Conformitatea NIS2 și GDPR
VaultPAM este conceput ca infrastructură de conformitate pentru organizațiile din UE supuse NIS2 și GDPR. Acest articol mapează capacitățile VaultPAM la cerințele specifice care se aplică managementului accesului privilegiat.
Articolul 21 NIS2
Articolul 21 al Directivei NIS2 solicită organizațiilor să implementeze măsuri tehnice și operaționale corespunzătoare și proporționale pentru a gestiona riscurile. Tabelul de mai jos mapează măsurile specifice la capacitățile VaultPAM.
| Cerință Articolul 21 NIS2 | Capacitate VaultPAM | Unde se configurează |
|---|---|---|
| Autentificare multifactor pentru tot accesul privilegiat | Politică de aplicare a MFA; suportă TOTP și chei hardware | Organisation settings > Security > MFA enforcement |
| Înregistrarea și monitorizarea sesiunilor privilegiate | Înregistrare completă a sesiunilor cu pista de audit; fiecare acțiune este înregistrată | Admin > Audit log |
| Controlul accesului și principiul celui mai mic privilegiu | Politici de acces la nivel Safe; acorduri Just-in-Time (JIT); fluxuri de aprobare | Policy engine > Creating policies |
| Răspunsul la incidente și pista de audit | Jurnal de audit rezistent la modificări cu export CSV; înregistrări de sesiuni ca dovezi forensice | Admin > Audit log > Export CSV |
| Securitatea lanțului de aprovizionare | Izolarea Connector; fiecare Connector are un token cu domeniu de aplicare; Connectorii compromși pot fi revocare | Admin > Connector management |
Obligații GDPR privind accesul privilegiat
GDPR impune obligații asupra responsabililor cu tratarea datelor și ale prelucratorilor. Accesul privilegiat la sisteme care conțin date cu caracter personal trebuie controlat și documentat.
Articolul 32 -- Măsuri tehnice și organizaționale
VaultPAM satisface Art. 32 prin furnizarea de criptare a acreditărilor în repaus (prin intermediul motorului de secrete OpenBao), înregistrări de sesiuni criptate, aplicarea MFA și o pistă de audit completă a tuturor evenimentelor de acces privilegiat.
Articolul 5(1)(f) -- Integritate și confidențialitate
Principiul integritații și confidențialității (Art. 5(1)(f)) necesită ca datele cu caracter personal să fie prelucrate într-o manieră care să asigure o securitate corespunzătoare. VaultPAM aplică acest lucru la nivelul infrastructurii: acreditările nu sunt niciodată expuse în text clar în interfața utilizator după checkout, sesiunile sunt înregistrate și auditabile, iar politicile de acces previn ca utilizatorii neautorizați să acceseze resurse protejate.
Articolul 30 -- Registrele activităților de prelucrare
Jurnalul de audit al VaultPAM furnizează o înregistrare continuă a cine a accesat ce sistem, când și pentru cât timp. Acest jurnal poate fi exportat ca CSV și utilizat ca dovadă în înregistrările Art. 30 ale activităților de prelucrare (ROPA). Jurnalul de audit este rezistent la modificări și reținut pentru o perioadă configurabilă (implicit: 90 de zile).
Rezidența datelor
Pentru implementările SaaS, toate datele ținutului sunt stocate exclusiv în GCP europe-central2 (Varșovia, Polonia). Datele nu ies din UE. Aceasta satisface cerințele de rezidență a datelor din GDPR și NIS2 pentru organizațiile din UE.
Pentru a primi o confirmare scrisă (de exemplu, pentru o Evaluare a Impactului asupra Transferului de Date), solicitați un Acord de Prelucrare a Datelor (DPA) de la support@vaultpam.com. DPA-ul specifică regiunea de prelucrare și sub-procesatorii.