Netskope pour la mise en conformité RGPD

Responsables du traitement des données et sous-traitants doivent connaître le lieu de stockage ou de traitement des données personnelles.

• Utilisez Netskope afin de connaître le lieu de stockage et/ou de traitement des données de chaque sous-traitant (service cloud).
• Grâce à Netskope Active Platform, appliquez des politiques spécifiques aux sous-traitants qui ne stockent/transfèrent pas les données à des emplacements sécurisés (conformément à la liste des pays et territoires approuvés par la Commission européenne) ou traitent des données à des emplacements indéterminés, notamment en empêchant toute utilisation du service cloud concerné.
• Créez des rapports sur l'utilisation des applications/services en fonction de l'emplacement de destination.

Les responsables du traitement doivent appliquer les mesures de sécurité adéquates afin de prévenir toute perte, toute altération ou tout traitement non autorisé des données personnelles.

• Découvrez et protégez les données sensibles au repos dans un processeur géré (service en nuage) ou pour les activités en temps réel dans tous les services en nuage à l'aide de Netskope Cloud DLP qui prend en charge plus de 3 000 identifiants de données, plus de 500 types de fichiers, des caractères à double octet agnostiques sur le plan linguistique, des expressions régulières personnalisées, l'analyse de proximité, l'empreinte digitale, la correspondance exacte et bien plus encore.
• Par exemple, utilisez le profil GDPR DLP prédéfini de Netskope (ou utilisez un profil personnalisé) pour trouver les IIP et les chiffrer ou les mettre en quarantaine et les retirer sur site (ou les mettre en attente légale pour examen), car les processeurs et les responsables du traitement sont tenus d'informer les utilisateurs si leurs données personnelles non chiffrées ont été perdues et doivent informer les autorités de surveillance d'une violation de données.
• Appliquez des politiques de sécurité telles que "Bloquer l'utilisation des services de stockage en nuage classés 'moyen' ou inférieurs" pour garantir l'utilisation par l'organisation de processeurs sécurisés et vérifiés uniquement.
• Détectez et éliminez automatiquement les menaces et les logiciels malveillants dans le nuage, tels que les ransomwares, qui résident dans des services autorisés ou dans des activités en temps réel telles que les téléchargements, afin d'empêcher le vol d'informations.
• Identifier les informations d'identification compromises lors d'une autre violation et corréler l'activité au sein des processeurs sous contrat avec le contrôleur, afin de lancer un processus de réinitialisation des informations d'identification dans le cadre du SSO pour tous les processeurs gérés par l'entreprise.

Les responsables du traitement doivent empêcher tout transfert de données à caractère personnel vers des services cloud ou des périphériques personnels (BYOD) ou alors leur appliquer les mesures de sécurité définies par l'entreprise.

• Comprendre et interroger tous les accès et activités par appareil et par classification d'appareil, par exemple BYOD.
• Appliquez des politiques d'accès et d'activité basées sur le type et la classification des appareils.
• Appliquez des politiques sur les appareils mobiles afin de vous assurer que les données de l'entreprise et les données personnelles ne sont pas sauvegardées sur des applications mobiles ou qu'elles ne sont pas utilisées pour sauvegarder des données dans le nuage. Intégrez des solutions MDM pour un contrôle supplémentaire au niveau de l'appareil.
• Appliquez des politiques garantissant que les données de l'entreprise et les données personnelles ne sont transférées qu'à des processeurs approuvés par l'entreprise et non à des instances personnelles sur le même processeur ; par exemple, autorisez le téléchargement de données confidentielles dans Box de l'entreprise, mais pas dans des instances personnelles de Box.
• Différenciez les instances des processeurs (services) afin de garantir que les politiques d'entreprise et la visibilité ne sont en place que pour les processeurs sanctionnés et les données à caractère personnel liées aux processus organisationnels et commerciaux.

Les responsables du traitement doivent avoir connaissance des normes de sécurité et de confidentialité appliquées par le sous-traitant, puis en évaluer le respect.

• Suivre les données à caractère personnel à l'aide de l'analyse forensique en nuage pour enregistrer et vérifier quels sous-traitants ont traité et/ou possèdent des données à caractère personnel afin de répondre aux demandes d'informations sur les données à caractère personnel d'une personne.
• Évaluez l'aptitude à l'entreprise des processeurs en fonction de plus de 50 paramètres avec CCI (y compris les caractéristiques de confidentialité, par exemple si l'application active des sous-processeurs ou fait quoi que ce soit d'autre avec les données, ainsi que les caractéristiques de sécurité des données, par exemple le cryptage des données au repos et le type de cryptage). Netskope détermine également l'état de préparation des applications au GDPR sur une échelle élevée, moyenne ou faible en fonction des paramètres.
• Utilisez CCI pour vérifier si le processeur permet l'enregistrement des audits afin de déterminer si des personnes non autorisées accèdent au service en nuage.
• Utilisez le site CCI pour déterminer les mesures de sécurité physique et logique du processeur, telles que SOC-2 et ISO27001, sans oublier les sceaux de confidentialité des applications tels que TRUSTe et les certifications de conformité telles que Privacy Shield.