摘要：這種方法允許對每個數(shù)據(jù)處理器進行細粒度的職責分離和特權。了解數(shù)據(jù)傳輸?shù)年P鍵在于，歐盟公民在中的有權將數(shù)據(jù)附加到全球移動的任何地方，必須采用相同的保障措施。

??與歐盟的通用數(shù)據(jù)保護規(guī)定的（GDPR）¹時間越來越近了。從2018年5月25日起，任何一個未能滿足新法規(guī)的組織將面臨高達全球收入4%的罰款，或者是2000萬歐元——無論哪種罰款——任何進一步的數(shù)據(jù)處理活動都將遭受潛在的叫停風險。因此無論是否加入了歐盟，只要你正在以任何方式處理歐盟公民的數(shù)據(jù)，就必須服從GDPR的條約。

??也就是說，該規(guī)定不應該被視為一些不知名的官文強加的。相反，對于更積極的組織來說，它提供了一個機會來改變他們在數(shù)字經(jīng)濟中與客戶的關系。

??在接下來的博客系列中，將深入去了解這份規(guī)定，了解這份規(guī)定對我們而言意味著什么：

第1部分，將提供一個GDPR的入門介紹–這將會覆蓋規(guī)定的基本原理和關鍵措施。

第2部分，將探討GDPR對我們的數(shù)據(jù)平臺意味著什么。

第3部分，我們將討論MongoDB的產(chǎn)品和服務將如何支持我們的業(yè)務。

第4部分，我們將探討GDPR將如何幫助客戶去實施，并提供了幾個案例供研究。

如果你不能等到所有的4個部分內(nèi)容，就想現(xiàn)在了解全部的話，可以下載完整的GDPR：Impact to Your Data Management Landscape 白皮書。

??像其他旨在強制實施數(shù)據(jù)安全和隱私標準的法規(guī)（例如，HIPAA，PCI DSS，SOX，F(xiàn)ISMA，F(xiàn)ERPA）一樣，僅通過應用可以總結為人員，流程和產(chǎn)品的控制組合來實現(xiàn)GDPR合規(guī)性：

“人”定義具體的角色，責任和責任。

“流程”定義了經(jīng)營原則和業(yè)務實踐。

“產(chǎn)品”定義了用于數(shù)據(jù)存儲和處理的技術。

??與任何數(shù)據(jù)安全規(guī)則一樣，在存儲個人數(shù)據(jù)的數(shù)據(jù)庫中啟用控制只是遵守法規(guī)的一個步驟 --- 人員和流程也是至關重要的。 然而，GDPR文本中規(guī)定了一組定義控制組織需要在其數(shù)據(jù)管理領域?qū)嵤┑木唧w要求。 我們可以將這些要求分為三個方面：

Discover：范圍數(shù)據(jù)科目到規(guī)定。

Defend：實施保護發(fā)現(xiàn)的數(shù)據(jù)的措施。

Detect：確定違反該數(shù)據(jù)的違規(guī)行為，并糾正安全和過程差距。

??后續(xù)部分檢查GDPR要求，并將其映射回所需的數(shù)據(jù)庫功能。 請注意，下面的列表僅是說明性的，并不是詳盡無遺的。

??在實施安全控制之前，組織首先需要識別存儲在其數(shù)據(jù)庫中的個人數(shù)據(jù)，以及允許組織保留該數(shù)據(jù)的時間長短。 如果將個人資料透露給未經(jīng)授權的一方，他們還需要評估對個人的潛在影響。

??國內(nèi)生產(chǎn)總值要求組織進行數(shù)據(jù)保護影響評估，記錄在GDPR文本第35條（第1節(jié)）中，其中規(guī)定：

“特別是使用新技術，需要考慮到處理的性質(zhì)，范圍，背景和目的的處理類型可能會導致自然人的權利和自由的高風險，控制人應在之前對該處理進行評估，對所設想的處理操作及保護個人資料的影響進行評估。”

??因此，重要的是訪問使數(shù)據(jù)控制器能夠快速方便地查看其數(shù)據(jù)庫內(nèi)容的工具，并且作為正在進行的發(fā)現(xiàn)過程的一部分，以檢查在新服務正在開發(fā)中將會捕獲什么額外的數(shù)據(jù)。

??如“要提供的信息”第13條（第2a條）所述，GDPR文本規(guī)定，在從個人收集數(shù)據(jù)時，組織必須說明：

“個人資料儲存的期限，或不可能的時間，用于確定該期間的標準”

??因此，組織需要實現(xiàn)的所需能力是識別個人數(shù)據(jù)的能力，并且一旦達到期限，或個人特別要求刪除，就可以從數(shù)據(jù)庫中安全地將其清除。 因此，存儲（包括備份）應具有根據(jù)所有者的要求可靠地擦除數(shù)據(jù)的能力。

??一旦組織進行了Discover階段，定義了影響評估和到期策略，就需要實施保護公民數(shù)據(jù)的控制。

??“處理安全”第32條（第1節(jié)）概述了組織需要執(zhí)行的安全控制：

“......控制人和處理者應實施適當?shù)募夹g和組織措施，以確保適合風險的安全級別，包括酌情包括：

（a）個人資料的假名和加密; （b）確保處理系統(tǒng)和服務的持續(xù)保密性，完整性，可用性和彈性的能力; （c）能夠在發(fā)生身體或技術事件時及時恢復個人數(shù)據(jù)的可用性和訪問權限; （d）定期測試，評估和評估技術和組織措施確保加工安全性的有效性的過程。“

??每個項目符號條款在GDPR文本內(nèi)進一步擴展，如下所示。

??GDPR強調(diào)確保只有授權用戶才能訪問個人數(shù)據(jù)的重要性。 正如“設計和默認的數(shù)據(jù)保護”一文所述，第25條（第2款）：

“控制人應實施適當?shù)募夹g和組織措施，以確保在默認情況下，僅處理每個處理特定目的所必需的個人數(shù)據(jù)”

??在第29條“控制器或處理器管理下的處理”中進一步強調(diào)了這一要求

“處理器和任何在控制器或處理器授權下進行操作的人員可以訪問個人數(shù)據(jù)，除了控制器的指示外，不得處理這些數(shù)據(jù)。”

??在數(shù)據(jù)庫中，應該可以實施身份驗證控制，以便只有數(shù)據(jù)處理器授權的客戶端（例如，用戶，應用程序，管理員）可以訪問數(shù)據(jù)。 數(shù)據(jù)庫還應允許數(shù)據(jù)控制器定義每個客戶端對數(shù)據(jù)執(zhí)行的具體角色，職責和職責。 例如，一些客戶端可能被允許讀取在數(shù)據(jù)主題上收集的所有源數(shù)據(jù)，而其他客戶端可能只能訪問不包含引用回到個人標識符的聚合數(shù)據(jù)的權限。 這種方法允許對每個數(shù)據(jù)處理器進行細粒度的職責分離和特權。

??在發(fā)生違規(guī)的情況下，數(shù)據(jù)的假名和加密被設計為防止任何特定個體被識別為受損數(shù)據(jù)。 在GDPR文本的定義部分，假名意味著：

“...以個人資料的處理方式，使個人資料不再能被歸咎于特定的資料主體而無須使用額外的資料”

??總則第28條規(guī)定：

“假名應用于個人數(shù)據(jù)可以減少有關數(shù)據(jù)主體的風險，并幫助控制器和處理器實現(xiàn)其數(shù)據(jù)保護義務。”

??假名數(shù)據(jù)的最有效和最有效的手段之一是基于上一步中定義的訪問控制權限。 通過過濾返回到應用程序的查詢結果，數(shù)據(jù)庫將個人標識符轉(zhuǎn)換

??加密在上面引用的第32條（第1條）中具體引用。 第34條（第3a條）中的“個人數(shù)據(jù)泄露到數(shù)據(jù)主體的通信”的文本中進一步擴展了加密的優(yōu)點，如果：

“控制人已經(jīng)實施了適當?shù)募夹g和組織保護措施，這些措施適用于受個人資料違規(guī)影響的個人資料，特別是使個人資料難以理解的任何人無權訪問的個人資料，例如 加密;”

??數(shù)據(jù)庫應提供一種使用網(wǎng)絡連接來加密數(shù)據(jù)“傳輸中”的方法，以及使用存儲和備份數(shù)據(jù)“休息”的方式。

??如“安全處理”中的B和C亮點所述，上文引用的第32條，系統(tǒng)和服務可用性以及及時恢復數(shù)據(jù)的手段都是GDPR的核心業(yè)務要求。

??因此，數(shù)據(jù)庫需要為系統(tǒng)故障提供容錯能力，以及備份和恢復機制以實現(xiàn)災難恢復。

*“個人資料泄露”是指違反安全性，導致意外或非法破壞，丟失，更改，未經(jīng)授權的披露或訪問發(fā)送，存儲或以其他方式處理的個人數(shù)據(jù)*

??GDPR第5章致力于如何處理歐盟以外的個人資料轉(zhuǎn)移 --- 確定何時允許轉(zhuǎn)讓，何時不允許。了解數(shù)據(jù)傳輸?shù)年P鍵在于，歐盟公民在GDPR中的有權將數(shù)據(jù)附加到全球移動的任何地方，必須采用相同的保障措施。總結本章，第45條（第1條）規(guī)定：

“將個人資料轉(zhuǎn)交給第三國或國際組織可能會發(fā)生在委員會決定第三國，一個領土或該第三國內(nèi)的一個或多個具體部門，或有關國際組織，能夠確保足夠的保護“。

??為了支持全球分布式應用，組織越來越多地將數(shù)據(jù)分發(fā)到位于全球多個國家的數(shù)據(jù)中心和云設施。在國內(nèi)生產(chǎn)總值方面，數(shù)據(jù)庫應該可以通過僅將歐盟公民數(shù)據(jù)分發(fā)并存儲到被認可符合該條例的地區(qū)來實施數(shù)據(jù)主權政策。

??在數(shù)據(jù)泄露的情況下，組織必須能夠及時發(fā)現(xiàn)和報告該問題，并且還會生成對數(shù)據(jù)執(zhí)行的活動記錄。

??監(jiān)控對于識別潛在漏洞至關重要。 更接近于實時，更有可能限制數(shù)據(jù)泄露的影響。 例如，數(shù)據(jù)庫資源消耗中的突然高峰可以指示正在進行的攻擊。

??第三十三條（第一款）在GDPR文本中“通知監(jiān)督管理機構的個人數(shù)據(jù)違規(guī)”描述道：

“在個人資料違規(guī)的情況下，控制人不得有任何不當?shù)耐涎樱⑶以诳赡艿那闆r下不遲于知道之后的72小時內(nèi)，通知個人資料違反監(jiān)管機構。”

??因此，數(shù)據(jù)庫應提供管理工具，可以持續(xù)監(jiān)控數(shù)據(jù)庫行為，以主動減輕威脅，并使組織能夠在指定的時間范圍內(nèi)報告任何違規(guī)行為。

??在“設計默認的數(shù)據(jù)保護”第25條（第2款）中強調(diào)要保持對數(shù)據(jù)執(zhí)行的活動日志：

“...每個控制人，需在適用情況下，控制人的代表應保存其責任下的加工活動記錄”

??在“處理器”第28條（第3H條）中進一步擴大了對審計的要求，指出數(shù)據(jù)處理器：

“向控制人提供必要的所有信息，以證明遵守本條規(guī)定的義務，并允許和協(xié)助控制人或由控制人授權的另一審核員進行的審計，包括檢查。”

??數(shù)據(jù)庫需要提供記錄數(shù)據(jù)庫活動的機制，并在控制器請求時提供用于取證分析的活動。

??這一部分是博客系列的第二部分。 在第三部分中，將討論MongoDB的產(chǎn)品和服務如何幫助您滿足今天討論的要求。

??要了解國內(nèi)生產(chǎn)總值的規(guī)定，作用和責任的全面描述，建議讀者參考“歐盟官方公報”（EU（EU）2016/679）（國際勞工組織（EU）2016/679）的案文，并參考法律 律師解釋規(guī)則如何適用于其組織。 此外，為了有效地實現(xiàn)本博客系列中描述的功能，至關重要的是確保根據(jù)MongoDB安全文檔中詳細說明的說明和說明實現(xiàn)數(shù)據(jù)庫。 讀者應考慮聘請MongoDB全球咨詢服務部門協(xié)助實施。

本文翻譯自：https://www.mongodb.com/blog/post/gdpr-impact-to-your-data-management-landscape-part-2