Mergeți la conținutul principal

Conformitatea NIS2 și GDPR

VaultPAM este conceput ca infrastructură de conformitate pentru organizațiile din UE supuse NIS2 și GDPR. Acest articol mapează capacitățile VaultPAM la cerințele specifice care se aplică managementului accesului privilegiat.

Articolul 21 NIS2

Articolul 21 al Directivei NIS2 solicită organizațiilor să implementeze măsuri tehnice și operaționale corespunzătoare și proporționale pentru a gestiona riscurile. Tabelul de mai jos mapează măsurile specifice la capacitățile VaultPAM.

Cerință Articolul 21 NIS2Capacitate VaultPAMUnde se configurează
Autentificare multifactor pentru tot accesul privilegiatPolitică de aplicare a MFA; suportă TOTP și chei hardwareOrganisation settings > Security > MFA enforcement
Înregistrarea și monitorizarea sesiunilor privilegiateÎnregistrare completă a sesiunilor cu pista de audit; fiecare acțiune este înregistratăAdmin > Audit log
Controlul accesului și principiul celui mai mic privilegiuPolitici de acces la nivel Safe; acorduri Just-in-Time (JIT); fluxuri de aprobarePolicy engine > Creating policies
Răspunsul la incidente și pista de auditJurnal de audit rezistent la modificări cu export CSV; înregistrări de sesiuni ca dovezi forensiceAdmin > Audit log > Export CSV
Securitatea lanțului de aprovizionareIzolarea Connector; fiecare Connector are un token cu domeniu de aplicare; Connectorii compromși pot fi revocareAdmin > Connector management

Obligații GDPR privind accesul privilegiat

GDPR impune obligații asupra responsabililor cu tratarea datelor și ale prelucratorilor. Accesul privilegiat la sisteme care conțin date cu caracter personal trebuie controlat și documentat.

Articolul 32 -- Măsuri tehnice și organizaționale

VaultPAM satisface Art. 32 prin furnizarea de criptare a acreditărilor în repaus (prin intermediul motorului de secrete OpenBao), înregistrări de sesiuni criptate, aplicarea MFA și o pistă de audit completă a tuturor evenimentelor de acces privilegiat.

Articolul 5(1)(f) -- Integritate și confidențialitate

Principiul integritații și confidențialității (Art. 5(1)(f)) necesită ca datele cu caracter personal să fie prelucrate într-o manieră care să asigure o securitate corespunzătoare. VaultPAM aplică acest lucru la nivelul infrastructurii: acreditările nu sunt niciodată expuse în text clar în interfața utilizator după checkout, sesiunile sunt înregistrate și auditabile, iar politicile de acces previn ca utilizatorii neautorizați să acceseze resurse protejate.

Articolul 30 -- Registrele activităților de prelucrare

Jurnalul de audit al VaultPAM furnizează o înregistrare continuă a cine a accesat ce sistem, când și pentru cât timp. Acest jurnal poate fi exportat ca CSV și utilizat ca dovadă în înregistrările Art. 30 ale activităților de prelucrare (ROPA). Jurnalul de audit este rezistent la modificări și reținut pentru o perioadă configurabilă (implicit: 90 de zile).

Rezidența datelor

Pentru implementările SaaS, toate datele ținutului sunt stocate exclusiv în GCP europe-central2 (Varșovia, Polonia). Datele nu ies din UE. Aceasta satisface cerințele de rezidență a datelor din GDPR și NIS2 pentru organizațiile din UE.

Pentru a primi o confirmare scrisă (de exemplu, pentru o Evaluare a Impactului asupra Transferului de Date), solicitați un Acord de Prelucrare a Datelor (DPA) de la support@vaultpam.com. DPA-ul specifică regiunea de prelucrare și sub-procesatorii.

Articole conexe