Regulation 2016/679 of the European Parliament and of the Council - General Data Protection Regulation (GDPR)
通用数据保护条例》(GDPR)合规报告帮助您评估您的网络应用程序是否符合欧盟(EU)法规2016/679的数据保护要求。
关于《通用数据保护条例
通用数据保护条例》(GDPR)是欧盟(EU)的一项法律,于2018年5月25日生效。它建立了一个全面的框架,用于保护欧盟和欧洲经济区(EEA)内个人的数据和隐私。如果组织在欧盟以外处理欧盟或EEA居民的个人数据,该条例也适用。
核心原则
- 合法性、公平性和透明性
- 数据必须以合法、公平和透明的方式处理。
- 目的限制
- 数据只能为特定、明确和合法的目的收集。
- 数据最小化
- 只应收集为声明目的所需的数据。
- 准确性
- 数据必须准确并保持最新。
- 存储限制
- 数据应仅在必要的时间内保留。
- 完整性和保密性
- 数据必须安全地处理。
- 责任制
- 组织有责任遵守并必须能够证明合规性。
涵盖的实体
GDPR适用于任何决定如何或为何处理个人数据的组织或个人,或代表他人处理数据的组织或个人。
组织的义务
- 在需要时获得明确的同意。
- 维护处理活动的记录。
- 实施适当的安全措施(加密、访问控制等)。
- 对高风险活动进行数据保护影响评估(DPIA)。
- 在某些情况下任命数据保护官(DPO)。
- 在72小时内向当局报告个人数据泄露。
合规处罚
- 每个欧盟成员国的监督机构负责监督合规情况。
- 不合规可能导致高达2000万欧元或全球年营业额4%的罚款,以较高者为准。
- 监管机构还拥有发出警告、谴责以及对数据处理实施临时或永久禁令的权力。
<uicontrol>AppScan</uicontrol>的GDPR合规报告
此报告会自动识别您的Web应用程序中可能影响您符合GDPR第32条安全要求的潜在问题。
GDPR报告漏洞组
下表列出了<uicontrol>AppScan Enterprise</uicontrol>评估的特定GDPR漏洞组。在您的应用程序中发现的漏洞会映射到这些漏洞组。
| 文章 | 描述 |
|---|---|
| 第32条,第1节 | 考虑到技术的现状、实施成本以及处理的性质、范围、背景和目的,以及对自然人权利和自由的不同可能性和严重性风险,控制者和处理者应实施适当的技术和组织措施,以确保与风险相适应的安全水平。 |
| 第32条,第1.a节 | 控制者和处理者应实施适当的技术和组织措施,以确保与风险相适应的安全水平,包括但不限于:对个人数据进行假名化和加密。 |
| 第32条,第1节.b | 控制者和处理者应实施适当的技术和组织措施,以确保与风险相适应的安全水平,包括但不限于:确保处理系统和服务的持续保密性、完整性、可用性和弹性。 |