GDPR這口鍋，剛剛開始沸騰。它會有多熱?會燙到誰?對于安全，隱私專業人士和管理人員來說，已經發生的大大小小的GDPR合規案例提供了豐富的安全與隱私課程。

[[274636]]

安全基礎已經開始冒泡

數據安全基礎是監管機構的首要執法行動對象，包括罰款，這些監管行動發出了關于保護整個數據供應鏈中個人數據的期望的明確信息。訪問控制，開放數據源和監控等問題都適合這個問題。例如，英國，德國，法國和葡萄牙數據保護機構(DPA)一直積極要求對安全實踐進行具體更改并征收罰款。

• 德國聊天提供商將其平臺向公眾開放，并且需要添加更強大的帳戶管理，加密和訪問控制。
• 一家葡萄牙醫院的醫生賬戶數量是實際醫生的三倍以上，并允許訪問所有患者檔案。因此，他們需要刪除舊的和重復的帳戶并實施更嚴格的訪問控制。
• 英國的醫療實踐允許受訓者閱讀同事，朋友和家人的患者記錄兩年。最終，他們需要添加基于角色的訪問權限。
• 一個突出的目標是優步。法國，英國和荷蘭因未能實施2016年違規行為的基本安全措施而對Uber處以罰款。強制實踐包括用于訪問AWS S3服務器的IP過濾系統，要求工程師使用2FA連接到GitHub，而不是以純文本格式存儲這些憑據。

傳遞出的訊息很明確： 無需再懷疑GDPR執法行動和罰款是否涉及數據安全，答案是肯定的。這些執法行動清楚地給出了對不同規模組織的最低安全實踐的預期目標，并且未來涉及歐盟以外的企業的案例中，也將適用。

GDPR合規可不簡單

有兩個標志性案例表明GDPR即將開鍋：英國航空公司和萬豪國際。英國航空公司(BA)的用戶被引導到一個欺詐網站收集付款和個人信息，Magecart注入腳本的一部分，充當數字信用卡盜卡器，這是一種已知的攻擊。BA現在面臨的整改包括：實施定期安全審查，代碼分析和惡意軟件檢測技術和審查，并加密敏感數據。最后，他們必須在整個數據收集過程中增加額外的控制，從表單到付款提交，包括第三方，以及更積極地監控和響應外部威脅環境。

萬豪酒店的情況是值得注意的，因為涉及到一家美國公司，并強調并購盡職調查，以評估安全實踐，安全代碼，并確定可能違規。具體而言，盡管萬豪在2015年調查了最近收購的喜達屋酒店的小規模違規行為，但安全專家和英國監管機構(ICO)表示，這應該促使萬豪進行更深入的調查，這將使他們能夠找到潛伏在其預訂中長達三年之久的黑客系統。根據ICO的說法，“憑借他們擁有的所有資源，他們早在2015年就應該能隔絕黑客。”

現在，GDPR對企業并購的要求是準確的：展示安全措施和沒有違規行為是不夠的。企業將需要更多的安全實踐證明和技術監控控制，執行廣泛的技術盡職調查，包括書面測試和代碼審查。目標組織也應準備作出回應。

GDPR也賦予歐盟DPA更多執法權力。2019年7月底發布的歐盟委員會年度報告呼吁通過歐盟內外各國監管機構中共同努力來擴大執法活動。歐盟認為，GDPR在全球范圍提升并幫助所有經濟體轉型——- 隨著越來越多的國家建立現代數據保護規則，全球范圍內一致且更強大的數據保護標準講不斷擴展。