欧盟合规性：常规数据保护规定 (GDPR)

 欧盟合规性的发展

欧洲委员会提议的常规数据保护规定 (GDPR) 可以为欧盟 (EU) 内的个人加强并实现统一数据保护，同时解决将个人数据出口到欧盟外的问题。

在 2015 年 12 月宣布颁布 GDPR 条例的协商结果，然后欧盟议会举行投票，GDPR 的合规最终期限设定在 2018 年 5 月。GDPR 要求以及处理这些要求所需的内部协作量意味着各企业需要立即开始为合规做计划。  

GDPR 的主要目标是让公民重新掌控个人数据的控制权。GDPR 生效后将弥补欧盟之前的和其他的数据保护规定的不足。

GDPR 合规要求

        这项欧盟合规规定将对全世界的企业产生深远的影响。

        随着安全港协议的结束，出口和处理欧洲公民个人数据的美国公司也将需要遵守新要求，否则要承担相同的后果。 

       如果您的企业发生了数据泄漏事件，则根据新欧盟合规性标准，根据泄漏的严重性可能会产生以下后果： 

       您的企业必须通知本地数据保护机构以及所泄漏记录的潜在所有者， 您的企业会被罚高达 4% 的全球营业额或 2000 万欧元 。

      但是，GDPR 会根据企业内是否部署了合适的安全措施而实施例外处罚。

       例如，泄漏数据的企业如果通过加密使非法访问数据的人无法读取数据，则不强制通知受影响的记录所有者。  如果企业能够证明已做好“泄漏保护”也会有减少罚款的机会。 

       为满足 GDPR 合规要求，企业可能需要在内部部署和云基础设施环境中部署一种或多种不同的加密方法，包括以下方法：

 服务器，包括通过文件、应用、数据库和全磁盘虚拟机加密。 

 存储，包括通过网络连接存储和存储区域网络加密。 

 介质，通过磁盘加密。

 网络，例如通过高速网络加密。

      另外，还需要强密钥管理以保护加密的数据，以及保证删除文件和满足用户被遗忘权。 企业还需要一种方式来验证用户身份和交易的合法性，以及证明合规性。

      所以当前使用的安全控制措施一定要是可以证明和可以审计的。 Thales提供了市场上唯一的全套数据保护产品组合，这些产品搭配使用，能够一体化保护和管理敏感数据并可映射到 GDPR 框架，如果需要进一步的方案资料请联系安策工程师。

常规数据保护规定 (GDPR) 协调了整个欧盟的数据保护规定，建立了数据泄漏通知要求和惩罚措施。我们的解决方案使企业能够部署合适的安全控制措施以遵守 GDPR 并避免受到严重惩罚。