合规

避免大额GDPR罚款的一个简单方法是在使用用户的个人数据之前始终获得用户的许可。本文解释了GDPR同意要求，以帮助您遵守。 与普遍的看法相反，欧盟GDPR（一般数据保护条例）并不要求企业在将个人信息用于商业目的之前获得他人的同意。相反，同意只是GDPR第6条概述的六个法律基础之一。企业必须确定其数据处理的法律依据。

因此，您已经在AWS或其他基础设施即服务提供商的基础上构建了软件即服务（SaaS）应用程序。您这样做的原因之一可能是为了利用符合AWS SOC 2的基础设施。AWS等服务组织收到SOC 2报告，向投资者和客户等利益相关者证明AWS基础设施是安全和可用的。此外，AWS的用户希望知道AWS的控件设计合理，运行有效。利用AWS SOC 2创建您自己的符合SOC 2的应用程序在我们的客户中很常见。

偶尔，我们会收到客户的询问，

“AWS已经有了SOC 2，我们也需要自己的SOC 2吗？”

答案是，这取决于您的客户和利益相关者。仅仅因为AWS负责某些控制以满足SOC 2标准，并不意味着贵公司不负责其他控制以满足SOC 2标准。如果你的客户有精明的审计师，他们也会要求保证你公司负责的控制措施设计和运行有效。

如果您在AWS或Azure上构建应用程序，您公司的SOC 2将不包括AWS或Azure负责的控制。这些都是从报告中分离出来的，报告仅涵盖您的SaaS公司为满足适用的SOC 2信任服务标准而实施的控制。

随着强大的能源和商业委员会以53票对2票通过了一项全面的跨党派隐私法案，经过十多年的辩论，美国众议院距离批准历史性隐私立法又近了一步。在正式向众议院报告立法之前，委员会通过了一项替代修正案，解决了几周前在小组委员会提出的问题。

中国的个人隐私保护资料

Lei Geral de Proteção de Dados或英语通用数据保护法（LGPD）是规范个人数据收集和使用的法律框架。该法于2020年8月16日在巴西生效。该法由国家数据保护局（ANPD）通过并将强制执行。

监管机构最近几天忙于对 Twitter、Meta (Facebook) 和 Clearview AI 等一些最知名的科技公司对违反数据隐私的行为采取执法行动和罚款。

随着对边缘计算和网络入侵等领域的更多关注，企业风险管理将如何变化，您应该计划执行哪些审计？

与去年一样，如今 IT 面临许多相同的技术风险挑战。管理系统和网络存在风险，管理使用这些系统和网络的人类员工存在风险，以及网络风险。在网络风险中，最受关注的是来自恶意软件、勒索软件、病毒和网络钓鱼的入侵。
IT 已采取措施避免或减轻其中的许多问题，但 IT 风险管理的变化在于：过去是内部 IT 问题现在是董事会级别、CEO 级别、客户级别和利益相关者-级别的关注。

2021 年平均数据泄露的成本为 424 万美元。到 2031 年，勒索软件的成本预计将超过 2650 亿美元，而 2021 年从勒索软件攻击中恢复的平均成本为 185 万美元。

像这样的成本（以及随之而来的宣传）可能会破坏品牌和/或严重损害公司的声誉。这正是公司利益相关者、董事会和 CEO 对 IT 风险管理进行培训的原因——以及组织可以采取哪些措施来避免高昂的成本和不受欢迎的头条新闻。