Vai al contenuto principale

Conformità NIS2 e GDPR

VaultPAM è progettato come infrastruttura di conformità per le organizzazioni europee soggette a NIS2 e GDPR. Questo articolo mappa le funzionalità di VaultPAM ai requisiti specifici che si applicano alla gestione degli accessi privilegiati.

Articolo 21 della direttiva NIS2

L'Articolo 21 della direttiva NIS2 richiede alle organizzazioni di implementare misure tecniche e organizzative appropriate e proporzionate per gestire i rischi. La tabella seguente mappa le misure specifiche alle funzionalità di VaultPAM.

Requisito dell'Articolo 21 della direttiva NIS2Funzionalità di VaultPAMDove configurare
Autenticazione a più fattori per tutti gli accessi privilegiatiPolicy di applicazione MFA; supporta TOTP e chiavi hardwareImpostazioni organizzazione > Sicurezza > Applicazione MFA
Registrazione e monitoraggio delle sessioni privilegiateRegistrazione completa delle sessioni con audit trail; ogni azione è registrataAdmin > Audit log
Controllo degli accessi e principio del privilegio minimoPolicy di accesso a livello Safe; concessioni Just-in-Time (JIT); workflow di approvazionePolicy engine > Creazione di policy
Risposta agli incidenti e audit trailAudit log a prova di manomissione con esportazione CSV; registrazioni delle sessioni come evidenza forenseAdmin > Audit log > Esporta CSV
Sicurezza della catena di fornituraIsolamento dei Connector; ogni Connector dispone di un token con ambito; i Connector compromessi possono essere revocatiAdmin > Gestione Connector

Obblighi GDPR relativi all'accesso privilegiato

Il GDPR impone obblighi ai titolari del trattamento e ai responsabili del trattamento dei dati personali. L'accesso privilegiato ai sistemi che contengono dati personali deve essere controllato e documentato.

Articolo 32 -- Misure tecniche e organizzative

VaultPAM soddisfa l'Art. 32 fornendo la crittografia delle credenziali a riposo (tramite il motore dei segreti OpenBao), le registrazioni delle sessioni crittografate, l'applicazione dell'MFA e un audit trail completo di tutti gli eventi di accesso privilegiato.

Articolo 5(1)(f) -- Integrità e riservatezza

Il principio di integrità e riservatezza (Art. 5(1)(f)) richiede che i dati personali siano trattati in modo da garantire una sicurezza appropriata. VaultPAM applica questo requisito a livello infrastrutturale: le credenziali non sono mai esposte in testo semplice nell'interfaccia utente dopo il checkout, le sessioni sono registrate e controllabili, e le policy di accesso impediscono agli utenti non autorizzati di raggiungere risorse protette.

Articolo 30 -- Registri delle attività di trattamento

L'audit log di VaultPAM fornisce un registro continuo di chi ha avuto accesso a quale sistema, quando e per quanto tempo. Questo registro può essere esportato in CSV e utilizzato come evidenza nel vostro registro delle attività di trattamento (ROPA) dell'Art. 30. L'audit log è a prova di manomissione e conservato per un periodo configurabile (predefinito: 90 giorni).

Residenza dei dati

Per i deployment SaaS, tutti i dati dei tenant vengono archiviati esclusivamente in GCP europe-central2 (Varsavia, Polonia). I dati non escono dall'UE. Ciò soddisfa i requisiti di residenza dei dati di GDPR e NIS2 per le organizzazioni con sede in Europa.

Per ricevere una conferma scritta (ad esempio, per una Valutazione dell'Impatto del Trasferimento dei Dati), richiedete un Accordo di Trattamento dei Dati (DPA) a support@vaultpam.com. Il DPA specifica la regione di trattamento e i sub-processori.

Articoli correlati