这是一系列文章中的第二篇，该系列文章解释了公司应该怎么解决GDPR中包含的数据安全和云服务方面令人一辈子畏的要求。随着2018年5月合规期限的临近，各组织应该基本走上了合规之路。由于云服务是GDPR难题的要紧部分，本系列文章旨在提供实际指导，关心组织沿着合规的道路前进。在上一篇文章中，我们研究了组织怎么应对第一具"审计"时期。GDPR合规流程的第一步可概括为以下标题：发觉企业内职员使用的每个云应用程序；了解哪些个人识别信息（PII）和数据是由职员在云中处理的，并了解这些数据是否依照GDPR定义为"敏感的"；经过执行GDPR就绪性评估（GDPR readiness assessment），检查您是否与所有云服务签订了DPA（数据爱护协议），从而爱护数据。设置和激活强制使用托管云服务处理和存储PII的策略；在最佳实践中指导职员，确保职员随时答应和使用IT部门批准的服务，以及使用云访咨询安全代理（CASB）来评估整个企业中使用的云应用程序和服务是否为企业预备就绪。随着这些审计时期的完成，该组织将处于一具更好的位置来评估需要做些啥来实现GDPR的合规性。下一具咨询题是组织怎么运用这种洞察力来提高他们的GDPR预备度，这让我们进入第二时期：合理化。合理化时期实质上是从审计时期吸取经验教训，并将其应用到正在使用的云服务中，以缩小组织的威胁前景。审计之后，IT团队将对静态和传输中的数据有一具特别好的了解（其实，DDoS防御，数据将流向何处）。审计报告还将显示整个组织使用的云服务，其中有哪些数据，以及是否有数据处理协议（DPA）。依照这些信息，合理化时期可定义如下：从审计时期寻找没有DPA的正在使用的云服务；整合这些服务，缩小到一具可治理的数量的安全云服务，这些服务有dpa；制裁不符合GDPR的服务，并强烈思量阻挠使用不符合GDPR且存在严峻安全缺陷的服务。向替代方案过渡；对职员正在使用或将要使用的所有服务执行数据爱护协议（DPA）。组织需要可以向监管机构证明，他们基本为职员使用的所有云服务配备了dpa。同样，合理化时期的一具关键部分是证明数据不大概流向那些在组织中没有DPA的应用程序。IT团队能够使用CASB来检查进出云服务的流量，以检查正在传输的数据和字符。这将确定是否有任何数据是PII，所以包含在GDPR中。假如是如此的话，DDoS防御，IT团队能够在平台内采取措施阻挠数据，并阻挠数据被相关云服务传输或存储。类似地，假如IT团队发觉流入或流出云服务的流量，而该组织没有DPA，这么该团队能够阻挠数据流，以关心确保GDPR的遵从性。在这一时期，现代的CASB能够传递一具弹出消息，以推动职员朝着一具合规的解决方案前进，该解决方案在组织中基本有了DPA。本质上，IT团队正在寻觅对数据传输和存储位置的预防性操纵。数据驻留是另一具重要的难题。CASBs能够经过对IP地址的分析了解数据的存放位置，这将表明用户在英国，但所讨论的云服务托管在南美（例如）。尽管GDPR中没有任何内容讲明数据不能存储在欧洲以外的地点，但该组织必须保证第三方符合GDPR的规定，固然还有DPA。对正在使用的云服务的任何分析都应包括对特定GDPR参数的评估。除了dpa和数据驻留，典型的GDPR预备度计算应该检查客户是否拥有云服务条款下的数据，是否在数据访咨询上记录审计日志，以及"数据处理器"（云服务）从该服务中删除数据所用的时刻。GDPR预备度计算还应评估数据是否在静止和/或传输过程中加密，DDoS防御，服务是否提供外部认证措施，如单点登录（SSO），以及服务是否具有合规性认证。这些标准中有点是GDPR规定的强制性标准，有点则是推举的。但综合起来看，这些咨询题的答案将指导组织对某些云服务举行合理化的决策，即放弃任何不符合这些标准的服务。2017年9月Netskope云报告的发觉™ 对于企业云服务的使用和趋势强调了实现GDPR合规过程中合理化时期的重要性。在调查企业云服务的GDPR预备事情时，DDoS防御，报告发觉，近四分之三的云服务仍然缺乏确保合规性的关键能力。由于每个企业的平均云服务数量为1022个，这表明组织必须紧密关注流入和流出这些服务的数据。为了进一步混水，很多云存储和协作服务连接到其他云服务（例如，连接到Salesforce或DocuSign的云存储）。一具全面的云安全打算应该思量到在云服务到云服务的通信和处理中应该采取啥样的操纵措施，包括确保dpa与这些"辅助"服务一起到位。这是一具艰苦的局面，挑战的规模清晰地表明了为啥合理化时期对GDPR合规性这样重要。组织必须限制没有DPA的服务，确定要批准的服务并对其举行安全操纵，最终执行DPA。接着，一旦合理化时期完成，是时候进入第三个时期：强制执行。我们下次再谈。

当前位置：主页 > CC防护 > cdn转发防CC防御攻击