GDPR 與居家辦公 | GDPR 遠端存取原則

擁有遠端員工的企業必須採取額外措施來保護其資料並管理員工存取。

學習目標

閱讀本文後,您將能夠:

  • 瞭解 GDPR 如何影響遠端員工
  • 瞭解遠端存取原則中要包含的內容

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是 GDPR?

一般資料保護規定 (GDPR) 是一部全面的資料隱私法,為個人資料的收集、處理、儲存和傳輸建立了框架。它要求以安全的方式處理所有個人資料,並包括對不遵循要求之企業的罰款和處罰。

遵守 GDPR 對任何企業來說都是一個挑戰,而使用遠端員工會帶來額外的複雜性。當企業的部分或全部員工和承包商在家工作時,內部資料保護團隊對資料安全的控制和可見度可能較低。強大的遠端存取安全性原則有助於保護受 GDPR 保護的個人和機密資料。

什麼是遠端存取原則?

遠端存取原則是針對遠端員工和裝置的一組安全性標準。公司的 IT 或資料安全團隊通常會設定原則。使用虛擬私人網路 (VPN)、在員工裝置上安裝反惡意軟體以及採用多重要素驗證 (MFA) 都是可以包含在遠端存取安全性原則中的範例。

GDPR 有哪些要求?

GDPR 是一套非常廣泛的法規。除其他事項外,它還要求資料控制者和處理者採取幾項具體動作。其中一些包括:

  • 保存記錄:資料處理者必須保存其處理活動的記錄。
  • 安全措施:資料控制者和處理者必須定期使用適當的安全措施並對其進行測試,以保護他們收集和處理的資料。
  • 資料外洩通知:遭受個人資料外洩的資料控制者必須在 72 小時內通知有關當局,例外情況除外。通常,他們還必須通知其個人資料受到洩露影響的個人。
  • 資料保護長:處理資料的公司可能需要聘請資料保護長 (DPO)。DPO 領導並監督所有 GDPR 合規工作。

GDPR 中描述了對資料控制者和處理者的完整要求。

由於資料安全是 GDPR 的主要關注點,允許員工居家辦公的公司需要確保採取正確的措施,來保護員工遠端存取的資料。

擁有遠端員工的企業應該做些什麼來確保資料安全?

因此,以下步驟是任何遠端存取原則的重要組成部分(並非詳盡清單):

保護傳輸中的資料和靜態資料。

傳輸中的資料是指正在從 A 點傳輸到 B 點的資料,例如,在 SaaS 應用程式和使用者裝置之間傳遞的資料。靜態資料是指儲存的資料,例如使用者筆記型電腦硬碟上的資料。這兩種情況下的資料都必須安全無虞。

存取控制加密是用於保護資料的關鍵技術。與所有員工一樣,遠端員工必須有充分的理由才能存取個人資料,並且必須追蹤和管理他們對這些資料的存取。身分識別與存取管理 (IAM) 技術有助於防止未經授權的人員檢視和更改資料。

此外,透過網路(包括網際網路)傳遞的資料應使用 HTTPS、VPN 或其他方法進行加密。(基於雲端的應用程式可能會使針對遠端員工的這一規則更加複雜。請閱讀這篇關於企業 VPN 的文章以瞭解更多資訊。)此外,當資料在伺服器和硬碟中儲存或「靜態」放置時,也必須對其進行加密。為此,IT 團隊需要在所有裝置上實施加密安全性原則,在某些情況下,甚至還需在員工的個人裝置實施原則。

保護員工端點。

必須保護遠端員工端點裝置(如筆記型電腦、桌上型電腦和智慧型手機)免受網路攻擊,因為惡意軟體感染可能導致資料外洩。裝置至少應安裝反惡意軟體。安全 Web 閘道還可以在員工瀏覽網際網路時協助保護他們。

不過,與惡意軟體感染相比,裝置遺失甚至更為常見:員工意外將本機儲存了敏感性資料的筆記型電腦或智慧型手機遺忘在公共區域。這是裝置加密異常重要的另一個原因。

防禦網路釣魚攻擊和其他形式的帳戶盜用。

網路釣魚攻擊仍然是資料外洩的最常見原因之一。網路釣魚攻擊是指攻擊者誘騙使用者提供其登入認證,從而盜用使用者的帳戶。對於試圖保持合規的公司來說,帳戶盜用的影響可能是災難性的,因為攻擊者可以滲透到組織中並檢視、洩露或竊取消費者資料。

暴力攻擊和密碼噴灑攻擊也可能導致帳戶盜用,因此公司必須實施強密碼原則。應當無人能夠猜出任何員工的密碼,而且密碼應能夠承受大多數機器人攻擊。若有可能,企業應對使用的每個公司應用程式實作雙重驗證