Lista de verificação de conformidade para IIP (informações de identificação pessoal)
O que é IIP?
Informações de identificação pessoal (IIP) são quaisquer dados que possam ser usados para identificar direta ou indiretamente um indivíduo. Ou seja: nomes, números de CPF, informações de cartão de crédito, endereços IP, detalhes de licença e detalhes biométricos. Vários regulamentos de proteção de dados, como GDPR e LGPD, impõem diretrizes rigorosas sobre como as IIP devem ser coletadas, armazenadas, processadas e apagadas em um esforço para fornecer aos clientes mais visibilidade e controle sobre como seus dados pessoais são usados.
Use nossa lista de verificação abaixo para obter uma visão geral rápida de todas as etapas necessárias para atender aos regulamentos de conformidade que exigem a proteção de dados pessoais.
Etapa 1: localizar e classificar IIP
| O que fazer | Como fazer |
|---|---|
| Descobrir a presença das IIP | Combine expressões regulares, conjuntos de palavras-chave ou uma junção de ambos para localizar IIP |
| Executar verificações de descoberta de dados periodicamente | Empregue a metodologia de varredura distribuída e incremental para reduzir a carga na CPU |
| Reduzir falsos positivos em verificações de descoberta de dados | Use o processamento de termos compostos e a varredura de proximidade para aumentar a precisão na localização de IIP |
| Encontrar IIP armazenadas em um formato não legível por máquina, como imagens e notas manuscritas | Use a tecnologia de reconhecimento óptico de caracteres (OCR) |
| Encontrar várias categorias especiais de dados pessoais armazenados, como aqueles que contêm histórico médico, opiniões políticas, crenças religiosas e orientação sexual | Adapte as regras de descoberta de dados para localizar categorias especiais de dados confidenciais |
| Classifique as IIP descobertas | Use recursos de classificação automatizados e manuais |
| Criar um mapa de inventário de dados | Examine todos os repositórios de dados, incluindo servidores de arquivos, bancos de dados, aplicativos em nuvem e muito mais, para elaborar registros detalhados sobre quais tipos de dados pessoais são armazenados e onde |
| Categorizar os dados pessoais encontrados usando a taxonomia de classificação | Use uma taxonomia com pelo menos três níveis de sensibilidade, ou seja, baixo, moderado e alto, para segregar arquivos contendo IIP |
| Criar políticas baseadas em conformidade | Encontre e mantenha uma lista detalhada de IIP que se enquadra em vários regulamentos de proteção de dados |
Etapa 2: avaliar os riscos para IIP armazenadas
| O que fazer | Como fazer |
|---|---|
| Analisar os níveis de acesso e implementar o princípio de privilégio mínimo em arquivos que contenham IIP | Forneça apenas as permissões mínimas exigidas pelos usuários para suas operações diárias em arquivos e pastas que contenham dados pessoais |
| Executar uma avaliação do impacto da proteção de dados | Identifique e minimize periodicamente os riscos de segurança que surgem do processamento de IIP armazenadas |
| Remover IIP obsoletas, ou seja, dados pessoais armazenados além de sua utilidade | Identifique e armazene arquivos antigos e obsoletos contendo IIP que não estão mais em uso |
| Atribuir um indivíduo diretamente responsável (IDR) encarregado de proteger as IIP | Capacite seu IDR para examinar o uso de IIP e fazer alterações nos processos e padrões que ajudam a protegê-las |
| Realizar avaliações periódicas de vulnerabilidades | Identifique lacunas em sua infraestrutura de segurança, incluindo servidores sem patches, firewalls fracos e muito mais |
| Avaliar a base legal do processamento de todas as IIP | Manter registros claros e detalhados de todas as atividades de processamento de dados para as PII armazenadas e a justificativa legal relevante |
Etapa 3: criar políticas de IIP
| O que fazer | Como fazer |
|---|---|
| Criar uma política aceitável de uso de dados | Descreva claramente quem tem uma necessidade legítima de acessar os arquivos e pastas que contêm II e como as IIP podem ser usadas |
| Manter trilhas de auditoria detalhadas | Faça auditoria de todos os acessos e modificações de arquivos com informações detalhadas sobre quem acessou o quê, quando e de onde |
| Aumentar a conscientização dos funcionários sobre a importância da conformidade com os mandatos regulatórios | Realize treinamento periódico de conscientização de segurança centrado na proteção de IIP |
| Facilitar as solicitações de acesso do titular dos dados | Garanta que haja processos adequados para identificar e atender às solicitações dos titulares dos dados para:
E mais |
| Adotar uma política de notificação de violação de dados | Elaborar disposições para notificar e comunicar sobre uma violação de dados pessoais à autoridade supervisora e aos titulares de dados afetados |
| Criar um mapa de fluxo de dados IIP | Acompanhe e examine o movimento de arquivos e pastas contendo IIP |
| Reforçar a minimização de dados | Limite a coleta, armazenamento e processamento de dados apenas ao estritamente necessário para as operações de negócios |
| Manter um adendo de processamento de dados confiável | Revise e atualize os acordos de processamento de dados feitos com seus subcontratados periodicamente |
Etapa 4: proteger IIP com processos e padrões rigorosos
| O que fazer | Como fazer |
|---|---|
| Desidentificar e proteger dados essenciais aos negócios em todas as suas formas | Criptografe, pseudonimize ou anonimize dados pessoais confidenciais em movimento, em repouso e sempre que possível para eliminar o risco de exposição indesejada |
| Empregar um mecanismo rápido de resposta a incidentes | Implante um mecanismo proativo de detecção e correção de ameaças à segurança para detectar e interromper acessos e modificações incomuns nas IIP |
| Gerenciar o acesso indesejado a dados críticos | Proteja o acesso a computadores e servidores que armazenam IIP através da autenticação multifator |
| Garantir a integridade dos arquivos | Mantenha a integridade dos dados pessoais armazenados monitorando todas as alterações feitas neles 24 horas por dia, 7 dias por semana |
| Evitar o vazamento de IIP | Use uma solução DLP totalmente integrada que ajudará a proteger dados altamente confidenciais em repouso, em uso e em movimento contra roubo, vazamento e exposição |
| Garantir a transferência de IIP para países terceiros e organizações internacionais | Garantir salvaguardas operacionais adequadas para divulgar arquivos e pastas críticos dentro e fora da organização |
| Proteger os dados contra ataques de malware | Detecte e interrompa ataques de malware logo no início com um software anti-malware abrangente |
Isenção de responsabilidade: O cumprimento total de qualquer regulamento de proteção de dados requer uma variedade de soluções, processos, pessoas e tecnologias. Esta página é fornecida apenas para fins informativos e não deve ser considerada como aconselhamento jurídico. A ManageEngine não oferece garantias, expressas, implícitas ou estatutárias, quanto às informações contidas neste material.