GDPR 与内容供应链

首先要考虑到我们软件用户的隐私问题。 

根据隐私始于设计原则，我们的翻译软件会尽量减少持有的用户数据量并让用户可以控制我们持有哪些数据，例如，让他们自主选择用户名（本质上是一个假名），在只有该用户名但没有参照别处持有的信息的情况下，无法识别其个人身份。 

有关如何翻译材料中可能存在的个人数据，这种较为复杂的问题处理方法如下。 

如果存在个人数据，最直接、最可靠的方法是应用隐私始于设计原则，具体如下所述：

1. 在文件准备过程中进行内容假名化：换句话说，就是让项目经理（或同等角色）先用假名化字符串替换源内容文件中的个人数据，再将文件传送给译员、服务提供商或任何其他用户。
2. 在逆转假名化后删除密钥：在使用假名的已翻译内容最终定稿和批准之后，项目经理可以逆转该过程，使得最终交付文件根据需要包括一些个人数据。然后，项目经理可以安全地删除假名化秘钥。

最后，请注意是由数据控制方（即让我们的软件处理内容或让译员接触到内容的个人）对内容中的数据和 GDPR 合规负责。   这已经超出了我们的软件或数据处理方的监管能力之外，但我们可以帮助您遵守 GDPR，只需采取几个简单的做法。 

目前还没有能够自动识别个人数据进行假名化、无需人工干预且准确度达到 100% 的方法，但还是能采取些帮助措施。我们开发了一款应用程序（可从 RWS AppStore 免费下载），您可以利用该应用程序： 

• 使用正则表达式 (regex) 对源内容进行复杂的搜索，这可能表明个人数据的存在。 
• 用随机令牌替换特定的标识符。 
• 随后对目标文件运行应用程序逆转假名化。 

要使用该应用程序，可能需要首先导出文件并转换为 XLIFF 格式（取决于您用于准备待翻译文件的软件）。为保护通过 RWS 软件处理的个人数据，以及您的知识产权和其他敏感信息，您需要采取多层安全保护和控制措施。 

如需评估您的翻译供应链是否遵守 GDPR，请参加 RWS 评估。该评估旨在通过确定可在翻译和本地化流程中实施的技术与措施，来协助组织简化 GDPR 合规工作。

我们的软件即服务机器翻译 (MT) 产品不会永久存储客户提交翻译的内容。内容在这些服务上驻留的时间仅限于提供翻译所需的时间。 

如果您购买了 Language Weaver 机器翻译并且采用您的已翻译内容来训练语言对，请确保在训练内容中没有个人数据。您可能需要对训练数据进行“假名化”，以确保不包含个人数据。

RWS Tridion Sites 或 RWS Tridion Docs（皆属于 RWS Tridion DX 套件）的客户应审查他们的 GDPR 合规执行情况，确保采用最佳的隐私、安全和加密实践。就文档和内容而言，您的网站应包括最新的隐私声明，同时告知访客何时会收集个人数据并在必要时获得明确许可。此外，还请考虑网站上的互动情况，让网站访客能够：

• 通过明确的选择加入或注册流程同意处理个人数据。
• 通过自助服务偏好中心管理个人偏好。
• 提供取消订阅、撤销、同意数据处理或以其他方式反对数据处理的能力。

添加免责声明有助于为访客设定整个网站的基调和预期，而如果您准备构建一个利用新技术的新网站，会影响到访客的隐私或要监督个人数据相关的实际活动，请确保完成数据保护影响评估，以帮助您采取适当的隐私措施。此外还需要透明沟通安全措施、行为准则和证书，以及通过安全备份和对主要相关方进行隐私培训，最大程度降低风险。

具体就 RWS Tridion Sites 而言，在处理个人数据时，您依然可以使用所有的功能。但是，应该更加谨慎地处理与访客情境、体验优化或合理化相关的功能。其中包括：

• 环境数据框架
• Context Cartridge
• Audience Manager
• CRM 加速器和连接器
• 由用户生成的内容
• BluePrinting
• 情境化模板
• 内容交付 API
• 体验优化

如需详细了解如何以符合 GDPR 的方式使用这些功能，请观看我们的网络研讨会或联系您的本地 Tridion 支持人员。   您还可以点击此处阅读我们的社区博客系列，详细了解 GDPR 和 RWS Tridion DX。

确保基础架构安全 

如果您是在内部部署 RWS 软件，则需要负责基础架构的安全性。您的 IT 部门应确保对托管 RWS 软件的服务器和计算机加以保护，足以应对相关风险（根据数据控制方的评估）。 

对于由 RWS 托管的（基于云的）软件和服务，RWS 是数据处理方，并致力于实现最高标准的基础架构安全。所有 RWS 托管的产品都部署在根据 ISO27001、ISO9001、ISO27018 等标准维护合规基础架构和服务的云服务提供商处；所有 RWS 网站的管理方式都符合 ISO 27002 最佳实践准则，其中一些通过了 ISO 27001 认证，而且我们还在积极争取 ISO 27001 认证。 

我们提供高度灵活性以满足客户的安全要求。欢迎联系我们，讨论您在安全方面的需求。除了我们与您达成一致的基准安全控制措施外，我们还通过托管安全服务提供可选的高级安全功能。

如果发生数据泄露问题 

对于我们基于云的软件，如果您想让我们主动检测并告知您 GDPR 要求通知的数据泄露问题，请与我们讨论其安全事件管理流程，该流程是按照 ISO 27035 标准设计的。 

安全的软件开发 

我们的软件开发流程始终优先考虑安全性，避免亡羊补牢。我们从一开始就让安全工程师和架构师参与进来，并遵循一个涵盖基础架构、应用程序和数据库层的计划，其中包括特定的风险评估、安全控制开发和安全测试，确保在软件中加入适当而可靠的安全性。

RWS 的云运营与我们的开发团队和架构师密切合作，部署缜密考虑到数据隐私和数据安全的解决方案——我们在工作中秉持隐私始于设计原则。对于由 RWS 托管的（基于云的）软件和服务，RWS 是数据处理方，并致力于实现最高标准的基础架构安全。所有 RWS 托管的产品都部署在根据 ISO27001、ISO9001、ISO27018 等标准维护合规基础架构和服务的云服务提供商处；所有 RWS 网站的管理方式都符合 ISO 27002 最佳实践准则，其中一些通过了 ISO 27001 认证，而且我们还在积极争取 ISO 27001 认证。

但在构建云环境时，您应了解自己的责任，确保在设计时就考虑到数据隐私：

• 建立 ISO 认证；在内容生命周期的每个处理阶段采取控制措施。
• 建立配置管理：对于我们监管的每个服务器，全面掌握该服务器的相关客户/数据。 
• 准备好全面的安全工具包/路线图： 
      - 最低权限访问
      - 身份验证策略 
• 确保入侵检测/预防（仅限 AWS）。
• 确保在数据传输和静止状态进行加密（并非所有产品都提供）。
• 拥有 ISO 认证： 
      - 保护数据
      - 审计记录
      - 规定在发生安全事件时的应对流程 
• 所有相关员工应参加数据隐私/保护方面的强制性培训。
• 确保我们的数据中心/提供商拥有所有相关认证并提供所有必要的安全功能。
• 应用备份数据应保留 28 天（在备份中），然后删除：
      - 制定删除规程 
• 能够删除活跃数据。