Netskope para conformidade com GDPR

Os controladores e processadores devem saber o local em que os dados pessoais estão armazenados ou onde são processados.

• Use a Netskope para avaliar onde os dados são armazenados e/ou processados para cada processador (serviço na nuvem).
• Aplique políticas com a Netskope Active Platform para processadores que não armazenam/transferem dados em locais seguros (na Lista de Jurisdições Adequadas mantida pela Comissão Europeia de países e territórios aprovados) ou processam dados em locais indeterminados, como o bloqueio de uso do serviço na nuvem.
• Execute relatórios sobre o uso da aplicação/serviço resumidos por local de destino.

Os controladores devem tomar medidas de segurança adequadas para proteger os dados pessoais contra a perda, a alteração ou o processamento não autorizado.

• Descubra e proteja dados confidenciais em repouso em um processador gerenciado (serviço em nuvem) ou para atividades em tempo real em todos os serviços em nuvem usando o Netskope Cloud DLP com suporte para mais de 3.000 identificadores de dados, mais de 500 tipos de arquivo, caracteres de byte duplo independentes de idioma, expressões regulares personalizadas, análise de proximidade, impressão digital, correspondência exata e muito mais.
• Por exemplo, use o perfil DLP GDPR predefinido da Netskope (ou use um personalizado) para encontrar PII e criptografá-lo ou colocá-lo em quarentena e recuperá-lo no local (ou colocá-lo em retenção legal para revisão), pois são necessários processadores e controladores para notificar os usuários se seus dados pessoais não criptografados foram perdidos e deve notificar as autoridades de supervisão sobre uma violação de dados.
• Aplique políticas de segurança como “Bloquear o uso de serviços de armazenamento em nuvem classificados como 'Médio' ou abaixo do uso” para garantir o uso organizacional apenas de processadores seguros e controlados.
• Detecte e corrija automaticamente ameaças de nuvem e malware como residentes de ransomware em serviços sancionados ou em atividades em tempo real, como uploads e downloads, para evitar que informações sejam roubadas.
• Identifique as credenciais comprometidas em outra violação e correlacione a atividade nos processadores contratados pelo controlador, para iniciar um fluxo de trabalho para redefinir a credencial no SSO em todos os processadores gerenciados pela empresa.

Os controladores devem impedir que os dados pessoais sejam carregados para serviços na nuvem pessoal e dispositivos pessoais (BYOD) ou devem impor medidas de segurança da organização em dispositivos e nuvens pessoais.

• Entenda e consulte todos os acessos e atividades por dispositivo e classificação do dispositivo, por exemplo, BYOD.
• Aplique políticas de nível de acesso e atividade com base no tipo e classificação do dispositivo.
• Aplique políticas em dispositivos móveis para garantir que os dados corporativos e pessoais não sejam copiados para aplicativos móveis ou usando aplicativos móveis para fazer backup de dados na nuvem. Integre com soluções MDM para controle adicional no nível do dispositivo.
• Aplicar políticas para garantir que os dados corporativos e pessoais entrem apenas em processadores aprovados pela empresa e não em instâncias pessoais no mesmo processador, por exemplo, permitir o upload de dados confidenciais para o Box corporativo, mas não para instâncias pessoais do Box.
• Diferencie as instâncias do processador (serviço) para garantir políticas corporativas e visibilidade apenas para processadores sancionados e dados pessoais relacionados a processos organizacionais e de negócios.

Os controladores precisam conhecer os padrões de privacidade e segurança a que o processador adere e avaliar esses padrões.

• Rastreie dados pessoais com análise forense em nuvem para registrar e auditar quais processadores processaram e/ou possuem dados pessoais para atender a solicitações de informações sobre dados pessoais de um indivíduo.
• Avalie a prontidão empresarial dos processadores em mais de 50 parâmetros com CCI (incluindo recursos de privacidade, como se o aplicativo permite subprocessadores ou faz qualquer outra coisa com dados, bem como recursos de segurança de dados, como criptografia de dados em repouso e tipo de cifra). A Netskope também determina a prontidão de aplicativos GDPR em uma escala alta, média e baixa com base nos parâmetros.
• Use o CCI para ver se o processador permite o log de auditoria para determinar se indivíduos não autorizados acessam o serviço de nuvem.
• Use o CCI para determinar as medidas de segurança física e lógica do processador, como SOC-2 e ISO27001, sem mencionar selos de privacidade de aplicativos, como TRUSTe, e certificações de conformidade, como Privacy Shield.