Gitlab隐私合规性

GDP.overview

一般数据保护条例(GDPR)是一项欧洲隐私法,该法则将于2018年5月设立生效.GDPR取代了1995年的数据保护指令。虽然它是欧洲法律,它将影响任何欧洲法律无论其位置如何,都在欧洲联盟(欧盟)的人员中的企业或提供服务和货物的实体。它还适用于收集和分析欧盟居民或企业数据的任何实体。

The purpose of GDPR is to protect the private information of EU citizens and give them more control over their personal data. Under GDPR, private information is defined as any information that is directly or indirectly identifiable to an individual. This includes information such as social security numbers, location data, online identifiers, pseudonymous data, and genetic or biometric data, such as fingerprints and facial recognition.

具体而言,GDPR授予欧盟公民这些控件通过其个人数据进行控制:

  • 访问权:将需要数据控制器来满足寻求访问其私人数据的个人的请求或有关如何使用的信息。数据收集器和处理器将详细介绍如何获得个人信息,如何以及为什么正在使用,以及公司共享信息的人。公司还将被要求提供个人副本的个人记录。
  • 安全违规通知:Individuals must be alerted within 72 hours if their personal data has been hacked or otherwise compromised.
  • “擦除权”:Individuals can decide they no longer want their personal data to be processed and request that all of their information be deleted.
  • 数据便携性:个人将被允许在请求的情况下将其个人数据从一家公司移到另一家,而不反对数据控制器。

CCPA overview

The California Consumer Protection Act (CCPA) took effect on January 1, 2020. Similar to GDPR, CCPA is intended to protect person information and also articulates the rights that California consumers have regarding their information. CCPA applies specifically to residents of California.

CCPA中的人数的定义与GDPR对个人数据的定义非常相似:“识别的信息涉及,涉及,描述的是合理的能够与特定消费者或合理地或间接地联系在一起或家庭。”

正如GDPR建立欧盟公民的权利,CCPA就加州居民建立了某些权利:

  • 披露收集和销售数据的权利:加州居民有权要求访问他们的个人信息,并询问公司在收集后如何使用其数据。如果正在共享或销售信息,则必须在请求时披露。
  • 删除权利:Companies must delete a Consumer's personal information upon request.
  • 选择退出个人信息的权利:如果公司销售个人信息,消费者有权选择退出。
  • 非歧视权:If a consumer exercises their rights under CCPA, the business may not discriminate against the consumer. For instance, they company cannot deny service or charge different rates to a consumer who exercises their rights under CCPA.

See GitLab's Privacy Request Instructions.


关键的GDPR要求

欧洲联盟内外的公司将被要求对他们访问和处理欧盟居民个人数据的方式进行多项调整,以便符合GDPR。

The identification of information controllers and processors are key components to creating GDPR compliance.

什么是控制器?

控制器是一个公司或组织,用于确定处理个人数据的目的和方式。

控制器也可以是处理器。

什么是处理器?

数据处理器采用信息控制器累积并处理个人信息。

Gitlab的CI / CD工具属于处理器类别。

The responsibility of GDPR compliance is heavily imposed on controllers. Data controllers are responsible and liable for GDPR compliance in the processing of personal data, even in cases when they have outsourced processing activities to another company. Nonetheless, processors are also obligated to be GDPR compliant under the law.

To inquire about executing a DPA, please contact your Sales Account Manager. If you do not know your Account Manager, please email dpo@gitlab.com

These are some of the key requirements for GDPR compliance:

维护数据收集和处理的法律依据

公司必须为处理个人数据具有法律依据。

是透明的

Companies must inform individuals about the collection of personal data as well as why and how the data is being used. Information must also be provided about how the data is being stored and the length of time for which it will be held.

当他们的信息转移时,也必须建议个人。

雇用数据保护官

Companies that have personal data collection or processing at the core of their business will be required to hire or appoint a data protection officer (DPO).

Specifically, a DPO will be required by GDPR if a company processes a large amount of personal or sensitive data regarding criminal offenses or convictions. Companies that regularly and systematically monitor the personal data of individuals on a large scale are also required to have a DPO in order to be GDPR compliant.

保留记录

根据GDPR,公司将被要求维护个人数据的处理记录。可随时申请监督机构请求记录。

默认和设计实现数据保护

在最早的发展阶段,必须在产品和服务中建立数据保护保障。manbetx体育客户端3.0

提供安全漏洞的通知

必须在72小时内直接通知任何影响其个人数据的安全漏洞。

必须向监管机关提供安全泄露的建议,以便在72小时内向个人的权利和自由提供风险。必须立即警告一般公众,安全漏洞充分认真。


创建GDPR行动计划

个人数据的控制器和处理器必须创建一个GDPR操作计划,包含所有新要求。

GDP.checklist to ensure compliance:

  • 识别信息控制器
  • 识别信息处理器
  • 在GDPR要求上列车数据控制器和/或收藏家
  • 确保合作伙伴供应商符合GDPR
  • Designate or employ a Data Protection Officer, if necessary
  • 进行数据映射以确定贵公司收集的信息以及如何转移,处理和存储的信息
  • Build products and services using principles of privacy by design and default
  • 创建一个系统,连续监视数据处理并说明GDPR合规性
  • 在GDPR下教育他们的权利
  • 为安全漏洞创建通知行动计划

安全与符合GitLab

作为软件开发,安全性和操作(DevSecops)的第一个应用程序,Gitlab的工具提供了一种简化的过程,可以使整个团队能够保持同步和最重要的数据安全。我们的工具具有Kerberos供电的用户身份验证和块秘密推送文件系统,允许您的公司防止敏感文件被意外推入现场存储库。

GitLab’s CI/CD tools also offer a number of features that may help your team members remain in compliance with your company’s legal, licensing and other requirements. Some of those tools include:

  • 推送规则:这允许您拒绝不符合公司政策的代码。
  • Strict code review: You have the option to require multiple approvals from a certain set of team members before a merge request can be accepted.
  • Multiple options for user roles and permissions: Access and permissions can be managed at many levels, with five different options for user roles and settings for external users. Permissions can be set according to one’s role as opposed to allowing only read or write access to a repository.
  • 日志转发:可以将日志转发到中央系统以进行更好的跟踪。
  • 会员锁定:组业主可以通过阻止其他成员从项目添加其他方面来维护他们的项目。
  • Reject unsigned commits: GitLab Enterprise Edition Premium allows you to reject unsigned commits and require GPG signatures.

Gitlab提供内置应用安全测试扫描仪,该测试仪在开发和部署期间定期检查常见问题的代码。我们的扫描仪还监控先前修补的漏洞,以确保我们的安全敏感服务被保护。


了解有关Gitlab的应用安全测试的更多信息

了解Gitlab的端到端软件开发工具如何帮助您的公司监控生产生命周期中的所有步骤。manbetx体育客户端3.0

联系我们 安全常见问题解答

GDPR合规性常见问题解答

  1. 谁受到GDPR的影响?

    Any entity that does business with corporations or individuals in the European Union and will have access to personal data.

  2. 法律何时生效?

    May 25, 2018

  3. gitlab gdpr兼容吗?

    是的,合规是一个正在进行的过程,我们每天努力跟上最佳实践和流程。

  4. 控制器和处理器之间有什么区别?

    Controllers determine how personal data is processed and used. Processors simply process the data as prescribed by the controller.

  5. What is the supervisory authority?

    监督机构是英国的信息专员办事处(ICO)。独立监管办公室是向议会报告的公共机构。据当局网站表示,ico是“秉承公共利益的信息权利,促进公共机构和数据隐私,促进个人的开放性”。

  1. p是什么rinciples of Privacy by Design and Privacy by Default?

    当数据保护嵌入到个人信息处理生命周期的每个步骤中,包括处理产品开发,软件开发和IT系统时,发生虚拟。manbetx体育客户端3.0默认情况下的隐私意味着当应用程序发布到公众时,最严格的隐私设置会自动到位。

  2. Who should be in control of ensuring GDPR compliance at my company?

    公司应指定员工监督GDPR合规性,并确定该责任将落在本组织内,即安全部。一些公司将被要求雇用或指定数据保护官员,以监督其组织内的GDPR遵从性。

  3. 什么是数据保护官?

    GDPR要求一些公司指定数据保护官(DPO),具体取决于实体流程的个人数据的性质和数量。必须是数据保护法专家的官员将受到建立和维护数据安全计划和GDPR合规性的任务。公共实体需要DPO,以及管理或存储大量个人数据,流程或持有特殊个人信息的公司或经常监控私人数据的公司。

  4. 使用Gitlab是否使我的公司符合我的公司GDPR?

    不,Gitlab是信息的处理器。虽然Gitlab不断努力维护GDPR的合规性,但只需使用Gitlab的服务即可使您的公司符合符合要求。作为信息的控制器,您必须确保个人数据的集合是符合GDPR,以及管道中的其他处理器。

  5. 如果我的公司不是符合GDPR的话,会发生什么?

    GDPR合规性的违规行为可以从船尾,首次出版的书面警告,罚款2欧元的罚款额为2000万欧元,占公司去年全球总收入的4%,以较大者为准。

GDPR博客帖子

如果您在欧洲做生意,您需要了解GDPR

阅读更多
Gitlab安全

Gitlab安全页面

阅读更多
GDP.

GDPR网站

阅读更多
Gitlab Docs.

GitLab Dynamic Application Security Testing

阅读更多
manbetx客户端打不开

Try GitLab Ultimate risk-free for 30 days.

No credit card required. Have questions?联系我们。