零售业:别让数据安全成为业务的绊脚石!
零售业上榜!
截至 2023 年 8 月 31 日,南都大数据研究院通过各地行政执法公示平台、媒体报道等公开渠道,收集到 146 起依据《数据安全法》作出行政处罚决定的案例。梳理发现,零售业以 10.27%的占比位居行业第三,成为数据安全行政处罚“重灾区”,超七成涉事单位被查出未采取措施保障数据安全。
由此可见,用户数据与业务数据所带来的安全问题可能成为零售业的巨大隐患。数字化浪潮下,零售业想要快速发展,数据安全建设是必备的武器。
零售业数据安全建设的挑战
然而,零售企业由于内部分散的组织结构、多样化的交易渠道及工具形态、庞大的终端用户交易数据等,数据安全建设和运营面临诸多挑战:
1、数据多且分散
零售企业通常涉及大量的数据收集、存储、使用和处理,包括客户个人信息、交易记录、设计图纸等高度敏感数据。由于零售企业普遍存在门店分散,POS 机、PC 数量多,人员流动大的特殊属性,管理和保护大规模的数据需要强大的防护措施,以确保数据的安全性和合规性。
2、数据共享难把控
零售企业大多会与各种第三方合作伙伴和供应商共享数据,如物流服务提供商、支付处理机构等。在数据共享的过程中,会增加数据被滥用或泄露的风险。因此,数据共享过程中,保持数据的完整性以及隐私保护,也是一个巨大的挑战。
3、员工教育和内部访问控制
零售企业通常拥有大量的员工,接触和处理敏感数据。确保员工对数据安全有正确的认识和意识,并加强内部访问控制,限制员工只能访问和处理必要的数据,并及时撤销离职员工的权限,是一项重要且具有挑战性的任务。
4、高要求与低治理水平的矛盾
随着国家相关监管机制的不断完善,对零售企业存储、使用企业内部的敏感数据提出了很高的要求。然而,零售企业的数据安全治理理念和架构相对传统,形成了高要求和低治理水平间的矛盾,处理不好可能会带来巨大的经济隐患,更可能会上升到司法层面的问题。
零售业数据安全建设规划
探秘重重挑战下的出路和方向。
数据安全,是零售企业业务发展的“垫脚石”,拒当“绊脚石”!
根据《零售企业数据安全合规管理指南》中给出的零售企业数据安全建设规划,一共有三个阶段。【文末附下载】
第一阶段:零售企业尚处于数据安全合规管理建设初期,急需在内部明确数据安全合规管理责任分工和管理要求,因而建议主要完成初步的数据安全合规管理体系建设工作,包括数据安全组织机构的建立、数据安全制度体系的编制、数据安全基础能力建设以及数据安全意识培训宣贯。同时,数据分类分级作为实施数据安全管理措施和技术措施的前提,是一个需要提前布局且长期推进的工作。
第二阶段:零售企业有了一定的数据安全合规管理基础,可以在这一阶段着重完善数据安全技术能力体系,通过建设统一的管理平台,全面落实数据安全管理规范及策略要求,并通过常态化数据安全运营,实现持续的数据安全保障能力。同时,应加强数据安全能力培训体系的构建,培养复合型数据安全专业人才,壮大数据安全人才队伍。
第三阶段:零售企业已经初步建成数据安全合规管理体系,这一阶段以持续优化为主要目标,重在建立数据安全合规管理的量化评估体系,定期开展数据安全评估评测,监测各项指标的达标情况。再根据评估评测结果及时优化建设内容,最终达到较高的数据安全合规管理水平。同时,通过提炼并输出成功经验,促进行业共同进步。
针对以上零售行业数据安全建设规划要点,极盾科技为零售企业提供如下服务:
第一阶段:为企业提供数据安全咨询服务以及数据分类分级体系建设,一方面通过企业数据安全现状调研和数据安全风险评估,完善数据安全制度,并通过数据分类分级工具-极盾·智辨,自动化周期性扫描企业数据资产,智能分类分级,识别敏感数据,形成数据资产清单和数据分类分级全景图,为数据安全建设打下基础。
第二阶段:基于极盾·觅踪,构建统一的数据安全管理平台,提供敏感数据识别、数据分类分级、水印保护、访问控制、权限梳理、数据动态脱敏、行为管控、风险监测、安全审计以及追踪溯源等硬管控,并提供日常数据安全运营服务,生成阶段性敏感数据使用运营报告,并为数据安全审计留下详细记录和凭证,确保数据安全保障责任落实到人。
第三阶段:在日常数据安全运营服务中,专业运营人员根据数据安全管理平台的风险告警以及实际调查,从应用、接口、账号、权限、敏感数据暴露面等角度进行数据分析,提供数据安全评估的衡量指标,生成阶段性评估报告,并对数据安全平台策略进行优化改进,为接下来的数据安全工作提供建议。
零售业数据安全建设实践
零售企业数据安全建设,极盾科技一直在前进,永不停步。
极盾科技助力某咖啡连锁品牌,制定《数据安全管理办法》,构建数据安全管理平台,接入系统十余个,涉及报表类系统、营销类系统、会员类系统、合作伙伴管理类系统、订单类系统、财务类系统等,基本覆盖企业核心数据使用场景,实现统一日志采集、风险分析、流动监测、管控阻断等能力,形成统一管控体系。合作过程中,数据风险事件告警累计百余起,并基于实时风险引擎对高危风险进行及时告警、脱敏或阻断。
极盾科技助力某服装设计品牌,构建“数据使用安全防护体系”,实现业务系统“零改造”接入,业务人员“无感知”操作,进行敏感数据自动识别并分类分级、精细化动态脱敏、个性化行为管控、自定义水印保护、访问权限控制、实时风险监测响应以及追踪溯源。对业务敏感数据进行全链路细粒度实时安全管控,并阶段性输出敏感数据使用运营报告,各种级别数据使用情况清晰可见,从数据分析的角度生成数据安全评估的衡量指标,更直观、快速、高效的进行数据安全评估。
作为一家从创立之初就一直秉承着深入业务场景构建数据使用全流程安全防护的新兴数据安全公司,极盾科技也期待与更多的零售企业持续共创,为产业提供更清晰的、可落地的数据安全建设方案,让数据使用安全、合规、自由。
P.S. 如需下载《零售企业数据安全合规管理指南》【PDF 完整版】,关注“极盾科技”微信公众号,回复“零售业”即可下载。
评论