介绍

ProjectManager非常重视对所有客户数据的管理。本ProjectManager数据泄露政策旨在帮助我们及时有效地管理任何个人数据泄露。

此外,根据欧盟新的2018年通用数据保护条例(GDPR)条例,处理可能属于GDPR“个人数据”类别的任何欧盟客户数据的公司必须制定清晰的计划,概述在以下情况下的政策:违反该数据。

术语“数据泄露”通常是指任何未经授权的数据访问。由于ProjectManager处理来自欧盟和世界各地客户的出于各种业务目的的个人数据,因此ProjectManager必须做出合理的安全安排以保护该个人数据,以防止未经授权的使用,访问或泄露。

范围

该政策旨在帮助我们的客户理解我们的政策,并且实施和履行适用于所有ProjectManager员工,包括承包商。所有员工和承包商都必须阅读本政策并遵守其条款。对该政策的任何修改或修改,将在采用之前分发给所有员工和承包商。

我们的数据保护官(DPO)负责执行此政策。

训练

所有员工和承包商都接受了有关此政策的培训,任何新员工都将在雇用后30天内接受培训。如果此政策有任何实质性更改,则可能需要其他培训。

适用立法注意事项

GDPR 2016/679(GDPR)

根据欧洲委员会,个人数据的定义为:“与个人有关的任何信息,无论与个人,职业或公共生活有关。它可以是名称,家庭住址,照片,电子邮件地址,银行详细信息,社交网站上的帖子,医疗信息或计算机的IP地址等任何内容。”

如果数据控制者(从欧盟居民那里收集数据的组织)或处理者(代表数据控制者(例如,云服务提供商)处理数据的组织)或数据主体(人员)位于欧盟,则适用本法规。

如果收集或处理欧盟居民的个人数据,该法规也适用于欧盟以外的组织。

个人资料

ProjectManager收集与为欧盟居民定义的GDPR定义相关的业务运营个人数据。

个人数据可能包括:

  • 用户个人资料信息,例如全名,照片,电话号码和电子邮件地址
  • 结算帐户信息以处理授权交易
  • 您提供给我们的任何数据,如 隐私政策使用条款.

原因

数据泄露可以通过多种方式发生。它们可能是由于人为错误,恶意活动或计算机错误引起的。

人为错误

此类人为错误原因可能导致数据泄露:

  • 数据丢失或被盗,例如计算机,电话,拇指驱动器,甚至纸质记录
  • 数据被错误地披露(例如,错误的收件人)
  • 数据以未经授权的方式受到错误管理(例如:将个人数据的副本下载到个人计算机)
  • 由于未经授权的访问(例如:共享的登录名或密码)而泄露数据
  • 数据处理不正确(例如:删除不当或无效,硬件重置为出厂默认值)

恶意活动

恶意活动的原因可能包括:

  • 黑客攻击,例如尝试非法访问数据库或通过API
  • 盗窃,例如计算机,公司数据存储设备或纸质记录的盗窃
  • 骗子,例如欺骗员工或承包商发布客户数据

电脑错误

计算机错误的原因类型可能包括:

  • ProjectManager的平台,移动应用或API中的错误或编码错误
  • 与安全或身份验证或授权系统有关的第三方云服务(例如,Amazon Web Services)或云存储(例如,LiquidWeb)失败

报告违规

所有员工和承包商都必须报告企图,实际或潜在的数据泄露事件。这使我们能够采取法律和必要步骤:

  • 调查任何潜在的安全故障
  • 尽快修复任何违规行为
  • 注册任何合规性失败
  • 在相关的情况下通知客户和有关当局

根据GDPR法规,ProjectManager的DPO在法律上有义务在数据泄露后的72小时内通知监管机构(第33条),如果确定了不利影响,则必须通知个人(第34条)。此外,ProjectManager必须在得知个人数据泄露后立即通知任何受影响的客户(不超过33个)。

如果违反了匿名数据,则不需要ProjectManager通知数据主体。根据GDPR,对于受数据泄露影响的个人数据,“如果数据控制者实施了假名化技术(如加密以及适当的技术和组织保护措施),则无需通知数据主体”(第34条)。

ProjectManager数据泄露小组

ProjectManager数据泄露团队(PMDBT)由DPO和CTO组成,他们都有责任对要采取什么措施来控制和管理所报告的事件做出时效决定。

如果您确认或怀疑有数据泄露,请立即联系PMDBT。

报告欧盟实施的违规行为

如果欧盟人员受到举报的安全漏洞的影响,特别是可能引起公众关注或对一组受影响的个人造成伤害的风险,则要求ProjectManager通知相关当局(每个欧盟国家有独立的监管机构)。

如果受影响的人居住在新加坡,则必须通过以下方式通知PDPC:cia [电子邮件 protected] 电子邮件主题为“ [数据泄露通知]”的组织也可以通过+65 6377 3131与欧盟委员会联系。

通知应阐明以下信息:

  • 任何数据泄露的程度
  • 可能违反的个人数据的数量和类型
  • 怀疑违反的原因
  • 违规是否已解决
  • 由于违反而制定的计划和流程
  • 是否通知受影响的个人以及何时
  • ProjectManager中的联系方式以获取授权

在监管机构决定组织是否已合理保护个人数据时,向监管机构的通知应包括详细信息,并由ProjectManager人员进行跟进。如果尚没有违规的完整信息,则ProjectManager应该发送有关事件的临时更新,并在有完整详细信息时进行跟进。

如何应对数据泄露

破坏管理计划

数据泄露小组应立即激活此CCARE数据泄露事件&收到任何数据泄露通知后的响应计划(无论是怀疑还是确认):

  1. 确认 如果有违反
  2. 包含 任何违反个人资料的行为
  3. 评估 风险与影响
  4. 报告 事故向有关当局
  5. 评估 我们的回应&补救措施以防止将来的违规行为

1.确认是否违反

PMDBT需要在意识到潜在的数据泄露后立即采取行动。如果有必要这样做,团队应首先确认是否确实发生了数据泄露。根据未确认的报告数据泄露的潜在风险严重性,团队可以在此阶段继续并遏制该泄露。

2.包含任何个人数据泄露

为了控制违规行为,应采取以下措施:

  • 禁用任何受损的系统
  • 确定应采取哪些步骤以最大程度地减少损坏和/或恢复数据丢失
  • 找出造成数据泄露的原因,和/或阻止与系统的外部连接
  • 防止进一步未经授权访问受影响的系统
  • 重置受感染的密码和/或更改对任何受感染系统的访问权限

3.评估风险和影响

ProjectManager应该努力理解数据泄露的风险和影响,以便评估对受影响个人的任何潜在后果,并验证通知所有受影响个人所需的步骤。

对个人的风险和影响

  • 违规行为影响了多少人?
  • 是否直接违反了任何个人数据?
  • 该个人数据属于客户,员工,承包商或未成年人吗? (风险根据不同​​人员的类别而变化。)
  • 违规涉及哪些类型的个人数据?
  • 发生违规时我们采取了哪些措施来最大程度地减少其影响?

对组织的风险和影响

  • 数据泄露的原因是什么?
  • 违规是单个事件还是发生了多次?
  • 谁会因泄露而获得对被泄露的个人数据的访问权?
  • 泄露的数据会影响任何第三方交易吗?

4.向当局报告事件

根据泄露数据的性质(例如匿名与非匿名),法律要求ProjectManager在发生个人数据泄露时通知受欧盟影响的个人。这可以帮助那些受影响的个人减少违规的影响并保护他们的其他个人数据。

谁得到通知:

  • 任何个人数据被泄露的个人。
  • 任何相关的第三方,例如银行,信用卡公司或执法机构。
  • PDPC / GDPR,尤其是在数据泄露涉及敏感个人数据的情况下。
  • 有关当局(例如:警察)是否有涉嫌犯罪活动和/或何时应保存调查证据(例如:员工盗窃或未经授权的系统访问)。

他们何时通知:

  • 如果涉及数据泄露,立即为受影响的个人 敏感 个人资料。
  • 解决之后,他们就知道数据泄露事件何时结束。

如何通知他们:

  • 使用常识并考虑情况的紧迫性和影响的范围,以确定针对受影响个人的最佳沟通方法。示例包括:(例如电子邮件,电话,博客文章,新闻稿,社交媒体)。
  • 通信通知应写得清晰,并明确说明受影响的个人可以采取哪些措施来保护其数据和隐私。

通知中包含什么:

在与受影响的个人进行沟通时,透明度是关键,在相关时并取决于违规的性质。说明以下内容:

  • 数据泄露的方式和时间,以及个人可以采取的措施以进一步防止数据泄露。
  • ProjectManager所做的事情是对数据泄露所带来的风险的风险缓解措施。
  • 有关个人如何与我们联系以获取更多信息的信息。

5.评估我们的反应&补救措施以防止将来发生故障

解决数据泄露问题后,PMDBT应该进行事后调查。目标是重新评估当前的保护和预防过程,以确定它们是否足够进行。

有关政策的问题:

  • 我们是否定期进行安全审核?
  • 我们可以简化流程或引入新流程以限制将来的损失吗?
  • 我们能否确定与我们的工具栈相关的当前保护措施中的任何漏洞?
  • 我们用于访问和传输个人数据的安全协议是否足够? (例如,没有指定权限的员工是否也可以访问它们?)
  • 我们是否需要重新评估任何供应商或第三方提供商的关系作为保护措施?
  • 我们是否充分定义了供应商和合作伙伴处理个人数据的责任?
  • 我们是否应该开发其他数据泄露方案?

有关资源的问题:

  • 我们是否有足够的资源分配来管理可能的数据泄露?
  • 我们是否需要与外部供应商签约以帮助我们管理违规响应?
  • 员工和PMDRT是否有足够的资源来管理未来的事件?

员工相关问题:

  • 员工和承包商是否充分警惕了与安全相关的问题?
  • 是否为团队提供了有关保护个人数据以及违规报告和管理流程的足够培训?
  • 团队是否已充分了解过去数据泄露中的重要经验?

管理相关问题:

  • 管理层如何与数据泄露响应和管理进行沟通并参与其中?
  • 是否有明确的责任和沟通渠道以应对将来的数据泄露?

合规与监控

所有员工和承包商都必须遵守此政策。我们非常重视遵守这项政策。不遵守任何要求可能会导致我们的程序受到纪律处分,从而可能被解雇。

ProjectManager的DPO对此政策负有整体责任,并将审查和监视此政策及其团队的遵守情况。