Take the lead in data protection best practices with our unified SIEM solution!
O que é o GDPR?
O Regulamento Geral de Proteção de Dados (GDPR) é um elemento fundamental da legislação de proteção de dados que impõe padrões rigorosos às organizações com penalidades pesadas em caso de descumprimento. O GDPR, promulgado pela UE em maio de 2018, exige uma estrutura robusta que dita como as organizações coletam, processam e armazenam dados pessoais. Isso estende-se à proteção dos dados pessoais contra quaisquer violações potenciais de dados, incluindo danos, destruição, processamento ilegal ou perda acidental. O GDPR coloca uma ênfase significativa na capacitação dos cidadãos da UE para exercerem controle sobre o uso e finalidade dos seus dados pessoais, esforçando-se para uniformizar os regulamentos de privacidade de dados em toda a UE.
O GDPR protege os dados pessoais, que não abrangem apenas identificadores tradicionais como nomes, endereços e números de identificação. Ele também inclui identificadores digitais, como endereços IP, endereços de e-mail e identificadores biológicos, como informações genéticas, biométricas e relacionadas à saúde. Ao adotar os princípios do GDPR, as organizações podem promover a confiança e respeito pelos direitos de privacidade dos indivíduos em um cenário cada vez mais centrado nos dados.
A quem o GDPR se aplica?
É imperativo entender que cumprir o GDPR não é relevante apenas para organizações dentro da UE. Todas as organizações que processam dados de indivíduos na UE ou no Espaço Econômico Europeu (EEE) devem seguir o GDPR, independentemente da sua localização. Isso inclui empresas, organizações sem fins lucrativos, agências governamentais e qualquer outra entidade que tratem dados pessoais de residentes da UE/EEE.
Por exemplo, vamos considerar uma empresa multinacional sediada nos Estados Unidos que oferece seus serviços a clientes que são cidadãos da UE. Como parte da sua atividade, ela poderá ser obrigada a armazenar e processar dados pessoais de cidadãos da UE. Neste caso, mesmo que a empresa não esteja fisicamente localizada na UE, deve cumprir as disposições do GDPR.
Explicação dos requisitos do GDPR
Mais de 75% do mandato regulamentar centra-se em orientar a maneira na qual as organizações coletam dados pessoais e em proteger os direitos dos titulares dos dados. Os 25% restantes referem-se às normas de segurança do processamento, o que exige o envolvimento de profissionais de segurança.
Para cumprir o GDPR, as organizações devem respeitar diversos requisitos que visam proteger a privacidade e direitos dos indivíduos. Aqui está uma visão geral dos requisitos do GDPR:
Capítulo 1 (Artigos 1-4): Disposições gerais
Este capítulo estabelece o escopo e aplicabilidade do regulamento. Ele descreve as disposições gerais, incluindo quem é responsável pelo cumprimento desta lei. Adicionalmente, o Artigo 4 fornece definições fundamentais para a interpretação do regulamento, esclarecendo termos como dados pessoais, processamento, controlador, processador e consentimento.
Capítulo 2 (Artigos 5-11): Princípios
Este capítulo descreve os princípios fundamentais para o processamento de dados pessoais. O Artigo 5 descreve os princípios básicos, incluindo legalidade, justiça, transparência, limitação de finalidade, minimização de dados, precisão, limitação de armazenamento e integridade do processamento de dados pessoais. O Artigo 6 detalha as condições de processamento legal, como consentimento e necessidade contratual. Os Artigos 7-11 desenvolvem vários aspectos do processamento de dados pessoais e direitos dos indivíduos.
Capítulo 3 (Artigos 12-23): Direitos do titular dos dados
Este capítulo descreve os direitos dos titulares dos dados. O Artigo 12 ilustra as formas de exercício dos direitos do titular dos dados e métodos para estabelecer uma comunicação clara e transparente. Ele também inclui o fornecimento de informações sobre os seus direitos com base no GDPR. Os Artigos 13 e 14 instruem as empresas sobre detalhes específicos, como a identidade do controlador e finalidade do processo, que elas devem fornecer durante a coleta de dados. Os Artigos 15 a 22 explicam os direitos dos titulares dos dados, incluindo acesso aos dados, retificação, exclusão de dados, restrição de processamento, objeção e portabilidade de dados.
Capítulo 4 (Artigos 24-43): Controlador e processador
O Capítulo 4 explica os deveres dos controladores e processadores de dados. Ele exige que os controladores implementem medidas adequadas que garantam o cumprimento do GDPR e princípios de proteção de dados. Os Artigos 33 e 34 exigem que os controladores reportem prontamente as violações de dados às autoridades de supervisão e comuniquem as violações aos titulares dos dados afetados.
Capítulo 5 (Artigos 44-50): Transferências de dados pessoais através de fronteiras internacionais
Este capítulo descreve os regulamentos relativos à transferência de dados pessoais entre países internacionais (Artigos 44-50). Este capítulo estabelece os princípios gerais a serem seguidos durante a transferência de dados da UE, regras corporativas associadas a essas transferências, e fala sobre cooperação internacional entre as autoridades de supervisão para promover a consistência nas práticas de proteção de dados.
Capítulo 6 (Artigos 51-59): Autoridades de supervisão independentes
O Capítulo 6 do GDPR (Artigos 51-59) discorre sobre as autoridades de supervisão independentes que devem assegurar o cumprimento do GDPR. Cada estado membro da UE nomeia estas autoridades para monitorar a aplicação do GDPR na sua jurisdição. Estas autoridades atuam como os principais guardiões da privacidade e segurança dos dados nas suas respectivas jurisdições, visando proteger os direitos dos indivíduos e promover práticas de processamento de dados justas e legais.
Capítulo 7 (Artigos 60-76): Cooperação e consistência
O Capítulo 7 do GDPR (Artigos 60-76) explica o papel, tarefas e poderes das autoridades de supervisão na UE. Ele descreve a competência das autoridades de supervisão, trocando informações e coordenando atividades para aplicar o GDPR de maneira eficaz. Este capítulo também enfatiza a importância da consistência na aplicação dos requisitos do GDPR para assegurar decisões coerentes entre as autoridades de supervisão.
Capítulo 8 (Artigos 77-84): Responsabilidade e penalidades
O Capítulo 8 do GDPR explica como apresentar reclamações às autoridades de supervisão e buscar soluções judiciais contra controladores ou processadores. As condições de suspensão dos processos e o direito à indenização pelos danos causados pelas infrações são descritos. As autoridades de supervisão são responsáveis pela aplicação de multas proporcionais à gravidade da infração, com multas máximas diferentes para infrações menos e mais graves.
Capítulo 9 (Artigos 85-91): Disposições referentes a situações específicas de processamento
O Capítulo 9 do GDPR, abrangendo os Artigos 85-91, aborda áreas onde regras ou isenções específicas podem ser necessárias em função da natureza da atividade de processamento ou seu impacto social. Além disso, ele aborda as proteções para fins de arquivamento e pesquisa, obrigações de confidencialidade e regras de proteção de dados para instituições religiosas.
Capítulo 10 (Artigos 92-93): Atos delegados e atos de execuçã
O Capítulo 10, que compreende os Artigos 92-93, refere-se a questões processuais relacionadas com atos delegados e atos de execução
Capítulo 11 (Artigos 94-99): Disposições finais
O Capítulo 11 contém as disposições finais relativas à implementação e execução do regulamento. Isso inclui a revogação de uma diretiva de processamento de dados anterior (Artigo 94), esclarece a relação com as regras existentes de comunicações eletrônicas (Artigo 95) e garante a continuidade dos acordos internacionais de transferência de dados.
Recursos
O erro caro do Spotify: A violação do GDPR e o caminho para a conformidade
Tudo o que você precisa saber e fazer para cumprir o Regulamento Geral de Proteção de Dados da UE
Guia de sobrevivência do administrador de segurança para o GDPR
Um livro de soluções para os administradores de segurança de TI cumprirem os requisitos do GDPR
Cumpra o GDPR facilmente usando o EventLog Analyzer
Como cumprir o GDPR?
Esta seção explica os requisitos do GDPR relativos às medidas de segurança que as organizações devem adotar no tratamento de dados pessoais. Ela também ilustra como a solução de SIEM da ManageEngine, o Log360, pode ajudar as organizações a cumprir esses requisitos e estar em conformidade com o GDPR.
Capítulo 2 - Princípios
Artigo 5º (1B) do GDPR: Coletar e monitorar o acesso a dados pessoais
Coletar dados pessoais para finalidades específicas e claras, garantindo a transparência e evitando processamento posterior incompatível com as intenções originais, enquanto respeita os princípios legais e justos. Se o processamento posterior for realizado para fins de interesse público, pesquisa científica ou fins estatísticos, ele deve cumprir as disposições do Artigo 89 (1). As organizações podem cumprir este requisito declarando claramente a finalidade da coleta de dados em formulários online e obtendo o consentimento explícito do titular dos dados.
Cumpra este requisito com a ManageEngine
O Log360 da ManageEngine monitora mudanças críticas em bancos de dados e fornece alertas instantâneos para atividades anômalas, como seleção, criação, alteração ou exclusão não autorizada de dados pessoais. Quaisquer desvios em relação aos padrões estabelecidos podem ser sinalizados para investigação adicional, garantindo que os dados não sejam processados de maneira incompatível com a finalidade declarada. Com perfis de alerta predefinidos, o Log360 pode gerar notificações instantâneas por e-mail ou SMS sempre que houver alguma atividade suspeita.
Artigo 5 (1D) do GDPR: Manter a precisão dos dados
Ele exige a manutenção de dados pessoais precisos e atualizados, correção imediata de imprecisões e garantia da confiabilidade e precisão das informações mantidas sobre os indivíduos. As organizações devem estabelecer sistemas robustos para manter a precisão, atualizando os dados e utilizando ferramentas ou softwares para identificar quaisquer imprecisões. Elas também devem obter insights sobre suas práticas de armazenamento de dados, incluindo implementação de sistemas que rastreiem a duração deste armazenamento. Isso permite a exclusão oportuna de dados assim que o período de armazenamento designado for atingido.
Cumpra este requisito com a ManageEngine
Utilizando monitoramento em tempo real, o Log360 da ManageEngine alerta os administradores sobre qualquer violação de dados, promovendo a precisão. Além disso, o Log360 ajuda a realizar auditorias de bancos de dados para determinar a duração do armazenamento de informações, permitindo a exclusão de dados pessoais assim que o limite de armazenamento for atingido, garantindo assim o compliance do requisito de manter os dados precisos e atualizados.
Artigo 5 (1F) do GDPR: Garantir a integridade e confidencialidade dos dados pessoais
Isso requer a implementação de medidas de segurança para proteger os dados pessoais, incluindo criptografia e testes regulares, garantindo a confidencialidade, integridade e disponibilidade dos dados, além do cumprimento de códigos de conduta ou mecanismos de certificação aprovados. As organizações devem adotar medidas técnicas para proteger dados pessoais contra processamento não autorizado ou ilegal, perda acidental, destruição ou danos. Isso envolve a implementação de técnicas de criptografia de dados, sistemas de backup e outras medidas de segurança apropriadas.
Cumpra este requisito com a ManageEngine
Utilizando perfis de alerta predefinidos, o Log360 da ManageEngine notifica os administradores prontamente sobre o acesso não autorizado, modificações ou exclusões de dados, protegendo sua integridade. Ele também fornece informações detalhadas sobre mudanças não autorizadas, facilitando a comunicação de incidentes, conforme necessário. Além disso, o Log360 oferece relatórios de auditoria sobre operações de linguagem de máquina de dados (DML) e linguagem de definição de dados (DDL) realizadas em bancos de dados SQL e Oracle para garantir que o processamento de dados pessoais armazenados nesses bancos de dados seja legítimo.
O AD360 da ManageEngine fornece capacidades completas de auditoria, permitindo que as organizações monitorem e rastreiem mudanças no seu ambiente do AD em tempo real. Isso inclui mudanças nas permissões de usuários, inscrições em grupos e outras configurações relacionadas à segurança, ajudando a garantir a integridade dos dados pessoais. A MFA do AD360 ajudar a proteger o acesso aos dados, estabelecendo uma plataforma de IAM centralizada e unificada. Ao fazer isso, as organizações garantem que apenas usuários com acesso autorizado possam obter controle sobre determinados recursos.
Capítulo 3 - Direitos do titular dos dados
Artigo 15 (1) do GDPR: Fornecer acesso aos dados pessoais
As organizações devem garantir que tenham sistemas implementados para atender às solicitações dos titulares dos dados para acesso aos seus dados pessoais. Isso inclui confirmar se os dados pessoais estão sendo processados, fornecer acesso a eles e divulgar informações específicas, tais como as finalidades do processamento, categorias de dados envolvidos, destinatários dos dados e duração do armazenamento.
Artigo 17 do GDPR: Direito de exclusão
Neste requisito, as organizações devem excluir os dados pessoais imediatamente mediante solicitação dos titulares dos dados. Caso os dados já não forem necessários ou se o consentimento for retirado, os controladores devem excluir as informações. Eles também devem informar outros controladores de dados que processam as mesmas informações sobre a solicitação de exclusão.
Capítulo 4 - Controlador e processador
Artigo 24 (1) do GDPR: Responsabilidade do controlador
As organizações devem implementar medidas técnicas e organizacionais adequadas para garantir o cumprimento do regulamento. Para cumpri-lo, os controladores devem realizar uma avaliação minuciosa considerando a natureza, escopo, contexto e finalidades do processamento de dados, bem como os riscos potenciais para os direitos dos indivíduos. Com base nesta avaliação, os controladores devem implementar medidas e protocolos adequados para proteger os dados pessoais eficazmente.
Cumpra este requisito com a ManageEngine
O AD360 da fornece capacidades de auditoria robustas, permitindo que as organizações monitorem e rastreiem mudanças no seu ambiente do AD em tempo real. Isso inclui mudanças nas contas de usuários, inscrições em grupos e configurações de segurança, garantindo responsabilidade e transparência nas atividades de processamento de dados.
Artigo 25 (2) do GDPR: Incorporar privacidade nos processos
Para cumprir o regulamento, as organizações devem avaliar cuidadosamente a quantidade de dados pessoais coletados, extensão do seu processamento, duração do armazenamento e sua acessibilidade. As organizações devem adotar práticas como minimização de dados, pseudonimização e criptografia para garantir que os dados pessoais não sejam disponibilizados sem intervenção individual a um número indefinido de indivíduos, melhorando assim a privacidade e proteção de dados das pessoas.
Cumpra este requisito com a ManageEngine
Com a ajuda do AD360, as organizações podem criar fluxos de trabalho personalizados e automatizar tarefas rotineiras e demoradas do AD, como provisionamento e desprovisionamento de usuários, redefinições de senhas, criação e modificação de grupos do AD e mudanças de permissão
Artigo 32 (1B) do GDPR: Proteger sistemas e serviços de processamento
Garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento ao implementar medidas técnicas e organizacionais adequadas, considerando a natureza, âmbito e riscos das atividades de processamento de dados. As organizações devem monitorar e auditar continuamente, tanto os sistemas de armazenamento que armazenam os dados pessoais como os serviços ou aplicações que processam as informações pessoais. Elas também devem implementar um plano completo de recuperação de desastres e continuidade de negócios.
Cumpra este requisito com a ManageEngine
O Log360 da ManageEngine ajuda a detectar tentativas de acesso não autorizado e anomalias nas atividades do usuário em sistemas e serviços onde os dados pessoais são armazenados. Especificamente, em bancos de dados como MS SQL e Oracle, o Log360 identifica tentativas de acesso não autorizado a servidores de bancos de dados e qualquer servidor contendo dados pessoais, garantindo confidencialidade e integridade contínuas.
Artigo 32 (1D) do GDPR: Segurança do processamento
Requer um processo para testar e avaliar regularmente a eficácia das medidas técnicas e organizacionais visando garantir a segurança do processamento de dados. Isso envolve checar e verificar as medidas de segurança em vigor rotineiramente para identificar quaisquer vulnerabilidades e garantir que permanecem eficazes ao longo do tempo.
Cumpra este requisito com a ManageEngine
O Log360 da ManageEngine correlaciona dados de logs de vários dispositivos e aplicações que processam dados pessoais, incluindo firewalls, scanners de vulnerabilidades, servidores de arquivos, bancos de dados, sistemas Linux/Unix e sistemas IBM AS400. Em seguida, ele analisa esses dados para identificar e alertar os usuários sobre quaisquer atividades suspeitas em tempo real.
Artigo 32 (2) do GDPR: Garantir a segurança no processamento de dados
Avaliar o nível de segurança adequado considerando os riscos associados às atividades de processamento de dados, como destruição acidental ou ilícita, perda, alteração, divulgação não autorizada ou acesso a dados pessoais. Isso envolve avaliar os riscos potenciais para os direitos e liberdades dos indivíduos decorrentes do processamento e adaptar as medidas de segurança de acordo para mitigar esses riscos de maneira eficaz.
Cumpra este requisito com a ManageEngine
Com os relatórios predefinidos e alertas em tempo real do Log360 da ManageEngine, as organizações podem detectar atividades não autorizadas imediatamente, como modificações de banco de dados, falhas de login e mudanças de permissão, melhorando assim a segurança dos dados e o compliance do GDPR. Ele também fornece dados de segurança centralizados e correlacionados para identificar possíveis violações de dados rapidamente.
O SSO do AD360 aumenta a segurança e simplifica o gerenciamento de acesso, permitindo que os usuários se autentiquem apenas uma vez e obtenham acesso a várias aplicações e sistemas sem a necessidade de inserir suas credenciais repetidamente. Ao centralizar a autenticação, o SSO pode ajudar as organizações a aplicar métodos de autenticação e controles de acesso mais fortes, reduzindo o risco de acesso não autorizado a dados pessoais.
Artigo 33 do GDPR: Notificação de violação de dados
Descreve os procedimentos para notificar as autoridades de supervisão e outras partes relevantes em caso de violação de dados pessoais. Caso uma violação ocorrer, o controlador deve notificar a autoridade de supervisão sem demora, de preferência no prazo de 72 horas após tomar conhecimento da mesma.
Cumpra este requisito com a ManageEngine
O Log360 da ManageEngine, utilizando seu console de alertas em tempo real e mecanismo de correlação, identifica violações instantaneamente, detecta e contém vários padrões de ataque, como DoS, DDoS, injeções de SQL e ataques de ransomware, que podem comprometer os dados pessoais. O Log360 também pode ajudar a exportar todas as informações forenses disponíveis, o que também pode ser útil para construir relatórios de incidentes.
Artigo 35 do GDPR: Realizar Avaliações de Impacto na Proteção de Dados (DPIA)
As organizações devem realizar uma DPIA antes de processar dados pessoais caso o processamento envolver:
- Novas tecnologias ou processamento em grande escala: Isso inclui a avaliação sistemática dos aspectos pessoais (definição de perfis) que afetam as pessoas ou processamento em grande escala de dados sensíveis, como informações de saúde ou registros criminais.
- Monitoramento público: Monitoramento regular de áreas públicas em grande escala.
O GDPR também permite que as autoridades de supervisão publiquem uma lista de atividades de processamento que sempre requerem uma DPIA ou aquelas que estão isentas. A própria DPIA deve ser uma avaliação documentada que avalie o processamento, seus riscos para os direitos individuais de privacidade e medidas tomadas para mitigá-los
Capítulo 5: Transferências de dados pessoais para fronteiras internacionais
Para cumprir os requisitos do GDPR referentes a transferências internacionais de dados, as organizações devem primeiramente rever suas operações comerciais atuais e futuras. Elas precisam identificar todos os casos em que dados pessoais são transferidos para fora do EEE meticulosamente. Para estas transferências, as organizações devem garantir a implementação de um mecanismo de transferência de dados que cumpra os padrões do GDPR. Isso envolve avaliar a adequação das medidas de proteção de dados no país de destino e estabelecer proteções adequadas, tais como regras corporativas vinculantes ou cláusulas contratuais padrão.
Capítulo 6: Compreender o papel das autoridades de supervisão
As organizações devem primeiramente garantir que entendem o papel e autoridade das autoridades de supervisão (SAs) no seu estado membro. Elas deverão cooperar plenamente com as autoridades de supervisão (SA) e fornecer as informações necessárias mediante solicitação. Além disso, devem alinhar suas práticas de processamento de dados com os requisitos do GDPR e estar preparadas para responder prontamente a quaisquer reclamações ou investigações iniciadas pelas autoridades de supervisão.
Capítulo 7: Cooperação e consistência
As organizações devem dar prioridade à colaboração com as SAs e cumprir os mecanismos descritos nos Artigos 60º a 76º. Elas devem assegurar a compartilhamento aberto e transparente de informações com as principais autoridades de supervisão e outras autoridades de controle relevantes, participando ativamente em operações conjuntas sempre que necessário.
Capítulo 8: Responsabilidade e penalidades
As organizações devem priorizar a transparência, responsabilidade e capacidade de resposta nas suas práticas de processamento de dados. Elas devem implementar avaliações de impacto para identificar riscos potenciais de violação do GDPR. Também devem estabelecer políticas e processos completos para abordar todos os requisitos de privacidade, incluindo medidas de segurança, procedimentos de tratamento de reclamações, protocolos de precisão de dados e mecanismos de denúncias de violações. É fundamental atualizar as políticas existentes elaboradas com referência às diretivas anteriores e garantir o alinhamento com as disposições do GDPR. O monitoramento e atualização regulares de políticas e procedimentos ajudarão a manter a conformidade contínua com os requisitos do GDPR.
Capítulo 9: Disposições referentes a situações específicas de processamento
As organizações devem cumprir as regulamentações dos estados membros referentes ao processamento de números de identificação nacionais, processamento de dados no contexto do emprego e processamento para fins de arquivamento, pesquisa ou estatístico. É fundamental implementar proteções e derrogações adequadas nos termos do Artigo 89º, garantindo o anonimato ou outras medidas de proteção quando necessário.
Capítulo 10: Atos delegados e atos de execução
As organizações devem se manter informadas sobre quaisquer atos delegados ou atos de execução aprovados pela Comissão Europeia que possam afetar suas operações. Elas devem acompanhar as atualizações e mudanças da lei para garantir o cumprimento de quaisquer novos regulamentos ou procedimentos estabelecidos por meio de atos delegados.
Capítulo 11: Disposições finais
As organizações devem garantir que compreendem a relação entre o GDPR e as leis revogadas ou existentes da UE. Também devem garantir que entendem o relacionamento entre o GDPR e leis revogadas ou existentes da UE. Elas devem reconhecer que a Diretiva 95/46 da CE foi substituída pelo GDPR.
Lista de verificação de cumprimento do GDPR
Com mais de noventa artigos, cumprir o GDPR é um processo trabalhoso. Aqui está uma lista de verificação que o ajudará no processo de conformidade.
- Entender os requisitos do GDPR: Familiarize-se com as disposições do GDPR e o que elas significam para sua organização.
- Auditoria de dados: Realize uma auditoria completa dos dados pessoais que você coleta, armazena e processa.
- Minimização de dados: Colete e processe apenas os dados necessários à finalidade pretendida.
- Gerenciamento de consentimento: Obtenha consentimento explícito para atividades de processamento de dados, como coleta, retenção e exclusão. Certifique-se de que ele seja fornecido livremente, seja específico, informado e inequívoco.
- DPIAs: Realize DPIA (Artigo 35) para atividades de processamento de alto risco.
- Mecanismos de transferência de dados: Implemente proteções adequadas para a transferência de dados pessoais para fora da UE/EEE.
- Diretor de Proteção de Dados (DPO): Nomeie um DPO caso isso for exigido pelo tamanho da sua organização (mais de 250 funcionários) ou pelas atividades de processamento.
- Registros de atividades de processamento: Mantenha registros das suas atividades de processamento de dados caso sua organização tiver pelo menos 250 funcionários ou participar de processamento de dados de alto risco, conforme exigido pelo GDPR.
- Auditorias regulares de conformidade: Realize auditorias regulares para garantir o cumprimento contínuo dos requisitos do GDPR.
- Leis de transferência transfronteiriça: Caso transferir dados pessoais para países fora da UE, cumpra os requisitos rigorosos estabelecidos no Artigo 45 do GDPR. A organização pode precisar de certificação no âmbito da Estrutura Privacy Shield.
- Representante da UE: As organizações não pertencentes à UE precisam nomear um representante baseado em um dos estados membros da UE.
- Avaliação de impacto na privacidade (AIP): A realização de uma AIP para identificar riscos potenciais envolvidos no processamento de dados pessoais e elaborar estratégias para mitigá-los é uma ação fundamental. Esta etapa implica avaliar o impacto do processamento nos indivíduos e identificar medidas de minimização de riscos.
- Plano de resposta a violações de dados: Desenvolva um plano de resposta a violações de dados (Artigos 33 e 34), incluindo procedimentos para excluir, comunicar e responder a violações no prazo exigido (em até 72 horas após a descoberta).
- Implementar medidas de segurança robustas: Garanta a proteção de dados identificando vulnerabilidades e riscos por meio de avaliações de risco completas. Utilize criptografia ou pseudonimização (Artigo 6) e controles de acesso para proteger os dados pessoais, atualizar os sistemas regularmente e treinar os funcionários sobre protocolos de segurança.
- Implemente um sistema de gerenciamento de incidentes para avaliar e analisar os impactos das violações de dados: Estabeleça um sistema de gerenciamento de incidentes com funções e responsabilidades definidas para avaliar e responder a violações. Desenvolva um plano de comunicação para notificar as partes relevantes e realize investigações completas para documentar as descobertas e implementar ações corretivas.
Casos de uso
Quer aprender como aproveitar o Log360 para monitoramento de integridade de arquivos?
Learn moreComo você garante a integridade e a conformidade dos dados com o Log360?
Learn moreImplicação da não conformidade
O descumprimento do GDPR pode ter implicações significativas para as organizações, incluindo multas pesadas e danos à reputação. As multas do GDPR são categorizadas em dois níveis com base na gravidade das violações:
- As multas de Nível 1 são impostas para infrações menos graves e podem chegar a um máximo de € 10 milhões ou 2% da receita anual global da empresa infratora (Artigo 83 (4)) do ano anterior, o que for maior. Essas violações normalmente envolvem controladores, processadores e órgãos de supervisão responsáveis pelas avaliações do GDPR e tratamento das reclamações.
- As multas de Nível 2 são para infrações mais graves relacionadas com direitos de privacidade e consentimento, e podem atingir até € 20 milhões ou 4% da receita anual global da empresa infratora (Artigo 83 (5)) do ano anterior, o que for maior. Estas violações centram-se em garantir o processamento de dados legal, preciso e seguro, incluindo o cumprimento das leis referentes ao consentimento e transparência.
Por exemplo, a Meta, anteriormente conhecida como Facebook, foi multada em € 1,3 bilhão pela Comissão Irlandesa de Proteção de Dados (DPC) por violações do GDPR relacionadas com a proteção de dados. Outra instância envolvida, o Whatsapp, que foi multado em € 225 milhões pela Comissão Irlandesa de Proteção de Dados por falta de transparência em relação às suas práticas de processamento de dados de usuários.
De maneira geral, o descumprimento do GDPR pode ter consequências muito grandes para as organizações, incluindo penalidades financeiras, perda de confiança, impactos nos negócios, desafios legais e escrutínio regulatório. Portanto, é fundamental que as empresas priorizem o cumprimento do GDPR e garantam que tenham medidas robustas de proteção de dados em vigor para proteger os dados pessoais e evitar repercussões potenciais.
Isenção de responsabilidade:: Este guia foi criado usando informações fornecidas pelos documentos oficiais do GDPR.
Soluções da ManageEngine
Sobre o Log360
O Log360 é uma solução de SIEM unificada com capacidades integrados de DLP e CASB que detecta, prioriza, investiga e responde a ameaças de segurança. O Vigil IQ, módulo de TDIR da solução, combina inteligência sobre ameaças, um Workbench de Incidentes analítico, detecção de anomalias baseada em machine learning (ML) e técnicas de detecção de ataques baseadas em regras para detectar ataques sofisticados, além de oferecer um console de gerenciamento de incidentes para remediar as ameaças detectadas com eficácia. O Log360 oferece visibilidade holística de segurança em redes locais, na nuvem e híbridas com seus recursos intuitivos e avançados de análise e monitoramento de segurança.
Teste-nos por 30 diasSobre o AD360
O AD360 da ManageEngine é uma solução unificada de gerenciamento de identidade e acesso (IAM) que ajuda a gerenciar identidades, proteger o acesso e garantir a conformidade. Ele é oferecido com capacidades poderosas, como gerenciamento automatizado do ciclo de vida de identidades, certificação de acesso, avaliação de risco, login único seguro, MFA adaptável, fluxos de trabalho baseados na aprovação, proteção contra ameaças de identidades orientada por UBA e relatórios históricos de auditoria do AD, Exchange Server e Microsoft 365. A interface intuitiva e capacidades poderosas do AD360 tornam este produto a solução ideal para suas necessidades de IAM, incluindo a promoção de um ambiente Zero Trust. Para mais informações, visite o site https://www.manageengine.com/br/active-directory-360/.
Teste-nos por 30 dias