@不喜丶不悲
2年前 提问
1个回答

企业加强客户隐私数据保护的措施有哪些

X0_0X
2年前

企业加强客户隐私数据保护的措施如下:

  • 明确企业中的数据保存形态:保存形态,即电子形式或纸质形式。如果是电子形式,要明确什么保密级别的数据应当存储在什么设备中,这样的设备应当如何备份、由谁来保管。如果是纸质版,原件应当放在有锁的柜子或保险柜,应当由谁来保管开启保险柜的钥匙。

  • 识别造成数据丢失的风险来源和性质:根据企业的实际情况,梳理当前可能会引起数据泄露的情况;针对这些情况,制定相应的保密措施。同时做好数据一旦泄露后的应对措施,评估数据泄露对于企业的影响。这些事情建议由数据安全部门负责。数据安全部门还要定期对企业数据泄露风险进行评估,进而制定或修改数据安全防范制度。

  • 明确外包服务供应商的保密义务:外包业务加大了企业因安全事件而遭受财务和声誉损失的风险。企业需要和服务提供商在合同条款中明确约定来应对这些风险。在合同中洽谈安全条款时,应综合考虑信息的敏感性,了解服务提供商的能力,以及依据双方内部政策和程序所开展的尽职调查的结果。

  • 选择安全可信的员工:当企业业务开展涉及大量用户敏感数据时,选用业务人员时必须考虑其是否值得信任。鉴于目前人才紧缺的现状,在员工招聘时就应该关注其的可信度和履历透明度。比如说,背景筛查很重要(对银行和医疗保健等行业而言尤其如此),只有通过透明度和信任能力测试,才能找到更加合适的人选,公司才能将敏感数据放心地交给他们。

  • 利用第三方安全服务:审计和合规要求迫使企业在技术环境中实施可落地的安全方案,但企业中常常会存在通过常规审计发现不了的安全隐患。利用第三方安全测试服务可以发现企业自身安全团队可能错过的漏洞,实践证明,开展漏洞悬赏计划对企业的安全建设会有帮助。

  • 采用安全设计方法:让公司业务系统在开发时就采用安全设计方法可大大提高企业隐私数据的安全性。安全设计方法涉及多个方面,包括教育员工、尽量减少收集的数据量、加密数据、安全设计系统、数据访问控制以及在整个软件开发生命周期中关注安全等。

  • 为客户提供价值:收集客户数据的企业应该让用户了解,其收集数据的目的是什么。通过使用收集的数据能够为客户、社会和国家提供价值,而不只是一味牟取商业价值。企业需要确定所收集数据适用的使用场景,熟悉快速不断变化的数据技术和法规要求,并与业务团队密切联系。

  • 确保全面遵守安全和隐私框架:企业应该遵守数据在收集、存储和传输阶段的信息安全或隐私合规框架,这样才能确保数据的安全使用。此外,应审查任何接触消费者数据的供应商,确保供应链中每个环节也能够遵守信息安全法规或标准。

  • 得到客户的授权:知情同意是赢得消费者信任的主要基础。“知情同意”是指企业明确告知客户他们的个人数据现在和未来的可能用处,以及在企业重新获得客户同意之前会将个人数据保留的具体时间,让每个消费者可以选择其同意生效的时间长度可以使政策更具个性化。

  • 让客户有选择退出的权利:企业应经常告知消费者所收集数据的存储和使用情况,并询问他们是否想要选择退出。有的企业每季度对消费者做一次隐私安全健康检查,这将有利于赢得用户的理解和信任。

  • 对用户隐私数据安全加密:对用户数据中的重要敏感数据进行安全加密是最基础的防护要求,但却被很多企业忽视,甚至包括一些大型互联网企业。为了让客户更加放心,需要告诉他们提交的个人数据都会经过加密处理,连企业员工都无法随意读取。

  • 聘请第三方机构来收集和管理数据:对于中小型企业组织,建议使用第三方服务来收集并保管客户数据,许多软件即服务(SaaS)产品都可以提供此类服务。调查发现,用户会更愿意将其个人数据提交给SaaS产品而不是一家不知名的小公司来保管。

  • 至少保留三份数据:企业有责任确保数据得到合理存储和全面保护,建议企业至少备份三份数据,存储在至少两种不同形式的介质上,一份离线保存、一份异地保存。若有任何变化,都应告知客户,以便他们放心地将数据交给企业保管。

  • 尽量少访问客户数据:企业在必须收集用户数据时,应只授权给必须访问数据的员工。数据还应该有合适的保留期,这意味着一旦数据满足使用要求并且不再需要,就应该删除。合法收集的数据应妥善存档。这种做法将有助于向消费者证明企业有能力保护其数据的安全。