01Entender la recopilación de datos personales
Los datos personales solo se pueden recopilar para un fin concreto, con las limitaciones correspondientes al procesamiento de “datos especiales” e “información confidencial”.
Lea más Entender la recopilación de datos personales
- Restrinja la carga o descarga de “datos especiales” e “información confidencial” por definición con Netskope Cloud DLP.
- Evalúe la funcionalidad y los elementos de datos de un encargado antes de empezar a usarlo para la organización usando Cloud Confidence Audit (CCA). Uso de CCA:
- Elabore informes sobre qué encargados no se adhieren a los estándares de propiedad de los datos (aquellos que especifican que el propietario de los datos es el proveedor, no el cliente).
- Elabore informes sobre qué encargados no se adhieren a los controles de privacidad (aquellos que permiten cookies de terceros, acceso a datos personales en el dispositivo y acceso a otras aplicaciones del dispositivo), incluidos los casos en que se usa información personal para fines promocionales, etc.
02Seguimiento del almacenamiento local
Los responsables y encargados del tratamiento de datos deben conocer la ubicación donde los datos se almacenan o se tratan de algún otro modo.
Lea más Seguimiento del almacenamiento local
- Use Netskope para evaluar dónde se almacenan o procesan los datos para cada encargado (servicio en la nube).
- Aplique políticas con la plataforma Netskope Active para encargados que no almacenan o transfieren datos en ubicaciones seguras (en la lista de jurisdicciones adecuadas que confecciona la Comisión Europea sobre países y territorios aprobados) o procesan datos en ubicaciones indeterminadas, como las que bloquean el uso de los servicios en la nube.
- Ejecute informes sobre el uso de aplicaciones o servicios resumidos por la ubicación del destino.
03Implementar una seguridad adecuada
Los responsables deben adoptar medidas adecuadas para proteger los datos personales frente a la pérdida, la alteración o el procesamiento no autorizado.
Lea más Implementar una seguridad adecuada
- Descubra y proteja información confidencial en reposo en un encargado gestionado (servicio en la nube) o para actividades en tiempo real en todos los servicios en la nube usando Netskope Cloud DLP. Cuenta con más de 3000 identificadores de datos, más de 500 tipos de archivos, caracteres de doble byte independientes del idioma, expresiones regulares personalizadas, análisis de proximidad, huellas dactilares, coincidencias exactas, etc.
- Por ejemplo, use el perfil de DLP predefinido para el GDPR de Netskope (o use uno personalizado) para localizar información de identificación personal (PII) y cifrarla o ponerla en cuarentena y devolverla a las instalaciones locales (o conservarla por razones legales para su análisis), ya que los encargados y responsables están obligados a informar a los usuarios en el caso de pérdida de sus datos personales no cifrados y deben informar a las autoridades supervisoras de las vulneraciones de datos.
- Aplique políticas de seguridad como “bloquear el uso de servicios de almacenamiento en la nube con un valor ‘medio‘ o inferiores” para garantizar que la organización use solo encargados seguros y examinados.
- Detecte y remedie automáticamente amenazas en la nube y malware, como residentes de ransomware en servicios autorizados, o actividades en tiempo real, como cargas y descargas, para evitar el robo de información.
- Identifique credenciales comprometidas en otras vulneraciones y correlacione la actividad de los encargados contratados por el responsable para iniciar un flujo de trabajo que le permita restablecer la credencial en un SSO para todos los encargados gestionados por la empresa.
04Prevenir y aplicar la seguridad
Los responsables deben impedir la carga de datos personales en servicios en la nube personales y dispositivos personales (BYOD) o aplicar las medidas de seguridad de la organización en las nubes y dispositivos personales.
Lea más Prevenir y aplicar la seguridad
- Comprenda y consulte todos los accesos y actividades por dispositivo y clasificación de dispositivos, p. ej., BYOD.
- Aplique políticas de acceso y nivel de actividad basadas en el tipo y la clasificación de los dispositivos.
- Aplique políticas a los dispositivos móviles para garantizar que no se hagan copias de seguridad de los datos personales y empresariales en aplicaciones móviles ni se usen estas últimas para hacer copias de seguridad en la nube. Establezca una integración con soluciones MDM para lograr un mayor control en dispositivos.
- Aplique políticas para garantizar que los datos personales y empresariales solo se envíen a encargados aprobados por la empresa y no a instancias personales del mismo encargado. Por ejemplo, permita la carga de datos sensibles en Box para fines empresariales, pero no en instancias personales de Box.
- Diferencie entre instancias (servicios) del encargado para garantizar que las políticas y la visibilidad solo se apliquen a encargados autorizados y a datos personales relacionados con procesos empresariales y de la organización.
05Evaluar los estándares de seguridad
Los responsables del tratamiento de datos deben conocer los estándares de privacidad y seguridad a los que se adhiere el encargado y evaluar dichos estándares.
Lea más Evaluar los estándares de seguridad
- Lleve un seguimiento de los datos personales con análisis forenses de la nube para registrar y auditar qué encargados del tratamiento de datos han tratado o poseen datos personales, con el fin de cumplir con las solicitudes de información sobre los datos personales de un usuario concreto.
- Evalúe la adecuación para la empresa de los encargados del tratamiento mediante más de 50 parámetros con CCI (que incluye características de privacidad como determinar si la aplicación permite subencargados o hace algo más con los datos, así como características de seguridad de los datos como cifrado de datos en reposo y el tipo de cifrado). Netskope también determina la adecuación a la GDPR de las aplicaciones en una escala alta, media o baja en función de los parámetros.
- Use CCI para ver si el encargado habilita el registro de auditorías y determinar si hay usuarios no autorizados que acceden al servicio en la nube.
- Use CCI para determinar medidas de seguridad físicas y lógicas del encargado, como SOC-2 e ISO27001, sin olvidar los sellos de privacidad de las aplicaciones, como TRUSTe, y las certificaciones de conformidad, como Privacy Shield.
