2018年5月14日 星期一

.開發符合 GDPR 要求的物聯網產品,這些資安的事你需知道

Introduction to General Data Protection Regulation(GDPR)

瀚錸科技代理「ForceShield」,採用革命性的「動態應用安全架構」

來源:千家智能家居网


  
物聯網產品開發,最容易忽視資訊安全
據報告顯示,目前已超過成億上兆互聯網使用者,而每個人可能同時有多種智慧設備聯網,所以可能演變成50億台,可能是100億台的設備互聯,這麼多設備產生的數據,會讓一個人變得越來越透明。

當雲時代來臨,這些個人用戶資訊能不能保證足夠的安全,這將決定一個物聯網產品的生命力,甚至嚴重影響一個企業的成敗。

在開發的過程,需對產品的代碼、系統接口監控、系統維護方案、數據監控、數據分析和清理等做出整體評估後,才能正式發佈提供給客戶使用。而上線發佈後的資訊調用、數據回饋、伺服器監控跟蹤等流程,成為個人數據洩露,或資訊被入侵的一大途徑。

資訊安全,簡單可以分成三層面:

資訊層面:簡單來說是專注通信加密,密碼加固等傳統的安全領域。

用戶層面:也就是說用戶資訊儲存到了伺服器上,企業要如何保證隱私不受侵犯。

架構層面:就是如何保證資訊不丟。

很多企業或者開發者,往往只在第一個資訊層面,進行了安全保護,而且還不一定採用了最新、最高級的通信加密的技術標準或者協議,就對外宣佈產品的加密性極高,一旦被曝光漏洞,基本「背鍋」的就是產品開發相關人員了。

  
物聯網產品開發,最難是技術要求合規
有人常說,做產品最困難的是創意。

其實,創意無處不在,而對於做物聯網產品的來說,最難的是技術層面是否合規,往深一點去想,更慘的是告訴你不合規,你也不知道如何去改正。

在技術法規法律方面,其實早已推出一些重要的國際標準協議。BSI英國標準協會在2009年,正式發佈個人資訊管理體系(PIMS,BS 10012),是一套對個人資訊進行保護的管理體系,主要針對管理或使用個人資訊的企業或組織,目的是保護個人隱私。此標準具體說明瞭對個人資訊管理體系的各項要求,降低組織營運與合規方面的風險。

歐盟即將於 2018 年5 月25 日全面實施《一般數據保護法案(GDPR)》,法案明確要求,不論直接或間接辨識到個人的資料,都屬於個人數據範圍,政府或者民間組織,均有義務保護因為業務需要,所蒐集、處理、利用的個人數據。

那麼,大家會以為,找一些法律顧問團隊,不就足夠完成資訊安全了嗎?

舉例說,最近陷入資訊安全風波的Facebook,在5月召開大會,推出「一鍵清除」的新功能,方便用戶快速清除瀏覽資訊,和大量減少接受廣告資訊投放,並且還準備針對歐盟數據法案,發佈更多相應的隱私控制細節。

這樣的平台巨頭,不缺產品創意,不缺用戶數量、不缺需求反映,卻摔倒在「資訊安全」層面上。

可想而知,在大數據時代,只靠一個法律顧問團隊,是遠遠不夠的。因為消費者完全不清楚,自己把什麼數據交給了廠商,也不知道廠商如何處理這些數據,安全不能得到保障,一旦口碑被毀,那麼或者用戶將不再信任你,不敢選擇你,如果沒有從根本性的解決資訊安全保護,必將付出慘重的代價。

所以,只瞭解歐盟個人隱私保護法律條款還不夠,因為目前企業最急需解決的問題——技術方面如何解決產品、服務合規這一難題。

  
那麼又會有人認為,資訊安全就是互聯網安全公司幹的事,其實任何一家互聯網公司,包括現在做硬體的公司,都最終會變成一個互聯網服務型公司用戶會使用這些設備產生大量的數據。

所以,任何一家互聯網公司,都有責任保護用戶資訊的安全,要在雲端對用戶數據,進行足夠強度的加密,包括安全儲存和安全傳輸,其中涉及到很多知識點和成本。

對於知識點來講,企業不知道,自己所掌握的這些知識點,和資訊安全方法,是不是足以滿足目前的法規或者標準要求從成本上來講,做好這些防患於未然的準備工作,是很耗費財力精力的,在不清楚標準要求,法規要求的前提下,不會也不應該貿然投入,以免導致資源浪費。

資訊安全不是一家公司的問題,也不是幾家安全公司的問題,而是從巨頭到各互聯網公司以及產品供應商、服務提供商,大家要共同推動的事情。而隨著國際交易與產品推廣的加速發展,資訊安全領域的優化,迫在眉睫。

物聯網產品開發,更需從技術層面解讀GDPR法案
當一般企業或者個人在應對GDPR法案時,目前一些法務機構可以從法律層面上來解讀,企業的產品哪裡是合法的,哪裡是不合法的,但是從產品開發的技術角度來說,如何讓它變的合法,這就需要像SCA聯盟這樣的專業技術服務機構,提供關於企業產品符合GDPR要求的產品開發技術合規性咨詢啦。

從框架層面,介紹如何從技術上,滿足GDPR的要求。提升對於個人數據管理活動的瞭解,協助組織推動相關開發,和管理工作,以及瞭解現行個人數據管理,與國際標準和法律、法規之間的差異,持續強化管理能力。

適合從事管理體系活動、公司治理、產品技術開發、政策制訂經理人、管理體系代表、審核員、運營風險管理相關經理人、法務與合規人員等人士,來進行了解。

  
關於SCA安全通信聯盟:
SCA安全通信聯盟簡稱SCA,由安全通信和安全身份認證產業鏈中不同業務層面的企業決策層人員共同發起組成的一個中立、專業、開放的業務、技術、趨勢等資訊交流,和產品服務平台,目前聯盟擁有來自6個國家的50多家企業成員。

SCA是全球首家牽頭制訂符合國際資訊安全標準ISO15408(Common Criteria)的智慧家庭資訊安全國際技術規範的機構,與國際資訊安全領域專家,有著積極的溝通與交流。
                                                                                                                                                                                                                 


沒有留言:

張貼留言