ゼロトラストの未来とSASEの現在今すぐ登録

閉める
閉める
  • セキュリティサービスエッジ製品 シェブロン

    高度なクラウド対応の脅威から保護し、あらゆるベクトルにわたってデータを保護

  • Borderless SD-WAN シェブロン

    すべてのリモートユーザー、デバイス、サイト、クラウドへ安全で高性能なアクセスを提供

  • Secure Access Service Edge シェブロン

    Netskope SASE は、クラウドネイティブで完全に統合された単一ベンダーの SASE ソリューションを提供します。

未来のプラットフォームはNetskopeです

インテリジェントセキュリティサービスエッジ(SSE)、クラウドアクセスセキュリティブローカー(CASB)、クラウドファイアウォール、セキュアウェブゲートウェイ(SWG)、およびZTNAのプライベートアクセスは、単一のソリューションにネイティブに組み込まれており、セキュアアクセスサービスエッジ(SASE)アーキテクチャへの道のりですべてのビジネスを支援します。

製品概要はこちら
Netskopeの動画
Next Gen SASE Branch はハイブリッドである:接続、保護、自動化

Netskope Next Gen SASE Branchは、コンテキストアウェアSASEファブリック、ゼロトラストハイブリッドセキュリティ、 SkopeAI-Powered Cloud Orchestrator を統合クラウド製品に統合し、ボーダレスエンタープライズ向けに完全に最新化されたブランチエクスペリエンスを実現します。

Next Gen SASE Branchの詳細はこちら
オープンスペースオフィスの様子
SASEアーキテクチャの設計 For Dummies

SASE設計について網羅した電子書籍を無償でダウンロード

電子書籍を入手する
セキュアアクセスサービスエッジ(SASE)アーキテクチャの採用

Netskope NewEdgeは、世界最大かつ最高のパフォーマンスのセキュリティプライベートクラウドであり、比類のないサービスカバレッジ、パフォーマンス、および回復力を顧客に提供します。

NewEdgeの詳細
NewEdge
明日に向けたネットワーク

サポートするアプリケーションとユーザー向けに設計された、より高速で、より安全で、回復力のあるネットワークへの道を計画します。

ホワイトペーパーはこちら
明日に向けたネットワーク
Netskope Cloud Exchange

Netskope Cloud Exchange (CE) は、セキュリティポスチャに対する投資を活用するための強力な統合ツールを提供します。

Cloud Exchangeについて学ぶ
Netskopeの動画
最小の遅延と高い信頼性を備えた、市場をリードするクラウドセキュリティサービスに移行します。

NewEdgeの詳細
山腹のスイッチバックを通るライトアップされた高速道路
アプリケーションのアクセス制御、リアルタイムのユーザーコーチング、クラス最高のデータ保護により、生成型AIアプリケーションを安全に使用できるようにします。

生成AIの使用を保護する方法を学ぶ
ChatGPTと生成AIを安全に有効にする
SSEおよびSASE展開のためのゼロトラストソリューション

ゼロトラストについて学ぶ
大海原を走るボート
NetskopeがFedRAMPの高認証を達成

政府機関の変革を加速するには、Netskope GovCloud を選択してください。

Netskope GovCloud について学ぶ
Netskope GovCloud
  • リソース シェブロン

    クラウドへ安全に移行する上でNetskopeがどのように役立つかについての詳細は、以下をご覧ください。

  • ブログ シェブロン

    Netskopeがセキュリティサービスエッジ(SSE)を通じてセキュリティとネットワークの変革を可能にする方法を学びましょう。

  • イベント&ワークショップ シェブロン

    最新のセキュリティトレンドを先取りし、仲間とつながりましょう。

  • 定義されたセキュリティ シェブロン

    サイバーセキュリティ百科事典、知っておくべきすべてのこと

「セキュリティビジョナリー」ポッドキャスト

ビスケットではなくクッキー
司会のエミリー・ウェアマスが、専門家のデビッド・フェアマン氏とゾハール・ホッド氏と対談し、インターネットクッキーの過去、現在、未来について語ります。

ポッドキャストを再生する
ポッドキャスト:ビスケットではなくクッキー
最新のブログ

Netskopeがセキュリティサービスエッジ(SSE)機能を通じてゼロトラストとSASEの旅を可能にする方法。

ブログを読む
日の出と曇り空
SASE Week 2023年:SASEの旅が今始まります!

第4回 SASE Weekのリプレイセッション。

セッションの詳細
SASE Week 2023
セキュリティサービスエッジとは

SASEのセキュリティ面、ネットワークとクラウドでの保護の未来を探ります。

セキュリティサービスエッジの詳細
4方向ラウンドアバウト
私たちは、お客様が何にでも備えることができるように支援します

お客様を見る
窓の外を見て微笑むメガネをかけた女性
Netskopeの有能で経験豊富なプロフェッショナルサービスチームは、実装を成功させるための規範的なアプローチを提供します。

プロフェッショナルサービスについて学ぶ
Netskopeプロフェッショナルサービス
Netskopeコミュニティは、あなたとあなたのチームが製品とプラクティスからより多くの価値を引き出すのに役立ちます。

Netskopeコミュニティに移動
Netskope コミュニティ
Netskopeトレーニングで、デジタルトランスフォーメーションの旅を保護し、クラウド、ウェブ、プライベートアプリケーションを最大限に活用してください。

トレーニングと認定資格について学ぶ
働く若い専門家のグループ
  • 会社概要 シェブロン

    クラウド、データ、ネットワークセキュリティの課題に対して一歩先を行くサポートを提供

  • Netskopeが選ばれる理由 シェブロン

    クラウドの変革とどこからでも機能することで、セキュリティの機能方法が変わりました。

  • リーダーシップ シェブロン

    Netskopeの経営陣はお客様を成功に導くために全力を尽くしています。

  • パートナー シェブロン

    私たちはセキュリティリーダーと提携して、クラウドへの旅を保護します。

データセキュリティによる持続可能性のサポート

Netskope は、持続可能性における民間企業の役割についての認識を高めることを目的としたイニシアチブである「ビジョン2045」に参加できることを誇りに思っています。

詳しくはこちら
データセキュリティによる持続可能性のサポート
Highest in Execution. Furthest in Vision.

ネットスコープは2023年Gartner®社のセキュリティ・サービス・エッジ(SSE)のマジック・クアドラント™でリーダーの1社として評価されました。

レポートを読む
ネットスコープは2023年Gartner®社のセキュリティ・サービス・エッジ(SSE)のマジック・クアドラント™でリーダーの1社として評価されました。
思想家、建築家、夢想家、革新者。 一緒に、私たちはお客様がデータと人々を保護するのを助けるために最先端のクラウドセキュリティソリューションを提供します。

当社のチーム紹介
雪山を登るハイカーのグループ
Netskopeのパートナー中心の市場開拓戦略により、パートナーは企業のセキュリティを変革しながら、成長と収益性を最大化できます。

Netskope パートナーについて学ぶ
色々な若い専門家が集う笑顔のグループ

GDPR and Data Processing Agreements

Dec 12 2017
Tags
CASB
Cloud Security
GDPR
GDPR Compliance

Any business that is subject to the EU General Data Protection Regulation (GDPR) as a Controller will need to have in place an appropriate contract with any other Controller that it jointly shares data with if that Controller particularly is outside the EU. More importantly any Controller that is subject to GDPR will need to have in place an appropriate Data Processing Agreement with any third party that it shares data with where that third party is a Processor as defined under GDPR.

GDPR applies to both Controllers and Processors that are established in the EU (e.g. have EU legal entities) but also to any Controller and Processor not located in the EU, where the processing activities are related to either the offering of goods or services to data subjects in the EU (irrespective of whether a payment is required) or the monitoring of the behaviour of individuals as far as such behaviour takes place within the EU.

Many Processors are offering hosted or cloud services which are not EU located but which clearly cause the Processor to be caught by GDPR. Controllers or Processors not established in the EU, but where they are caught by GDPR, must designate in writing a representative. That representative must be established in a member state where the data subjects whose data are being processed by the Controller or Processor are located (or where most of them are located).

The appointment of a representative means that all data protection issues from data subjects or data protection authorities will be addressed to that representative but the appointment of the representative does not affect the responsibility and liability of the Controller nor Processor under GDPR.

GDPR is quite specific about the duties of the Controller and the Processor and indeed Article 28 (3) of GDPR stipulates that there must be a contract in writing between the Controller and Processor which clearly sets out the subject matter of the processing and its duration as well as the nature and purposes of processing, the types of personal data, any particular special categories of data and the obligations and rights of both parties.

Failure to have in place a suitable Data Processing Agreement is a breach of the law under GDPR and therefore Controllers should be carrying out an audit of their existing contracts with Processors to establish if those contracts already comply with GDPR and in addition putting in place due diligence and procurement requirements in respects of contracts that are going to be entered into to which GDPR will apply.

Articles 28 – 36 set out issues that must be addressed in the Data Protection Agreement which include that:

  • The Processor must have adequate information security in place;
  • The Processor must not use sub Processors without consent of the Controller;
  • The Processor must cooperate with the relevant Data Protection Authorities in the event of an enquiry;
  • The Processor must report data breaches to the Controller without delay;
  • The Processor may need to appoint a mandatory Data Protection Officer;
  • The Processor must keep records of all processing activities;
  • The Processor must comply with EU trans border data transfer rules ;
  • The Processor must help the Controller to comply with data subjects rights;
  • The Processor must assist the Data Controller in managing the consequences of data breaches;
  • The Processor must delete or return all personal data at the end of the contract at the choice of the Controller; and
  • The Processor must inform the Controller if the processing instructions infringe GDPR.

The urgent action for Controllers right now is to ensure that in respect of Data Processing Agreements.. –

  • There are documented instructions;
  • There is evidence of due diligence by the Controller over the suitability of the Processor in respect of the types of personal data being processed;
  • There are suitable confidentiality clauses in the Agreement;
  • The Processor has adequate information security in place;
  • The contract manages the downline use of sub Processors.
  • The contract puts in place measures for the Processor to help the Controller comply with Data Subject Rights;
  • There are mechanisms to assist in cooperation with the Controller and the relevant Data Protection Authorities;
  • There are processes in place to deal with data incidents and data breach notifications and
  • There are processes in place to deal with destruction or return of personal data at the end of the Agreement.

In addition to those needs, Processors should anticipate that Controllers will want to revisit not only the mandatory terms under GDPR but also the issues around warranties and indemnities as well as the question of suitable insurance.

Since Controllers and Processors are equally bound to comply with GDPR, in relation to international data transfers there will need to be in place suitable solutions in relation to personal data being transferred from the EU or more correctly the European Economic Area to other jurisdictions.

In relation to international data transfers, Privacy Shield is an approved solution to the extent that personal data is going from the EEA to the US, but where data is being transferred across many borders then other solutions such as the European Commission approved standard contractual clauses or Binding Corporate Rules may be more appropriate.

Whilst there are also a number of jurisdictions that have been deemed “approved” jurisdictions by the EU (such as Argentina, Canada and Israel), there is considerably uncertainty as to the best solution to use given that Privacy Shield is under regular review by the European Commission as to its robustness as a data transfer solution. Equally the standard contractual clauses are currently under review in the European Court of Justice and in addition the European Commission recently announced that it is reviewing all of the countries that have been deemed “adequate” in the past to ensure that their laws are still fit for purpose in terms of the adequate protection of the rights of individuals.

All of the above raises the bar in relation to the pressures on both a Controller as well as its Processor in relation to any form of data processing whether cloud or otherwise.

Processor.

Controllers should be putting in place a number of due diligence activities in respect of the Processors that they use which can be summarised as data protection audit, documentation of data processing activities and obviously review.

Data protection audit or assessments via a Controller of a Processor might include:

  • Do they process personal data and/or special categories of data (e.g. criminal records, children’s data, health data)
  • What are the data flows;
  • What is the Processors information securities policies and procedures;
  • Has the Processor had a history of breaches (notified or not);
  • Has the Processor ever been audited or investigated by a Data Protection Authority (does the data Processor have a Data Protection Officer).

Documented data processing activities should address:

  • Data processing mapping for both intragroup and third party processing;
  • Do the Terms and Conditions of the Processor in any way claim ownership of personal data received from the Controller;
  • How are data retention and data destruction practices managed;
  • How are the use of sub-processors contractually managed.

 

Review of policies and procedures might require the data Processor to produce:

  • Data incident response policy and procedures;
  • Data sharing policy and procedures;
  • Standard operating procedures for vetting of staff;
  • Information security practices;
  • Cyber risk assessment and compliance;
  • Evidence of training.

Prudent processors must anticipate that their customers as controllers will carry out due diligence and seek to impose new contractual terms and therefore processors should immediately:

  • Carry out a GDPR Compliance Assessment;
  • Rewrite their Terms of Business as appropriate;
  • Audit their sub-processors and the contractual terms with them;
  • Review their insurance cover;
  • Address data transfer solutions;
  • Assess their policies and procedures;
  • Decide if a mandatory Data Protection Officer is necessary;
  • Put in place staff training on policies and procedures; and
  • Carry out a genuine assessment as to whether or not they are actually a mere processor or in reality are a joint data controller with their customers.

Stay informed!

Subscribe for the latest from the Netskope Blog