如何保护通过WiFi收集的客户数据
本指南为IT经理、网络架构师和场所运营总监提供了一份关于保护通过访客WiFi部署所收集客户数据的权威技术参考。它覆盖了完整的安全栈——从WPA3加密和IEEE 802.1X访问控制,到符合GDPR的同意流程、供应商尽职调查,以及违规通知义务。在酒店业、零售业、活动场所和公共部门环境中运营的组织,将找到可操作的部署指导、真实案例研究,以及可衡量的风险缓解框架,以便在本季度实施。
Listen to this guide
View podcast transcript
执行摘要
每次访客WiFi连接都是一次数据交易。当访问者在您的Captive Portal上认证时——无论是在酒店大堂、零售旗舰店还是会议中心——他们都在用个人数据换取网络访问。这种交换产生了法律义务、技术责任和声誉风险,必须以对待任何企业数据资产同样的严格程度来管理。
威胁形势并非抽象。接入点配置错误、传输中数据未加密以及供应商合同不充分,已导致数百万英镑的GDPR罚款和集体诉讼。英国信息专员办公室(ICO)在2023年就开出了4250万英镑的罚款,其中数据处理失败是大多数案件的根本原因。
本指南阐述了如何在整个访客WiFi生命周期中保护客户数据:从设备探测您的网络那一刻起,到长期数据保留及最终删除。它将技术控制与合规义务相对应,提供供应商中立的架构建议,并展示像Purple的 访客WiFi 这样的平台如何将安全和同意管理直接嵌入到访客体验中。无论您是在进行安全审计,规划新部署,还是应对董事会级别的风险审查,本参考指南都为您提供了行动框架。
技术深度解析
数据表面:访客WiFi实际收集什么
在设计控制措施之前,您需要了解涉及哪些数据。典型的 访客WiFi 部署会捕获几类信息,每类都具有不同的风险特征和监管影响。
| 数据类别 | 示例 | 监管分类 |
|---|---|---|
| 身份数据 | 电子邮件地址、姓名、电话号码 | 个人数据(GDPR第4条) |
| 设备标识符 | MAC地址、设备类型、操作系统版本 | 个人数据(Breyer案后裁定) |
| 行为数据 | 驻留时间、访问频率、区域存在 | 与身份关联时构成个人数据 |
| 网络元数据 | 连接时间戳、带宽使用、AP关联 | 汇总时可能构成个人数据 |
| 同意记录 | 时间戳、接受的条款和条件版本、营销opt-in | 为合规而强制保留 |
MAC地址随机化现在已是iOS 14+和Android 10+的默认设置,改变了追踪格局。持久的身份现在依赖于认证会话——电子邮件登录、社交认证或忠诚度计划集成——而非被动的设备指纹识别。这强化了一个设计良好的Captive Portal的重要性,它能激励用户登录。
第一层:加密架构
WPA3(Wi-Fi Protected Access 3)是任何新部署不可妥协的基线。由Wi-Fi联盟于2018年批准,现在对于Wi-Fi 6(802.11ax)认证是强制性的,WPA3解决了WPA2-Personal的根本弱点:它用同时相等认证(SAE)取代了四次握手,消除了针对捕获握手的离线字典攻击。WPA3-Enterprise增加了192位最低安全模式,与高安全环境的CNSA套件要求保持一致。
对于无法立即替换老旧硬件的场所,WPA2配合AES-CCMP(而非TKIP)是最低可接受配置。TKIP在802.11-2012中已被弃用,必须禁用。
接入点之外的数据在传输过程中必须受到TLS 1.3的保护。这适用于Captive Portal与分析后端之间的所有API调用、本地控制器与云平台之间的所有数据同步,以及所有管理接口。如果TLS 1.3不受支持,TLS 1.2可作为回退方案,但TLS 1.0和1.1必须禁用——这是自2024年3月以来PCI DSS 4.0强制要求执行的。
静态数据——无论是在云分析平台中还是在本地数据库中——必须使用AES-256加密。这适用于整个数据存储,而不仅仅是敏感字段。对于高敏感字段(电子邮件、电话)的列级加密为抵御SQL注入和内部威胁提供了额外的保护层。
第二层:访问控制和认证
IEEE 802.1X是支撑企业WiFi认证的基于端口的网络访问控制标准。在访客WiFi环境中,802.1X通常与RADIUS服务器(远程认证拨入用户服务)配合部署,以在授予网络访问之前对用户进行认证。802.1X中的EAP(可扩展认证协议)框架支持多种认证方法:EAP-TLS(基于证书,安全性最高)、EAP-TTLS和PEAP是企业部署中最常见的。
对于证书分发不可行的访客网络,Captive Portal模式仍是标准。然而,Captive Portal必须被视为安全边界,而不仅仅是营销接触点。关键要求包括在启动页面上强制使用HTTPS(HTTP Strict Transport Security标头)、对表单提交进行CSRF保护、对认证尝试进行速率限制,以及与会话令牌过期时间与访客网络会话保持一致。
基于角色的访问控制(RBAC)必须管控对WiFi管理平台的管理访问。最小权限原则适用:场所工作人员不应有权访问原始数据导出;只有指定的数据控制者才能发起批量数据操作。所有管理操作必须记录不可篡改的审计追踪。
第三层:网络分段
访客流量必须使用VLAN(虚拟局域网)与内部网络隔离。这是一项基础控制,可在发生入侵时限制横向移动。针对多用途场所设计的良好分段架构通常至少实施四个VLAN:
- VLAN 10 — 访客WiFi:仅限互联网访问,无内部路由,启用DNS过滤
- VLAN 20 — 企业/员工:内部系统访问,完整安全栈
- VLAN 30 — IoT/OT:楼宇管理、CCTV、访问控制——与访客和企业隔离
- VLAN 40 — 管理:网络基础设施管理,严格访问控制
防火墙规则必须明确拒绝VLAN 10与VLAN 20、30和40之间的任何路由。在访客VLAN上进行出口过滤应阻止RFC 1918地址范围,以防止访客设备探测内部子网。在访客VLAN上使用DNS-over-HTTPS(DoH)或DNS-over-TLS(DoT)可防止基于DNS的数据泄露,并提供内容过滤功能。
第四层:同意和数据治理
Captive Portal是技术架构与法律义务的交汇点。根据GDPR第7条,同意必须是自由给出、具体、知情且明确的。预先勾选的复选框是被禁止的。将WiFi访问与营销同意捆绑在一起是ICO已经审查过的灰色地带——更稳妥的做法是将两者分开,将WiFi访问作为主要服务,而营销通信作为可选的、明确区分的opt-in。
Purple的 WiFi分析 平台提供了一个同意管理层,记录了每个用户接受条款和条件的确切时间戳、IP地址和版本。此同意记录本身就是一个数据资产,必须在任何潜在法律挑战期间予以保留——根据英国的诉讼时效,通常为六年。
数据最小化(GDPR第5条第1款(c)项)要求您只收集为所述目的所必需的数据。如果您所述目的是网络访问管理,则不需要出生日期。如果您所述目的包括个性化营销,则需要针对该特定目的的明确同意,并且收集的数据必须与之相称。有关合法收集框架的详细细分,请参阅 如何通过WiFi收集第一方数据 指南。
实施指南
第一阶段:基础设施评估(第1-2周)
从对现有接入点进行全面审计开始。记录每个设备的固件版本、WPA支持级别和VLAN能力。识别任何运行WPA2-TKIP或没有VLAN支持的接入点——这些是立即需要修复的优先事项。同时,审查您的网络拓扑,确认访客和企业流量在交换层(而不仅仅是在控制器级别)是物理或逻辑分离的。
第二阶段:加密提升(第2-4周)
在硬件支持的所有访客SSID上部署WPA3-Personal(SAE)。对于混合环境,启用WPA3过渡模式以在迁移窗口期间保持与WPA2客户端的向后兼容性。更新所有面向Web服务的TLS配置,以优先强制使用TLS 1.3,并将TLS 1.2作为后备。禁用TLS 1.0、1.1和所有RC4密码套件。使用SSL Labs或testssl.sh等工具验证配置。
第三阶段:访问控制部署(第3-6周)
部署或验证您的RADIUS基础设施。对于云管理网络,大多数企业控制器(Cisco Meraki、Aruba Central、Juniper Mist)提供内置的RADIUS代理服务。在员工和管理SSID上配置802.1X。对于访客SSID,为Captive Portal配置HTTPS强制执行、会话超时和速率限制。将Captive Portal与您的分析平台集成——Purple的 访客WiFi 平台提供与主要控制器供应商的预构建集成,消除了自定义开发开销。
第四阶段:VLAN分段验证(第4-6周)
使用渗透测试工具验证VLAN隔离。从访客VLAN设备,确认您无法访问访客子网之外的任何RFC 1918地址。验证DNS查询正确解析,并且DoH或DoT已强制执行。通过尝试从VLAN 10向VLAN 20发起连接来测试防火墙规则——所有此类尝试都应被记录和阻止。
第五阶段:同意流程和数据治理(第5-8周)
对照ICO的同意指南审查您的Captive Portal同意流程。确保隐私声明易于访问、语言平实且受版本控制。在您的分析平台中实施数据保留政策——Purple的平台支持可配置的保留期限,并在到期时自动匿名化。如果您的组织符合GDPR的门槛,任命或确认您的数据保护官,并在您的处理活动记录(ROPA)中登记您的处理活动。
第六阶段:事件响应规划(第7-10周)
记录您的违规响应程序。分配角色:谁检测、谁遏制、谁通知。通过桌面演练测试程序。确保您的DPO可以直接访问分析平台的审计日志,并能在GDPR的30天期限内导出完整的数据主体访问报告。
最佳实践
加密标准:在所有访客SSID上部署WPA3-SAE。对所有传输中的数据强制使用TLS 1.3。对所有静态数据使用AES-256。这些不是遥不可及的目标——它们是监管机构和审计师在2025年期望的基线。
访客网络上的零信任态势:无论认证状态如何,将每个访客设备视为不可信。作为标准措施,应用DNS过滤、带宽限制和出口控制。不要根据网络位置给予访客设备任何隐式信任。
供应商尽职调查:任何代表您处理访客数据的第三方平台都是GDPR下的数据处理者。您必须有一份数据处理协议(DPA)到位。验证ISO 27001认证,进行年度安全问卷,并审查子处理者名单。Purple保持ISO 27001认证,并作为其企业合同的一部分提供标准DPA。
数据最小化和保留:只收集您需要的数据。设置自动保留限制——原始会话日志保留90天,汇总分析保留24个月,同意记录无限期。在保留分析价值的情况下,匿名化而非删除数据。
定期渗透测试:委托经CREST认证的提供商每年对您的访客WiFi环境进行渗透测试。包括VLAN突破测试、Captive Portal绕过尝试,以及分析平台集成的API安全测试。
员工培训:最精密的技术控制可能因员工将未受管理的设备插入企业交换机端口而遭到破坏。每年进行安全意识培训,其中包含关于访客网络管理的特定模块,这是PCI DSS的要求和GDPR的最佳实践。
实例分析
案例研究1:450间客房的酒店集团——GDPR合规全面改革
一家在英国经营12家酒店的酒店集团在一次ICO审计前发现了重大差距:访客WiFi运行在WPA2-TKIP上,Captive Portal没有受版本控制的同意记录,而且在三家酒店中,访客和POS的VLAN处于同一第2层网段。修复计划在14周内完成,包括升级接入点固件以启用WPA3过渡模式,部署Purple的 访客WiFi 平台以取代旧的Captive Portal解决方案,并在所有12家酒店进行全面的VLAN架构重建。部署后,该集团的同意捕获率达到了94%(之前为61%),在网络保险评估中数据泄露风险评分降低了67%,并且在没有修复要求的情况下通过了ICO审计。 酒店业 的特殊挑战——高宾客周转率、多样化的设备类型,以及POS集成要求——使其成为一个具有代表性的部署模型。
案例研究2:全国性零售连锁店——PCI DSS 4.0对齐
一家拥有200家门店的零售连锁店面临PCI DSS 4.0合规要求,该要求规定在所有持卡人数据环境(CDE)邻近网络上必须使用最低TLS 1.2。他们的访客WiFi虽然在技术上与CDE分离,但在40家门店中与POS系统共享物理基础设施。修复措施包括在40家受影响的门店部署专用的访客WiFi硬件,实施严格的VLAN隔离,并由QSA验证防火墙ACL,以及将Captive Portal迁移到Purple的平台,并采用符合PCI DSS的数据处理方式。 零售业 的部署减少了这40个地点的PCI DSS范围,并消除了在连续三年年度QSA报告中出现的一个发现。该项目带来了可衡量的投资回报:网络保险费每年减少180,000英镑,而项目成本为240,000英镑,在16个月内实现了回收。
故障排除和风险缓解
VLAN泄漏:访客WiFi部署中最常见的故障模式是交换层的VLAN配置错误。症状包括访客设备能够ping通内部主机或访问内部Web接口。诊断方法:从访客VLAN设备执行网络扫描,检查访客子网之外是否存在RFC 1918响应。修复方法:检查从接入点到防火墙路径上所有交换机的trunk端口配置,并验证防火墙上的ACL。
Captive Portal绕过:熟练的用户可以使用DNS隧道或在门户重定向触发之前连接到已知的开放DNS解析器来绕过Captive Portal。缓解措施:除了您指定的解析器之外,阻止从访客VLAN发出的所有出站DNS(端口53 UDP/TCP),并实施基于DNS的Captive Portal检测(RFC 8910)。
MAC随机化和分析缺口:iOS和Android设备现在对每个SSID随机化MAC地址,这破坏了未认证用户的会话连续性。正确的应对措施不是尝试反随机化MAC(这在技术上困难且有法律问题),而是设计您的Captive Portal以激励认证登录。认证会话提供持久的身份,可以经受MAC地址的变化。
同意记录丢失:如果您的Captive Portal平台不维护不可篡改的同意记录,您在面对主体访问请求或监管调查时将毫无防御之策。确保您的平台以独立于平台本身的格式导出同意记录——Purple的平台提供所有同意记录的JSON和CSV导出,并带有加密时间戳。
供应商违规通知:您的数据处理协议必须明确规定,供应商有义务在发现违规后的24小时内通知您——为您满足ICO的72小时通知截止日期留出足够的时间。如果您当前的DPA中不包含此条款,则需要立即重新谈判。
ROI和业务影响
投资访客WiFi数据安全的商业案例涉及两个维度:风险缓解和收入实现。
在风险方面,GDPR罚款可达全球年营业额的4%或1750万英镑,以较高者为准。对于一家年营业额5000万英镑的中端酒店集团,上限为200万英镑。拥有可证明的安全控制措施的组织——WPA3、802.1X、ISO 27001认证供应商——其网络保险费通常比没有这些措施的组织低20-35%。2024年英国数据泄露的平均成本为340万英镑,其中包括调查、修复、监管响应和声誉损害。
在收入方面,一个安全且设计良好的访客WiFi平台是一个第一方数据引擎。使用Purple的 WiFi分析 平台的场所报告称,平均同意捕获率为85-92%,生成了经过opt-in的营销数据库,通过有针对性的活动推动可衡量的收入。一家拥有500间客房的酒店每天捕获300个新的opt-in联系人,在不到一年的时间内就能建立一个10万经过验证的联系人的数据库——这是一项营销资产,其保守的终身价值为50万至100万英镑。
安全投资不是成本中心。它是使数据资产合法、可防御且可商业化利用的基础。在 医疗保健 、 交通 和公共部门环境中的组织面临额外的监管审查——在特定行业法规(NIS2、DSPT、CAF)叠加在GDPR义务之上的情况下,投资理由甚至更强。
有关访客WiFi如何与更广泛的IoT和位置智能架构集成的更多背景信息,请参阅 物联网架构:完整指南 和 室内定位系统:UWB、BLE和WiFi指南 。
Key Definitions
WPA3 (Wi-Fi Protected Access 3)
当前的WiFi安全标准,于2018年批准,取代WPA2。WPA3-Personal使用同时相等认证(SAE)来消除离线字典攻击。WPA3-Enterprise增加了192位最低安全模式。对于Wi-Fi 6(802.11ax)认证是强制性的。
IT团队在指定接入点采购或审计现有部署时会遇到这个问题。任何不支持WPA3的接入点都应标记为在下一个硬件更新周期中更换。
IEEE 802.1X
一种基于端口的网络访问控制标准,要求设备在获准访问网络之前进行认证。与RADIUS服务器和EAP(可扩展认证协议)框架配合工作。防止未经授权的设备连接到网络。
适用于需要基于证书或基于凭据的认证的员工和管理SSID。在访客网络上,通常被Captive Portal认证所取代,但802.1X原则为整体访问控制架构提供了信息。
RADIUS (Remote Authentication Dial-In User Service)
一种网络协议,为网络访问提供集中式的认证、授权和计费(AAA)。在WiFi部署中,RADIUS服务器验证通过802.1X提供的凭据,并将访问策略返回给网络控制器。
IT团队部署RADIUS服务器(Microsoft NPS、FreeRADIUS、Cisco ISE)作为802.1X认证的后端。云管理网络平台通常包括托管的RADIUS服务,从而减少了本地基础设施的需求。
VLAN (Virtual Local Area Network)
在物理交换基础设施内创建的逻辑网段。VLAN允许多个隔离的网络共享相同的物理硬件,同时在没有显式路由和防火墙规则的情况下阻止流量跨越网段边界。
将访客WiFi流量与企业、POS和IoT网络分离的主要机制。VLAN配置错误是场所部署中访客到企业网络泄漏的最常见原因。
TLS 1.3 (Transport Layer Security 1.3)
当前版本的加密协议,用于保护网络传输中的数据。TLS 1.3取消了对弱密码套件的支持,减少了握手延迟,并默认提供前向保密。TLS 1.0和1.1已被弃用;TLS 1.2可以接受,但优先使用TLS 1.3。
适用于所有面向Web的服务,包括Captive Portal、分析仪表板和API端点。PCI DSS 4.0(于2024年3月生效)要求持卡人数据环境中或与之相邻的所有系统至少使用TLS 1.2。
AES-256 (Advanced Encryption Standard, 256-bit)
一种采用256位密钥长度的对称加密算法,在现有和近期技术下被认为在计算上不可行通过蛮力破解。是企业系统中加密静态数据的标准。
IT团队应验证他们的WiFi分析平台和任何相关的数据库是否使用AES-256加密静态数据。这是ISO 27001实施中的标准要求,并在大多数企业安全策略中有所规定。
Captive Portal
当用户连接到访客WiFi网络时,在授予完全互联网访问权限之前呈现的网页。用于收集认证凭据、显示条款和条件、获取数据处理同意,以及将用户重定向到品牌内容。
Captive Portal既是一种安全控制,也是一种合规机制。它必须强制使用HTTPS,实施CSRF保护,对条款和条件进行版本控制,并记录带有时间戳的同意。它也是访客WiFi分析平台的主要数据收集接触点。
Data Processing Agreement (DPA)
根据GDPR第28条,数据控制者(场所运营商)与数据处理者(WiFi平台供应商)之间所需的具有法律约束力的合同。它规定了处理范围、安全义务、违规通知时限、子处理者限制以及数据删除要求。
对于任何代表您处理个人数据的第三方供应商是强制性的。没有DPA本身就是GDPR违规。IT团队应确保在任何访客数据流向第三方平台之前,已签署DPA。
SAE (Simultaneous Authentication of Equals)
WPA3-Personal中使用的握手协议,取代了WPA2的预共享密钥(PSK)握手。SAE能够抵御离线字典攻击,因为它不会暴露可被捕获并事后暴力破解的握手。
IT团队应将SAE理解为WPA3相对于WPA2的核心安全改进。在评估接入点硬件时,SAE支持是验证WPA3合规性的关键能力。
GDPR Article 7 Consent
根据通用数据保护条例(General Data Protection Regulation),有效同意的法律标准。同意必须是自由给出、具体、知情和明确的。撤销同意必须与给予同意同样容易。禁止预先勾选的复选框和捆绑同意。
直接适用于收集个人数据的访客WiFi Captive Portal。ICO已经专门就WiFi同意发布了指南,场所必须确保其Captive Portal设计符合第7条标准。
Worked Examples
一家拥有450间客房、在英国经营12家酒店的酒店集团正准备接受ICO审计。他们现有的访客WiFi运行WPA2-TKIP,Captive Portal没有受版本控制的同意记录,并且在三家酒店中,访客和POS的VLAN共享同一第2层网段。修复的优先顺序是什么?他们应该瞄准哪些结果?
优先级1(立即,第1周):在所有接入点上禁用TKIP,并强制使用WPA2-AES作为最低标准。这消除了最关键的加密漏洞,而无需更换硬件。优先级2(第1-2周):在三个受影响的物业上物理或逻辑地分离访客和POS VLAN。这是PCI DSS的要求,并限制了违规的波及范围。在VLAN网段之间的防火墙上配置明确的拒绝ACL。优先级3(第2-6周):部署合规的Captive Portal平台(如Purple),提供带加密时间戳的版本控制同意记录。将所有12家酒店迁移到统一的同意管理系统。优先级4(第4-8周):将支持WPA3的接入点升级到WPA3过渡模式。委托渗透测试来验证VLAN隔离。目标结果:90%以上的同意捕获率,渗透测试中零VLAN泄漏发现,为ICO审查准备好完整的同意记录审计追踪。
一家拥有200家门店的零售连锁店正在准备PCI DSS 4.0评估。在40家门店,访客WiFi与POS系统共享物理交换基础设施。QSA标记这为范围扩大风险。正确的架构应对是什么?
正确的应对是进行网络分段,将访客WiFi完全从PCI DSS范围中移除。在受影响的40家门店部署专用的访客WiFi接入点,连接到单独的交换机或不与POS VLAN有trunk连接的交换机端口组。配置防火墙ACL,明确拒绝访客VLAN(例如10.10.10.0/24)与CDE VLAN(例如10.20.20.0/24)之间的任何路由。通过从访客设备进行网络扫描验证隔离——不应有任何CDE主机可达。在网络图中记录分段架构,并作为范围缩小的证据提交给QSA。此外,将Captive Portal迁移到符合PCI DSS的平台,该平台不处理持卡人数据,并维护其自身的安全认证。
一家会议中心运营商发现,他们使用了三年的第三方WiFi供应商没有签订数据处理协议,也无法证明ISO 27001认证。刚刚收到了一份数据主体访问请求。立即的义务和补救步骤是什么?
立即义务:(1)在30天内回复DSAR——这是法律义务,无论供应商状况如何。向供应商请求一份涵盖所持有该请求者所有数据的完整数据导出。(2)评估缺乏DPA是否构成需要报告的违规行为——如果个人数据在没有合法依据或充分保障措施的情况下被处理,可能需要在72小时内向ICO通知。(3)聘请法律顾问评估责任风险。补救步骤:(1)立即向供应商发出DPA,并要求在5个工作日内签署。(2)请求供应商的安全认证,并进行紧急安全问卷。(3)如果供应商无法证明充分的安全措施,启动合规替换平台的采购流程。(4)为ICO记录所有补救步骤。(5)如果尚未任命,指定一名DPO,并更新ROPA以反映更正后的处理依据。
Practice Questions
Q1. 您的组织运营着一个拥有300个座位的会议中心。一位安全顾问指出,您的访客WiFi Captive Portal是通过HTTP而非HTTPS提供的。场所经理辩称“这只是一个登录页面,不是支付页面”。您如何回应?修复措施是什么?
Hint: 考虑在Captive Portal上传输的数据以及适用的监管义务,无论是否涉及支付数据。
View model answer
场所经理的论点混淆了PCI DSS的范围(特定于支付)与GDPR义务(适用于所有个人数据)。通过HTTP提供的Captive Portal以明文形式传输凭据、电子邮件地址和同意记录——同一网段上的任何攻击者都可以通过被动嗅探拦截这些数据。根据GDPR第32条,这构成数据安全失败,该条款要求采取“适当的技术措施”来保护个人数据。修复措施:(1) 在Captive Portal服务器上获取并安装TLS证书——Let's Encrypt为面向公众的服务提供免费证书。(2) 为所有指向门户的HTTP请求配置HTTPS重定向。(3) 实施HSTS(HTTP严格传输安全)头以防止降级攻击。(4) 使用SSL Labs验证配置。这是一项低成本、高影响力的修复,应在48小时内完成。
Q2. 您是正在为PCI DSS 4.0评估做准备的零售连锁店的IT总监。您的QSA指出,您的访客WiFi网络与60家门店的POS系统共享交换基础设施,除非您能证明有充分的分段,否则将扩大您的PCI DSS范围。您需要提供哪些证据?什么是最低可行的架构?
Hint: PCI DSS的范围由网络连接决定,而不仅仅是逻辑配置。QSA需要验证访客网络的入侵无法到达CDE。
View model answer
最低可行架构要求:(1) 为访客WiFi(例如VLAN 10)和POS/CDE(例如VLAN 20)设置专用的VLAN,它们之间除通过防火墙外没有trunk连接。(2) 防火墙ACL明确拒绝所有从VLAN 10到VLAN 20的流量,并启用日志记录。(3) 通过从访客VLAN设备进行网络扫描进行验证——不应有任何CDE主机可达。需要向QSA提供的证据:(a) 显示VLAN分配和防火墙位置的网络拓扑图,(b) 显示明确拒绝规则的防火墙规则集,(c) 从访客VLAN进行网络扫描的结果,确认没有CDE主机可达,(d) 显示VLAN分配和trunk端口配置的交换机配置。如果共享交换基础设施无法支持足够的VLAN隔离(例如非管理型交换机),则需进行物理分离,将专用访客WiFi接入点连接到单独的交换机。
Q3. 一位数据主体联系您的场所,声称他们从未同意接收营销电子邮件,尽管他们在您的访客WiFi营销名单上。您当前的Captive Portal平台无法生成该个人的同意记录。您的义务是什么?如何在未来的部署中防止这种情况?
Hint: 要考虑立即的DSAR义务以及这所揭示的系统平台能力缺口。
View model answer
立即义务:(1) 在5个工作日内确认DSAR,并在30个日历日内回复。(2) 立即停止向该个人发送营销通信——证明同意的责任在于控制者,而非数据主体。如果您无法生成同意记录,您必须将处理视为非法。(3) 评估无法为任何个人生成同意记录是否构成系统性失败,需要向ICO通知。(4) 将该个人从所有营销名单中删除,并记录该操作。系统修复:(1) 替换或升级Captive Portal平台,使其提供不可篡改、有时间戳、受版本控制的同意记录——Purple的平台作为标准功能提供了这一点。(2) 对您的营销数据库进行回顾性审计,以识别无法生成同意记录的任何联系人,并将其删除。(3) 更新您的ROPA,以反映更正后的同意基础。(4) 作为季度合规审查的一部分,执行同意记录导出测试。无法生成同意记录是ICO最常见的执法触发因素之一,使用正确的平台完全可以预防。