2020年2月24-28日,网络安全行业盛会RSA大会在旧金山拉开帷幕。RSAC正式宣布入选本年度创新沙盒十大创业公司之一。绿盟科技已经引入了ElevateSecurity、Sqreen、AppOmni、TalaSecurity、ForAllSecure、INKY、BluBracket、VulcanCyber??等八家厂商。它是:Securiti.ai。一、公司介绍Securiti.ai成立于2018年11月,总部位于美国加州硅谷。目前融资总额已达8100万美元,最近一笔是由GeneralCatalyst领投,Mayfield参投的5000万美元B轮融资。其创始人兼首席执行官是RehanJalil,拥有丰富的网络安全经验和管理背景。先后担任Elastica和Bluecoat的CEO,后任赛门铁克云安全部门高级副总裁。公司致力于隐私合规自动化,利用AI、PeopleDataGraph等先进技术,使隐私合规合规从传统繁琐的人工操作变为一站式自动化成为可能,帮助企业快速合规例如GDPR和CCPA法规。2020年1月1日,CCPA(《加州消费者隐私法案》)生效。如何快速、有条不紊地满足隐私法案是众多硅谷巨头(谷歌、Facebook、苹果等)和中小企业的一大痛点。在此背景下,Securiti.ai凭借其解决方案和技术实力入选2020年RSA大会创新沙盒十强之一。值得一提的是,作为隐私数据治理(遵循GDPR),BigID获得了2018年创新沙盒冠军;作为一家同样专注于隐私合规产品(遵循CCPA)的创新公司,Securiti.ai能否胜出?今年RSA创新沙盒的冠军?值得期待!二、背景为了保护公民的个人信息和隐私,全球掀起了隐私法规的立法热潮。2018年5月25日,欧盟正式颁布《通用数据保护条例》(通用数据保护条例,GDPR),保护欧盟成员国企业的个人数据,以及欧盟以外企业对欧盟公民个人数据的处理。欧洲联盟。受GDPR影响,全球各国纷纷出台类似的个人信息保护法规,如巴西的LGPD、印度的PDPB、泰国的PDPA等。我国于2017年6月1日正式实施?,并于去年发布《数据安全管理办法(征求意见稿)》,对个人信息安全提出了诸多规定和约束。2019年10月,加州州长正式签署了《加州消费者隐私保护法》(CaliforniaConsumerPrivacyAct,CCPA)最终法案,该法案于今年1月1日生效。从GDPR执法的角度来看,违规罚款的成本很高。例如,法国在2019年1月对谷歌处以5000万欧元的罚款,原因是谷歌隐私政策的设计非常难以让用户理解,尤其是在个性化广告推荐方面;该集团分别处以1.83亿英镑和9900万英镑的罚款,均因企业数据保护措施不力导致数据泄露;德国对互联网公司DeliveryHero处以20万欧元的罚款,原因是当客户要求删除个人数据时,他们没有这样做。及时响应。关于CCPA的实施,根据IAPP和OneTrust进行的CCPAReadiness调查结果,74%的受访者认为他们的雇主应该遵守CCPA,但遗憾的是,只有约2%的受访者认为他们的公司有全面实施CCPA。准备好与CCPA打交道。这些隐私法规迫使公司思考以下一些问题:存储了哪些消费者的个人数据?它们分布在哪些系统中?是否满足对客户数据访问、更新、删除的即时响应权?应用程序与第三方共享的数据问题?对于大多数企业来说,这是一系列的合规痛点。Securiti.ai正在抓住这种普遍的吸引力,并使用AI和PeopleDataGraph等先进技术使繁琐的过程更加自动化。三、公司产品及解决方案1、产品介绍Securiti.ai的产品叫Privaci。该公司的CEOJalil将其描述为“PrivacyOps”解决方案,并写了一本书介绍该产品的功能和架构思路[6]。Jalil将PrivacyOps概括为理念、实践、跨职能协作、自动化和业务流程的结合,可提高组织可靠、快速地遵守众多全球隐私法规的能力。通俗地说,传统的隐私合规请求处理是人工的、缓慢的,而PrivacyOps可以实现合规请求的批量化、自动化处理,并定期评估和检测合规风险,可以帮助企业快速满足全球合规要求。遵守隐私法规的要求。该公司官网展示了PrivacyOps的五个子产品:DataFulfillmentAutomation、PDLinkingAutomation、AssessmentAutomation、ThirdPartyRiskAssessment和ConsentLifecycle。为了便于理解,绿盟科技将五款产品分为三类:前两类是合规处理类产品,响应消费者数据权利请求(访问权、修改权、更新权等),后两类是合规风险类产品评估产品,以及数据授权处理的最后一个合规检查产品。(1)数据实现自动化CCPA和GDPR等隐私法规赋予数据主体(消费者)访问、修改和删除数据的权利。例如,在CCPA1798.100中规定“在收到消费者访问个人信息的请求后,企业应立即通过邮件或电子方式向消费者披露和传输所请求的数据”;GDPR也有类似的规定,要求企业一个月内响应所有请求,如果请求过于复杂,可以延长至两个月。这种合规场景可以理解为企业需要提供两个功能:为消费者提供数据维权请求的窗口;以及即刻响应或限时响应,假设每天有1000个用户请求,如果通过人工操作查询相关系统,人工生成1000个用户个人信息数据报表,工作量巨大,容易出现操作错误.因此,迫切需要一种流程自动化的方法,DataFulfillmentAutomation产品可以将流程自动化消费者数据权利请求-响应并生成合规审查报告。其产品运行流程如下:构建一个或多个动态请求表单并将其嵌入到客户的网站中,类似于网站插件。使用此插件,可以轻松接受数据主体请求(DSR)。收集DSR请求并根据用户身份创建DSR工作流。为避免处理不当和欺诈,该过程需要对用户进行身份验证。下图是JohnA,用户想查看网站收集的数据。除了数据访问之外,还可以编辑甚至删除收集到的个人数据。DSR工作流提交到后台,后台有机器人助手Auti,可以关联用户JohnA.的数据,帮助完成DSR任务,同步系统。生成DSR履行的审计报告,以证明遵守隐私合规性。(2)PDLinkingAutomationPDLinkingAutomation(个人数据链接自动化)产品通过强大的数据管理能力和PeopleDataGraph技术,将企业在不同时间、不同系统中收集和存储的数据主体的所有相关数据进行链接。例如,数据主体的IP地址、身份证号码、驾照号码、照片、出生日期、住址、收入等个人信息。根据PrivacyOps一书的详细介绍,该相关技术的应用产品主要有以下三个应用场景:协助之前的产品DataFulfillmentAutomation生成个人数据的相关报告。例如,用户向谷歌请求访问个人信息后,谷歌有多个产品和系统在浏览器服务器上记录用户注册信息和cookie信息,同时也在邮件服务器上记录同一用户的个人信息。同一数据主体的信息存储在两个系统中,但大多数公司不会链接这两个系统。但GDPR和CCPA要求企业向消费者披露数据主体的相关个人信息,因此相关技术非常重要;跨国公司个人数据的治理和可视化。跨国企业的数据存储和处理服务器分布在世界各地。如果个人信息主体的信息与用户的国籍或居住地(欧盟、加利福尼亚、美国)相关联,则可以可视化数据分布的世界热图,更好地洞察不同国家的法规合规风险和地区;数据泄露后及时通知受影响的数据主体。例如,对于个人信息数据库泄露(如果没有邮箱、电话等联系方式),可以通过关联邮箱、电话等信息快速通知泄露用户,满足合规要求。通过向聊天机器人Auti提问,可以触发操作流程自动执行,生成宏观的个人数据地图和评论报告。(3)评估自动化AssessmentAutomation(内部评估)可以对企业内部系统进行隐私风险评估。产品系统内置了不同的合规模板,如GDPR和CCPA,每个合规模板对应各种合规检查表和问题。为高效完成隐私风险评估,产品提供协同平台,多位安全专家可分工排查、答疑解惑。协作平台收集所有输入和检查,最终生成评估报告。报告生成后,企业可选择与第三方机构或消费者共享,以展示控制隐私风险的能力。(4)第三方风险评估在GDPR中,有两个重要的数据处理机构:数据控制者(Controllers)和数据处理者(DataProcessor),数据控制者是数据主体的第一联系人,负责数据的收集和处理,数据处理者在大多数场景下都是第三方机构。例如,零售机构(数据控制者)收集用户信息,并租用亚马逊云服务器(数据处理)进行数据存储和计算。根据GDPR规定,零售机构的监管责任更大,在选择数据处理者时必须慎重选择,通过适当的技术和组织措施确保其有能力满足GDPR的要求。CCPA也有类似的规定。当企业与第三方进行个人信息交互,第三方违反数据分发行为时,涉事企业也需承担一定的法律责任。尤其是大公司,合作伙伴众多,数据交互和流通越来越多。为降低监管风险,不仅要确保内部合规隐私合规,还要确保合作的第三方是可信赖的,隐私风险控制水平达到安全级别。ThirdPartyRiskAssessment(第三方机构的风险评估)很好的解决了上述痛点。可邀请多个与企业合作的第三方机构共同接入评估平台进行隐私风险评估。它尽可能多地使用可用信息。这些数据,包括各网站的隐私声明(privacystatements),由第三方机构的安全专家提供合规性证明和检查文件。在生成评估报告的同时,该产品还提供了统一的隐私风险评分服务。(5)ConsentLifecycleConsentLifecycle(权限生命周期管理)产品可应用于网站cookies的数据收集,征求用户同意,对标GDPR、CCPA等多项数据处理和利用的公开透明原则和其他规定。首先,服务商需要在自己的网站上部署ConsentLifecycle插件,如下图,提供用户授权设置的窗口。然后,用户可以在设置面板中授权网站的cookie信息用于那些用途,例如数据分析、广告推荐、社交发现、提供给第三方组织C1或C2公司等。那么,如果用户没有授权cookie信息用于广告,但是服务公司在后台广告推荐系统中使用了cookie信息,那么ConsentLifecycle就会监测到这种异常行为,并在后台触发告警,通知用户公司制止违反监管风险行为。2.合规方案上面介绍的公司五款产品可以组合起来标示CCPA(美国加州)、GDPR(欧盟)和LGPD(巴西)的隐私合规条款。公司官网提供三类隐私解决方案以符合法规要求。下面以CCPA解决方案为例,简单介绍一下产品功能和对标合规点。详细合规功能点请访问官网。数据主体请求DSR自动处理CCPA规定消费者有权访问、更新和删除数据。当用户提出合理诉求时,PrivacyOps解决方案可以自动收集、接收和处理数据主体请求(DataSubjectRequest,DSR),并自动生成DSR报告。具体参考CCPA1798.100、1798.105、1798.110和1798.115的数据访问权限规定。这些规定规定,在收到消费者查阅个人信息的请求后,公司应立即以邮寄或电子方式向消费者披露和传输所要求的数据,否则将被视为违反规定。隐私风险评估通过使用协作、随时可用的PrivacyOps评估系统来衡量组织的隐私合规性,确定差距并解决风险以保持对CCPA法规的合规性。具体来说,根据CCPA1798.135.(1)(2)的相关条款,需要在互联网首页或隐私保护中显着、清晰的位置提供名为“Donotsellmypersonalinformation”的项目政策。消费者可以选择不出售个人信息数据。是的。个人数据自动链接发现存储在所有系统中的个人信息,并将其链接到个人数据的所有者。按身份可视化数据蔓延,并根据主体居住地识别合规风险。CCPA对处理加州居民个人数据的营利性实体进行监管,即加州以外的其他州,甚至处理加州居民用户数据的外国跨国公司,都会受到相关监管风险的影响。该功能直观展示了宏观风险分布状况,对标CCPA的治理和监管要求。除了上述合规需求,PrivacyOps解决方案还可以满足用户选择不出售数据的权利、默认不选择、隐私声明检测等合规需求。4.总结欧盟GDPR于2018年正式实施,2019年进入全面执法,众多企业巨额罚款相继开出。加州隐私法CCPA于今年1月生效。与GDPR一样,CCPA也是一部非常严格的隐私法,它赋予了消费者更多的数据权利,比如有权访问、修改、删除和不将数据出售给第三方等,同时提出了条款企业履行的义务。例如,企业在收到消费者访问个人信息的请求后,应立即采取措施(如信函或电子方式)公开并免费向消费者提供本节要求的个人信息(GDPR也有类似规定)).如何快速遵守CCPA是众多硅谷巨头(Google、Facebook、Apple等)和中小企业面临的一大痛点。违反规定意味着罚款和处罚。GDPR罚款上限为2000万欧元或全球总营业额的4%,而CCPA可具体到每个消费者,罚款上限为750美元(如果同时起诉10,000人,则相当于750万美元的罚款)。值得注意的是,GDPR不仅针对欧盟,CCPA也不仅仅针对加州的公司,只要是与欧盟或加州居民的跨国公司打交道,同样会受到域外监管和制约。Securiti.ai针对这个普遍的隐私合规市场和需求,将繁琐的合规合规化为智能化、自动化的处理,可以满足企业隐私合规的绝大部分需求。具体来说,Securiti.ai有以下亮点和优势:8100万美元的融资金额是十大创新沙盒中金额最高的(第二名ObsidianSecurity为2950万美元)。成立仅一年多时间就获得了多家投资机构的资金,从侧面展示了公司的发展前景和技术实力;它提供的产品比较丰富,官网一年内发布了5款合规产品。据官网显示,该公司目前拥有130名员工。同时,在人员扩充上开发迭代速度非常快;产品可以快速组合成解决方案,目前提供CCPA、GDPR和LGPD(巴西隐私法规)合规解决方案;公司技术创新能力不容小觑。公司掌握了PeopleDataGraph自主技术,将多个分散的个人信息关联到同一个数据主体,学术上称之为“实体识别”。这是一个棘手的技术问题。Securiti.ai号称可以整合云端,识别数据库、大数据系统等异构数据源,是一项伟大的创新。此外,公司利用NLP技术和聊天机器人Auti,提供友好且不枯燥的加工辅助功能。Securiti.ai依托实用且自动化的合规解决方案,以及不容小觑的创新实力。同时,在今年CCPA实施的大背景下,绿盟科技看好Securiti.ai,让我们拭目以待!·参考链接·[1]https://www.crunchbase.com/organization/securiti-ai#section-overview[2]SECURITI.ai入围RSA大会2020创新沙盒大赛决赛:https://privaci.ai/press-release/securiti-ai-selected-as-finalist-for-rsa-conference-2020-innovation-sandbox-contest/[3]Securiti.ai主页:https://securiti.ai/[4]2019网络安全观察:http://blog.nsfocus.net/wp-content/uploads/2020/01/2019-Cyber??security-Insights.pdf[5]https://iapp.org/resources/article/ccpa-readiness-survey/[6]PrivacyOps书:https://www.privaci.ai/request-book
