Se conformer à la

Loi POPI en Afrique du Sud

Qu'est-ce que la Loi sur la protection des renseignements personnels (POPIA)?

Le POPIA est un mandat réglementaire visant à protéger les informations personnellement identifiables (PII) des citoyens sud-africains. Il prévoit des conditions pour la collecte et le traitement licites des données personnelles des citoyens par toutes les organisations publiques et privées résidant à la fois en République d'Afrique du Sud et en dehors.

Que sont les informations personnelles selon POPIA?

La conformité POPIA nécessite la protection des informations personnelles des employés, des vendeurs, des fournisseurs et des partenaires en plus des données clients. Dans POPIA, les informations personnelles comprennent (mais sans s'y limiter) des aspects aussi divers que:

  • Croyances religieuses ou philosophiques Croyances religieuses ou philosophiques
  • Race, sexe, origine ethniqueRace, sexe, origine ethnique
  • Appartenance syndicale ou persuasion politiqueAppartenance syndicale ou
    persuasion politique
  •  Casier judiciaire, financier, éducatif ou criminel Casier judiciaire, financier, éducatif ou
    criminel
  •  Informations biométriques Informations biométriques
  •  Correspondance confidentielle <br />(contenu de l'e-mail) Correspondance confidentielle
    (contenu de l'e-mail)
  • Identifiant en ligne Identifiant en ligne
  • Information des enfants Information des enfants

Pourquoi mon organisation devrait-elle se
conformer à POPIA?

Augmentation de l’écart
d’acquisition

Le respect de ces réglementations améliorera la réputation de votre organisation auprès du public.

Avantage
compétitif

Le respect de ces directives strictes gagnera la confiance des clients. Ils sauront qu'ils peuvent faire confiance à votre entreprise par rapport aux autres qui ne se conforment pas.

La cyber-sécurité

Les mesures de sécurité prises pour la conformité POPIA constitueront un tremplin pour protéger votre organisation contre les violations de données.

Évitez les pénalités
indésirables

Le non-respect de POPIA peut vous coûter, à vous et à votre entreprise, une peine d'emprisonnement pouvant aller jusqu'à 10 ans, une amende pouvant aller jusqu'à 10 millions de rands, ou les deux.

Conditions POPIA

POPIA peut être globalement catégorisé en huit conditions, et y adhérer toutes est un processus en plusieurs étapes. Savoir ce que ces conditions signifient pour votre organisation est essentiel pour atteindre la conformité.

Comment se conformer aux conditions POPIA

Les exigences POPIA sont vastes et peuvent sembler complexes et déroutantes. Le respect de ces conditions nécessite la mise en place d'une combinaison de politiques organisationnelles strictes et de mesures techniques. Mais en adoptant les bons processus et produits informatiques, la conformité POPIA peut être grandement facilitée. ManageEngine dispose d'une suite complète de solutions de gestion informatique pour aider votre organisation à se conformer aux exigences de sécurité des données, de documentation et d'audit de POPIA. Répondez aux conditions POPIA suivantes à l'aide des solutions ManageEngine.

AccountabilityCondition 1: Responsabilité
Ce que cela signifie pour votre organisation

Nommer un responsable de l'information ou un responsable de l'information adjoint qui aura la seule responsabilité de garantir la conformité lors de la collecte et du traitement des données.

Comment cela peut-il aider?

Les outils de gestion des identités et des accès aideront à établir des contrôles d'accès basés sur les rôles afin que seul le personnel autorisé soit en mesure de traiter les données sensibles.

Comment ManageEngine peut-il aider?

Access Manager Plus : Créez des rôles personnalisés avec des autorisations de rôle prédéfinies pour vous assurer que les utilisateurs n'ont que l'accès requis pour effectuer leurs tâches.

M365 Manager Plus : Aide à établir un contrôle d'accès basé sur les rôles pour l'administration de Microsoft 365.

Endpoint Central : Accordez les autorisations de votre choix en fonction de plusieurs rôles prédéfinis et/ou personnalisés à l'aide de son approche de contrôle d'accès basé sur les rôles (RBAC).

AD360 : Sélectionnez n'importe quelle combinaison de tâches de gestion, d'audit, de reporting et d'alerte concernant AD et Microsoft 365, et déléguez-les en créant des rôles d'assistance personnalisés.

Limitation du traitement Condition 2: Limitation du traitement
Ce que cela signifie pour votre organisation

Ne collectez et ne stockez que les données nécessaires à une finalité spécifique et ne les traitez qu'avec le consentement de la personne concernée.

Comment cela peut-il aider?

Localisez et supprimez les données indésirables, y compris les fichiers obsolètes et en double, à l'aide d'outils de découverte de données.

Comment ManageEngine peut-il aider?

DataSecurity Plus: Localisez les PII avec son scanner PII. Il prend en charge l'analyse des données sensibles de plus de 50 types de fichiers, y compris le texte et l’email.

Spécification de l'objectif Condition 3: Spécification de l'objectif
Ce que cela signifie pour votre organisation

Assurez-vous que les informations collectées sont destinées à un objectif spécifique, bien défini et légitime. Après le traitement, les données doivent être éliminées de manière irréversible.

Comment cela peut-il aider?

Les outils de découverte de données aident à localiser le contenu sensible tel que PII/ePHI et à maintenir un inventaire des données personnelles stockées. Cela évite que l'un des points de stockage des données ne soit oublié dans le processus de suppression.

Comment ManageEngine peut-il aider?

DataSecurity Plus: Recherchez toutes les formes de PII associées à une personne concernée sur les serveurs de fichiers Windows à l'aide de l'expression régulière ou de la correspondance de mots clés.

Further processing limitation Condition 4: Limitation du traitement
supplémentaire
Ce que cela signifie pour votre organisation

Le traitement ultérieur doit être compatible avec l'objectif initialement déclaré et nécessite un consentement supplémentaire de la personne concernée, sauf pour des exigences légales ou de sécurité nationale.

Comment cela peut-il aider?

Les solutions de gestion des informations de sécurité et des événements (SIEM) aideront à détecter et à auditer les activités anormales relatives aux données sensibles stockées telles que la fuite de données ou le partage non autorisé, les modifications ou la suppression pour garantir que les données ne sont pas utilisées à mauvais escient par des sources internes ou externes.

Comment ManageEngine peut-il aider?

DataSecurity Plus: Surveillez et analysez l'utilisation de tous les périphériques amovibles et bloquez les données sensibles copiées sur des périphériques USB avec le suivi USB de DataSecurity Plus.

Log360: Détectez les comportements suspects des utilisateurs avec les algorithmes d'apprentissage automatique non supervisés du moteur UEBA de Log360 et l'analyse statistique.

Qualité de l'information Condition 5: Qualité de l'information
Ce que cela signifie pour votre organisation

Les informations collectées et stockées doivent être complètes, exactes et non trompeuses. Il ne doit également être mis à jour que lorsque cela est nécessaire.

Comment cela peut-il aider?

Un mécanisme d'alerte en temps réel pour notifier l'accès non autorisé, la modification ou la suppression de fichiers contenant des données confidentielles.

Comment ManageEngine peut-il aider?

Log360: Générez des alertes e-mail/SMS en temps réel lorsque des fichiers contenant des données confidentielles sont consultés, copiés ou modifiés. Les rapports prédéfinis de Log360 aident à retracer les activités jusqu'à l'utilisateur qui les a effectuées.

Access Manager Plus: Créez des journaux contextuels des sessions utilisateur et envoyez instantanément des interruptions SNMP et des messages syslog aux outils SIEM pour prendre en charge les audits de conformité.

FranchiseCondition 6: Franchise
Ce que cela signifie pour votre organisation

Informer la personne concernée de tous les détails concernant la collecte et le traitement des données. Une documentation stricte de toutes les opérations de traitement doit être conservée comme preuve.

Comment cela peut-il aider?

Générez des journaux d'audit contextuels, des enregistrements de session des utilisateurs traitant des données personnelles et des modèles de rapport prédéfinis pour faciliter la documentation des activités de traitement à l'aide d'une solution de gestion de session privilégiée.

Comment ManageEngine peut-il aider?

PAM360: Capturez toutes les activités autour de comptes privilégiés avec des journaux contextuels, des rapports intégrés et des enregistrements de session utilisateur.

Log360: Activez la collecte de journaux sans agent et basée sur un agent et exploitez des rapports de conformité prédéfinis compréhensibles.

Mesures de sécuritéCondition 7: Mesures de sécurité
Ce que cela signifie pour votre organisation

Prendre des mesures techniques et organisationnelles pour garantir l'intégrité, la confidentialité et la sécurité des informations collectées.

Comment cela peut-il aider?

Les solutions informatiques peuvent aider les organisations à répondre aux exigences de sécurité de la condition 7:

(i) Détecter les vulnérabilités et les attaques externes inconnues à l'aide de règles de corrélation personnalisées dans les outils de gestion des journaux.

Comment ManageEngine peut-il aider?

Log360: Détectez les menaces externes potentielles telles que les tentatives d'injection SQL, les activités de ransomware, les requêtes d'URL malveillantes, l'installation de logiciels malveillants, etc. à l'aide des règles prédéfinies du moteur de corrélation en temps réel de Log360.

(ii) Tirez les leçons des erreurs commises dans le passé en effectuant une analyse des causes premières des violations à l'aide de l'analyse des journaux.

Comment ManageEngine peut-il aider?

Log360: Effectuez une analyse des causes premières des violations de données et affichez des détails sur leur source, leur heure et leur impact à l'aide du moteur de recherche de journaux intuitif de Log360.

(iii) Les outils de gestion des correctifs peuvent automatiser les mises à jour et les correctifs des serveurs, des systèmes d'exploitation, des actifs de l'entreprise et des applications.

Comment ManageEngine peut-il aider?

Patch Manager Plus: Analysez les terminaux pour détecter les correctifs manquants et automatisez le déploiement des correctifs testés sur le système d'exploitation et les applications tierces.

(iv) Les solutions de sécurité des navigateurs peuvent gérer et sécuriser les navigateurs sur les réseaux.

Comment ManageEngine peut-il aider?

Browser Security Plus: Effectuez des analyses périodiques de tous les navigateurs accessibles à partir de plusieurs appareils stockant des données d'entreprise pour détecter les menaces.

(v) Les solutions d'audit peuvent auditer et surveiller les ressources critiques pour garantir l'intégrité des données et la protection des actifs de l'entreprise.

Comment ManageEngine peut-il aider?

DataSecurity Plus: Suivez les accès aux fichiers confidentiels à l'aide des journaux d'audit d'accès centralisés et maintenez des pistes d'audit pour vous aider à vous conformer aux réglementations informatiques.

PAM360: Obtenez des enregistrements vidéo facilement disponibles, des rapports personnalisés et des journaux d'audit sur l'activité des utilisateurs privilégiés.

ADAudit Plus: Activez l'audit Windows Active Directory en temps réel, l'audit de connexion/déconnexion, l'audit du serveur de fichiers et l'audit Windows Server.

(vi) Les outils de prévention des violations peuvent aider à détecter les sources vulnérables, limiter l'accès aux fichiers confidentiels et crypter les données en transit pour éviter les failles de sécurité.

Comment ManageEngine peut-il aider?

Vulnerability Manager Plus: Découvrez les failles de sécurité dans les terminaux locaux et distants et utilisez des analyses basées sur les attaquants pour identifier les zones les plus sujettes aux attaques.

Password Manager Pro: Organisez et stockez les identités privilégiées à l'aide d'un coffre-fort central. Il permet de partager en toute sécurité les mots de passe avec les membres de l'équipe selon les besoins.

Key Manager Plus: Bénéficiez d'une visibilité complète sur les clés SSH et les environnements SSL pour éviter les violations de données ou les problèmes de conformité.

(vii) Les outils de découverte et de sécurité des données peuvent fournir des informations telles que les scores de risque des fichiers contenant des informations personnelles, des sources vulnérables, etc. nécessaires pour effectuer une évaluation de l'impact de la protection des données afin d'identifier et d'évaluer les risques d'un projet.

Comment ManageEngine peut-il aider?

DataSecurity Plus: Localisez les fichiers contenant des données sensibles et analysez leur vulnérabilité en calculant leur score de risque en fonction des autorisations, du volume, du type de règles violées, des détails de l'audit, etc.

Participation de la personne concernée Condition 8: Participation de la personne concernée
Ce que cela signifie pour votre organisation

Avoir un système en place pour répondre aux demandes des personnes concernées pour la modification ou la suppression d'informations en raison de données obsolètes, incomplètes, inexactes ou obtenues illégalement.

Comment cela peut-il aider?

Les outils de découverte de données peuvent aider à localiser les fichiers contenant les informations sensibles des personnes concernées pour les corriger, les mettre à jour ou les supprimer davantage.

Comment ManageEngine peut-il aider?

DataSecurity Plus: Créez des règles et des politiques de découverte de données personnalisées pour localiser les données sensibles stockées dans vos serveurs de fichiers. Vous pouvez également générer des rapports qui incluent le type, l'emplacement et la quantité de données sensibles stockées dans chaque fichier.

ManageEngine pour la conformité POPIA

Téléchargez ce guide pour avoir un aperçu détaillé des mandats POPIA et des différents outils
essentiels pour préparer votre organisation à atteindre la conformité POPIA.

Remplissez le formulaire pour télécharger le guide
Nom*Entrez votre nom
Email professionnel*Entrez votre adresse e-mail.
Numéro de téléphone
Organisation
Pays*

En cliquant sur «Obtenez votre copie», vous acceptez le traitement des données personnelles conformément à la politique de confidentialité .

Work with ManageEngine’s regional partner to find the right IT solution for your POPIA compliance needs.

manageengine

In partnership with

ITR
contect

ZA: 012 665 5551

E: contact@itrtech.co.za

Avertissement

Le respect total de la loi POPI nécessite une variété de solutions, de processus, de personnes et de technologies. Les solutions mentionnées ci-dessus sont quelques-unes des façons dont les outils de gestion informatique peuvent répondre à certaines des exigences de POPIA. Associées à d'autres solutions, processus et personnes appropriés, les solutions de ManageEngine aident à atteindre et à maintenir la conformité POPIA. Ce matériel est fourni à titre informatif uniquement et ne doit pas être considéré comme un avis juridique pour la conformité POPIA. ManageEngine ne donne aucune garantie, expresse, implicite ou statutaire, quant aux informations contenues dans ce document.

Xsuccess
Téléchargez le guideRenseignez-vous maintenant