Skip to main content

Como a Gestão de Identidade pode ajudar a manter as empresas em conformidade com o GDPR?

By 4 de maio de 2018março 2nd, 2023Gestão de Identidade, Segurança da Informação

 

Artigo Como a Gestão de Identidade pode ajudar a manter as empresas em conformidade com o GDPR?

A Gestão de identidade ajuda as organizações a atender aos requisitos de GDPR (Regulamento Geral de Proteção de Dados ou em inglês General Data Protection Regulation) de maneira sustentável e econômica, fornecendo visibilidade centralizada e controle sobre “quem tem acesso a quê”. Ele oferece um mapeamento de quais usuários, em quais funções, podem acessar aplicativos e dados (dados estruturados e não estruturados).

Os principais elementos da Gestão de identidades – governança de acesso a dados, controles de conformidade, provisionamento automatizado, gestão de logs e gerenciamento de senhas – desempenham papéis importantes na identificação de dados pessoais, protegendo esses dados e demonstrando a conformidade com o Regulamento Geral de Proteção de Dados – em toda a organização.

  • Governança de acesso a dados: automatiza o monitoramento de atividades para melhorar a mitigação de riscos e entender o uso apropriado. Garante que direitos não autorizados, como as contas órfâs, proliferem nos sistemas, gerando risco e não formidades.
  • Controles de conformidade: permite que as organizações definam e apliquem políticas de acesso, conduzam revisões regulares de acesso pelos proprietários de dados e revoguem automaticamente o acesso inadequado. Fornece relatórios centralizados de todos os controles preventivos e de detecção.
  • Provisionamento automatizado: garante que o acesso a dados pessoais seja concedido apenas com base na necessidade de acesso devidamente aprovada. Adicionalmente fornece o fluxo de trabalho para as necessárias alterações e revogações.
  • Gestão de Logs: coleta e mantém em local seguro, os registros das atividades, na forma de logs de auditoria dos principais sistemas. Relatório de atividades elaborado com base nos logs armazenados garante a rastreabilidade das atividades de aceso aos dados.
  • Gerenciamento de senhas: aplica políticas de senhas fortes em todos os sistemas que contêm dados pessoais. Aumenta a segurança e facilidade de uso, via um portal de troca de senha.
Saiba como o GPDR impacta os profissionais de Segurança da Informação

As áreas específicas em que a Gestão de identidade pode ajudar as organizações a se preparar e atender aos requisitos de GDPR são mostradas abaixo:

Princípios de Proteção de Dados Pessoais

O principal objetivo do GDPR é a privacidade: a proteção de dados pessoais. Isso significa que o foco agora está em como as organizações processam, armazenam e protegem dados pessoais. Para atender aos requisitos do GDPR, as organizações devem demonstrar conformidade com os princípios de proteção de dados definidos no Artigo 5º.

 

Artigo 5º do GDPRPrincípios de Proteção de Dados O dado pessoal deve ser:
  • Processado de forma legal, justa e transparente.
  • Recolhidos para finalidades específicas, explícitas e legítimas e não processados ??posteriormente de maneira incompatível com esses propósitos.
  • O acesso deve ser adequado, relevante e limitado àqueles que são necessários em relação aos fins para os quais eles são processados.
  • Exato e, quando necessário, atualizado; Controles e processos devem existir para garantir que os dados pessoais que são imprecisos sejam apagados ou corrigidos.
  • Mantido de uma forma que permita a identificação dos titulares de dados, mas não mais do que o necessário para atender os fins para os quais os dados pessoais são processados.
  • Processado de uma maneira que garanta a segurança apropriada dos dados pessoais, incluindo proteção contra: processamento não autorizado ou ilegal, perda, destruição ou dano acidental.
  

Como a governança de identidades pode ajudar  Fornece visibilidade:
  • Quais dados pessoais estão sendo armazenados?
  • Onde e como é armazenado?
  • Quem é o responsável?
  • Quem pode acessar os dados?
  • Quem acessou?
  • Quando os direitos de acessos aos dados expiram? Controla e protege dados pessoais
  • Alerta para direitos de acessos aos dados pessoais que não foram utilizados ??em um período de tempo especificado.
  • Remove os direitos de acesso que expiraram.
  • Atribui proprietários ou responsáveis pelo acesso aos dados e realiza revisões regulares dos perfis de acesso.
  • Mantém os direitos de acesso aos dados pessoais no mínimo necessário, com perfis de acesso e segregação de funções.
  • Detecta e revoga direitos de acesso inadequados.

 

 

 

Protegendo Dados Pessoais

O GDPR exige que as organizações implementem medidas técnicas e organizacionais apropriadas para proteger os dados pessoais. Em particular, as organizações devem prever desde o inicio do projeto, medidas para garantir a conformidade da proteção de dados. Isso significa que, para cada produto ou serviço novo ou já existente, as organizações devem garantir que o produto ou serviço seja projetado tendo em mente a conformidade com a proteção de dados.

Artigos 25 e 32 do GDPR
Proteção de dados, por padrão, desde o início. 

O responsável pela guarda dos dados deve, tanto no momento da determinação dos meios de processamento como no processamento, implementar medidas técnicas e organizacionais adequadas, concebidas para aplicar os princípios de proteção de dados, de forma eficaz. Implantar e integrar as salvaguardas necessárias no processamento, a fim de satisfazer os requisitos do presente regulamento e proteger os direitos dos titulares dos dados.

Segurança de dados

O responsável pelo tratamento e o subcontratante devem implementar medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco, incluindo, conforme adequado:

  • A pseudonimização e criptografia de dados pessoais.
  • A capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento.
  • A capacidade de restaurar a disponibilidade e o acesso a dados pessoais em tempo hábil no caso de um incidente físico ou técnico.
  • Um processo para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento.

 

 

 
Como a governança de identidades pode ajudar
Fortalece os controles
  • Fornece visibilidade centralizada dos modelos de controle de acesso para todos os recursos que armazenam e processam dados pessoais.
  • Atribui de forma discrecionária os direitos de acesso aos recursos, sistemas ou pastas que contêm dados pessoais.
  • Permite a revisão totalmente automatizada dos direitos de acesso em todos os recursos que contêm dados pessoais.
  • Varre recursos automaticamente para descobrir e relatar qualquer violação da política de acesso, como por exemplo: direitos não autorizados.
Garante o acompanhamento contínuo
  • Usa o controle de acesso baseado regras de negócio, permitindo atribuir perfis de acordo com a função, para garantir que o acesso a dados pessoais seja concedido em uma base de necessidade de conhecimento (“privilégio mínimo”).
  • Detecta automaticamente alterações, como transferências ou encerramentos, e inicia o fluxo de trabalho apropriado para revisar, remover ou alterar privilégios de acesso.•          Requer aprovação do gerente ou do proprietário dos dados para as concessões ou alterações de acesso.
  • Registra as solicitações de acesso bem como as aprovações, fornecendo um registro completo e auditável de quem solicitou acesso a quais sistemas e quem aprovou ou negou a solicitação.
  • Fornece relatórios para permitir a autoavaliação e comprovação de conformidade com o GDPR

 

 

Monitoramento e Detecção

O GDPR exige que as organizações implementem medidas para relatar violações de dados às Autoridades de Processamento de Dados (DPAs) e, em alguns casos, aos sujeitos de dados. O regulamento concede às empresas 72 horas a partir do momento em que tomam conhecimento de uma violação para denunciá-lo. As organizações precisarão estar preparadas para divulgar imediatamente detalhes específicos sobre os indivíduos afetados, a duração da violação e quaisquer ações corretivas tomadas.

Artigos 33 e 34 do GDPR
Relatório de violações de dados para os DPAs
  • Controladores – No caso de uma violação de dados, o controlador deve informar a violação ao DPA, até 72 horas após tomar conhecimento do mesmo. O controlador deve manter registros de todas as violações de dados, incluindo os fatos e efeitos da violação e qualquer ação corretiva tomada.
  • Processadores – Os processadores devem notificar imediatamente ao controlador, qualquer violação das regras de acesso aos dados. Como reportar violações de dados a sujeitos de dados? No caso de uma violação que cause um risco para os titulares de dados, o responsável pelo tratamento deve notificar os titulares de dados afetados. No entanto, o controlador pode estar isento deste requisito se:
  • O risco de dano é remoto porque os dados afetados são protegidos (por exemplo, por criptografia forte);
  • O controlador tomou medidas para proteger contra os danos (por exemplo, suspendendo contas afetadas); ou a notificação exige um esforço desproporcional (caso em que o controlador deve emitir um aviso público da violação).

 

 

 
Como a governança de identidades, quando integrada com a gestão de logs de acesso pode ajudar?
Automatiza a Detecção 
  • Monitora quem está acessando dados pessoais, quando, de onde e que tipos de operações estão realizando.
  • Permite a definição personalizada de perfis de acesso e monitoração para identificar eventuais violações.
  • Notifica e alerta os proprietários e gerentes de dados sobre quaisquer violações ou anomalias detectadas.
  • Automatiza remediações quando violações são detectadas, por exemplo, a revogação de um acesso não autorizado.
  • Permite que os proprietários de dados executem verificações de status de risco em tempo real sobre os dados que eles gerenciam. Fornece Auditoria Completa e Forense
  • Fornece as trilhas de auditoria necessárias para conduzir a análise forense no caso de uma violação de dados.
  • Registra todas as alterações no acesso, fornecendo um registro completo e auditável de quem solicitou acesso a quais sistemas e quem aprovou ou negou a solicitação.
  • Fornece relatórios de auditoria com visualizações detalhadas de todas as atividades de acesso a dados, alterações de permissão e possíveis atividades não compatíveis.

 
Requisitos de documentação de conformidade

O GDPR exige que as organizações mantenham um Registro Interno para documentar todas as atividades de processamento de dados pessoais. Essas regras exigem que os controladores e processadores criem um registro centralizado que documente as atividades de processamento de dados e descrevam as medidas de segurança técnica e organizacional tomadas para proteger os dados pessoais.

As organizações também devem verificar a necessidade de executar uma Avaliação de Impacto de Privacidade (PIA), para identificar e marcar dados pessoais de “alto risco”. Este requisito acrescenta a necessidade de demonstrar que medidas apropriadas foram implementadas com relação à identificação dos riscos relacionados ao processamento, a avaliação da natureza, probabilidade e gravidade do risco, bem como a documentação das melhores práticas implementadas para mitigar riscos.

Artigos 30 e 35 do GDPR 

Registro de processamento para controladores

Cada controlador deve manter registros das atividades, incluindo:

  • As categorias de titulares de dados e dados pessoais processados.
  • As categorias de destinatários com quem os dados podem ser compartilhados.
  • Uma descrição das medidas de segurança implementadas em relação aos dados processados.

Avaliação de impacto de privacidade

Os controladores devem realizar avaliações de impacto na privacidade, onde um tipo de processamento pode resultar em um alto risco para os direitos e liberdades dos indivíduos. Um PIA deve incluir:

  • Uma descrição das operações de processamento e finalidades do processamento.
  • Uma avaliação dos riscos para os direitos e liberdades dos titulares dos dados
  • Medidas previstas para enfrentar os riscos. Se uma PIA indicar que o processamento resultaria em um alto nível de risco, na ausência de medidas tomadas pelo controlador para mitigar o risco, o controlador deve consultar a Autoridade Supervisora ??antes do processamento.

 

 Como a governança de identidades pode ajudar

Simplifica os requisitos de relatório

  • Registra e fornece rastreabilidade dos locais utilizados para armazenamento de dados, como servidores de arquivos, portais, caixas de correio e pastas na nuvem.
  • Fornece visibilidade completa dos perfis de controle de acesso para cada recurso que armazena ou processa dados pessoais.•          Sinaliza os perfis que concedem acesso a dados pessoais de alto risco.
  • Lista pessoas com perfis concedidos que permitem acesso a dados de alto risco.  Avalia e mitiga o risco
  • Automatiza a revisão periódica do acesso a dados pessoais por gerentes e proprietários de dados.
  • Fornece relatórios detalhados de cada ciclo de revisão de acesso, incluindo acesso inadequado detectado, revogações de acesso e violações de política detectadas e corrigidas.
  • Usa controle de acesso baseado em função para garantir que o acesso a dados pessoais seja concedido em uma base de necessidade de conhecimento (“privilégio mínimo”)
  • Aplica políticas de senhas fortes em todos os sistemas que contêm dados pessoais.
  • Varre recursos automaticamente para descobrir e relatar violações da política de acesso, como contas orfâs e direitos não revisados.
  • Fornece relatórios para permitir a autoavaliação e fornecer comprovação de conformidade com o GDPR.

 

Ao implementar uma solução de governança de identidade, a organização não está apenas em conformidade com o GDPR, mas também está se preparando para atenuar os riscos de uma violação de dados.

Ou seja, cada vez mais a segurança e a agilidade dos processos de negócio depende diretamente da gestão dos direitos de acesso aos sistemas da empresa. Listado desde 2011 no Gartner Magic Quadrant for Identity Governance and Administration e com a maior base instalada do Brasil, o HORACIUS é a solução de Gestão de Identidades e Governança mais completa do mercado.

Nossa Gestão de Identidade HORACIUS pode ser integrado com os principais sistemas de Recursos Humanos do mercado, sincronizando informações e executando tarefas vitais para o bom andamento dos negócios. Todo o histórico de direitos das pessoas aos sistemas é gerenciado, desde o primeiro acesso, no momento da admissão, até a revogação dos direitos no final do vínculo.

 

São Paulo, SP

R. Peixoto Gomide, 996 6° andar
CEP: 01409-000, Cerqueira César
(11) 5521-2021
[email protected]

Porto Alegre, RS

Rua Ramiro Barcelos, 630 6° andar
CEP: 90035-001, Floresta
(51) 2117-1000
[email protected]

Miami, FL, US

299 Alhambra Cir #403
Coral Gables, FL 33134
[email protected]

Acompanhe

Política de Privacidade

ESG na E-TRUST