通用数据保护条例（GDPR）于2018年5月28日在欧盟（EU）生效。一年半后的现在，事情似乎变得更加现实，因为像英国航空公司和万豪国际这样的公司正受到巨额罚款的打击，而信息专员办公室（ICO）在执行该规则方面获得了更多的认可。   

但是你并不担心。您已经完成了所有困难的工作，在你的组织中遵守了GDPR的要求，所以您可以认为已经完成了相应的工作。这样的想法正确么？也许...也许并不正确。您还需要检查您的所有合作伙伴是否符合GDPR。如果他们不是欧盟或全球关注的焦点，那可能是一个缺口。

GDPR第28条规定：“ [数据控制者]应仅使用提供足够保证的处理者，以实施适当的技术和组织措施，以使处理过程符合本法规的要求并确保保护数据主体的权利。”

这意味着您正在与合作伙伴共同采取行动。换句话说，如果代表您公司处理个人数据的合作伙伴不符合GDPR，那么您也不是。 

您如何确保合作伙伴遵守GDPR？这里有一些步骤：

• 要求您的合作伙伴披露其处理和存储的客户数据，因此您可以将该披露内容纳入您的隐私政策。 

• 讨论合作伙伴的安全性和加密策略。如果您的合作伙伴正在处理您的客户数据，则它必须具有银行级的安全标准。 

• 确保您了解客户数据的地理存储位置。一些国家/地区要求其公民的客户数据保持在其边界之内。

• 建立您的合作伙伴能够兑现客户被遗忘的权利。对你们俩来说，这应该是一个简单的过程。

• 制定计划以通知您的客户，以防您的合作伙伴遭到破坏并且其数据被泄露。另外，请检查您的伴侣是否有某人担任数据隐私官，例如首席信息安全官。这样可以减少您遇到问题的几率。

由于附加规定要求如何存储和处理付款数据，因此付款和相关数据是特殊的。确保您与付款专家合作，他们了解付款规定的复杂性，并在客户要求将其遗忘时存储所需的正确数据量。客户被遗忘的权利不会取消其退款权利。确实很棘手。

围绕隐私数据的规则面临的挑战之一是，规则与支付数据相似，但有所不同。无论如何，您仍然可以使用某些相同的出色解决方案，例如令牌化。标记个人身份信息意味着您可以引用不必拼写的数据。这有助于更多系统脱离范围和合规性。

您必须了解合作伙伴为确保客户数据安全而采取的措施。如果您的伴侣受到侵犯，您仍需为泄漏负责。因此，请准备好评估加密方法，身份验证过程以及如何创建、管理和存储密钥。有时使用硬件安全模块（HSM）可能很有意义，甚至“只是”保护电子邮件地址也是如此。HSM是执行加密功能（例如加密）的网络计算机。

发现声誉或金钱上的不符合GDPR的规定是不值得的，或者更糟的是，遭受破坏。坚持与符合GDPR要求的合作伙伴合作，该合作伙伴将与您一起帮助您尊重客户的数据隐私权，安全性和保密性。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• SOC 2合规性：您需要了解的内容和需要做的事情

• Thales与LuxTrust：数据主权和合规性的合作伙伴关系

• PCI DSS 4.0：合规倒计时 – 第 1 和第 2 阶段的路线图

• 数据隐私：为什么它对我们其他人很重要

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置