在部署保存客戶或用戶數據的任何應用程序時，數據合規性和數據隱私都是需要考慮的重要事情。然而，數據管理的這兩個領域有時會被誤解。本文將闡明數據合規性和數據隱私之間的區別。

什么是數據合規性？

數據合規性是指在收集、處理和存儲數據方面履行某些法律義務的要求。

例如，在歐洲擁有客戶的公司必須遵守《通用數據保護條例》（GDPR）。這是一個法律框架，賦予消費者查看公司持有的關于他們的數據的權利，反對公司處理這些數據，并要求公司刪除這些數據。同樣，在加利福尼亞州擁有客戶的公司必須遵守加利福尼亞州消費者隱私法案 （CCPA）。

除 GDPR/CCPA 外，其他合規框架的示例還包括《健康保險流通與責任法案》（HIPAA）、SOC 2 審核框架和ISO/IEC 27001 標準。這可能包括公司為確保數據合規性而制定的一套政策、程序和審計。

什么是數據隱私？

數據隱私與保持敏感數據的私密性和機密性有關。如果數據合規性是數據管理的法律要求，則保持數據的私密性就是技術問題。隱私計劃的目標是倡導數據隱私，并確保只有授權用戶才能在需要知道的基礎上查看數據。它包括超出典型合規性計劃所具有的元素。

數據隱私通常適用于任何個人身份信息 （PII），即可用于識別某人的任何數據。社會保險號、電子郵件地址、IP 地址等可被視為 PII。努力保護數據隱私的公司需要采取措施保護這些數據的機密性，即使合規不需要，也要倡導與數據相關的個人的隱私。數據隱私必須建立機制，以確保只有授權人員才能訪問數據。

存儲敏感數據

關于數據合規性和數據隱私的一個誤解是，公司無法使用任何第三方工具存儲其數據，因此必須訴諸“內部”解決方案。

實際上，事實并非如此。第三方工具可能具有強大的訪問控制和安全性，這些訪問控制和安全性已在 SOC 2 和 ISO/IEC 27001 等第三方框架下進行了嚴格審核，而“內部”數據存儲可能允許通過通用 root 密碼訪問許多員工，而無需任何強大的審核日志記錄可能遠非合規。

相反，工程師必須對工具進行評估（無論是內部還是外部），以確保正確的機制到位，以滿足安全性和數據合規性標準。如果公司不對內部工具應用與外部工具相同的嚴格安全性，則數據泄露的可能性可能會增加。

合規性不僅僅是一個項目問題

GDPR、SOC 2 和其他框架是法律和運營框架。雖然它們嚴重影響項目，但這些框架會影響公司從法律、銷售和支持方面的整個運營。如果一家公司需要與另一家企業合作，那么法律文書工作將為他們鋪平道路。在 AWS 中設置“安全”環境并不意味著就一定符合 SOC 2。將數據存儲在“內部”數據庫中并不意味著就一定符合GDPR，因為支持和銷售等團隊需要操作程序。

為了遵守GDPR，兩家公司可以簽署一份通常稱為“數據處理附錄”的法律文件，該文件定義了不同方之間如何處理和保護數據。它將定義誰是數據控制者，誰是數據處理者，如何處理數據，違規期間的SLA和程序等。該協議應涵蓋可歸類為 PII 的所有數據，并確保其符合相關合規性法規的要求。

以GDPR為例，這意味著需要有一個流程來滿足個人訪問，反對和要求刪除其數據（無論數據存儲在哪里）的要求。

保持數據的私密性

僅僅因為您遵守 GDPR 或 SOC 2 并不一定意味著數據是私密的，無論數據存儲在第三方工具中還是存儲在內部解決方案中。數據隱私是“超越”合規框架的藝術，盡一切努力確保客戶數據的隱私。

有幾種不同的方法可以確保數據隱私。例如，Moesif 平臺具有一項稱為隱私規則的功能，它使您能夠使用基于角色的訪問控制 （RBAC） 根據需要知道來限制對某些字段的訪問。例如，您可以創建隱私規則，確保技術支持人員無法查看或檢查敏感的 HTTP 標頭或 PHI（受保護的健康信息），而分析師可能需要其他訪問字段來報告。

保持數據私密性的第二種方法是通過客戶端加密，這是降低數據泄露風險和改善數據隱私狀況的最新趨勢。客戶端加密使您能夠使用一組輪換的加密密鑰來加密數據，很少有員工可以訪問這些密鑰。維護底層數據基礎結構和處理管道，但沒有業務需要查看實際數據的工程師，只要他們無權訪問加密密鑰，就無法查看。

確保合規性，讓您高枕無憂

數據合規性和數據隱私是重要而嚴肅的話題，會影響組織中接觸敏感數據或客戶數據的任何人。法律、運營和工程部門應協同工作，確保合規性。此外，公司應努力實現超出合規框架要求的進一步數據隱私。這可以用于數據道德或減少數據泄露時的暴露。

原文鏈接：??https://dzone.com/articles/what-is-the-difference-between-data-compliance-and??

原文作者：Derric Gilling