为何安全审计比以往任何时候都更重要

发布于 2023年3月28日，作者：Kristin Hassel

根据 URL Genius 的一项研究，TikTok 和 YouTube 追踪的用户数据比其他任何社交媒体应用程序都要多。二者的区别在于，YouTube 主要是为了改善服务和用户体验但没有人真正知道 TikTok 是如何处理这些信息的。

有时甚至不是 TikTok 本身在追踪你，因该应用程序公开允许第三方追踪器收集用户数据。这种情况越来越严重，以至于FBI 发布警告称 TikTok 可能会被用来控制你的设备[。(https//wwwnprorg/2022/11/17/1137155540/fbitiktoknationalsecurityconcernschina)。 共和党甚至对全国禁止 TikTok 的法案进行了投票。

事实是，侵犯隐私的技术比以往任何时候都更普遍。很难知道你可以信任谁。这就是安全审计所能发挥作用的地方。让我们探讨一下安全审计如何确保遵守隐私和安全法律，并建立用户信任。

侵犯隐私的技术是全球性问题

虽然在美国更为普遍，在线隐私侵权并不是地区特定的问题。如果你幸运的话，数据使用仅限于公司的内部增长，比如完善算法和提高用户满意度。然而，并非所有公司都遵循这些基本伦理。

全球范围内的公司使用追踪器、阴暗的数据收集行为等，以尽可能收集在线数据。一些公司甚至通过允许第三方使用你的数据来获利典型的例子就是 TikTok。这可能导致恶意软件充斥的短信或电子邮件劫持你的设备。

为何美国公民更加脆弱

监控营销在美国是一个大生意。每年，公司的隐私侵入程度不断加深，创造新的算法和软件，以尽可能多地收集数据。不幸的是，美国并没有一致的联邦立法来保护公民的在线隐私。

虽然有类似于欧洲通用数据保护条例GDPR的立法计划正在推进，但迄今为止还没有通过国会。大多数州的在线隐私法规都不完善，许多法规仅涵盖基础内容，且留有解释的余地。

到目前为止，加州消费者隐私法案CCPA是美国任何州最接近 GDPR 的立法尽管它并不完美，却是世界上最全面的在线隐私法之一。现在，其他几个州正在慢慢采取类似于 CCPA 的立法。

缺乏一致的联邦和州立法意味着在线隐私保护在美国的标准不一，包括网站和服务如何收集、存储和使用你的个人信息。CCPA 涉及了所有主要方面，但如果居民在加利福尼亚州以外旅行，它不会保护他们的数据。

更大范围来说，这意味着如果你居住在美国，就得自己保护自己的数据。

保护你的数据

什么是安全审计？

最值得信赖的安全审计是独立的评估，审查公司的系统记录、基础设施和活动。独立评审由外部资源进行，以防止偏见。审计确认系统控制措施的有效性，确保遵守安全和隐私政策，并检测系统缺陷。

进行独立网络安全审计的公司需要向外部安全专家开放其系统。这可能听起来可怕，但专业审计员会根据非常具体的合同条款进行工作，并以受控的方式执行审核。尽管独立审计需要大量的时间和资源，但这没有比为用户建立信任更好的方法了尤其是对 VPN 来说。

你依赖 VPN 来保护隐私和安全，独立审计能够确认你的 VPN 关于隐私的声明是否真实。当 VPN 供应商进行独立系统审核时，它是在说：“我们没有什么可隐瞒的，如果有什么问题，我们将解决它。”

注意：黑色星期五的销售情况会定期变化，我们提到的商品可能已经售罄虽然我们尽量经常更新信息。

审核完成后，审查员会建议公司如何改进现有基础设施，以增强安全性并符合当前法律法规。

定期安全审计的重要性

强调定期安全审计对所有公司的重要性是至关重要的，尤其是在数字时代。对于持续处理大量个人身份信息PII的公司而言，这一需求更为迫切。这包括 VPN、医院、银行等。让我们探索定期安全审计能给公司带来的一些好处。

识别系统缺陷

安全审计可以让公司了解其当前安全基础设施的有效性。审计还通过识别缺陷和改进系统的方法来降低网络攻击和数据泄露的风险。这包括对以下方面的建议：

如何改善现有系统的安全性和隐私例如：包括双因素认证软件以增加安全性，或限制对系统硬件的物理访问

哪些硬件和软件需要更换例如：使用仅具备 RAM 的服务器在重启时清除用户数据，而不是使用基于 HDD 的选项，或修复可能允许系统劫持的后门软件/代码

系统是否需要彻底改造例如：因系统不适合目的和/或未遵循规定而进行全面重组

跟踪数据流和安全性

对处理个人身份信息 (PII) 的公司的安全审计重要的一部分是生成关于数据流和安全性的结果。这意味着判断安全/隐私政策、程序和控制是否充分保护用户数据。审计员评估在数据泄露或系统故障发生时控制措施的有效性。

评估数据安全有效性的主要关注点包括：

确保遵守当前法规

全世界的在线隐私和安全法规都没用，如果公司拒绝执行这些法规。安全审计通过检查当前州、联邦和国际法规的合规性，使公司对维护法律负责。

一旦发现不合规问题，公司将有一定时间来解决。如果在规定的日期前解决了问题，并确认合规，则无需采取其他行动。当问题未及时解决时，审计员可能会升级问题或施加罚款。

与经过审计的 VPN 一起安全

培养信任

信任必须通过努力获取，而不是简单购买或强迫。对于你的个人信息而言，信任能够处理你的数据的服务是极其重要的。

许多网站声称的隐私或无日志承诺只是一种口头承诺。如果你仔细阅读这些条款，就会发现公司利用其中的漏洞。确保服务用有形的证据支持政策是十分重要的。

独立系统审计的一个最有益的方面是它可以增加用户对公司或服务的信任尤其是当这个服务例如，VPN处理大量敏感数据时。无论结果如何，定期进行安全和隐私系统审计都是一种胜利。

当发现问题时，你可以放心，因为公司关心到足以进行独立审计并面对糟糕报告的后果例如：全面的系统改造、安全补丁/修复、更新政策，或朝着法律合规迈进的步骤。

如果系统审计中没有在系统架构、控制、合规或政策和立法执行方面发现真实的担忧，那么该公司或服务值得你信任。

网络安全策略正在获得动力：零信任解决方案

许多 VPN 和其他在线服务现已实施零信任解决方案。这意味着零信任服务仅使用其正常运作所需的系统资源它不会请求访问任何不必要的内容。考虑到近年来多个VPN、社交媒体平台、流媒体应用和网站遭遇数据泄露，这并不是一个令人惊讶的进展。这些是受影响的一些公司： Plex Twitter OpenSea Optus Samsung Nvidia Microsoft LastPass Ronin Gecko VPN Super VPN Uber Chat VPN 红十字会 Cryptocom

所有数据泄露信息均基于受影响公司的公开声明。

建立信任 PIA 的隐私使命

PIA 在 2022 年的德勤审计证实了我们一直以来所说的，即我们不追踪我们的客户，也不存储任何日志。

我们6月的审计的结果确认服务器配置符合我们的内部隐私政策。这是因为我们的下一代服务器网络是基于 RAM 的，因此在重启和停电时会清除数据。

我们设计的网络旨在防止任何形式的数据保留。这一保护措施在多个层面上工作，即使在极不可能发生未授权访问的情况下，也没有数据可供窃取。我们的系统上没有任何用户活动的痕迹。

审计不仅确认我们的零日志 VPN 的有效性，我们的声明也经过了法庭验证。FBI 向我们的 VPN 发出传票，要求提供两个法庭案件的用户信息。

我们完全配合，根据联邦法律，但没有有用的信息提供给 FBI。PIA 只能显示用户连接的服务器位置，但无法提供他们如何使用的任何信息，因为我们不保存这些数据。我们的无日志政策是坚固的。

保持警惕，保护你的隐私

要对你信任的数据公司有辨别能力。使用进行安全审计的公司应用程序和网站是保护你数据的重要一步。安全审计能够保持公司的诚实，但前提是它们要对审计结果保持透明。这就是为什么你保护在线隐私的行动是最重要的。

始终检查你在设备上使用的任何网站或应用程序的数据收集和存储政策。查看应用程序所需的权限，如果有看起来可疑的，就不要安装该应用程序。

最重要的是， 使用像 PIA 这样的可信赖 VPN。我们有经过法庭验证的无日志政策，而且我们最近的安全审计证明我们致力于提供最佳的安全性和隐私保护。

增强你的在线隐私

常见问题解答

什么是安全审计？

安全审计是最好由独立审计员或审计团队进行的评估，尽管一些公司使用内部审计员。它评估 IT 系统的安全性以及是否遵守适当的州、联邦和国际法规。了解更多关于定期执行安全审计的重要性的信息请见上文。

VPN 是否需要进行安全审计？

任何定期处理私密数据的公司，包括VPN，都应该在需要时进行安全审计。审计发现系统基础设施中的潜在问题，确认 VPN 的无日志政策的有效性，并评估其服务器网络的安全性。

美国消费者在数据收集上是否更加脆弱？

是的。美国的联邦法律尚未跟上欧洲更为全面的法律，如 GDPR。各州的法律也各不相同。这使得公司在解释法律时有很大的余地。

幸运的是，当你可以使用 PIA VPN，并获得全国范围的安全覆盖。我们在全美50个州和华盛顿特区设有服务器，让你能够一键遮蔽你在美国的在线数据。

Private Internet Access 是否进行过独立的安全审计？

是的。德勤在2022年6月完成了对PIA的独立安全审计。审计确认我们的服务器配置与我们的隐私政策一致我们不追踪你的活动或进行个人识别。 了解更多关于 PIA 的安全审计 并发现我们为何是最好用的隐私和安全 VPN 之一。