Przejdź do głównej zawartości

Zgodność z NIS2 i RODO

VaultPAM zostało zaprojektowane jako infrastruktura zgodności dla organizacji z UE podlegających NIS2 oraz RODO. Ten artykuł odwzorowuje funkcje VaultPAM na konkretne wymagania mające zastosowanie do zarządzania dostępem uprzywilejowanym.

Artykuł 21 NIS2

Artykuł 21 dyrektywy NIS2 wymaga od organizacji wdrożenia odpowiednich i proporcjonalnych środków technicznych i operacyjnych w celu zarządzania ryzykiem. Poniższa tabela odwzorowuje poszczególne środki na funkcje VaultPAM.

Wymaganie artykułu 21 NIS2Funkcja VaultPAMGdzie skonfigurować
Uwierzytelnianie wieloskładnikowe dla całego dostępu uprzywilejowanegoPolityka egzekwowania MFA; obsługuje TOTP oraz klucze sprzętoweUstawienia organizacji > Bezpieczeństwo > Egzekwowanie MFA
Rejestrowanie i monitorowanie sesji uprzywilejowanychPełne nagrywanie sesji ze ścieżką audytu; każde działanie jest rejestrowaneAdministracja > Dziennik audytu
Kontrola dostępu i minimalne uprawnieniaPolityki dostępu na poziomie sejfu; nadania dostępu just-in-time (JIT); przepływy zatwierdzaniaSilnik polityk > Tworzenie polityk
Reagowanie na incydenty i ścieżka audytuDziennik audytu odporny na manipulacje z eksportem do CSV; nagrania sesji jako dowody śledczeAdministracja > Dziennik audytu > Eksport CSV
Bezpieczeństwo łańcucha dostawIzolacja konektorów; każdy konektor ma token o ograniczonym zakresie; skompromitowane konektory można unieważnićAdministracja > Zarządzanie konektorami

Obowiązki RODO w zakresie dostępu uprzywilejowanego

RODO nakłada obowiązki na administratorów danych oraz podmioty przetwarzające dane osobowe. Dostęp uprzywilejowany do systemów przechowujących dane osobowe musi być kontrolowany i udokumentowany.

Artykuł 32 -- Środki techniczne i organizacyjne

VaultPAM spełnia wymagania art. 32 poprzez zapewnienie szyfrowania poświadczeń w spoczynku (za pośrednictwem silnika sekretów OpenBao), szyfrowanych nagrań sesji, egzekwowania MFA oraz kompletnej ścieżki audytu wszystkich zdarzeń dostępu uprzywilejowanego.

Artykuł 5 ust. 1 lit. f) -- Integralność i poufność

Zasada integralności i poufności (art. 5 ust. 1 lit. f)) wymaga, aby dane osobowe były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo. VaultPAM egzekwuje to na poziomie infrastruktury: poświadczenia nigdy nie są ujawniane w postaci jawnej w interfejsie użytkownika po pobraniu, sesje są nagrywane i podlegają audytowi, a polityki dostępu uniemożliwiają nieuprawnionym użytkownikom dotarcie do chronionych zasobów.

Artykuł 30 -- Rejestr czynności przetwarzania

Dziennik audytu VaultPAM zapewnia ciągły rejestr tego, kto, kiedy i jak długo uzyskiwał dostęp do danego systemu. Dziennik ten można wyeksportować jako CSV i wykorzystać jako dowód w rejestrze czynności przetwarzania (RCP) zgodnie z art. 30. Dziennik audytu jest odporny na manipulacje i przechowywany przez konfigurowalny okres (domyślnie: 90 dni).

Rezydencja danych

W przypadku wdrożeń SaaS wszystkie dane najemcy są przechowywane wyłącznie w GCP europe-central2 (Warszawa, Polska). Dane nie opuszczają UE. Spełnia to wymagania dotyczące rezydencji danych wynikające z RODO i NIS2 dla organizacji z siedzibą w UE.

Aby otrzymać pisemne potwierdzenie (na przykład na potrzeby oceny skutków przekazania danych), poproś o umowę powierzenia przetwarzania danych (DPA) pod adresem support@vaultpam.com. Umowa DPA określa region przetwarzania oraz podmioty podprzetwarzające.

Powiązane artykuły