《互联网业务出海安全合规解决方案》|学习笔记

本文涉及的产品
数据安全中心,免费版
简介: 快速学习《互联网业务出海安全合规解决方案》

开发者学堂课程【互联网技术实战营·云上出海专题《互联网业务出海安全合规解决方案》】学习笔记,与课程紧密联系,让用户快速学习知识。

课程地址https://developer.aliyun.com/learning/course/917/detail/14480


《互联网业务出海安全合规解决方案》


目录:

一. 国际国内咨询行业出海合规问题常见分析框架

二. 国内合规分析

三. 应对策略分析

四. 阿里云全球合规生态合作伙伴

 

一、国际国内咨询行业出海合规问题常见分析框架

(1)应对策略:

1.法律法规

2.内部产品的隐私数据

3.找问题:内部自己的缺漏

4.做决策:内部是否做安全建设,数据安全风险是否可控

5.落地管控制度安全的落地

6.PDPA 监管对数据本地存储和数据跨境的要求

7.外部挑战解析——新加坡,印度尼西亚,菲律宾,泰国和越南

从五个方面去看,第一个整个用业务主要在什么地方,使用的法律法规以及整个隐私的机械那些问题,第二个是看本身,目前从事的一个行业业务的产品的业务的产品的一些设计的方向,以及,目前的自己内部的一些数据的成分问题,到底涉及多少隐私数据在哪个地方?

这个数据的整个生命周期是一个很好的管控大的一些制度上的一些缺漏,第四个做决策到底要不要做,内部目前的这个到底要不要进行数据安全建设,建设的成本有多大,如果发生这种数据风险,对公司来到底是不是可控还是不可控的,最后落地整个的数据安全的管控的措施的落地.

 

二、国内合规分析

海外的合规的分析,目前可以准备,在日本,韩国,欧盟和东南亚,目前主要是东南亚地区,东南亚地区,目前做的比较多的集中在新加坡,因为新加坡这个法的实施,会把目前国内这些业务的这个数据安全的一个要求提到了一个新的一个高度,在未来的2~3年内看,等宝到今年已经已经逐渐完善,已经变成一个强制性执行的一个国内的一个合规的一个条款大家都知道要做,在做业务的时候都知道就是做等保,在未来的2~3年可以看到数据安全一样也会成为一个强制性的一个条款,一个法律条款,它的实施会越来越严格。

滴滴的事件本身来看,是因为第一时间推动了数据安全法以及个人隐私保护法的一个加快。

很重要的一个问题是处罚,没有遵守相关的法律,或者触犯了相关法律的一些条款,公司可能会受到什么样的一个处罚?警告5~50万元的一个罚款,严重200万,最严重的是被吊销营业执照。

相关项目一些业务已经分三批,如果事件发生的过程比较大。

有可能是会被吊销营业,所以目前国内的一些企业在出海,尤其是去美国上市的时候,公司如果做好了相关的自己的分类分析技制度,以及数据的一些保护流程跟管理制度、这些风险都是可以被很好的管理,尤其是管理层对于数据安全的一个认知,这一块要做到一个好的感觉,开始逐渐地落地,互联网的那个安全审查办法它也是明确的要求,掌握100万的个人用户信息的运营,如果要赴海外上市,必须向网络安全去提交相关的材料,它也明确了,就是违反规定的,围绕着国家的网络安全法和数据安全法来做。

这里面就包含了核心的设备,通信产品等等的,包括云计算的服务等等都是涵盖在内的,它是一个非常全的一个一个一个条款,那么应对这些风险可能存在的业务风险的应对措施,现在也有也有一些一些实践

1.国内数据安全合规趋势:条款越来越严格

2.《数字安全法》摘录

3.网络安全审查办法(修订草案征求意见稿)摘录

 

三、应对策略分析

1.企业为什么被处罚?(数据泄露引发的风险)

东南第一企业为什么会被处罚?

东南亚的处罚事件相对来还是很少的,目前这种处罚主要是集中在欧盟欧美国家 Google 被欧盟处罚,因为 gdpr 的时间去处罚,那么基于这些分析,本身是数据泄露引发的风险,数据泄露引发的风险,本质上是企业在运营的过程中数据的保护没有做到很好。

不管是因为黑客的还是本身的制度度的管理,就是数据引起了一个大量的泄漏,引发了一个舆情,导致引发的舆情风险,客户投诉这个觉得这个未尽许可将信息给第三方。

缺乏信息安全技术

原因的分布是在于缺乏信息安全技术的保障和措施,企业只需要通过流程管理,技术方案降,或者主动证明内部是有相关的流程跟机制去处理数据风险的时候,那么这个风险就可以降值的很低,同时跟监管和的监管的单位保持一个很好的沟通协作,都可以很好的去处理这些问题

3. 数据分类分级:

明确公司采集多少隐私数据,对内部风险做管控

可溯源,可管控,对数据脱敏

国际上的数据安全上以及国标的基于数据安全的核心能力,它围绕着这8个方向,一个链,把八大核心能力去去设计的,包括采集传输,存储处理等,里面核心的一部分,目前可以重点看一下红色的部分,红色的部分是目前整个企业建设里,数据安全建设里面最迫切的一个地方。

数据的分类分析,要明确的知道企业内到底采集了多少客户的涉及到客户的这种隐私数据,手机号,身份证号,还有那个联系方式等等,这都是需要明确出来,对于这些数据分类分析好了以后,需要对这些内部的风险这些数据。

如果企业不了解的数据安全的管理,不了解内部到底有多少数据,就是一摸黑的状态。

在数据的传输跟内部的使用上面也要做到可溯源可管控和审计,一旦发生数据泄露风险的时候,或者发生了相关的一些事件的时候,要明确的知道这个数据是从哪些地方,通过哪些人,通过哪些渠道,什么时间点泄露出去的存储的安全,存储的逻辑数据的安全备份加密,处理数据,在对外公布的时候,一定要有明确的数据脱敏的能力。

很多泄露的场景里面,就是在的业务系统里面,它具备用户的导导出的这些功能,如果做数据脱敏,那个地方从目前的风险来看是业务存在数据性的风险最大的一个风险点,如果业务系统为了方便直接大量的把的用户数据在的某个应用系统里面去进行导出,一般导出的文件由于员工的管理设备的这个缺陷,或者在整个业务流转中的缺陷,去发生那个数据泄露,这个是非常普遍的,就是目前业而这个这些企业来做数据的防泄漏里面的一个最重要的一环,那个国家也是这个在2019年9月份的时候发的一个模型。

4.数据安全合规持久化闭环——审计能力方案

静态桧测:数据库审计,动态监测:全域数据泄漏防护

目前能够主要的提给数据,从数学的维度去提供一些解决方案什么的,目前第一个是审计能力,在云上提供数据库审计,一个可以支持到你的,不管是你在云上自建数据库还是基于云原生的数据库,云岩生的数据库,IDS 等等的一系列,都可以提供一个数数据的审计的能力,或不仅仅包含那个数据内容的分类分项同时包含操作行为攻击风险性,还有合规报表的一些监控,这样这个是最基础的,如果要做云上数据安全的一个管控,这是一个最基础的一个东西。

5.数据加密和敏感信息识别脱敏

信息阿里云已经原生支持了,云上不管是数据库,还有 idscs 都是支持 TF 幅度的,一定要管理服务,也就是阿里云也是没有没有办法去密钥数据的原生支持那个密钥的管理,都是在客户自己的 pms 的服务里面,是一个语音化的加密,同时预计也是支持私有化的部署,自由化的部署。里面就是不仅仅是基于云上的数据的密钥的一些管理,包括芯片级的服务,数据防泄防泄密的一些标准化的产品,都是可以去满足企业在数据安全建设里面的各种能力的需求。

数据合规安全风控的监控能力方案

在云上有一个产品叫云上的数据安全中心,它可以帮去分析以上你目前在云上的全量的数据,目前有多少个数据库?

这个数据库里面的哪些表都是有多少的敏感字段,在 oacs 的存储的这个存储库里面,有多少敏感数据,有多少备份里面海外的敏感数据可以给的管理层或者给的安全的数据安全的运营去提供很好的一个整体评估报告,能够方便的业务方去很好的对内部的业务数据去进行一个风险的评估,比如当前您当前最多存的是什么样的信息。

阿里云数据安全解决方案——全面防护

对于的法律条款的一些一个细分,它不仅仅是包含了数据的分类分级审计的,它还要包含整个全链路的数据防护,包括在边界测的防护应用层的防护,这么一个数据安全合规的分析,去了解提供整体的安全的及咨询和解决方案的服务,整个路径,数据安全进行融化在整个屏上的这么一个整个路径。

8. 企业IT治理帮助企业数据合规夯实基础

 

四、阿里云全球合规生态合作伙伴

管理跟制度流程,你一定要去了解清楚,比如 dpu,东南亚六国的一些政策,isoh7001等等这些这些合规的条款一定要去了解,就是做好提前的预知那的风险,

第二个就是的技术方案的落地,要采购,最基础的不管是全面就是最基础的一些数据,是类数据审计类的产品,在发生风险的时候回溯这个风险去定位这个风险,

第三个就是人员的意识,培训业务的业务业务方在做业务的时候千万不能被业务拖着鼻子走,一定是要很好的去管控好的业务风业务风险的,因为这个东西东南亚虽然比较不是特别的敏感,但还是需要注意的。

相关文章
|
1月前
|
云安全 监控 安全
出海合规云安全,AWS Landing Zone解决方案建立安全着陆区
出海合规云安全,AWS Landing Zone解决方案建立安全着陆区
|
1月前
|
数据采集 SQL 运维
企业出海WAS安全自动化解决方案
企业出海WAS安全自动化解决方案
|
域名解析 人工智能 算法
通信云服务全球突围 助力互联网产业出海“外卷”
通信云服务全球突围 助力互联网产业出海“外卷”
124 0
《互联网出海专场-【小影-合作伙伴】2019阿里云峰会北京- 终稿-视觉优化》电子版地址
互联网出海专场-【小影-合作伙伴】2019阿里云峰会北京- 终稿-视觉优化
73 0
《互联网出海专场-【小影-合作伙伴】2019阿里云峰会北京- 终稿-视觉优化》电子版地址