即将实施的 GDPR 将带来重大变化
《通用数据保护条例》(GDPR) 被认为是近 20 年在欧盟 (EU) 出台的最重要的欧洲数据保护法案,并将取代 1995 年的《数据保护指令》。GDPR 增强了欧盟个人的隐私权,并极大加强了处理数据的组织的义务。在 Keeper Security,我们将致力于成功实施 GDPR。
GDPR 对欧盟个人的个人数据处理作出了规定,包括数据的收集、存储、传输或使用。“个人数据”概念的定义较为广泛,涵盖与已识别或可识别的个人相关的任何信息,被 GDPR 定义为“数据主体”。对于大多数公司而言,这包括员工和消费者。
GDPR 确定了两个可能持有个人数据的实体。数据控制者对个人数据的处理进行控制,并决定收集哪些数据。数据处理者按数据控制者的指示进行收集、存储、检索和/或删除个人数据。当我们直接向消费者销售我们的密码管理程序时,Keeper Security 即为数据控制者当我们向企业销售时,我们则是数据处理者,而企业被视为数据控制者。
Keeper 致力于对我们的业务流程和产品进行更改和改进,以确保我们在 2018 年 5 月 25 日之前为 GDPR 做好准备。
Keeper Web 客户端、Android 应用、Windows Phone 应用、iPhone/iPad 应用和浏览器扩展已通过美国商务部的欧盟-美国安全港计划获得了欧盟安全港认证,符合欧盟委员会的数据保护指令。根据 AICPA 服务组织控制框架,Keeper 还被认证为符合 SOC 2 类型 2。Keeper 还通过了 ISO27001 认证。
GDPR 为欧盟的个人提供了扩大的权利,除其他权利外,还赋予他们被遗忘的权利和要求提供一份被储存的任何个人数据的副本的权利。数据必须采用通用的机器可读格式,数据控制者不得干扰数据转移。
GDPR 要求组织实施适当的政策和安全协议,进行隐私影响评估,详细记录数据活动,并与供应商签订书面协议。
根据 GDPR,监管部门可以按违规行为的严重程度和所造成的损失对组织处以最高 2,000 万欧元或公司年度全球收入的 4 %(以较高者为准)的罚款。此外,GDPR 通过要求企业与一个主导监管机构合作处理跨境数据保护问题,为在多个欧盟成员国开展业务的企业提供了执行中心点。
GDPR 要求涉及对欧盟个人行为进行概况分析或监测的组织承担额外的义务。GDPR 的规定在全球范围内适用于处理欧盟个人的个人数据的任何组织,包括跟踪其在线活动,无论该组织是否在欧盟有实体存在。
GDPR 要求组织向数据保护机构报告特定数据泄露事件,并在某些情况下向受影响的数据主体报告。GDPR 还对组织提出了额外的安全要求。
企业客户可能需要与 Keeper Security 签订一份数据处理协议 (DPA),以协助其满足 GDPR 合规。请向您的 Keeper Security 代表索取 DPA 协议,或发送电子邮件至 business.support@keepersecurity.com。
我们与隐私合规领域的全球领导者 TrustArc 合作,确定我们的业务流程、隐私实践和产品所需的变化,以确保我们符合 GDPR 的要求。
作为一家零知识安全公司,GDPR 与我们提供的核心产品和服务紧密一致。遵守国际法和保护客户隐私对我们来说非常重要。
Keeper 是一个零知识安全产品供应商。Keeper 用户是对其数据加密和解密有完全控制权的唯一人员。使用 Keeper,加密和解密仅在用户登录保管库时发生在其设备上。存储在用户保管库中的每条记录都使用在设备上随机生成的 256 位 AES 密钥进行加密。记录密钥由另一个密钥(称为数据密钥)进行保护。数据密钥则在设备上使用从用户的主密码派生的密钥进行加密。存储在用户设备上的静态数据亦使用另一个称为“客户端密钥”的密钥进行加密。用户设备之间的安全记录同步也在网络层进行加密,并通过 Keeper 的 Cloud Security Vault 进行路由传输。这种多层加密模式提供了业界最先进的数据保护。
作为一个零知识平台,我们产品中存储的信息进行了完全加密,并且仅用户可获得。我们对分析系统进行了更改,以确保我们的客户匿名,并且我们还更改为允许您控制对如何使用或存储可能收集的有关您的任何个人数据的同意。
GDPR 确定了两个可处理个人数据的实体。数据控制者决定收集哪些数据以及完成哪些个人数据的处理。数据处理者按数据控制者的指示进行收集、存储、检索和/或删除个人数据。当我们直接向消费者销售我们的密码管理程序时,Keeper Security 即为数据控制者当我们向企业销售时,我们则是数据处理者,而企业被视为数据控制者。
若要导出数据,请在 https://keepersecurity.com/vault 登录至 Keeper Web 保管库,然后点击“更多>>备份>>导出”。您可以采用 CSV 或 PDF 格式下载您存储的信息。若您的帐户已过期,请联系 support@keepersecurity.com,我们的支持团队将协助您访问您的保管库。
请发送电子邮件至 support@keepersecurity.com 并提供与您的 Keeper 帐户关联的电子邮件地址。
Keeper 在美国和爱尔兰的多个地区运营数据中心。企业客户可以选择在美国或欧洲数据中心建立其 Keeper 解决方案。通过美国 Keeper Web 保管库 (https://keepersecurity.com/vault)、移动或桌面应用注册的个人消费者用户将默认使用美国数据中心。直接在欧盟 Web 保管库 (https://keepersecurity.eu/vault) 注册的用户的信息将存储在欧盟数据中心。
若需要有关数据转移的说明和帮助,请联系 support@keepersecurity.com。
零知识体系结构和安全:Keeper 的密码管理程序从构建之初就确立了用户个人是唯一可以访问其数据的人。这与 GDPR 的原则和数据保护要求完全一致。所有加密均在个人设备上完成。数据在传输过程中使用传输层安全性协议 (TLS) 进行加密,并以 AES-256 加密密文存储。通过分离数据和加密密钥,任何 Keeper 员工均无法访问客户的保管库数据。根据第 34 条,若 Keeper 保管库数据遭到泄露,密文对攻击者来说毫无价值,因此无需通知。
除了定期的安全审查和测试外,Keeper 每年还将进行 SOC 2 类型 2 认证和 ISO27001 认证。
Keeper 使用 Amazon AWS 强化云基础架构在多个地理位置托管和运营 Keeper 保管库。静止数据和传输数据完全隔离在客户首选的全球数据中心。换句话说,欧盟数据就在欧盟。这为客户提供了最快、最安全的云存储。
无其他处理:Keeper 绝不会出于任何目的挖掘客户保管库数据。首先,就政策来说,Keeper 最高层确立了我们将致力于保护客户的隐私。其次,由于我们使用了零知识体系结构,我们在技术上不可能这样做。这遵循了 GDPR 的组织和技术政策原则来保护个人数据。
数据控制:客户可以随时导出其数据(采用 CSV 格式)、修改或删除其保管库记录。这支持了 GDPR 对一旦预期的使用完成、同意被撤回或合法的商业目的改变后可以转移或删除个人数据的要求。由于数据主体能够自助管理其 Keeper 保管库,因此数据控制者在 GDPR 合规性方面免除了巨大的负担。数据经过了加密,只有数据主体才能访问,所以员工甚至看不到它,更不用说需要访问它了。
基于角色的访问控制:最小特权的安全概念意味着员工应该只能访问他们完成工作所需的最少数据量。这通常是通过基于角色的访问控制 (RBAC) 来实现。
Keeper 集成了 Microsoft Active Directory (AD),以便与节点(组织单位)、团队和用户同步。连接后,Keeper 可在任何节点上启用基于角色的访问控制。若需要,可以将这些控制级联到所有较低的节点。Keeper 保管库上的这些控制包括主密码强度、轮换时间、两步验证要求、IP 白名单等。Keeper 将锁定被 AD 终止的帐户,这些帐户可能会转移给受信任的管理员。这使 IT 管理员能够控制整个组织中的数据帐户和资产。
管理员洞察和审核: Keeper Enterprise 提供对员工密码强度、重复使用和两步验证使用的深入了解。Keeper 提供完整的带有时间戳和筛选器的审核日志,以便快速搜索异常、不良行为、取证或合规性报告。
观看影片