Os padrões de conformidade ajudam as empresas a validar e garantir que seus sistemas e dados confidenciais estejam protegidos contra ameaças cibernéticas. A conformidade com esses padrões fortalece a segurança cibernética de uma empresa e ajuda a criar confiança com clientes e parceiros. Não estar em conformidade geralmente resulta em interrupções nos negócios, multas e penalidades governamentais (custos de liquidação, perdas de produtividade e outros) que custam às empresas mais de US$ 14 milhões em média.
A prontidão para a conformidade não é mais apenas um luxo bom de se ter, é um requisito vital. As principais empresas de análise destacam que a preparação para a conformidade é um dos principais fatores que impulsionam a rápida adoção de soluções de gerenciamento de acesso privilegiado. Ao adotar uma solução abrangente como o ManageEngine PAM360, sua empresa receberá uma solução que está em conformidade com os principais padrões do setor, e vai te ajudar a atender às necessidades urgentes de conformidade regulamentar e requisitos de auditoria.
Assim como qualquer outra solução da ManageEngine, o PAM360 está em conformidade com uma ampla gama de padrões de privacidade e compliance. Esses credenciamentos são padrões de ouro do setor que garantem a você nossa abordagem de privacidade e segura.
Os principais recursos do PAM360 ajudam as empresas a regular o acesso a informações confidenciais, manter a integridade dos dados e, assim, cumprir várias normas regionais e do setor. Os recursos a seguir são fáceis de configurar e oferecem benefícios tangíveis de conformidade.
01
As empresas devem adotar o princípio do menor privilégio para garantir que os usuários finais tenham os menores privilégios de acesso necessários para realizar suas tarefas. Com os controles de acesso baseados em funções e a elevação de privilégios just-in-time do PAM360, é possível aplicar o acesso com privilégios mínimos e minimizar o acesso não autorizado em todas as funções da sua organização. Padrões de conformidade como o GDPR (Artigo 32), ISO/IEC 27001: 2013 (9.4.1) [antigo], ISO/IEC 27001: 2022 (A 8.3) [novo] e outros exigem esse requisito para garantir a integridade e a confidencialidade dos dados.
02
O controle de acesso é essencial para agilizar o provisionamento de acesso. O fluxo de trabalho de solicitação e liberação do PAM360 ajuda os administradores a conceder acesso com base na necessidade a usuários comerciais autorizados para tarefas válidas. Isso limita o acesso a sistemas e dados de missão crítica, cumprindo assim os requisitos específicos de controle de acesso de normas e regulamentos, como HIPAA (164.312(a)(1)), ISO/IEC 27001: 2013 (A.9.2) [antigo], ISO/IEC 27001: 2022 (A 8.2) [novo], GLBA (Seção 501 b) e PCI-DSS (Requisito 7).
03
Políticas rigorosas de senha impõem a higiene das senhas em toda a organização. Você pode configurar políticas de senha que se adequem às políticas de segurança da sua organização, programações de redefinição de senha usando o PAM360 para manter a conformidade com padrões como PCI DSS (Requisito 8) e ISO/IEC 27001: 2013 (A.9.3), que exigem medidas de segurança de senhas fortes em toda a organização.
04
O monitoramento de sessões é fundamental para a detecção de atividades suspeitas em tempo real. Com os amplos recursos de gerenciamento de sessões privilegiadas do PAM360, os administradores podem ficar atentos a atividades anômalas no momento em que elas ocorrem, encerrar sessões remotamente, registrar todas as ações executadas nos terminais e muito mais.
Dessa forma, as empresas permanecem em conformidade com normas como HIPAA 164.308(a)(5)(ii)(C), SOX (Seção 802 e Seção 404), NIST SP 800-53 (AC-20(3)) e Requisito 10.3 do PCI-DSS, que exigem metodologias adequadas de monitoramento e registro de sessões.
05
As empresas gerenciam um grande número de certificados SSL/TLS em seu ambiente de TI. Se esses certificados não forem gerenciados adequadamente ou renovados dentro do prazo, podem causar interrupções nos negócios e ameaças cibernéticas. O PAM360 oferece recursos completos de gerenciamento do ciclo de vida dos certificados para ajudar os usuários a descobrir todos os seus certificados, criar, renovar e implementar novos certificados, gerar alertas personalizados para a expiração de certificados e muito mais. Com isso, as empresas podem garantir que seus sistemas essenciais estejam sempre criptografados e seguros, ajudando-as a manter a conformidade com padrões como HIPAA (164.312(e)(1)), GDPR (Artigo 32 (1 a)), ISO/IEC 27001: 2013 (10.1.1), ISO/IEC 27001: 2022 (A 8.24) [novo] e FedRAMP (AC-16 e AC-17).
06
A auditoria é uma parte crucial do gerenciamento de acesso privilegiado. As auditorias em tempo real do PAM360 monitoram e capturam continuamente todas as atividades confidenciais realizadas pelos usuários. As empresas podem criar uma nova conta para os auditores e adicioná-los ao PAM360 como auditores de senhas.
Esses usuários recebem acesso contínuo a todas as auditorias e relatórios de acesso privilegiado. A auditoria em tempo real ajuda as empresas a manter a conformidade com SOC 2 (CC6.2:03), ISO 27001:2013 (A.12.4.3), PCI-DSS (Requisito 10.2) e outras regulamentações.
07
Os relatórios prontos do PAM360 apresentam uma visão geral de todas as ações críticas de gerenciamento privilegiado realizadas pelos usuários. Como parte dessa oferta, os administradores podem gerar relatórios dedicados para padrões de conformidade como PCI-DSS, ISO-IEC 27001, NERC-CIP e GDPR com apenas alguns cliques. Você pode encontrar violações, se houver, e resolvê-las instantaneamente.
Além dos recursos listados acima, o PAM360 também oferece descoberta de recursos e contas de ponta a ponta, gerenciamento de segredos, elevação de privilégios por autoatendimento, gerenciamento de credenciais de aplicativos, análise de comportamento de usuários privilegiados e muito mais, o que ajuda a atender a várias necessidades de conformidade e a melhorar a postura geral de segurança da sua organização.
POs recursos do PAM360 ajudam você a adotar uma abordagem que prioriza a conformidade com várias normas de conformidade locais. Os padrões a seguir exigem que as empresas adotem vários recursos de gerenciamento de acesso privilegiado para atingir a conformidade.
Padrões e requisitos regulatórios | Subseções ou requisitos cumpridos | Papel das soluções de gerenciamento de acesso privilegiado |
---|---|---|
Cyber Essentials - Reino Unido | Controles de acesso do usuário - Um dos cinco requisitos do Cyber Essentials. Exige políticas rigorosas de controle de acesso para regular o acesso a "servidores de e-mail, web e aplicativos; computadores de mesa; laptops; tablets; telefones celulares com foco no gerenciamento de contas altamente privilegiadas, como contas administrativas". | Com a ajuda do PAM360, as empresas podem configurar fluxos de trabalho de solicitação e liberação e controles de acesso baseados em funções para regular o acesso a endpoints de missão crítica. |
Lei de Proteção de Dados Pessoais (PDPA) - Cingapura | Section 24: Proteção de dados pessoais. Uma organização deve proteger os dados pessoais em sua posse ou sob seu controle, adotando medidas de segurança razoáveis para evitar | O PAM360 pode aumentar a segurança dos sistemas internos, gerenciando e regulando com segurança o acesso a esses sistemas, minimizando assim o acesso não autorizado a dados pessoais. |
A Lei Geral de Proteção de Dados (LGPD) - Brasil | Os agentes de processamento deverão adotar medidas de segurança, técnicas e administrativas para proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilegais de destruição, perda, alteração, comunicação ou qualquer tipo de processamento impróprio ou ilegal. | Com recursos avançados, como controle de acesso baseado em funções, controle de acesso baseado em políticas, controle de comandos e elevação just-in-time, o PAM360 oferece o conjunto certo de recursos para impedir o acesso não autorizado a informações confidenciais. |
Proteção de informações pessoais (APPI) - Japão | Artigo 20: O operador comercial que lidar com informações pessoais deverá tomar as medidas necessárias e adequadas para a prevenção de vazamento, perda ou dano e para outros controles de segurança dos dados pessoais. Artigo 22: Quando um operador de negócios que lida com informações pessoais confiar a um indivíduo ou a um operador de negócios o tratamento de dados pessoais, no todo ou em parte, ele deverá exercer a supervisão necessária e adequada sobre o administrador para garantir o controle de segurança dos dados pessoais confiados. | Ao aplicar o privilégio mínimo com controle de acesso baseado em funções e elevação de privilégios just-in-time, e com os recursos de auditoria, monitoramento e gerenciamento de sessões privilegiadas do PAM360, as empresas podem impedir o acesso não autorizado a dados pessoais e auditar todas as sessões iniciadas. |
Essential 8 - Austrália | Controle de aplicativos, restrição de acesso de administradores todos os três níveis de maturidade) - Parte do Essential 8 exige o seguinte: Permitir acesso apenas aos aplicativos necessários nos sistemas e limitar o acesso a dados confidenciais dos sistemas. | Com o controle de comando, o acesso remoto a aplicativos e os fluxos de trabalho de solicitação e liberação do PAM360, as empresas podem restringir o acesso a contas administrativas e conceder acesso restrito, baseado na necessidade, somente a aplicativos para dispositivos críticos. Além disso, as empresas também podem exigir autenticação multifator (MFA) ao acessar o PAM360 para proteger ainda mais suas contas comerciais confidenciais. |
Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA) - Canadá | (Princípio 4.7.1): Safeguards de segurança devem proteger as informações pessoais contra perda ou roubo, bem como contra acesso, divulgação, cópia, uso ou modificação não autorizados. As organizações devem proteger as informações pessoais independentemente do formato em que são mantidas. | Os rigorosos recursos de controle de acesso, controle de comandos e acesso remoto a aplicativos do PAM360 ajudam a proteger os dados pessoais contra acesso não autorizado, impedindo que usuários privilegiados executem comandos não autorizados e restringindo seu acesso geral. |
Lei de Proteção de Informações Pessoais (POPIA) - África do Sul | Seção 17: Uma parte responsável deve manter a documentação de todas as operações de processamento sob sua responsabilidade, conforme mencionado na seção 14 ou 51 da Lei de Promoção do Acesso à Informação. Seção 19: Medidas de segurança sobre integridade e confidencialidade de informações pessoais. A Seção 19 exige que as partes responsáveis garantam a integridade e a confidencialidade das informações pessoais por meio da implementação de medidas técnicas e organizacionais razoáveis. As partes responsáveis devem evitar perdas, danos ou destruição não autorizada de informações pessoais, bem como acesso ou processamento ilegal. Isso envolve a identificação de riscos, o estabelecimento de salvaguardas, a verificação regular de sua eficácia e sua atualização à medida que surgem novos riscos. As partes responsáveis devem considerar as práticas e os procedimentos de segurança aceitos e aplicáveis ao seu setor ou profissão. | A segurança e a integridade dos dados pessoais podem ser mantidas com a implementação do controle de acesso baseado em funções, fluxos de trabalho de solicitação e liberação e recursos de provisionamento de acesso just-in-time oferecidos pelo PAM360. Além disso, o PAM360 também pode monitorar e registrar todas as atividades realizadas por usuários privilegiados, juntamente com auditorias em tempo real que documentam todas as ações críticas realizadas por usuários e administradores. |
Com o PAM360, você pode manter a conformidade com várias regulamentações locais e internacionais.