首席隐私官 (CPO) 的工作可以说是企业中最艰巨的工作。他们的任务是确保组织拥有适当的程序和文档,来遵守越来越多的数据隐私法规。CPO也是做出基于隐私的决定和保护公司客户利益的重要存在。
自“数据即商品”时代开始以来,对正式隐私倡议的需求一直在稳步增长。但在过去几年中,由于 GDPR、CCPA、LGPD 和 PCI 等隐私法规数量的增加,使这一需求呈指数级增长。
随着云采用率的提高,这项计划的复杂性显著增加。CPO 需要应对多种云类型,包括公共、私有、这两者的混合以及本地。因为中心IT团队既不是数据专家,也不是法规专家。因此,依赖去中心化的方法——即在工具选择和政策实施方面给予企业更多自由的方法,使得实施保护隐私的工作更加困难。
将以下方法与基于集中式平台和分散式政策实现的委托治理模型相结合,可以克服这些困难。这些方法使 CPO 能够在跨混合和多云设置管理、审计和遵守法规的同时传播关于遵守的意识。
确保合规性:工作流程自动化
委托数据治理范式依赖于一个中央平台,该平台具有用于遵守隐私法规的内置工作流程。组织可以自动化这些工作流程,以最大限度地减少手动处理,并使它们比零碎的尝试更具可重复性、可持续性和可扩展性。这种方法的关键是数据管理员在各自的业务线中为各个业务部门配置集中策略。并针对销售中最终用户的用例在本地定制自上而下的策略,例如,在工具、设置、云和物理场所之间创建一致性。
如果没有这种方法,客户想要行使 GDPR 规定的被遗忘权,组织将不得不跨业务部门、数据平台、云等手动搜索他们的数据。但是,支持委托模型的治理解决方案支持有序的工作流程,用于将此类请求输入专用存储库、查找客户数据以及应用访问策略来隔离或删除相关信息。有类似的工作流程可用于保护个人身份信息 (PII) 数据并根据角色或数据属性限制或启用受管控的访问。这些功能在源系统中的预架构工作流程中被自动管理,因此没有中间人或临时手动摸索。
证明合规性:中央可见性
委托治理方法背后的中心化平台旨在监督隐私监管政策的配置、行动和执行方式。它说明了哪些数据包含敏感信息——例如信用卡号以及它们在跨环境的源中的位置。这种可见性使 CPO 和 IT 团队能够监控业务流程以保证质量,从而实际遵循合规性措施。
这种对敏感数据和可跟踪性的细粒度可见性,对于审核和报告法规遵从性是最佳的。前面提到的自动化工作流程都是可审计的,这使组织可以轻松重复这些步骤以查看客户地址发生了什么。在被遗忘权用例中,合规官员实际上可以向审计员展示工作流程的详细信息,包括何时提出此类请求、他们去了哪里,以及随后采取了哪些行动来满足这些要求。审计的各个阶段都得到了报告功能的支持。
符合隐私规定
委托模型方法的集中和分散特征,其中中央数据治理平台帮助数据管理员为分散的云和内部应用程序定制自上而下的策略,非常适合遵守数据隐私法规。一旦 CPO 解释了这些指令并详细说明了遵守这些指令的要求,他们就可以确保并证明合规性。
底层治理平台的自动化工作流程确保了法规遵循步骤的完成,而中央可见性、审计和报告功能可以向任何相关方证明这一事实。在这方面,委托治理模型解决了企业的合规官员和 CPO 的所有问题,因此组织可以避免支付昂贵的违规处罚费用并可以避免任何潜在的风险。(本文出自SCA安全通信联盟,转载请注明出处。)