Παράλειψη στο κύριο περιεχόμενο

Συμμόρφωση με NIS2 και GDPR

Το VaultPAM έχει σχεδιαστεί ως υποδομή συμμόρφωσης για οργανισμούς της ΕΕ που υπόκεινται στις απαιτήσεις NIS2 και GDPR. Το άρθρο αυτό αντιστοιχεί τις δυνατότητες του VaultPAM στις ειδικές απαιτήσεις που ισχύουν για τη διαχείριση προνομιακής πρόσβασης.

Άρθρο 21 της NIS2

Το Άρθρο 21 της Οδηγίας NIS2 απαιτεί από τους οργανισμούς να εφαρμόσουν κατάλληλα και ανάλογα τεχνικά και λειτουργικά μέτρα για τη διαχείριση των κινδύνων. Ο παρακάτω πίνακας αντιστοιχεί τα συγκεκριμένα μέτρα στις δυνατότητες του VaultPAM.

Απαίτηση Άρθρου 21 της NIS2Δυνατότητα VaultPAMΠού να ρυθμίσετε
Πολυπαραγοντική αυθεντικοποίηση για όλη την προνομιακή πρόσβασηΠολιτική επιβολής MFA· υποστηρίζει TOTP και κλειδιά υλικούΡυθμίσεις οργανισμού > Ασφάλεια > Επιβολή MFA
Καταγραφή και παρακολούθηση προνομιακών περιόδων λειτουργίαςΠλήρης καταγραφή περιόδου λειτουργίας με δελτίο ελέγχου· καταγράφεται κάθε ενέργειαΔιαχείριστης > Δελτίο ελέγχου
Έλεγχος πρόσβασης και αρχή της ελάχιστης προνομίαςΠολιτικές πρόσβασης επιπέδου Safe· Απόδοση Just-in-Time (JIT)· ροές εγκρίσεωνΜηχανή πολιτικής > Δημιουργία πολιτικών
Ανταπόκριση στο περιστατικό και δελτίο ελέγχουΔελτίο ελέγχου ανθεκτικό σε παραποίηση με εξαγωγή CSV· καταγραφές περιόδου λειτουργίας ως ένδειξη ιστορικούΔιαχείριστης > Δελτίο ελέγχου > Εξαγωγή CSV
Ασφάλεια της αλυσίδας προμηθειώνΑπομόνωση Connector· κάθε Connector διαθέτει διακριτό κουπόνι· τα συμβιβασμένα Connector μπορούν να ανακληθούνΔιαχείριστης > Διαχείριση Connector

Υποχρεώσεις προνομιακής πρόσβασης GDPR

Το GDPR επιβάλλει υποχρεώσεις στους ελεγκτές και επεξεργαστές προσωπικών δεδομένων. Η προνομιακή πρόσβαση σε συστήματα που περιέχουν προσωπικά δεδομένα πρέπει να ελέγχεται και να τεκμηριώνεται.

Άρθρο 32 -- Τεχνικά και οργανωτικά μέτρα

Το VaultPAM ικανοποιεί το Άρθρο 32 παρέχοντας κρυπτογράφηση διαπιστευτηρίων σε ηρεμία (μέσω της μηχανής μυστικών OpenBao), κρυπτογραφημένες καταγραφές περιόδου λειτουργίας, επιβολή MFA και πλήρες δελτίο ελέγχου όλων των γεγονότων προνομιακής πρόσβασης.

Άρθρο 5(1)(f) -- Ακεραιότητα και εμπιστευτικότητα

Η αρχή της ακεραιότητας και της εμπιστευτικότητας (Άρθρο 5(1)(f)) απαιτεί τα προσωπικά δεδομένα να υποβάλλονται σε επεξεργασία κατά τρόπο που διασφαλίζει την κατάλληλη ασφάλεια. Το VaultPAM επιβάλλει αυτό σε επίπεδο υποδομής: τα διαπιστευτήρια δεν εκτίθενται ποτέ σε ανάγνωστη μορφή στο περιβάλλον χρήστη μετά την ανάληψη, οι περίοδοι λειτουργίας καταγράφονται και είναι ελέγξιμες, και οι πολιτικές πρόσβασης αποτρέπουν τους μη εξουσιοδοτημένους χρήστες από την πρόσβαση σε προστατευμένους πόρους.

Άρθρο 30 -- Αρχεία δραστηριοτήτων επεξεργασίας

Το δελτίο ελέγχου του VaultPAM παρέχει συνεχή αρχείο του ποιος προσπέλασε ποιο σύστημα, πότε και για πόσο χρόνο. Αυτό το δελτίο μπορεί να εξαχθεί ως CSV και να χρησιμοποιηθεί ως ένδειξη στα αρχεία δραστηριοτήτων επεξεργασίας σας κατά το Άρθρο 30 (ROPA). Το δελτίο ελέγχου είναι ανθεκτό σε παραποίηση και διατηρείται για ένα ρυθμιζόμενο χρονικό διάστημα (προεπιλογή: 90 ημέρες).

Εδαφική τοποθέτηση δεδομένων

Για αναπτύξεις SaaS, όλα τα δεδομένα μισθωτή αποθηκεύονται αποκλειστικά στον GCP europe-central2 (Βαρσοβία, Πολωνία). Τα δεδομένα δεν εγκαταλείπουν την ΕΕ. Αυτό ικανοποιεί τις απαιτήσεις εδαφικής τοποθέτησης δεδομένων του GDPR και της NIS2 για οργανισμούς που έχουν έδρα στην ΕΕ.

Για να λάβετε γραπτή επιβεβαίωση (για παράδειγμα, για μια Αξιολόγηση Επιπτώσεων Μεταφοράς Δεδομένων), ζητήστε ένα Σύμφωνο Επεξεργασίας Δεδομένων (DPA) από support@vaultpam.com. Το DPA καθορίζει την περιοχή επεξεργασίας και τους υπο-επεξεργαστές.

Σχετικά άρθρα