GDPR 合规

我们致力于实现 GDPR 合规。

GDPR 纲要

"通用数据保护条例”(GDPR)代表了三十年来欧洲数据保护立法的最大变革。目前的数据保护指令早于云端服务,社交媒体,物联网和其他今天我们认为理所当然的技术的出现。许多数据丰富的家喻户晓的公司也是在现有立法之后成立的。因此,GDPR 的及时更新受到各个业界的欢迎。

GDPR 继续在立法中已经建立的广泛数据保护的原则。但它为处理个人数据的任何组织提出了各种新的要求和考虑因素。重要的是对公司造成数据保护错误的后果非常严重:

1 对于技术侵权,罚款最高可达2%的总体收入,违反法律规定的违反原则最高可达4%。

2 引入个人数据泄露的强制性违规通知,其中包括警告数据主体违规(如果是重要的)。

3 集体诉讼的前景代表受影响的数据主体。

4 可能完全禁止个人数据处理(在极端情况下)。

智能密码完全符合 GDPR 合规

在Intuitive Security Systems 有限公司里,我们持续的合规审查和行动建立在我们对满足 GDPR 和其他适用法规要求所必需的隐私,安全和运营流程的现有投资的基础上。 Intuitive Security Systems 有限公司参与了 EU Privacy Shield 框架,并且已经符合所有当前欧盟数据保护的规则。到2018年5月25日,该公司也将符合 GDPR 标准。

为了确保客户了解 Intuitive Security Systems 有限公司对 GDPR 的一般理念,我们的目标是在其实施之日,以及他们如何能够以符合 GDPR 标准的方式使用智能密码,重要的是要记住几点:

1 在 GDPR 术语中,智能密码是一个"数据处理器",你本人,作为我们的客户,是所有上传或生成的客户数据的"数据控制器"。这意味着你负责确定你或你账户上的用户上传的所有数据的命运。智能密码将遵守你的指示以及有关如何处理产品功能内的数据的任何书面协议或合同的条款。

2 作为数据控制器,你还直接与账户中的用户建立了关系,这些用户被视为 GDPR 下的"数据主体"。数据主体具有法律规定的某些权利,智能密码为你提供工具,帮助数据主体行使其权利。如果你终止与智能密码的关系,你的数据将在合同结束后不久销毁。这是为了保护数据的隐私和数据安全。

3 在任何时候,你都有权利从智能密码中获取所有上传或客户生成的信息。我们使你可以轻松的维护自己的备份副本。重要的是要记住,通过使用智能密码,你不一定或自动完全符合 GDPR 标准。我们鼓励你验证你是否符合法规的所有方面,并在必要时获得法律建议。

如上所述,Intuitive Security Systems 有限公司正在顺利实施 GDPR,我们相信智能密码可以通过利用以下功能帮助我们的客户进行合规性工作:

安全: 智能密码基于 AES-256 位算法加密,使用 PBKDF2 SHA-256 和盐渍哈希来确保云中的数据保护。智能密码还可以在强化的云基础架构上运行,并且每年都会通过许多深入的安全审核。这可以帮助客户解决他们在加密,假名化和(或)匿名化方面的任何要求。

零知识架构: 智能密码是从一开始就创建的零知识架构,即个人用户是唯一可以访问其数据的人。这与 GDPR 原则和数据保护要求完全一致。通过分离数据和加密密钥,智能密码员工无法访问客户数据。如果智能密码受到黑客攻击,其所有密文对于攻击者来说毫无价值,因此不需要立即采取行动。

无额外处理: 智能密码永远不会出于任何目的挖掘客户数据。我们首先致力于客户隐私,这是智能密码的最高级别的政策。其次,由于我们的零知识架构,我们在技术上也是不可能做到的。这遵循 GDPR 组织和技术政策的原则来保护个人数据。

数据删除: 如果需要,智能密码允许客户导出他们的数据并删除他们的账户。此功能可允许客户在其预期前使用完成,撤销同意或不再存在合法商业目的后,满足有关删除个人数据的要求。

隐私保护: 智能密码建立在零知识原则的基础之上。这意味着默认情况下,只有数据主体本身可以访问其敏感数据,并且此类功能可被视为可接受的隐私保护实践。

常见疑难问题

作为一家澳大利亚公司,智能密码是否需要遵循 GDPR?

是的。作为全球软件即服务提供商,我们在欧盟(以及欧洲经济区)拥有许多客户,这意味着 GDPR 同样适用于我们。因此我们将在2018年5月25日之前遵守 GDPR 的适用条款。

我读过"数据控制器"和"数据处理器"。有什么区别,哪一个是智能密码?

解释正式文本:(a)数据控制者是其信息的所有者,并决定如何使用该信息; (b)数据处理者是处理数据控制器个人数据并执行财务主任关于此数据的指示的个人或实体。一般而言,我们的客户将是其内容的控制者(在我们的服务条款中定义的术语),包括他们在我们的系统中放置或生成的任何相关个人信息,而智能密码将代表他们成为处理者。在一些有限和公开的实例中,例如当我们从客户收集数据以创建账户时,智能密码将是控制器。

什么是"零知识"提供者?

智能密码是一个零知识安全程序。智能密码的用户是唯一可以完全控制其数据加密和解密的人。使用智能密码,用户的本地设备或网页浏览器在登录其账户时会进行加密和解密。存储在用户账户中的每条记录都使用安全的 AES-256 位密钥进行加密。记录密钥由另一个密钥保护,称为数据加密密钥。数据加密密钥由从用户的登录凭据派生的密钥加密。这种多层加密模型提供业界最先进的数据保护。

为保持 GDPR 合规性而实施的智能密码有哪些变化?

作为零知识平台,我们产品中存储的信息是完全加密的,仅供用户使用。我们对自己的分析系统进行了更改,以确保我们的客户匿名,并且我们已做出更改,以允许你控制你对可能收集的有关你的任何个人数据的使用或存储的同意。

GDPR 是否阻止公司在欧盟以外存储信息?

不是,目前的 GDPR 法规中没有任何内容可以阻止或暗示这一要求。 GDPR 确实概述了数据处理器必须适当地保护个人数据,无论其存储在何处。此外,GDPR 不会使欧盟模式条款(它是智能密码 GDPR 兼容 DPA 的一部分)或欧盟隐私保护框架无效或超越,这两种框架都是确保个人数据合法进出欧盟的有效机制。

你是否提供数据处理协议?

是的。智能密码很高兴提供修订的符合 GDPR 标准的数据处理协议(DPA),其中包括:(1)欧盟标准合同条款(也称为欧盟模式条款); (2)智能密码的技术和组织数据安全措施; (3)GDPR 特定协议。符合 GDPR 标准的 DPA 可确保你在欧洲经济区以外的任何与你与智能密码的关系相关的个人数据传输将按照 GDPR 执行。

我的数据存储在哪里?

所有智能密码的数据都位于澳大利亚境内。我们的主要和备用数据中心均位于墨尔本和悉尼。