Netskope para el cumplimiento de la GDPR

Los responsables y encargados del tratamiento de datos deben conocer la ubicación donde los datos se almacenan o se tratan de algún otro modo.

• Use Netskope para evaluar dónde se almacenan o procesan los datos para cada encargado (servicio en la nube).
• Aplique políticas con la plataforma Netskope Active para encargados que no almacenan o transfieren datos en ubicaciones seguras (en la lista de jurisdicciones adecuadas que confecciona la Comisión Europea sobre países y territorios aprobados) o procesan datos en ubicaciones indeterminadas, como las que bloquean el uso de los servicios en la nube.
• Ejecute informes sobre el uso de aplicaciones o servicios resumidos por la ubicación del destino.

Los responsables deben adoptar medidas adecuadas para proteger los datos personales frente a la pérdida, la alteración o el procesamiento no autorizado.

• Descubra y proteja los datos confidenciales en reposo en un procesador administrado (servicio en la nube) o para actividades en tiempo real en todos los servicios en la nube utilizando Netskope Cloud DLP con soporte para más de 3000 identificadores de datos, más de 500 tipos de archivos, caracteres de doble byte independientes del idioma, expresiones regulares personalizadas, análisis de proximidad, huellas dactilares y coincidencia exacta, y más.
• Por ejemplo, use el perfil DLP de RGPD predefinido de Netskope (o use uno personalizado) para encontrar PII y cifrarla o ponerla en cuarentena y recuperarla en las instalaciones (o ponerla en retención legal para revisión) ya que se requieren procesadores y controladores para notificar a los usuarios si sus datos personales no cifrados se han perdido y debe notificar a las autoridades de supervisión de una violación de datos.
• Aplique políticas de seguridad como "Bloquear el uso de servicios de almacenamiento en la nube clasificados como 'Medios' o inferiores" para garantizar el uso organizacional de procesadores seguros y examinados únicamente.
• Detecte y repare automáticamente las amenazas en la nube y el malware, como los residentes de ransomware en servicios sancionados o en actividades en tiempo real, como cargas y descargas, para evitar el robo de información.
• Identifique las credenciales comprometidas en otra infracción y correlacione la actividad dentro de los procesadores contratados por el controlador, para iniciar un flujo de trabajo para restablecer la credencial dentro del SSO en todos los procesadores administrados por la empresa.

Los responsables deben impedir la carga de datos personales en servicios en la nube personales y dispositivos personales (BYOD) o aplicar las medidas de seguridad de la organización en las nubes y dispositivos personales.

• Comprenda y consulte todos los accesos y actividades por dispositivo y clasificación de dispositivos, por ejemplo, BYOD.
• Aplique políticas de nivel de actividad y acceso según el tipo de dispositivo y la clasificación.
• Aplique políticas en los dispositivos móviles para asegurarse de que los datos corporativos y personales no se respalden en aplicaciones móviles o utilicen aplicaciones móviles para respaldar datos en la nube. Integre con soluciones MDM para un control adicional a nivel de dispositivo.
• Aplique políticas para garantizar que los datos corporativos y personales solo entren en procesadores aprobados por la empresa y no en instancias personales en el mismo procesador, por ejemplo, permita la carga de datos confidenciales en Box corporativo pero no en instancias personales de Box.
• Diferencie entre instancias de procesadores (servicios) para garantizar que las políticas corporativas y la visibilidad solo estén vigentes para los procesadores sancionados y los datos personales relacionados con los procesos organizacionales y comerciales.

Los responsables del tratamiento de datos deben conocer los estándares de privacidad y seguridad a los que se adhiere el encargado y evaluar dichos estándares.

• Realice un seguimiento de los datos personales con análisis forense en la nube para registrar y auditar qué procesadores han procesado y/o poseen datos personales para cumplir con las solicitudes de información sobre los datos personales de una persona.
• Evalúe la preparación empresarial de los procesadores en más de 50 parámetros con CCI (incluidas funciones de privacidad, como si la aplicación habilita subprocesadores o hace cualquier otra cosa con los datos, así como funciones de seguridad de datos, como el cifrado de datos en reposo y el tipo de cifrado). Netskope también determina la preparación de las aplicaciones para el RGPD en una escala alta, media y baja en función de los parámetros.
• Use CCI para ver si el procesador permite el registro de auditoría para determinar si personas no autorizadas acceden al servicio en la nube.
• Use CCI para determinar las medidas de seguridad física y lógica del procesador, como SOC-2 e ISO27001, sin mencionar los sellos de privacidad de aplicaciones como TRUSTe y las certificaciones de cumplimiento como Privacy Shield.