CJIS
HIPAA
ISO
PCI
GDPR
RBI
LGPD以下文档详述了 Mobile Device Manager Plus 如何帮助企业实现 GDPR 合规的某些要求。
GDPR 合规
欧洲联盟的 通用数据保护条例(GDPR)是一项全面的法律框架,重点关注数据安全和隐私。从组织角度,GDPR 确立了收集个人数据的基本规则, 以确保对欧洲联盟(EU)数据主体的个人数据进行收集,通过适当的技术或组织措施保护这些数据,防止未经授权或非法处理及意外丢失、销毁或损坏(“完整性和机密性”),并建立及执行处理个人数据的问责制,同时在发生数据泄露时设置应对措施。 从现在起,所有处理 欧盟数据主体个人数据的企业,无论其经营地点如何, 都必须遵守 GDPR。若企业被发现不合规,将面临最高 2,000万欧元或其全球营业额4%的罚款(以较高者为准)。
随着全球越来越多企业采用移动设备以提升员工生产力,企业移动管理(EMM)将在帮助组织遵守 GDPR 方面发挥关键作用,确保移动数据的安全与隐私。下表显示了 Mobile Device Manager Plus 如何协助您实现GDPRGDPR 合规:GDPR 条款编号条款描述 Mobile Device Manager Plus(MDMP)的帮助方式-5.1.f个人数据应以确保适当安全的方式处理,包括采取适当的技术或组织措施,防止未经授权或非法处理以及意外丢失、销毁或损坏(“完整性和机密性”)。监控尝试访问您 Exchange 服务器的移动用户,限制其访问任何个人数据。 25.2 (i)控制者应实施适当的技术和组织措施,确保默认情况下仅处理为每个特定处理目的所必需的个人数据。该义务适用于收集的个人数据数量、处理范围、存储期限及其可访问性。特别是应确保默认情况下未经过个人干预,个人数据不会被无限制地访问。在受管理的移动设备上隔离个人和企业工作区,确保敏感业务数据仅存储于企业工作区内。对于终端用户的个人设备,组织仅能访问该设备上的企业工作区。 终端用户随时可以从 Mobile Device Manager Plus 下移除其个人设备,但设备取消注册后将无法访问业务服务。除审计所需的用户名外,该设备的所有个人数据将从 Mobile Device Manager Plus (MDMP) 服务器中删除。每个控制者及其代表(如适用)应维护处理活动记录、处理目的、数据类别描述、安保措施及全面数据流图。
维护并查看使用 Mobile Device Manager Plus 服务器执行的所有处理活动记录。 32.1.a 考虑到技术进步、实施成本以及处理的性质、范围、背景和目的,以及对自然人权利和自由产生不同可能性和严重性的风险,控制者和处理者应实施适当的技术和组织措施,确保与风险相适应的安全水平,包括但不限于对个人数据进行假名处理和加密。
加密存储在员工移动设备上的敏感业务信息,如客户个人数据。32.1.d (iv)通过适当的技术或组织措施保护这些数据,防止未经授权或非法处理及意外丢失、销毁或损坏(“完整性和机密性”),建立定期测试、评估和审查确保处理安全的技术和组织措施有效性的流程。
| 定期接收通知,了解您的组织管理的移动设备是否仍符合分配给它们的企业政策,使用 Mobile Device Manager Plus 实现。 | 在评估适当安全级别时,特别考虑处理过程带来的风险,尤其是意外或非法销毁、丢失、更改、未授权披露或访问传输、存储或以其他方式处理的个人数据。 | 通过以下方式防止数据丢失和未经授权的数据访问: |
|---|---|---|
| 限制管理应用与非管理应用之间的数据共享。并且,封禁存在安全漏洞的应用。 |
限制通过 USB、Wi-Fi、蓝牙和 AirDrop 的未经授权数据传输。 |
限制数据备份到第三方云服务。 |
| 安全地将业务敏感文件从 Mobile Device Manager Plus 服务器分发到受管理的移动设备。 | 通过安全代理和 VPN 通道路由移动网络流量。 |
如设备在预定义时间内未向 Mobile Device Manager Plus 服务器签到,设置警报。
|
| 30 |
配置基于角色的访问权限,确保使用 Mobile Device Manager Plus 服务器的授权人员可以: |
仅执行分配给他们的特定处理活动。 |
| 查看和管理仅分配给他们的设备。 |
Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organizational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate: the pseudonymisation and encryption of personal data. |
Encrypt sensitive business information, such as customers' personal data, stored on mobile devices used by your employees. |
| 32.1.d (iv) |
A process for regularly testing, assessing and evaluating the effectiveness of technical and organizational measures for ensuring the security of the processing. |
Receive periodic notifications on whether the mobile devices managed by your organization are still compliant with the corporate policies assigned to them using Mobile Device Manager Plus. |
| 32.2 | In assessing the appropriate level of security account shall be taken in particular of the risks that are presented by processing, in particular from accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to personal data transmitted, stored or otherwise processed. |
Prevent data loss and unauthorized data access by:
|
| 32.4 | The controller and processor shall take steps to ensure that any natural person acting under the authority of the controller or the processor who has access to personal data does not process them except on instructions from the controller, unless he or she is required to do so by Union or Member State law. |
Configure role-based access to ensure that authorized personnel using the Mobile Device Manager Plus server can:
|