大多数商业企业的DLP解决方案都有一个常见问题,这些方案都只支持标准数据传输通道,如HTTP/HTTPSSMTP/POP3/IMAPFTP。客户通常发现自己无法在各种内部业务应用程序上实施公司数据安全策略,因为这些应用程序以自己的格式传输数据,而传统DLP无法解析这些格式。当涉及到某些法律法规(如GDPR)的合规要求时,这一弱点变得特别痛苦,因为这些法规需要在业务流程中进行深入的数据审查。

SkyGuard统一内容Web服务检测平台为客户的内部业务应用程序了提供值得信赖的数据安全API,优雅地解决了这个问题。客户自己的业务应用程序开发团队比其他人更清楚地知道他们的数据应该如何存储、移动和使用,因此他们很容易在业务应用程序中找到调用SkyGuard UCWI API的适当位置,而无需了解复杂的公司范围内数据安全策略。另一方面,客户的数据安全管理团队能够专注于数据安全和数据合规,而无需了解复杂的业务数据处理逻辑。

SkyGuard UCWI特性

简单但功能强大的RESTful API

支持同步和异步模式

无缝集成到业务流程中

共享与SkyGuard高级Web安全网关ASWGSkyGuard数据安全网关DSG相同的数据安全策略集

高性能: 单实例高达500TPS的办公文档处理能力,支持水平扩展

支持多种数据检测技术: 相似性指纹、机器学习、正则表达式、关键字和词典

支持2000多个文件格式:WordPDFCAD

快速、高精度的OCR

支持大多数压缩文件格式

内置丰富的数据模板:GDPR PIIsPCIPHI

支持结构化数据 (数据库)和非结构化数据(文件)

典型部署:大数据处理平台


数据处理应用程序之一,数据收集器,从数据生成器收集数据,并将原始数据存储在一个数据存储中。另一个应用程序(数据清理器)删除敏感信息或对其进行编辑,并将经过清理的数据存储在另一个数据存储中。

该部署假定办公室中只有少数特权用户可以访问原始数据,而其他办公室用户只能访问经过清理的数据。此外,平台政策还规定,包含地理位置信息的数据,即使经过处理,也不应发布给非成员数据使用者。但是,由于所有应用程序都可以访问这两个数据存储,因此在处理数据时遵守上述规则成为应用程序开发人员的负担。应用程序逻辑中一旦出现错误,非特权用户长时间访问一些未经处理的原始数据,而不会触发警告,导致某些交付应用程序的数据由于无法识别地理位置信息,交付了包含外部用户数据的地理位置。

随着SkyGuard UCWI的部署,平台数据安全团队创建并维护UCSS上的所有数据安全策略,该团队会自动将这些策略发布到UCWI。应用程序开发人员只需在关键数据传输点提交具有适当UCWI API的数据,以确保不会向错误的收件人传递不适当的数据。因此,当敏感数据被传递给无特权用户时,数据传输会被阻止,并在一段时间内,用户会持续收到重复的DLP事件警告。这时开发人员会意识到他们在代码中出现了错误,该错误将敏感数据呈现给无特权用户。此外,应用程序开发人员在向外部用户发送数据时,可以使用UCWI API筛选出包含地理位置信息的数据,从而消除编程错误的可能。

GDPR


《通用数据保护条例》(General Data Protection Regulation,简称GDPR)是欧盟法律中关于欧盟(EU)和欧洲经济区(EEA)内所有个人数据和隐私保护的法规。它同样限制了欧盟和欧洲经济区以外的个人数据导出行为。GDPR的主旨是赋予个人用户掌控他们个人数据的权利并通过统一欧盟内部法规来简化国际业务的监管环境。

达到GDPR相关合规要求所需的成本极高,这是由于GDPR要求将数据保护设计到产品和服务的业务流程与开发中。因此,几乎所有业务应用开发团队都需要将他们的程序进行非常细致的剖析,以寻找潜在的违规行为。以下是组织可能遇到的一些问题示例:

1.GDPR禁止在未经数据主体明确同意的情况下将个人身份信息(Personal Identification Information,简称PII)转移到EEA以外的实体。开发人员在编写的程序如果有可能将数据导出到EEA之外的合作伙伴,他们必须在传输之前意识到其中包含PII的数据。但是,业务应用的开发人员很难做到这一点,因为他们不熟悉各个欧盟国家不同格式的PII数据。

2.虽然通过存储加密的PII数据来遵守合规这一做法相对容易,但是具有解密密钥访问权限的业务应用程序仍然可能包含已解密的PII数据,并且可能意外地将明文PII转储到临时存储器(例如日志或备份文件)中。

3.虽然企业将PII数据用于B2B营销是合法的,但如果数据主体明确要求他/她的个人数据不得用于B2B营销目的,企业则无权这样做。将PII数据传输给B2B合作伙伴的业务应用程序必须有保护数据的义务,以确保它们不包含上述数据主体的PII信息。

借助SkyGuard UCWI,组织可以轻松实施以下解决方案:

1.借助SkyGuard UCWI,组织可以轻松实施以下解决方案:开发人员在编写有数据导出到非欧盟实体的应用的时候,可以调用SkyGuard UCWI的接口,并将本应用ID和需要传输的数据作为参数;UCWI服务器从应用ID得知该数据是要被出口到非欧盟实体的,因此会将数据对比预设的GDPR出口DLP策略进行检查,以确定是否违反企业GDPR数据出口安全规定;应用程序根据UCWI返回的结果对数据采取适当的操作(导出,阻止,记录等)。

2.开发人员开发将数据存储到磁盘上的日志或备份文件时,可调用SkyGuard UCWI API,并将应用ID和需要写入的数据作为参数传入;UCWI服务器通过应用ID得知该应用是要将数据进行持久化存储,因此会将数据对比预设的GDPR存储DLP以确定是否违反企业GDPR的数据存储安全规定,同时指导开发人员决定是否可以将数据写入文件。

3.开发人员可以在其应用将PII数据发送到B2B市场合作方之前的关键数据处理节点调用SkyGuard UCWI接口,并将应用ID和需要传输的数据作为参数; UCWI服务器从应用ID得知该数据是要被用来传送给外部合作伙伴的,所以会使用外部合作伙伴的DLP指纹策略检查该数据,该指纹策略利用了高性能的数据库指纹并可以识别出所有明确要求不将其数据用于B2B营销目的的所有数据主体的PII; 然后开发人员的程序可以根据UCWI返回的结果决定是否发送数据到B2B合作伙伴。