數據越多，問題越多

廠商和解決方案提供商致力于讓客戶應對GDPR不那么困難，推出了各種功能和能力評估GDPR相關數據所在位置、將用戶意愿偏好付諸行動、讓用戶能夠統一查看關于企業組織的所有數據、以及為未來管理GDPR數據制定計劃。

歐盟在2016年4月通過了“通用數據保護條例”（簡稱GDPR），并于本周五開始實施。該條例旨在讓歐盟公民和居民更好地控制他們個人數據被使用的方式。

為了更好地解決大量GDPR相關需求，安全廠商們已經開始致力于讓識別和隔離非結構化數據、在IT管理員區域內保留記錄、設置閾值以便企業組織更專注于帶有個人身份信息集群區域（PII）變得容易一些。

下面就讓我們來看看這13家廠商和解決方案提供商首席執行官和技術領導在幫助客戶簡化GDPR合規性方面都做了哪些工作。

高級策略管理器

根據美國俄勒岡州波特蘭市Janrain公司的首席執行官Jim Kaskade表示，Janrain的Advanced Policy Manager允許企業定義如何使用和執行關于用戶同意的政策，一旦有人訪問這些數據，實時規則引擎就會對這些數據進行查詢。

Kaskade表示，一旦同意被撤銷，Advanced Policy Manager就會從下游系統中刪除數據，以免數據被人不恰當地使用。

據Kaskade稱，Janrain在2017年5月25日發布該產品，也就是GDPR執行生效的前一年，該產品用于管理和審計有關GDPR的政策。

具體來說，圍繞個人信息的每個元素提供的中央管理和精細控制（例如，用戶可以同意使用他們的名字，但地址不行）都是GDPR所要求的。

顯示GDPR業務數據所在位置的評估工具

位于美國馬薩諸塞州沃爾瑟姆的Digital Guardian公司全球渠道副總裁Marcus Brown表示，Digital Guardian在過去的一年中通過渠道提供了一套打包的評估工具，合作伙伴可以利用這些評估工具掃描客戶的GDPR項目。

這種快速實施的評估工具能夠快速掃描GDPR數據，并創建一份報告，顯示企業相關的GDPR敏感數據是如何激增的。Brown表示，客戶可以清楚地了解自己當前的風險水平，這些評估與GDPR是高度相關的，因為企業需要了解哪些方面可能發生違規行為以防止這些行為的發生。

Brown表示，該工具目前在歐洲市場提供，并且已被證明在該地區非常受歡迎，客戶使用這些工具初步掌握自己可能存在的GDPR相關問題。Brown說，該工具還給他們帶來了一些列強大的后續業務，許多客戶選擇實施更完整的產品以獲得持續的可見性和保護。

使用分布式賬本重建身份驗證系統

位于多倫多的SecureKey Technologies公司首席執行官Greg Wolfond表示，SecureKey Technologies正在通過設計要求和消除集中節點中任何數據可見性，來重建其認證系統以滿足監管隱私要求。

為確保存在三重盲隱私，Wolfond表示SecureKey正在使用區塊鏈或分布式賬本方法重新改寫認證系統。一旦工作完成，中間的網絡將無法看到任何加密或未加密的數據，并且中央節點無法知道用戶登錄納稅或者失業系統時都訪問了哪些信息。

Wolfond說，SecureKey在重建過程中所做的一切都與GDPR保持一致，也就是消費者是數據的核心，每次共享數據時都需要得到他們的同意。Wolfond表示，為期三年的重建預計在今年秋季完成，并且需要與SecureKey的銀行合作伙伴展開合作，因為他們需要能夠與該系統進行交互。

確定GDPR職責的基準評估

位于美國休斯敦的Accudata Systems公司咨詢服務負責人Paul Kendall表示，Accudata Systems提供的基準評估可以幫助客戶了解他們必須采取何種程度的補救措施，以符合GDPR標準。

Kendall說，典型的基準評估包括進行業務和IT方面的廣泛面談，目的是弄清楚獲取了哪些數據、數據來自何處以及它如何流經企業組織。

在這個過程中，Accudata通過差距評估告訴客戶他們目前的狀況、GDPR要求什么、以及他們需要什么才能達到要求。Kendall說，Accudata通常會根據客戶情況以及滿足合規性要求的復雜程度來對各項改進設置優先級。

DLP產品中專門針對GDPR數據的爬蟲程序

位于美國奧斯汀的Forcepoint公司CISO Allan Alford表示，Forcepoint的DLP（數據丟失防護）產品除了具有桌面代理和阻止項目外，還提供了一個爬蟲程序，它可以在網絡中查查看文件共享、網絡文件夾和內部數據庫。

Alford表示，Forcepoint在2017年上半年推出了一個爬蟲程序，專門針對GDPR類型的信息和數據。他說，用戶所要做的就是輸入國家名稱和他們尋找的信息的類型（例如法國政府定義的所有個人身份信息實例）。他說，這個爬蟲程序會進入數據庫，為客戶找到這些信息。

Alford表示：“這個工具真的很棒，是一款非常成功和有用的工具，只有少數廠商在做類似的事情。”

數據治理產品

位于美國丹佛市的Ping Identity公司CTO辦公室負責人Baber Amin表示，Ping Identity的數據治理產品提供基于靜態或動態規則的細粒度訪問。該產品可以讀取已經得到同意的信息，基于此客戶能夠做出實時的決定，以什么樣的方式使用什么樣的數據。

Amin表示，到目前為止客戶主要查看他們有什么數據、以及數據位于何處，以便弄清楚他們需要采用什么樣的系統。Amin說，Ping Identity現在剛剛開始看到有越來越多的實際支出花在了技術控制上，旨在解決企業希望未來如何管理數據的問題。

Amin預計大多數技術控制方面的支出將發生在今年下半年，強調強大的身份驗證、強大的加密保護以保護靜止數據、以及檢查數據層的治理情況。

發現并映射數據

位于美國新澤西州蒙特韋爾的Gotham Technology Group公司首席技術官Ken Phelan表示，GDPR合規性的初期階段實際主要集中在發現和映射方面，企業組織可以找出數據的位置、數據如何移動、分類數據和數據流。

Phelan說，企業組織經的數據情況要比他們最初想象地復雜得多，他們數據所處的界限遠遠超出了結構化數據庫的范圍，擴展到了非結構化電子表格和影子IT應用例如Dropbox。

他說，當客戶遇到數據流問題時，就會選擇網絡分化和東西方向的防火墻。Phelan表示，這是圍繞特權訪問和控制誰有控制權的問題，因為一旦用戶獲得管理訪問權限，游戲就結束了。

超越法律風險的整體咨詢方法

位于芬蘭艾斯堡的解決方案提供商GDPR Tech公司創始人兼首席執行官Juha Sallinen表示，那些最關心GDPR法規的大型客戶，已經花了大量時間在衡量法律后果上，現在他們需要更全面的視角。

Sallinen說，GDPR Tech為客戶提供了一個全景視圖，不僅覆蓋關注法律方面，還涉及安全、息治理、人員和流程。

Sallinen表示，對于沒有對GDPR做好準備的客戶來說，GDPR Tech舉辦了幾個探討目前最重要問題的研討會，因為很多公司缺乏信息治理，也沒有任何形式的風險評估。在這方面， GDPR Tech試圖幫助客戶了解數據從哪里進入公司，以及他們隱藏數據可能帶來的風險。

隱私和配置管理儀表板

位于美國舊金山的ForgeRock公司金融服務和法規副總裁Nick Caley表示，ForgeRock的隱私和配置資料管理儀表板是對企業現有身份管理模塊的擴展，讓企業組織能夠從單一位置管理個人、他們的設備、他們訪問的服務這整個生命周期。

該公司一直致力于幫助企業通過讓來自不同業務領域的人員加入其中為企業提供單一視圖來管理身份。現在，通過新的儀表盤，ForgeRock已經將這樣的單一視圖擴展到最終用戶，使企業更容易滿足GDPR要求，讓用戶可以訪問企業組織內關于用戶的數據。

Caley說，這個儀表板為最終用戶提供了可見性可了解企業是如何使用關于用戶的數據，與內部處理相關的，以及他們與第三方共享的信息。

項目組合管理

為了遵守包括GDPR在內的一些隱私政策，CA Technologies現在允許企業在項目組合管理（PPM）工具集中匿名處理非動態資源的個人信息。根據CA Technologies的說法，得到授權的管理員或經理也可以匿名自定義資源數據。

資源ID、名字、中間名、姓氏和電子郵件地址現在都是做了匿名化處理，資源信息顯示為帶有序列化代碼值的擾碼。CA Technologies表示，現在在網站的各個部分不再能夠訪問到客戶個人數據，包括聯系信息、用戶信息、審計跟蹤數據、費率矩陣、賬單數據和會話。

CA Technologies首席隱私策略師Christoph Luykx表示，CA Technologies還在PPM工具中添加了一項功能，讓企業在數據主體提出請求時可以輕松刪除數據。

SecurityIQ敏感數據發現規則集

位于美國奧斯汀的SailPoint公司首席產品官Paul Trulove表示，目前SailPoint看到企業在安全方面存在最大空白就是無法掌握誰訪問了文件和文件存儲系統。

Trulove表示，在2017年第四季度SailPoint開始提供其最新版本的SecurityIQ身份治理工具，采用一項新的GDPR策略，其中有針對非結構化數據預先制定的規則。這是針對企業文件存儲環境的，幫助隔離非結構化數據實例或那些在本應位置之外的數據實例。

總而言之，Trulove表示這個敏感數據發現規則集讓SailPoint及其客戶專注于那些審計發現存在合規性空白可能性非常高的領域。根據Trulove的說法，客戶的接受度能夠提供更全面的覆蓋GDPR等法規的信息。

始終保持在區域內的會話記錄

位于美國馬薩諸塞州牛頓的CyberArk公司EMEA客戶開發總監David Higgins表示，CyberArk一直為客戶提供客戶IT管理員正在做什么的記錄，這些記錄需要存儲在某個地方。

作為IT管理員角色的副產品，Higgins表示他們可能會查看用戶數據，反過來這意味著記錄會話實際上是在獲取他們的數據。Higgins表示，為了遵守GDPR，CyberArk已經讓客戶可以將這些會話保留在區域內，以確保關鍵用戶數據留在歐盟內，最終不會保存在美國或亞洲某個地方。

Higgins表示，地域上的控制是在去年推出的，該工具集的模塊化設計使CyberArk能夠控制數據流動的位置，而無需對架構進行重大改動。

搜索GDPR分類數據的模板

位于美國加利福尼亞州桑尼維爾的Druva公司產品和聯盟營銷副總裁Dave Packer表示，Druva在幾個月前推出了一個模板，該模板允許企業在整個生態系統中搜索與GDPR相關的數據，而不必為GDPR數據的每個特征進行單獨配置。

Packer表示，為了構建模板，Druva需要查看整個歐盟國家的系統，了解構成識別信息以及需要追蹤的各種要素。因此，Druva構建了模板來識別這些要素，并設置了閾值，以便將重點放在大量敏感數據而不是單個實例上。

Packer說，例如用戶機器上的單個驅動程序許可證號碼可能有問題，也可能沒有問題，但單個機器上的十個驅動程序號碼可以很好地表明用戶可以訪問敏感文件。他表示，Druva已經調整了其參數以提高效率，將誤報和漏報的可能性降至最低，同時仍然能夠獲得假定的違規情況。