GDPR的一個重要部分解決了對強大的雙因素身份驗證的需求,以及對組織信息系統,設備和授權個人的相應操作環境的物理訪問控制。您準備好了嗎?
將GDPR文章映射到身份驗證
GDPR極大地擴展了組織證明身份的要求,並且基本上旨在一勞永逸地刪除密碼。組織需要驗證用戶身份和交易的合法性,並證明合規性或面臨巨額罰款。讓我們來看看GDPR的文章以及它們如何調用更嚴格的身份驗證控件。
§第5條:涉及與個人數據處理有關的原則。無論數據如何處理,都需要保護其免受未經授權的訪問和丟失。
-解決方案:這是能通過多因素身份驗證實現的。用於確定一個人身份的因素越多,對真實性的信任就越大。
要求第二個身份驗證因素可確保簡單的被盜密碼不足以獲得對敏感系統的自由訪問。
§第24條:組織必須採取合理的安全措施,以應對他們可能面臨的風險和威脅。這不僅涵蓋了數據本身,還呼籲限制對公司網路的訪問,保護用戶身份以及確保用戶是對用戶的解決方案。
-解決方案:作為數據安全的第一線方法,需要多個身份驗證因素來驗證用戶的身份,這有助於降低未經授權的用戶訪問敏感系統以操縱數據的風險。
§第32條:要求額外的處理安全性,並要求組織在選擇適當的安全級別時考慮與數據處理相關的風險,如數據丟失和未經授權的訪問。
-解決方案:身份驗證解決方案使未經授權的用戶更難以訪問敏感環境,同時還可以降低具有特權訪問權限的管理員所帶來的風險。
諸如公鑰基礎結構(PKI)或訪問管理服務之類的身份驗證解決方案提供了一整套供應規則和策略引擎,涵蓋特權用戶以及他們可能需要的角色安全級別。組織可以根據相關數據的敏感程度來提高或降低其數據和網路的訪問安全級別。此外,PKI還允許其他高級安全功能,例如數字簽名和電子郵件加密以及我們接下來要討論的物理訪問。
總結
身份驗證和訪問管理解決方案,有多種形式和大小,包括雲訪問管理、PKI、基於證書的身份驗證、一次性密碼身份驗證、身份聯合、完整的生命週期管理和審計工具。我們希望此文章有助於規劃您對GDPR的身份驗證需求。
|