GDPR对网络安全的影响

明年，将引入一项全面的欧洲法规，这将明显改变组织处理，存储和保护数据的方式。它被称为欧盟通用数据保护条例（GDPR），可以说是20年来全球隐私法中最重大的变化，将要求基金经理加强其网络安全流程和程序，以避免面临经济处罚。

GDPR将于2018年5月开始实施，它将对处理居住在欧盟的个人数据的任何企业施加重要的新义务，而与企业所在地无关。全球基金经理真正需要意识到的是GDPR的这种“域外性”。任何将其基金销售到欧洲且拥有现有欧盟投资者的人都必须遵守GDPR或承担后果。

“在最近的纽约之行中，经常出现的是关于GDPR的讨论。大多数人都不知道它到底是什么。” RFA董事总经理George Ralph评论说。RFA是为金融服务行业提供IT解决方案和咨询服务的领先提供商。

GDPR的核心是数据保护。因此，它与管理者保持强大的网络态势以保护基金数据（尤其是有关其投资者的个人身份信息）的能力相重叠。基金经理及其交易对手都需要确保采取所有适当的措施来保护该数据，以便在发生网络攻击时，他们具有适当的事件响应计划，以迅速做出响应并减轻上述损失。数据。

“大型投资银行在过去两年或更长时间里一直在通过GDPR计划开展工作，但其他机构（包括传统基金管理人和另类基金管理人）可能并未对此进行关注。一年的合规期限以及GDPR的媒体报道增加，使人们对此更加关注。” Ropes＆Gray合伙人Rohan Massey说道，他领导该公司在欧洲的隐私和数据安全业务。

“我们收到更多来自客户的电话，询问他们需要做什么来遵守，以及如何到达那里。任何组织都不想受到经济处罚，这可能高达一个人的年营业额的4％。在旧的制度下（1998年《英国数据保护法》），风险是，如果一个实体违反了其合规义务，则仅对其处以罚款。在新制度下，罚款的权力扩展到了更多的经济联系企业。可以执行的监管力量是巨大的变化。”

现在，谁是数据处理者（即基金管理员，云提供商）而不是数据控制者，都应对该控制者滥用数据承担部分责任。对于代表经理，风险顾问等托管CRM系统的所有人来说，情况都是一样的。

根据GDPR，要求公司采取适当的技术和组织安全措施。正如Massey解释的那样，组织“要证明他们”已经通过深思熟虑的过程来评估与个人数据有关的义务，持有的数据类型，敏感性等方面的文件证据负担更大。数据及其数量。

并不是说个人数据泄露会自动导致最高罚款；这仅在最严重的情况下才可能发生，在这种情况下，发生了无法保护个人数据的系统性故障。

“如果发生个人数据泄露事件，则可能意味着监管机构会仔细研究您的反应并认为您做得还不够。如果您能证明自己已尽一切可能减轻违规行为的影响，则可能会降低所处罚款的水平。”

拉尔夫重申了以下几点：“在现有的数据保护法规下，我所看到和听到的大多数示例是，如果您举报违规行为并告诉监管机构您在做什么，以及您为阻止该事情再次发生所采取的步骤，那么通常它们就可以胜诉。”罚款你。也就是说，监管机构期望公司根据GDPR采取很多措施，例如遗忘人员的权利。这带来了一些挑战：例如，公司如何跟踪包含该人姓名的数据元素？

克里斯·伊顿（Chris Eaton）是毕马威（百慕大）和毕马威群岛集团网络安全主管的高级经理。今年早些时候，毕马威（KPMG）与AIMA和管理基金协会（Managed Funds Association）合作，确定管理人员如何应对技术。调查发现，60％的管理人员首先考虑的是数据安全性。

伊顿认为，GDPR的影响可能会带来巨大的财务影响。

“那些属于GDPR范围的组织将可能面临全球收入4％的罚款。因此，管理人员将需要认真对待可识别个人身份的信息，并制定适当的政策和程序来保护它。我认为GDPR将广泛提高网络安全控制质量的基准，因为如果该规则出错，它将对组织产生影响。”

如果基金经理还没有努力确定他们最敏感的数据是什么，并确保对其进行适当的保护，那么当GDPR截止日期缩短时，他们肯定会成为现实。除了违反协议时可能面临的罚款外，更大的物质进口也会对声誉造成影响。

“一方面，您可能面临监管行政处罚，另一方面，是由个人（即基金投资者）提起的集体诉讼。因此，就确保敏感数据的安全性而言，GDPR至关重要，并已成为数据管理最佳实践的中心原则。”

为了说明这项新法规的“牙齿”，请考虑以下事实：2015年10月英国发生Talk Talk网络违规事件，影响了近157,000名客户，他们被信息专员办公室处以创纪录的400,000英镑罚款（ ICO）。最高罚款额为500,000英镑。

根据GDPR，如果再次发生这种袭击，他们将面临1700万欧元的罚款。

将会采用两级方法进行处罚。第一层与数据控制器有关。他们是其资金的最终保管人，因此，他们将受到2000万欧元或年营业额的4％的约束，以金额较大者为准。

该法规第5条规定了适用于数据控制者的个人数据处理基本规则。其中的一项规则要求数据控制者确保“以确保个人数据适当安全的方式处理个人数据，包括使用适当的技术或组织措施来防止未经授权或非法处理以及防止意外丢失，破坏或损坏” 。

第二层与数据处理器有关-基金经理的对手方，例如他们的基金管理员。如果发生严重违规，将处以最高1000万欧元或年营业额2％的罚款。

数据处理者将受第32条的约束，该条要求他们“对其个人数据处理“实施适当的技术和组织措施，以确保适当的安全级别以适应风险”。

“也许监管机构并不认为在所有情况下都适用4％的罚款，但这并不是说在最极端的情况下他们不会这样做。尽管数据处理器需要合规，但是数据控制者有义务制定合同安排，规定所有第三方都应遵守其GDPR义务。无论是利基供应商还是大型供应商，他们的义务都是相同的。

在许多方面，随着网络威胁形势的快速发展，可以将GDPR之类的法规视为积极的发展。至少这迫使公司密切关注数据安全和数据管理，同时这也将使得更难以发生严重的违规行为。

随着攻击规模和复杂程度的提高，基金经理必须保持警惕，并尝试制定足够的流程和政策以最好地保护其业务并遵守GDPR。最终，网络安全和GDPR是相同的：共同点是数据管理。

拉尔夫说：“基金经理在端点保护方面需要非常好的网络安全框架-防病毒，恶意软件工具，防火墙-并且必须谨慎对待员工有权访问的数据类型，”拉尔夫说，他确认RFA最近已经已通过GCHQ认证，可以对GDPR进行GAP分析。

“这是我们网络安全认证的扩展。我们已经通过了IASME治理标准的完全认证，这表明我们拥有强大的治理系统，可以充分保护属于我们客户的个人数据。” Ralph总结说。

钉“ />

詹姆斯·威廉姆斯