10月6日,欧盟裁定,美国和欧洲之间的15岁的安全港口达成无效。该协议允许美国公司自由地将欧洲公民的数据转移到美国。根据美国数据保护相当于欧盟标准的理由。从像Facebook和Google这样的大型企业到现金截图的初创公司,公司已经能够自我认证其内部数据安全性,允许他们在没有边境限制的情况下移动,存储和处理信息。但是,2016年1月,将不再可能。
这使我们公司珍贵的时间来寻找新的法律和技术合规解决方案。所有从事海外交易的公司,尤其是小企业,必须解决遵守的成本和复杂性。许多美国公司使用廉价的云托管或软件作为存储或处理其他国家/地区的数据的服务。技术初创公司特别脆弱 - 包括利用云服务的人在数据交换或分析中处理云服务。目前尚不清楚新规则将取代安全港,但这是一个安全的赌注,公司需要开发新方法来保护他们的数据。
以下是四个解决方案,这两个方案都应该调查:
1.绑定协议和型号合同
绑定协议和型号合同已被用作安全港替代品,最新的裁决不会使其无效。拟订协议是大型,复杂的法律文件,通过审计和培训管理。它们是强大的,因为他们展示了公司遵守最高标准的数据保护,但它们不是对较小企业的可行选择。
模型合同是小企业的更好替代品。这些标准协议用于授权将数据移出欧洲经济区或EEA(欧盟以及挪威,冰岛和列支敦士登)。公司需要使用型号合同作为与为其提供EEA数据或为其进行处理的所有合作伙伴和承包商的数据分享协议的基础。然而,模型合同是不够的;企业仍需要审核其数据基础架构,并为EEA数据实施隐私保护。
2.令牌化:有用,但不是所有数据
由于新规则,将数据转移出欧洲矛盾地将其暴露于更严格的规定。标记化给美国企业从EEA数据中受益的一种方式,而不将其移出欧洲。它通过替换具有随机字符串的受保护数据的字符串。原始数据保留在受保护的数据库中(例如,位于欧盟的一个),同时发送令牌。例如,美国公司可以授权客户名称和地址,但是导入其他信息,例如分析数据。
3.加密:为所有数据创建必要的盾牌
加密使用算法来混淆数据,将其转换为不可读的斑点 - 除非当然,否则您有正确的键。关键的派对可以解密数据,但没有其他人可以阅读它。加密可用于保护所有数据或结合令牌化,以屏蔽原始数据中的个人身份值。无论您使用的其他其他数据保护措施,加密将始终添加额外的安全性。
组织应使用强烈的加密 - 使用长键进行加密 - 保护其数据。同样,它们还应使用端到端加密进行运动中的数据。端到端加密在发送之前扰乱数据,仅在目的地中解开它,阻止黑客或政府机构在运输途中间谍活动。这可以保护它免受安全漏洞,允许黑客攻击其他加密系统,例如SSL / TLS。组织需要确保其数据在运动中和休息时受到保护,例如当它存储在云中或计算机上时。
加密密钥管理也可以策略性地用于满足数据隐私要求。例如,美国公司可以保护EEA数据只有仅限于EEA的承包商或合作伙伴可访问的钥匙。
4.匿名化:制作数据标识中性
欧盟计算可以链接到inpidual的任何数据,作为个人可识别的数据。这也适用于例如不可识别的数据,例如,如果美国商业在没有关于客户身份的信息的情况下收到欧盟客户的购买习惯的电子表格,如果欧洲有足够的数据库,则将其视为个人数据信息到客户的身份。
通过将数据链接到逗留人员来说,匿名化符合欧洲隐私要求。一种方法是聚合数据。媒体服务的记录说“欧洲客户X在5月的第一个周末观看了这五个剧集”,可以违反合规性,但是一个电子表格,显示在欧洲的那个周末的剧集的普及。
您也可以通过销毁一些原始数据来匿名。例如,如果您正在学习Web分析,您可能能够向网站发送待访问的待遇配置文件,只要您无法重新创建或跟踪客户ID。
企业继续没有安全港口
安全的港口裁决对小型企业来说是不方便的,但这不是灾难。通过签署模型合同和使用加密,标记化和匿名化保护数据,公司可以在不花费财富的情况下遵守。从长远来看,它是最好的。尽管它已经造成的临时混乱,但裁决已经将世界迁移到国际私隐标准的一步,默认情况下,每个人的数据都是安全的。
