欢迎访问敏捷云!

【云安全】安全合规!游戏出海没有这种意识,下场很惨

2021-03-01 原创文章 作者:伍航恩

最近几年,网络游戏行业迎来了,高速发展的最好时机。这时候,我们国内诞生很多奇奇怪怪的游戏商,
大家看到某药做游戏出海,一年从海外赚上百亿美元回家,心里满是痒痒。
想着自己弄个游戏,然后上云也出海赚美元,
可我们亲爱的游戏商们,作为AWS最资深的咨询合作伙伴,敏捷云想认真告诉大家,
安全合规!如果我们游戏出海企业没有这种意识,下场很惨

这几年,虽然斯诺登早已相忘于江湖,但他当初爆料的事件依然让人产生后怕。
因此,这几年世界各国都在加强网络安全建设,特别是欧美等国,他们对于人权的热爱超出了我们中国人正常想象。
所以在欧盟2018年5月23日的时候发布了“通用数据保护条例”(GDPR)之后,我们游戏出海企业如果不做安全合规或是达不到欧盟的安全合规规定,
他们将对咱各种重拳出击,不是整顿就是上亿美元以上的罚款,想想敏捷云编辑小生都感觉到后背凉凉的。
不过,一想想当年沸沸扬扬的Google、Facebook等著名互联网大厂被罚款50亿美元的天价罚款,
敏捷云还是再多嘴一句,不做安全合规,下场有点惨呀!

游戏出海应该为GDPR
做哪些技术措施方面的准备?

结合GDPR的合规性要求,从数据流动传输的几个主要过程。大概对应的五个关键技术措施场景:

 场景一发现和分类个人数据

在GDPR出台前,很多企业对这些数据的梳理已经有了一些实践,但这些实践大都是一次性的,没有一个长效的机制。个人数据被采集后,在企业内部的流动性很强,很多的业务环节都需要这些数据的支撑,仅通过梳理记录文档的形式无法持久,并且没有办法动态地发现个人数据中存在的风险。企业需要一套方案或技术手段,对数据进行分类(属性、标签等)处理,并且应用到后续的各种安全策略中。

 场景二识别、修复数据系统安全风险

即数据的周边环境安全问题。首先是数据所依存的环境,数据库、大数据系统等,企业需要持续动态地发现这些基础设施中的安全漏洞问题。还要对能够接触使用到这些数据用户(相关数据库、应用账户)的权限进行监控,及时发现越权账户并进行规避处理。

 场景三追踪数据

即要监控数据在内部各个环节流转过程,发现违规访问行为发出警报并采取隔离措施。用户变更、完全删除个人数据满足与证实。不仅要对主动采集的用户信息进行保护,对从其他数据源中搜集到的数据也要进行同样的保护跟踪措施。

 场景四追踪数据主体的访问权,更正权,删除权等权利

及时响应数据主体(个人)的要求(更正、删除等)。这需要一套标准化的合规的流程,将需要的信息和流程环节整合。

 场景五组织需要具备安全问题管理和通知的能力(包括事件调查)

即:应急响应,每家企业对数据泄露后的应急处理也是GDPR所关注的重点,在条文中规定企业须在72小时内向监管机构汇报。