近日,“個人信息”數(shù)據(jù)安全隱患問題引爆整個數(shù)字營銷行業(yè)����。隨著國家法律法規(guī)的收緊����,數(shù)據(jù)違法���、違規(guī)的亂用現(xiàn)象屢見不鮮�,給企業(yè)和個人帶來的危害越來越大�����,“個人信息”一詞一時間讓品牌主和營銷人如同談虎色變���。當下�����,如何確保企業(yè)數(shù)據(jù)在安全�����、合規(guī)���、合法的場景中使用,是企業(yè)乃至于全行業(yè)集中關注的焦點��。
nEqual 作為多年服務企業(yè)的數(shù)據(jù)技術合作伙伴,多年來堅決擁護和支持數(shù)據(jù)的合法���、合規(guī)使用����,嚴格抵制數(shù)據(jù)違法亂用��。作為數(shù)據(jù)管理和技術應用方��,nEqual 致力于通過自身的實際行動確保所服務的企業(yè)/品牌主利益���、合作伙伴利益����、個人自身利益等免受數(shù)據(jù)亂用的侵害��。
數(shù)據(jù)安全我們一直在行動��,數(shù)據(jù)存儲安全警鐘長鳴
nEqual 充分分析了目前業(yè)內數(shù)據(jù)違規(guī)使用的行業(yè)亂像���,并有針對性的采取一系列技術升級和合規(guī)措施確保數(shù)據(jù)安全及合規(guī)使用。
nEqual 延承一直以來嚴格的數(shù)據(jù)安全保護意識�����,遵循國家陸續(xù)******的數(shù)據(jù)安全法律法規(guī),技術管理機制將持續(xù)嚴格依法實施����。在技術方面,nEqual 將繼續(xù)加強自身數(shù)據(jù)安全管理機制�、數(shù)據(jù)安全技術審計和體系、數(shù)據(jù)中臺技術等技術舉措等����,切實從消費者和企業(yè)利益出發(fā),確保數(shù)據(jù)的合理收集�����,安全處理���,安全存儲����,安全計算和安全使用�。
尤其在數(shù)據(jù)安全存儲方面,nEqual 全新升級了數(shù)據(jù)安全中的加密環(huán)節(jié)��,確保企業(yè)數(shù)據(jù)在存儲過程中是絕對安全的。重點體現(xiàn)在主要敏感數(shù)據(jù)的脫敏�,通過中間部分加密,包括有確定性加密(Deterministic encryption) ���,保序加密(Order-preserving encryption) ����,保留格式加密(Format-preserving encryption) ���,同態(tài)加密(Homomorphic encryption) ����,同態(tài)秘密共享(Homomorphic secret sharing) 等五種加密方式����,具體有泛化技術、抑制技術����、擾亂技術和有損技術的方式�,來保證數(shù)據(jù)的安全可靠性。
數(shù)據(jù)安全無小事�����,行業(yè)數(shù)據(jù)合規(guī)行動勢在必行
在數(shù)據(jù)的合規(guī)使用方面, nEqual 通過以下一系列數(shù)據(jù)合法合規(guī)使用的規(guī)范確?����?蛻?�、合作伙伴及自身利益不被侵害�,也希望借此能夠推動行業(yè)積極正向的發(fā)展。
目前�,我們已經開展了如下工作:
1. 規(guī)范數(shù)據(jù)安全管理機制。 采用中心點統(tǒng)一管理�,多點協(xié)同治理的策略,嚴格把控和確保數(shù)據(jù)從采集��、傳輸����、處理到使用的各環(huán)節(jié)的數(shù)據(jù)安全。在企業(yè)內部圍繞數(shù)據(jù)安全階段性開展數(shù)據(jù)安全教育培訓與分享����,打造嚴格的數(shù)據(jù)安全意識。例如,與數(shù)據(jù)安全公司丁?���?萍嫉葦?shù)據(jù)安全公司創(chuàng)建戰(zhàn)略合作模式,借助其打造的軍工品質的智能網安產品�����,創(chuàng)建智能的網絡安全屏障��,為數(shù)據(jù)安全保駕護航���。
2. 遵守數(shù)據(jù)采集合法��、合規(guī)�、合理的原則��。 在客戶為用戶提供服務時�����,要求用戶明確說明用戶隱私條款內容及授權�����。如���,在隱私條款中體現(xiàn) nEqual 作為數(shù)據(jù)服務商��,擁有對數(shù)據(jù)在規(guī)范場景下的使用權��。拒絕接收無任何提示����,強制采集的用戶數(shù)據(jù)��。對于需要接入的外部供應商所提供的數(shù)據(jù)源�,需要供應商明確數(shù)據(jù)來源、提供相關證明并得到消費者授權�。
3. 依法存儲和使用數(shù)據(jù)。 在授權獲取的情況下��,通過嚴格的數(shù)據(jù)加密技術進行傳輸和存儲��,在使用前�����,再次使用數(shù)據(jù)脫敏技術實現(xiàn)數(shù)據(jù)的清洗和加工����,去標識化��,為后續(xù)所有的分析做好準備�����,對于分析型的數(shù)據(jù)都是基于加密和脫敏數(shù)據(jù)進行����,且該過程不可逆�����,保障數(shù)據(jù)的合理收集與安全使用��。
4. 在數(shù)據(jù)處理和使用上���,創(chuàng)建了一套完整的數(shù)據(jù)分層機制��,會自動將所有的數(shù)據(jù)按照標記規(guī)則進行分層�����、加密�、去標識化、脫敏��、并且規(guī)范分析和處理��,并對所有數(shù)據(jù)操作進行監(jiān)控記錄��,實時監(jiān)管所有操作����。 在數(shù)據(jù)操作上�,創(chuàng)建了嚴格的數(shù)據(jù)訪問權限管理,為每一個數(shù)據(jù)操作人員分配特定的數(shù)據(jù)訪問權限�,秉持最小化可用原則,確保指定人員只能訪問指定的數(shù)據(jù)�。
5. 數(shù)據(jù)作為非常重要的資產,對于數(shù)據(jù)的轉移和使用采取多層加密的原則�����,確保數(shù)據(jù)能夠被正確����、合理的輸出與使用。 對于所服務企業(yè)的數(shù)據(jù)����,會對對接方進行資質審核和判斷��。例如對接方的傳輸方式���、存儲方式,對接方系統(tǒng)的信息安全資質��,例如是否通過國家網絡安全等級保護(三級)(2.0版本)����。
6. 規(guī)范合作伙伴數(shù)據(jù)應用標準。 對于符合數(shù)據(jù)合規(guī)規(guī)范內的數(shù)據(jù)合作進行多方面的審核���,包括合作伙伴第三方數(shù)據(jù)安全審計����、其硬件����、網絡、運維�����、運營等涉及到數(shù)據(jù)處理的所有業(yè)務場景等,確保數(shù)據(jù)在合法�����、合規(guī)的過程中流轉��。
7. 對于數(shù)據(jù)的銷毀��,支持客戶指定數(shù)據(jù)有效周期����,對于已經過期的數(shù)據(jù)�����,支持通過 API 接口或者郵件傳達的形式來進行數(shù)據(jù)刪除的操作����。
8. 持續(xù)開展內部系統(tǒng)的季度審查和接受專業(yè)數(shù)據(jù)安全機構的年檢審查,從產品設計�����、編碼實現(xiàn)到運維上線管理����、權限管理��、文檔管理�����、操作日志�����、運營流程等多方面進行審查����,確保所有都有章可循����,不留任何安全漏洞。
