網(wǎng)站首頁
產(chǎn)品中心
解決方案
客戶案例
新聞資訊
伙伴合作
服務(wù)與支持
關(guān)于敏捷
行業(yè)資訊
內(nèi)鬼盜數(shù)據(jù)、制度不合規(guī),某大藥房被罰110萬,數(shù)據(jù)安全還需“技術(shù)+管理”組合拳
發(fā)布時間:2023-11-14    作者:敏捷科技

事件回顧 


近期,浙江溫州公安網(wǎng)安部門查處了一起某大藥房“內(nèi)鬼”侵犯公民個人信息案?!皟?nèi)鬼”得到應(yīng)有的法律處罰外,該大藥房也因未履行數(shù)據(jù)保護義務(wù)造成數(shù)據(jù)泄露的違法行為被公安機關(guān)罰款110萬元。


640.png


溫州網(wǎng)安部門在日常工作中發(fā)現(xiàn)有人在暗網(wǎng)上售賣溫州某大藥房銷售數(shù)據(jù)。通過偵查發(fā)現(xiàn),該大藥房數(shù)據(jù)分析師利用工作便利將大量交易數(shù)據(jù)導(dǎo)出并售賣。經(jīng)進一步偵查發(fā)現(xiàn),該大藥房因未建立健全全流程數(shù)據(jù)安全管理制度,未組織開展數(shù)據(jù)安全教育培訓(xùn),未采取相應(yīng)的技術(shù)措施和其他必要措施保障數(shù)據(jù)安全,最終導(dǎo)致大量敏感數(shù)據(jù)泄露。


該大藥房數(shù)據(jù)分析師因違反《中華人民共和國刑法》第二百五十三條之一之規(guī)定,涉嫌侵犯公民個人信息罪被溫州公安機關(guān)依法刑事拘留。同時,溫州公安機關(guān)依據(jù)《中華人民共和國數(shù)據(jù)安全法》第二十七條、第四十五條之規(guī)定,對該公司處罰款110萬元,對該大藥房直接負責(zé)的主管人員處罰款10萬元。


在此次數(shù)據(jù)安全事件中,大藥房暴露出的數(shù)據(jù)安全防范短板也是當(dāng)前許多連鎖企業(yè)面臨的數(shù)據(jù)安全建設(shè)難題。一方面要通過采取符合自身業(yè)務(wù)特點的技術(shù)手段,防止企業(yè)核心商密從內(nèi)部泄露、保護自身利益;另一方面,在國家出臺《數(shù)據(jù)安全法》、嚴格監(jiān)管企業(yè)數(shù)據(jù)安全的大趨勢下,企業(yè)數(shù)據(jù)安全合規(guī)建設(shè)更是要提上日程,快速推進。技術(shù)手段與管理制度并進,讓連鎖企業(yè)倍感壓力、手足無措。


作為數(shù)據(jù)安全和數(shù)據(jù)管理專家,敏捷科技通過對連鎖企業(yè)數(shù)據(jù)保護痛點的總結(jié),結(jié)合《數(shù)據(jù)安全法》和《個人信息保護法》等法律法規(guī)的要求,基于終端加密平臺DGS形成了數(shù)據(jù)安全全生命周期解決方案,保障企業(yè)經(jīng)營數(shù)據(jù)可以在存儲、使用、交互等關(guān)鍵環(huán)節(jié)始終處于加密狀態(tài),杜絕內(nèi)部敏感數(shù)據(jù)外泄,助力企業(yè)快速推進合規(guī)建設(shè)。


Part.1

數(shù)據(jù)安全技術(shù)防范


>> 客戶信息脫敏、加密存儲:對顧客姓名、手機號碼、身份證號碼等敏感數(shù)據(jù)采用脫敏手段,例如數(shù)據(jù)在系統(tǒng)中以“王xx,158712xxxxx”的形式存儲,可以有效防止敏感數(shù)據(jù)在不可靠的環(huán)境下直接曝光,增強了客戶個人信息的隱蔽性。同時,通過數(shù)據(jù)主動、強制加密技術(shù),保證所有包含敏感數(shù)據(jù)的電子文檔始終處于加密狀態(tài),防止因人為操作被有意或無意地泄露,這也符合數(shù)據(jù)安全法規(guī)的相關(guān)要求。


>> 強化電腦終端水印應(yīng)用:可以通過在門店的電腦終端上加上數(shù)字水印,內(nèi)容可以包括“員工姓名、ID、時間、門店信息”等,一來可以對員工截圖、拍照等數(shù)據(jù)竊取行為造成心理震懾,二來可以通過外泄圖片的水印內(nèi)容準確定位泄密源頭,為企業(yè)及時阻斷數(shù)據(jù)擴散和后續(xù)維權(quán)等行為提供依據(jù)。


>> 規(guī)范內(nèi)部人員數(shù)據(jù)處理:在運維人員或者分店員工定期處理門店客戶信息時,通過加密軟件與內(nèi)部系統(tǒng)的集成,使得相關(guān)人員從內(nèi)部系統(tǒng)下載數(shù)據(jù)時電子文檔自動加密,并在后續(xù)操作中始終保持加密狀態(tài)。這樣可以防止有內(nèi)部系統(tǒng)訪問權(quán)限的人員進行違規(guī)操作,也保障企業(yè)經(jīng)營數(shù)據(jù)不被人為外泄。


Part.2

數(shù)據(jù)安全制度建設(shè)


>> 遵循數(shù)據(jù)處理的基本原則:根據(jù)《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》等相關(guān)規(guī)定,對數(shù)據(jù)進行分類分級,梳理數(shù)據(jù)資產(chǎn),按照“最小必要”原則收集客戶個人信息,遵循合法、正當(dāng)、必要原則,公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍。


>> 建立健全內(nèi)部數(shù)據(jù)安全管理制:在數(shù)據(jù)采集、存儲、使用、處理、傳輸、提供等一系列環(huán)節(jié),企業(yè)應(yīng)針對每個環(huán)節(jié)制定有針對性的管理規(guī)范,加強數(shù)據(jù)處理各個環(huán)節(jié)的合規(guī)性,建立健全數(shù)據(jù)存儲機制,在數(shù)據(jù)存儲時就采用加密等安全措施,確保重要數(shù)據(jù)備份和恢復(fù)能力。


>>強化內(nèi)部數(shù)據(jù)安全意識:建立數(shù)據(jù)安全事件應(yīng)急處理機制,并定期進行事故處置演練。開展員工數(shù)據(jù)安全意識培訓(xùn),了解最新的數(shù)據(jù)安全國家政策和行業(yè)規(guī)范,強化員工數(shù)據(jù)安全意識,了解數(shù)據(jù)泄密后企業(yè)和個人將會承擔(dān)的法律后果。



對企業(yè)經(jīng)營者來說,對數(shù)據(jù)的保護,不僅是對用戶負責(zé),也是商業(yè)持續(xù)發(fā)展的基礎(chǔ)和前提。敏捷科技的數(shù)據(jù)防泄漏方案已在漱玉平民大藥房、養(yǎng)天和大藥房等多家連鎖企業(yè)的數(shù)據(jù)安全防護中得到印證,敏捷產(chǎn)品及方案也將繼續(xù)為連鎖企業(yè)的數(shù)據(jù)安全合規(guī)建設(shè)和公民個人信息安全保駕護航!


電話:18120179909