NIS2- und DSGVO-Compliance
VaultPAM ist als Compliance-Infrastruktur für EU-Organisationen konzipiert, die NIS2 und der DSGVO unterliegen. Dieser Artikel bildet die VaultPAM-Funktionen auf die spezifischen Anforderungen ab, die für das Privileged Access Management gelten.
NIS2 Artikel 21
NIS2-Richtlinie Artikel 21 verpflichtet Organisationen, angemessene und verhältnismäßige technische und operative Maßnahmen zur Beherrschung von Risiken umzusetzen. Die folgende Tabelle bildet die spezifischen Maßnahmen auf die VaultPAM-Funktionen ab.
| Anforderung aus NIS2 Artikel 21 | VaultPAM-Funktion | Wo zu konfigurieren |
|---|---|---|
| Multi-Faktor-Authentifizierung für jeden privilegierten Zugriff | MFA-Durchsetzungsrichtlinie; unterstützt TOTP und Hardware-Schlüssel | Organisationseinstellungen > Sicherheit > MFA-Durchsetzung |
| Protokollierung und Überwachung privilegierter Sitzungen | Vollständige Sitzungsaufzeichnung mit Prüfpfad; jede Aktion wird protokolliert | Admin > Prüfprotokoll |
| Zugangskontrolle und minimale Rechtevergabe | Zugriffsrichtlinien auf Safe-Ebene; Just-in-Time (JIT)-Berechtigungen; Genehmigungs-Workflows | Policy-Engine > Richtlinien erstellen |
| Vorfallreaktion und Prüfpfad | Manipulationssicheres Prüfprotokoll mit CSV-Export; Sitzungsaufzeichnungen als forensischer Nachweis | Admin > Prüfprotokoll > CSV exportieren |
| Lieferkettensicherheit | Connector-Isolierung; jeder Connector verfügt über ein begrenztes Token; kompromittierte Connector können widerrufen werden | Admin > Connector-Verwaltung |
DSGVO-Pflichten für privilegierten Zugriff
Die DSGVO erlegt den Verantwortlichen und Auftragsverarbeitern personenbezogener Daten Pflichten auf. Privilegierter Zugriff auf Systeme, die personenbezogene Daten enthalten, muss kontrolliert und nachgewiesen werden.
Artikel 32 -- Technische und organisatorische Maßnahmen
VaultPAM erfüllt Art. 32, indem es Verschlüsselung von Anmeldeinformationen ruhender Daten (über die OpenBao-Secrets-Engine), verschlüsselte Sitzungsaufzeichnungen, MFA-Durchsetzung und einen vollständigen Prüfpfad aller Ereignisse des privilegierten Zugriffs bereitstellt.
Artikel 5 Abs. 1 Buchst. f -- Integrität und Vertraulichkeit
Der Grundsatz der Integrität und Vertraulichkeit (Art. 5 Abs. 1 Buchst. f) verlangt, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet. VaultPAM setzt dies auf Infrastrukturebene durch: Anmeldeinformationen werden nach dem Checkout niemals im Klartext in der Benutzeroberfläche offengelegt, Sitzungen werden aufgezeichnet und sind prüfbar, und Zugriffsrichtlinien verhindern, dass unbefugte Benutzer geschützte Ressourcen erreichen.
Artikel 30 -- Verzeichnis von Verarbeitungstätigkeiten
Das Prüfprotokoll von VaultPAM liefert eine fortlaufende Aufzeichnung darüber, wer wann und wie lange auf welches System zugegriffen hat. Dieses Protokoll kann als CSV exportiert und als Nachweis in Ihrem Verzeichnis von Verarbeitungstätigkeiten (VVT) gemäß Art. 30 verwendet werden. Das Prüfprotokoll ist manipulationssicher und wird für einen konfigurierbaren Zeitraum aufbewahrt (Standard: 90 Tage).
Datenresidenz
Bei SaaS-Bereitstellungen werden alle Mandantendaten ausschließlich in GCP europe-central2 (Warschau, Polen) gespeichert. Die Daten verlassen die EU nicht. Dies erfüllt die Anforderungen an die Datenresidenz gemäß DSGVO und NIS2 für EU-ansässige Organisationen.
Um eine schriftliche Bestätigung zu erhalten (zum Beispiel für eine Datenübermittlungs-Folgenabschätzung), fordern Sie einen Auftragsverarbeitungsvertrag (AVV) unter support@vaultpam.com an. Der AVV legt die Verarbeitungsregion und die Unterauftragsverarbeiter fest.