数据合规性和数据隐私都是部署任何保存客户或用户数据的应用程序时需要考虑的重要事项。然而,这两个数据管理领域有时会被误解。本文将阐明数据合规性和数据隐私之间的区别。什么是数据合规性?数据合规性是指在数据的收集、处理和存储方面满足某些法律义务的要求。例如,在欧洲拥有客户的公司必须遵守《通用数据保护条例》(GDPR)。这是一个法律框架,让消费者有权查看公司持有的关于他们的数据,反对他们的处理,并要求公司删除它。同样,在加利福尼亚州拥有客户的公司必须遵守加利福尼亚州消费者隐私法(CCPA)。除了GDPR/CCPA之外,其他合规框架的示例包括《健康保险流通与责任法案》(HIPAA)、SOC2审计框架和ISO/IEC27001标准。这可能包括公司为确保数据合规性而制定的一套政策、程序和审计。什么是数据隐私?数据隐私是关于保持敏感数据的私密性和机密性。如果数据合规性是数据管理的法律要求,那么保持数据私密性就是技术问题。隐私计划的目标是提倡数据隐私并确保只有授权用户才能在需要知道的基础上查看数据。它包括超出典型合规计划的元素。数据隐私通常适用于任何个人身份信息(PII),即可用于识别某人身份的任何数据。社会安全号码、电子邮件地址、IP地址等可能被视为PII。努力保护其数据隐私的公司需要采取措施对数据保密,并倡导与数据相关的个人隐私,即使合规性不需要。数据隐私机制必须到位,以确保只有授权人员才能访问数据。存储敏感数据关于数据合规性和数据隐私的误解之一是公司不能使用任何第三方工具来存储他们的数据,因此必须求助于“内部”解决方案。事实上,情况并非如此。第三方工具可能具有强大的访问控制和安全性,这些访问控制和安全性已在SOC2和ISO/IEC27001等第三方框架下经过严格审核,而“内部”数据存储可能允许通过普通根密码访问许多员工而无需任何强大的审计日志记录都可能远非合规。相反,工程师必须评估工具(无论是内部的还是外部的)以确保采用正确的机制来满足安全性和数据合规性标准。如果一家公司没有像对外部工具那样对内部工具采用同样严格的安全措施,则数据泄露的可能性可能会增加。合规性不仅仅是一个项目问题GDPR、SOC2和其他框架都是法律和运营框架。虽然它们对项目有重大影响,但这些框架会影响公司从法律到销售和支持的整个运营。如果一家公司需要与另一家企业合作,法律文件将为他们铺平道路。在AWS中设置“安全”环境并不一定意味着您符合SOC2标准。将数据存储在“内部”数据库中并不一定使其符合GDPR,因为支持和销售等团队需要操作程序。为了遵守GDPR,两家公司可以签署一份通常称为“数据处理附录”的法律文件,该文件定义了如何在不同方之间处理和保护数据。它将定义谁是数据控制者、谁是数据处理者、如何处理数据、SLA和违规期间的程序等。该协议应涵盖所有可归类为PII的数据,并确保其满足PII的要求相关合规规定。以GDPR为例,这意味着需要有一个流程供个人访问、反对和请求删除他们的数据,无论数据存储在何处。保持数据的私密性仅仅因为您符合GDPR或SOC2并不一定意味着数据是私密的,无论是存储在第三方工具中还是内部解决方案中。数据隐私是“超越”合规框架的艺术,尽一切努力确保客户数据的隐私。有几种不同的方法可以确保数据隐私。例如,Moesif平台有一个称为隐私规则的功能,它使您能够在需要知道的基础上使用基于角色的访问控制(RBAC)来限制对某些字段的访问。例如,您可以创建隐私规则,以确保帮助台员工无法查看或检查敏感的HTTP标头或PHI(受保护的健康信息),而分析师可能需要额外的访问字段才能进行报告。保持数据私密性的第二种方法是通过客户端加密,这是降低数据泄露风险和改善数据隐私的最新趋势。客户端加密使您能够使用很少有员工可以访问的一组轮换加密密钥来加密数据。维护底层数据基础设施和处理管道但没有业务需要的工程师可以查看实际数据,只要他们无权访问加密密钥,就不能。确保合规性和安心数据合规性和数据隐私是重要而严肃的话题,会影响组织中接触敏感数据或客户数据的任何人。法律、运营和工程部门应共同努力以确保合规性。此外,公司应努力实现超出合规框架要求的进一步数据隐私。这可用于数据伦理或减少数据泄露事件中的风险。原文链接:https://dzone.com/articles/what-is-the-difference-between-data-compliance-and原作者:DerricGilling
