Zum Hauptinhalt springen

NIS2- und DSGVO-Compliance

VaultPAM ist als Compliance-Infrastruktur für EU-Organisationen konzipiert, die NIS2 und der DSGVO unterliegen. Dieser Artikel bildet die VaultPAM-Funktionen auf die spezifischen Anforderungen ab, die für das Privileged Access Management gelten.

NIS2 Artikel 21

NIS2-Richtlinie Artikel 21 verpflichtet Organisationen, angemessene und verhältnismäßige technische und operative Maßnahmen zur Beherrschung von Risiken umzusetzen. Die folgende Tabelle bildet die spezifischen Maßnahmen auf die VaultPAM-Funktionen ab.

Anforderung aus NIS2 Artikel 21VaultPAM-FunktionWo zu konfigurieren
Multi-Faktor-Authentifizierung für jeden privilegierten ZugriffMFA-Durchsetzungsrichtlinie; unterstützt TOTP und Hardware-SchlüsselOrganisationseinstellungen > Sicherheit > MFA-Durchsetzung
Protokollierung und Überwachung privilegierter SitzungenVollständige Sitzungsaufzeichnung mit Prüfpfad; jede Aktion wird protokolliertAdmin > Prüfprotokoll
Zugangskontrolle und minimale RechtevergabeZugriffsrichtlinien auf Safe-Ebene; Just-in-Time (JIT)-Berechtigungen; Genehmigungs-WorkflowsPolicy-Engine > Richtlinien erstellen
Vorfallreaktion und PrüfpfadManipulationssicheres Prüfprotokoll mit CSV-Export; Sitzungsaufzeichnungen als forensischer NachweisAdmin > Prüfprotokoll > CSV exportieren
LieferkettensicherheitConnector-Isolierung; jeder Connector verfügt über ein begrenztes Token; kompromittierte Connector können widerrufen werdenAdmin > Connector-Verwaltung

DSGVO-Pflichten für privilegierten Zugriff

Die DSGVO erlegt den Verantwortlichen und Auftragsverarbeitern personenbezogener Daten Pflichten auf. Privilegierter Zugriff auf Systeme, die personenbezogene Daten enthalten, muss kontrolliert und nachgewiesen werden.

Artikel 32 -- Technische und organisatorische Maßnahmen

VaultPAM erfüllt Art. 32, indem es Verschlüsselung von Anmeldeinformationen ruhender Daten (über die OpenBao-Secrets-Engine), verschlüsselte Sitzungsaufzeichnungen, MFA-Durchsetzung und einen vollständigen Prüfpfad aller Ereignisse des privilegierten Zugriffs bereitstellt.

Artikel 5 Abs. 1 Buchst. f -- Integrität und Vertraulichkeit

Der Grundsatz der Integrität und Vertraulichkeit (Art. 5 Abs. 1 Buchst. f) verlangt, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet. VaultPAM setzt dies auf Infrastrukturebene durch: Anmeldeinformationen werden nach dem Checkout niemals im Klartext in der Benutzeroberfläche offengelegt, Sitzungen werden aufgezeichnet und sind prüfbar, und Zugriffsrichtlinien verhindern, dass unbefugte Benutzer geschützte Ressourcen erreichen.

Artikel 30 -- Verzeichnis von Verarbeitungstätigkeiten

Das Prüfprotokoll von VaultPAM liefert eine fortlaufende Aufzeichnung darüber, wer wann und wie lange auf welches System zugegriffen hat. Dieses Protokoll kann als CSV exportiert und als Nachweis in Ihrem Verzeichnis von Verarbeitungstätigkeiten (VVT) gemäß Art. 30 verwendet werden. Das Prüfprotokoll ist manipulationssicher und wird für einen konfigurierbaren Zeitraum aufbewahrt (Standard: 90 Tage).

Datenresidenz

Bei SaaS-Bereitstellungen werden alle Mandantendaten ausschließlich in GCP europe-central2 (Warschau, Polen) gespeichert. Die Daten verlassen die EU nicht. Dies erfüllt die Anforderungen an die Datenresidenz gemäß DSGVO und NIS2 für EU-ansässige Organisationen.

Um eine schriftliche Bestätigung zu erhalten (zum Beispiel für eine Datenübermittlungs-Folgenabschätzung), fordern Sie einen Auftragsverarbeitungsvertrag (AVV) unter support@vaultpam.com an. Der AVV legt die Verarbeitungsregion und die Unterauftragsverarbeiter fest.

Verwandte Artikel