Em conformidade com
A POPIA é um mandato regulamentar destinado a salvaguardar as informações pessoalmente identificáveis dos cidadãos sul-africanos. Prevê condições para a coleta e processamento legal de dados pessoais dos cidadãos por todas as organizações públicas e privadas que residam dentro e fora da República da África do Sul.
Manual da ManageEngine para ajudar na conformidade com a POPIA
Obtenha sua cópiaConferência de conformidade com a POPIA: Abordando os Requisitos de Segurança da Lei POPI
Veja agoraA conformidade com a POPIA requer a proteção das PII de funcionários, fornecedores, fornecedores e parceiros, além dos dados do cliente. Na POPIA, as informações pessoais incluem (mas não se limitam a) aspectos tão diversos como:
A conformidade com tais regulamentos melhorará a reputação da sua organização entre o público.
A adesão a essas diretrizes rigorosas ganhará a confiança dos clientes. Eles saberão que podem confiar em sua empresa em detrimento de outras que não estão em conformidade.
As medidas de segurança tomadas para a conformidade com a POPIA serão um trampolim para proteger a sua organização contra violações de dados.
O não cumprimento da POPIA pode custar a você e à sua empresa até 10 anos de encarceramento, uma multa de até 10 milhões de rands, ou ambos.
A POPIA pode ser categorizada amplamente em oito condições, e aderir a todas elas é um processo de várias etapas. Saber o que estas condições significam para a sua organização é fundamental para obter a conformidade.
Os requisitos da POPIA são vastos e podem parecer complexos e frustrantes. A adesão a essas condições requer a combinação de políticas organizacionais rígidas e medidas técnicas. Mas ao adotar os processos e produtos de TI corretos, a conformidade com a POPIA pode ser muito mais fácil. A ManageEngine tem um conjunto abrangente de soluções de gerenciamento de TI para ajudar a sua organização a cumprir os requisitos de segurança de dados, documentação e auditoria da POPIA. Cumpra às seguintes condições da POPIA com a ajuda das soluções ManageEngine.
Nomear um responsável pela informação ou um agente de informação adjunto, que será o único responsável por assegurar a conformidade durante a coleta e o processamento dos dados.
As ferramentas de gerenciamento de identidade e acesso ajudarão a estabelecer controles de acesso baseados em funções para que somente o pessoal autorizado possa lidar com dados confidenciais.
Access Manager Plus: Crie funções personalizadas com permissões de função predefinidas para garantir que os usuários tenham apenas o acesso necessário para executar suas tarefas.
M365 Manager Plus: Ajude a estabelecer o controle de acesso baseado em função para a administração do Microsoft 365.
Desktop Central: Conceda permissões de sua escolha com base em várias funções predefinidas e/ou personalizadas usando sua abordagem RLAC (Controle de Acesso Baseado em Função).
AD360: Selecione qualquer combinação de tarefas de gerenciamento, auditoria, relatório e alerta relativas ao AD e Microsoft 365 e delegue-as criando funções personalizadas de help desk.
Coletar e armazenar apenas os dados necessários para um fim específico e processá-los apenas com o consentimento do titular dos dados.
Localize e exclua dados indesejados, incluindo arquivos obsoletos e duplicados usando ferramentas de descoberta de dados.
DataSecurity Plus: Localize as IPI com o respectivo scanner de IPI. Ele suporta verificações para dados confidenciais de mais de 50 tipos de arquivo, incluindo texto e e-mail.
Certifique-se de que as informações coletadas se destinam a uma finalidade específica, bem definida e legítima. Após o processamento, os dados devem ser eliminados de forma irrecuperável.
As ferramentas de descoberta de dados ajudam a localizar conteúdo confidencial, como IPI/ePHI, e a manter um inventário dos dados pessoais armazenados. Isso impede que qualquer um dos pontos de armazenamento de dados seja perdido no processo de exclusão.
DataSecurity Plus: Encontre todas as formas de IPI associadas a um titular de dados em servidores de arquivos Windows usando regex ou correspondência de palavras-chave.
O processamento posterior deve ser compatível com a finalidade originalmente estabelecida e requer consentimento adicional do titular dos dados, exceto no que se refere aos requisitos legais ou nacionais de segurança.
As soluções de gerenciamento de eventos e informações de segurança (SIEM) ajudarão a detectar e a auditar atividades anômalas relacionadas a dados confidenciais armazenados, como vazamento ou compartilhamento não autorizado de dados, modificações ou exclusão para garantir que os dados não sejam utilizados de forma incorreta por fontes internas ou externas.
DataSecurity Plus: Monitore e analise o uso de todos os dispositivos removíveis e bloqueie dados confidenciais sendo copiados para dispositivos USB com o rastreamento USB do DataSecurity Plus.
Log360: Detecte comportamentos suspeitos do usuário com os algoritmos de machine learning não supervisionados e análise estatística do mecanismo UEBA do Log360.
As informações coletadas e armazenadas devem ser completas, precisas e não enganosas. Também devem ser atualizadas apenas quando necessário.
Um mecanismo de alerta em tempo real para notificar sobre acesso, modificação ou exclusão não autorizados de arquivos com dados confidenciais.
Log360: Gere alertas de e-mail/SMS em tempo real quando arquivos contendo dados confidenciais forem acessados, copiados ou modificados. Os relatórios predefinidos do Log360 ajudam a rastrear as atividades ao usuário que as realizou.
Access Manager Plus: Crie logs ricos em contexto de sessões de usuários e envie instantaneamente intercepções SNMP e mensagens syslog para as ferramentas SIEM para dar suporte a auditorias de conformidade.
Conscientizar o titular dos dados sobre todos os detalhes relativos à coleta e processamento dos dados. A documentação rigorosa de todas as operações de processamento deve ser mantida como prova.
Gere logs de auditoria baseados em contexto, gravações de sessão de usuários que manipulam dados pessoais e modelos de relatório predefinidos para ajudar na documentação das atividades de processamento usando uma solução de gerenciamento de sessão privilegiada.
PAM360: Capture todas as atividades em contas privilegiadas com logs ricos em contexto, relatórios internos e gravações de sessão de usuário.
Log360: Ative a coleta de log sem agente e baseada em agente e aproveite os relatórios de conformidade predefinidos compreensíveis.
Tome medidas técnicas e organizacionais para garantir a integridade, confidencialidade e segurança das informações coletadas.
As soluções de TI podem ajudar as organizações a atender aos requisitos de segurança da condição 7:
(i) Detectar vulnerabilidades e ataques externos desconhecidos usando regras de correlação personalizadas em ferramentas de gerenciamento de log.
Log360: Detecte possíveis ameaças externas, como tentativas de injeção de SQL, atividades de ransomware, solicitações de URL mal-intencionadas, instalação de malware e muito mais, usando as regras predefinidas no mecanismo de correlação em tempo real do Log360.
(ii) Aprenda com os erros cometidos no passado realizando a análise da causa raiz em violações usando o log forense.
Log360: Faça a análise da causa raiz sobre violações de dados e veja detalhes sobre sua origem, tempo e impactos usando o mecanismo de pesquisa de log intuitivo do Log360.
(iii) As ferramentas de gerenciamento de patches podem automatizar atualizações e correções de servidores, sistemas operacionais, ativos corporativos e aplicações.
Patch Manager Plus: Verifique endpoints para detectar patches ausentes e automatize a implantação de patches testados no SO e em aplicações de terceiros.
(iv) As soluções de segurança do navegador podem gerenciar e proteger navegadores em redes.
Browser Security Plus: Execute verificações periódicas de todos os navegadores acessados de vários dispositivos armazenando dados corporativos para detectar quaisquer ameaças.
(v) As soluções de auditoria podem auditar e monitorar recursos críticos para garantir a integridade dos dados e a proteção dos ativos corporativos.
DataSecurity Plus: Rastreie acessos a arquivos confidenciais usando logs de auditoria de acesso central e mantenha trilhas de auditoria para ajudar a cumprir os regulamentos de TI.
PAM360: Obtenha gravações de vídeo, relatórios personalizados e logs de auditoria prontamente disponíveis na atividade de usuário privilegiado.
ADAudit Plus: Ative a auditoria em tempo real do Windows Active Directory, auditoria de logon/logoff, auditoria do servidor de arquivos e auditoria do Windows Server.
(vi) As ferramentas de prevenção de violações podem ajudar a detectar fontes vulneráveis, limitar o acesso a arquivos confidenciais e criptografar dados em trânsito para evitar violações de segurança.
Vulnerability Manager Plus: Descubra lacunas de segurança em endpoints locais e remotos e use análises baseadas em atacantes para identificar áreas mais propensas a ataques.
Password Manager Pro: Organize e armazene identidades privilegiadas usando um vault central. Isso ajuda a compartilhar senhas com os membros da equipe de forma segura, conforme necessário.
Key Manager Plus: Obtenha visibilidade total das chaves SSH e dos ambientes SSL para evitar violações de dados ou problemas de conformidade.
(vii) As ferramentas de descoberta e segurança de dados podem fornecer informações como classificações de risco de arquivos que contenham IPI, fontes vulneráveis etc. necessárias para realizar uma avaliação do impacto da proteção de dados para identificar e avaliar os riscos de um projeto.
DataSecurity Plus: Localize arquivos com dados confidenciais e analise sua vulnerabilidade calculando sua pontuação de risco com base nas permissões, no volume, no tipo de regras violadas, nos detalhes da auditoria e muito mais.
Dispor de um sistema para satisfazer os pedidos de pessoas para a modificação ou exclusão de informações devido a dados desatualizados, incompletos, imprecisos ou obtidos ilegalmente.
As ferramentas de descoberta de dados podem ajudar a localizar arquivos com as informações confidenciais dos titulares de dados para corrigi-los, atualizá-los ou excluí-los.
DataSecurity Plus: Crie regras e políticas personalizadas de descoberta de dados para localizar dados confidenciais armazenados em seus servidores de arquivos. Você também pode gerar relatórios que incluem o tipo, o local e a quantidade de dados confidenciais armazenados em cada arquivo.
Faça o download deste guia para obter uma análise aprofundada dos mandatos da POPIA e das diversas ferramentas essenciais para preparar sua organização para alcançar a conformidade com a POPIA.
Preencha este formulário para fazer o download do guiaIn partnership with
ZA: 012 665 5551
E: contact@itrtech.co.za
A conformidade total com a lei POPI requer uma variedade de soluções, processos, pessoas e tecnologias. As soluções mencionadas acima são algumas das maneiras pelas quais as ferramentas de gerenciamento de TI podem ajudar no cumprimento de alguns dos requisitos da POPIA. Juntamente com outras soluções, processos e pessoas apropriados, as soluções da ManageEngine ajudam a alcançar e a manter a conformidade com a POPIA. Este material é fornecido apenas para fins informativos e não deve ser considerado como uma consultoria jurídica para conformidade com a POPIA. A ManageEngine não oferece garantias, expressas, implícitas ou legais quanto às informações contidas neste material.