GDPR 的創建是為了讓歐盟公民更好地控制自己的個人資料。 而從投訴數量來看,目標「達到」了:過去一年,歐洲人開始更頻繁地舉報企業違規行為,而企業本身也收到了投訴。
讓我們告訴你這裡發生了什麼。
Фото—
問題是什麼
根據 GDPR,歐盟公民有權索取儲存在公司伺服器上的個人資料的副本。 最近人們知道這種機制可以用來收集另一個人的 PD。 黑帽會議參與者之一
結果,詹姆斯獲得了“受害者”的社會安全號碼和信用卡號碼、出生日期、婚前姓名和居住地址。 一項允許您檢查電子郵件地址是否已洩露的服務(服務的範例是
我被pw了嗎? ),甚至發送了以前使用過的身份驗證資料的清單。 如果使用者從未更改過密碼或在其他地方使用過密碼,則此資訊可能會導致駭客攻擊。
還有其他一些例子,資料在「錯誤」發送後最終落入壞人之手。 三個月前,一位 Reddit 用戶
Фото—
專家表示,造成此類情況發生的主要原因之一是《一般資料保護規範》的不完善。 特別是,GDPR 規定了公司必須回應用戶請求的時間範圍(一個月內),並規定如果不遵守此要求,將處以最高 20 萬歐元或年收入 4% 的罰款。 然而,其中並未具體說明幫助公司遵守法律的實際程序(例如,確保資料發送給其所有者)。 因此,組織必須獨立(有時透過反覆試驗)來建構其工作流程。
我該如何改善這種情況?
最激進的提議之一是放棄 GDPR 或從根本上重新制定它。 有一種觀點認為,該法律目前的形式不起作用,因為它非常
例如,去年《超級星期一之夜格鬥》遊戲的開發商被迫取消了他們的專案。 據其創建者稱,根據 GDPR 重新設計系統所需的預算
IaaS 提供商開發部主管謝爾蓋·貝爾金 (Sergey Belkin) 評論道:“中小型企業通常沒有技術和人力資源來了解監管機構的要求並做好必要的準備。”
1cloud.ru 。 「這是大型供應商和 IaaS 供應商可以提供救援的地方,它們可以提供安全的 IT 基礎設施出租。 例如,在 1cloud.ru,我們將設備放置在資料中心,認證的 根據 Tier III 標準,幫助客戶遵守俄羅斯聯邦法律 152「個人資料」的要求。
Фото—
也有相反的觀點,認為這裡的問題不在於法律本身,而是公司只希望形式上滿足其要求。 駭客新聞的居民之一
無論如何,歐盟不會在不久的將來放棄 GDPR,因此黑帽會議期間暴露的情況應該會激勵企業更加關注個人資料的安全。
我們在部落格和社群網路上寫的內容:
1莫斯科的雲端基礎設施
來源: www.habr.com