甄云科技同时取得ISO27701&BS10012隐私合规认证，维护 ...

2022年甄云科技经过了ISO/IEC 27701，BS10012隐私信息管理体系认证，标记着甄云在个人信息维护工作上更进一步，甄云的SaaS效劳满足欧盟通用数据维护条例（以下简称GDPR）请求，也满足国际上大多数对隐私合规的请求。

甄云科技也是国内采购SaaS范畴首家同时取得两项隐私合规认证的厂商，此前还获取的认证有国度等保三级、ISO/IEC27001、SOC1&2。

ISO/IEC 27701

ISO/IEC 27701是国际规范化组织（ISO）和国际电工委员会（IEC）分离发布的隐私维护规范，旨在辅佐组织机构维护和控制所处置的个人信息。规范将隐私维护的准绳、理念和措施，融入到网络保险和隐私维护体系中，给企业提供了最佳理论和指导倡议。

BS 10012

BS 10012是世界首部个人隐私维护规范。是一个完好的个人信息维护管理体系。欧盟议会正式经过普通数据维护法案（GDPR）后，BS 10012依照GDPR请求做了更新，为GDPR在组织内实施，提供了落地的工具。该规范一方面请求企业契合国际通行的个人信息维护规范，同时又对标目前请求最为严厉的欧盟的GDPR。

甄云科技隐私维护树立

树立背景

2018年关于个人信息维护的国度级规范《信息保险技术 个人信息保险规范》正式实施。2021年《中华人民共和国个人信息维护法》正式生效，为维护个人信息保险提供了重要保障。2018年，GDPR正式生效，对个人隐私权益提出了明白的法律请求。被公以为史上最严隐私维护条例。GDPR的影响已超出欧盟，触及全球多个国度，各国相继发布本国的隐私维护法律。

全球范围内对个人隐私维护的监管越发严厉，对SaaS效劳提供商的隐私维护提出了更高的请求，也使得跨境贸易企业的隐私合规工作面临着更大的应战。

隐私维护

在此次的ISO/IEC 27701和BS10012的测评认证过程中，甄云科技着力于体系制度、组织、流程到技术的全方位的个人信息维护树立，得到了认证机构的高度认可。

1. PIMS体系

基于最佳理论，分离甄云科技现状树立个人信息管理体系（PIMS），弥补完善各项管理制度、管理规范、管理流程。在PIMS体系指导下规范各项个人数据的处置活动。

2. 隐私维护组织

● 隐私合规委员会：成立隐私合规委员会，委员会由主任、委员、数据维护官（DPO）和隐私合规小组构成。委员由各相关一级部门担任人担任。

● 隐私合规工作小组：隐私合规小组由信息保险部、法务部以及各部门接口人组成。

3. 主要职责

● 隐私合规委员会：担任研讨严重保险和隐私事情，统一规划、管理。

● 隐私合规工作小组：担任公司隐私保险管理体系的树立、实施、维护，保障公司各项隐私维护活动的顺利展开与实施。

4. 隐私保险培训

新员工入职时需中止包含隐私维护的信息保险认识培训，使其了解组织内部的隐私维护请求。信息保险部分离法务部定期展开组织内的面向全员隐私维护，隐私法律法规解读培训，指导员工将隐私维护需求融入产品的设计与开发中，保障产品的隐私保险与规范。

5. 默许隐私设计

为维护客户个人数据，持续有效地展开隐私维护管理工作，甄云科技已树立并持续完善隐私维护管理体系。参考被业界普遍认可的隐私维护准绳，采用默许隐私设计（PbD）的理念，将个人数据维护请求嵌入开发流程中，保障个人信息维护请求在产品的开发过程中得到完成。

6. 数据维护影响评价

一切触及个人数据处置的操作，产品功用的完成等均需由隐私合规工作小组展开数据维护影响评价（DPIA）。对数据主体可能产生的影响、风险中止剖析并制定风险控制措施和计划等，只需将隐私风险降低至可接受的水平后才干展开业务需求。评价的内容如下：

● 系统各业务模块个人数据清单以及数据流图

● 数据搜集的合法性

● 处置的个人数据类别

● 处置目的

● 评价数据处置必要性和合理性

● 评价对数据主体的权益和自由构成的风险

● 消弭风险的措施（包含保险措施和机制）

● 数据保存

● 个人数据的存储位置和传输

● 与第三方分享的数据

● 数据主体权益

● 跨境传输

7. 全生命周期

从数据主体的角度看个人数据生命周期。为更好地保障数据主体权益与维护个人数据保险，甄云科技将个人数据处置的基本准绳贯彻到个人数据处置各个阶段，明白个人数据处置全生命周期的管控请求，并将这些请求融入到一切业务活动中。

● 通知、选择、同意、搜集：基于客户同意或实行合同等合法目的，搜集提供效劳所必须的客户的个人数据，同时提供隐私声明告知客户所搜集的个人数据类型、目的、处置方式等内容。

● 运用、存储、处置：严厉依照数据搜集的目的运用个人数据，加密存储。在双方合同终了后，对客户数据中止删除。

● 向第三方共享：对第三方的隐私保险才干中止评价，双方签署数据处置协议。向数据主体告知共享数据的目的、类型，并事前征得数据主体的受权同意。

● 跨境转移：业务采集的不同国度地域的个人信息，都应契合司法管辖区国度地域的隐私维护法律规则中止处置，一切个人数据避免跨境处置。如在运营运维过程中触及需求中止数据跨境传输的场景时，遵照当地隐私维护法律法规并经过内部严厉评审。签署数据转移协议或取得数据主体的明白同意之后中止数据跨境转移，保障个人数据将被合法、合理、透明地处置。

● 数据主体权益响应：甄云科技制定了《客户主体权益响应管理流程》，由客户的项目经理或运维经理担任转交客户的央求，由隐私合规工作小组担任响应客户的央求，并在规则时间内完成央求处置，反响处置结果给客户。也能够直接经过公开渠道，将相关权益的央求反响给甄云科技。公开联络方式可见《隐私政策声明》。

总结

英国规范协会（BSI ）作为一家具有一百二十多年历史的全球首家规范机构，BSI不时努力于信息保险范畴规范的研发和制定，被公以为全球最权威、最严厉的国际认证评审效劳提供商。

本次经过 BSI的隐私合规认证表示了甄云科技在隐私维护方面契合国际规范和行业良好理论的请求，未来甄云科技也会在隐私维护范畴持续投入，持续改进，为客户提供更保险的SaaS效劳。