GDPR 合規

我們致力於實現 GDPR 合規。

GDPR 綱要

"通用資料保護條例”(GDPR)代表了三十年來歐洲資料保護立法的最大變革。目前的資料保護指令早於雲端服務,社交媒體,物聯網和其他今天我們認為理所當然的技術的出現。許多資料豐富的家喻戶曉的公司也是在現有立法之後成立的。因此,GDPR 的及時更新受到各個業界的歡迎。

GDPR 繼續在立法中已經建立的廣泛資料保護的原則。但它為處理個人資料的任何組織提出了各種新的要求和考慮因素。重要的是對公司造成資料保護錯誤的後果非常嚴重:

1 對於技術侵權,罰款最高可達2%的總體收入,違反法律規定的違反原則最高可達4%。

2 引入個人資料洩露的強制性違規通知,其中包括警告資料主體違規(如果是重要的)。

3 集體訴訟的前景代表受影響的資料主體。

4 可能完全禁止個人資料處理(在極端情況下)。

智慧密碼完全符合 GDPR 合規

在Intuitive Security Systems 有限公司裡,我們持續的合規審查和行動建立在我們對滿足 GDPR 和其他適用法規要求所必需的隱私,安全和運營流程的現有投資的基礎上。 Intuitive Security Systems 有限公司參與了 EU Privacy Shield 框架,並且已經符合所有當前歐盟資料保護的規則。到2018年5月25日,該公司也將符合 GDPR 標準。

為了確保客戶瞭解 Intuitive Security Systems 有限公司對 GDPR 的一般理念,我們的目標是在其實施之日,以及他們如何能夠以符合 GDPR 標準的方式使用智慧密碼,重要的是要記住幾點:

1 在 GDPR 術語中,智慧密碼是一個"資料處理器",你本人,作為我們的客戶,是所有上傳或生成的客戶資料的"資料控制器"。這意味著你負責確定你或你帳戶上的使用者上傳的所有資料的命運。智慧密碼將遵守你的指示以及有關如何處理產品功能內的資料的任何書面協定或合同的條款。

2 作為資料控制器,你還直接與帳戶中的用戶建立了關係,這些用戶被視為 GDPR 下的"資料主體"。資料主體具有法律規定的某些權利,智慧密碼為你提供工具,説明資料主體行使其權利。如果你終止與智慧密碼的關係,你的資料將在合同結束後不久銷毀。這是為了保護資料的隱私和資料安全。

3 在任何時候,你都有權利從智慧密碼中獲取所有上傳或客戶生成的資訊。我們使你可以輕鬆的維護自己的備份副本。重要的是要記住,通過使用智慧密碼,你不一定或自動完全符合 GDPR 標準。我們鼓勵你驗證你是否符合法規的所有方面,並在必要時獲得法律建議。

如上所述,Intuitive Security Systems 有限公司正在順利實施 GDPR,我們相信智慧密碼可以通過利用以下功能説明我們的客戶進行合規性工作:

安全: 智慧密碼基於 AES-256 位元演算法加密,使用 PBKDF2 SHA-256 和鹽漬雜湊來確保雲中的資料保護。智慧密碼還可以在強化的雲基礎架構上運行,並且每年都會通過許多深入的安全審核。這可以説明客戶解決他們在加密,假名化和(或)匿名化方面的任何要求。

零知識架構: 智慧密碼是從一開始就創建的零知識架構,即個人用戶是唯一可以訪問其資料的人。這與 GDPR 原則和資料保護要求完全一致。通過分離資料和加密金鑰,智慧密碼員工無法訪問客戶資料。如果智慧密碼受到駭客攻擊,其所有密文對於攻擊者來說毫無價值,因此不需要立即採取行動。

無額外處理: 智慧密碼永遠不會出於任何目的挖掘客戶資料。我們首先致力於客戶隱私,這是智慧密碼的最高級別的政策。其次,由於我們的零知識架構,我們在技術上也是不可能做到的。這遵循 GDPR 組織和技術政策的原則來保護個人資料。

資料刪除: 如果需要,智慧密碼允許客戶匯出他們的資料並刪除他們的帳戶。此功能可允許客戶在其預期前使用完成,撤銷同意或不再存在合法商業目的後,滿足有關刪除個人資料的要求。

隱私保護: 智慧密碼建立在零知識原則的基礎之上。這意味著預設情況下,只有資料主體本身可以訪問其敏感性資料,並且此類功能可被視為可接受的隱私保護實踐。

常見疑難問題

作為一家澳大利亞公司,智慧密碼是否需要遵循 GDPR?

是的。作為全球軟體即服務提供者,我們在歐盟(以及歐洲經濟區)擁有許多客戶,這意味著 GDPR 同樣適用於我們。因此我們將在2018年5月25日之前遵守 GDPR 的適用條款。

我讀過"資料控制器"和"資料處理器"。有什麼區別,哪一個是智慧密碼?

解釋正式文本:(a)資料控制者是其資訊的所有者,並決定如何使用該資訊; (b)資料處理者是處理資料控制器個人資料並執行財務主任關於此資料的指示的個人或實體。一般而言,我們的客戶將是其內容的控制者(在我們的服務條款中定義的術語),包括他們在我們的系統中放置或生成的任何相關個人資訊,而智慧密碼將代表他們成為處理者。在一些有限和公開的實例中,例如當我們從客戶收集資料以創建帳戶時,智慧密碼將是控制器。

什麼是"零知識"提供者?

智慧密碼是一個零知識安全程式。智慧密碼的使用者是唯一可以完全控制其資料加密和解密的人。使用智慧密碼,使用者的本地設備或網頁流覽器在登錄其帳戶時會進行加密和解密。存儲在使用者帳戶中的每條記錄都使用安全的 AES-256 位金鑰進行加密。記錄金鑰由另一個金鑰保護,稱為資料加密金鑰。資料加密金鑰由從用戶的登錄憑據派生的金鑰加密。這種多層加密模型提供業界最先進的資料保護。

為保持 GDPR 合規性而實施的智慧密碼有哪些變化?

作為零知識平臺,我們產品中存儲的資訊是完全加密的,僅供用戶使用。我們對自己的分析系統進行了更改,以確保我們的客戶匿名,並且我們已做出更改,以允許你控制你對可能收集的有關你的任何個人資料的使用或存儲的同意。

GDPR 是否阻止公司在歐盟以外存儲資訊?

不是,目前的 GDPR 法規中沒有任何內容可以阻止或暗示這一要求。 GDPR 確實概述了資料處理器必須適當地保護個人資料,無論其存儲在何處。此外,GDPR 不會使歐盟模式條款(它是智慧密碼 GDPR 相容 DPA 的一部分)或歐盟隱私保護框架無效或超越,這兩種框架都是確保個人資料合法進出歐盟的有效機制。

你是否提供資料處理協定?

是的。智慧密碼很高興提供修訂的符合 GDPR 標準的資料處理協定(DPA),其中包括:(1)歐盟標準合同條款(也稱為歐盟模式條款); (2)智慧密碼的技術和組織資料安全措施; (3)GDPR 特定協議。符合 GDPR 標準的 DPA 可確保你在歐洲經濟區以外的任何與你與智慧密碼的關係相關的個人資料傳輸將按照 GDPR 執行。

我的資料存儲在哪裡?

所有智慧密碼的資料都位於澳大利亞境內。我們的主要和備用資料中心均位於墨爾本和悉尼。