以侵入组织并且查看、泄漏或窃取消费者数据。

暴力攻击和密码喷洒攻击也可导致帐户接管,因此公司必须执行严格的密码策略。应当无人能够猜出任何员工的密码,而且密码应能够承受大多数机器人攻击。若有可能,企业应对使用的每个公司应用程序实施双因素身份验证

Cloudflare 如何协助 GDPR 合规?

Cloudflare for Teams 可以帮助保护数据,而且无论团队位于何处。Cloudflare Access 通过将公司资源置于 Cloudflare 全球网络后方,以便公司在不依赖 VPN 的前提下实施安全访问管理。Cloudflare Gateway 通过 DNS 过滤阻止恶意网站,提供对公司网络内外流量的完全可见性,并利用浏览器隔离来抵御零日威胁。公司可以利用 Cloudflare for Teams 提高安全性,降低因数据泄露而无法遵从 GDPR 的风险。

Cloudflare 本身也遵从 GDPR,这利于 Cloudflare 客户保持合规。