Cyber Essential

O que é a GDPR?

O Regulamento Geral de Proteção de Dados (GDPR) é um regulamento da União Europeia (UE) que rege estritamente as maneiras pelas quais as organizações coletam, gerenciam e armazenam dados pessoais.

A GDPR visa dar aos cidadãos da UE controle sobre como e por que seus dados pessoais são usados e padronizar os regulamentos de privacidade de dados em toda a UE. No entanto, é importante observar que se sua organização lida com dados pertencentes a titulares da UE ou do Espaço Econômico Europeu (EEE), você deve cumprir o GDPR, independentemente de onde sua empresa esteja localizada.

Por que você deve cumprir a GDPR?

Embora as organizações estejam fixadas nos aspectos punitivos rigorosos da GDPR, é fácil perder os benefícios que sua conformidade trará para o seu negócio.

Simplifique processos e aplicações

Unificar todos os seus repositórios de dados e ter uma compreensão clara sobre o tipo e a finalidade de sua coleta ajudará sua organização a simplificar o acesso e as solicitações de modificação, levando a uma segurança aprimorada.

Ganhe vantagem competitiva

A implementação de medidas rígidas para proteger as informações pessoais mostra a importância dada à privacidade dos dados e aumentará a confiança do cliente.

Provoque uma mudança cultural

A conformidade é um processo gradual de melhoria que trará uma cultura de “segurança desde a concepção” dentro de sua empresa.

Como a TI pode ajudar na conformidade com a GDPR?

Com 99 artigos a seguir, a conformidade com o GDPR é um processo de várias etapas. Aqui está uma lista de verificação de TI que ajudará você a começar.

01 Um repositório central para armazenar, visualizar, monitorar e analisar dados de log de vários ambientes
02 Um mecanismo de alerta em tempo real para detectar atividades suspeitas ocorrendo no ambiente de TI da sua organização
03 Um sistema de auditoria para garantir a integridade, confidencialidade e segurança dos dados de log gerados pelo seu ambiente
04 Os meios para proteger ativos que armazenam dados pessoais em seu ambiente
05 Um sistema para criar e gerenciar registros de todos os dados processados, juntamente com relatórios detalhados sob demanda
06 Capacidade de identificar quem acessa contas privilegiadas e informações confidenciais
07 Segurança adequada e criptografia de informações pessoais em trânsito
08 Um mecanismo para identificar, responder e relatar uma violação quando ela ocorrer
09 Um sistema de monitoramento de ativos e sistemas que carregam qualquer tipo de informação pessoal
10 Uma ferramenta para identificar e proteger regularmente as vulnerabilidades que surgem em seu ambiente

Como você pode cumprir a GDPR?

  • Artigo 5
  • Article 15
  • Article 16
  • Article 17
  • Article 24
  • Article 25
  • Article 30
  • Article 32
  • Article 33
  • Article 35

Article 5

Princípios relacionados ao processamento de dados pessoais

Artigo 5(1)(b)

Colete dados pessoais apenas para os fins especificados e não processe os dados de maneira incompatível com o(s) propósito(s) declarado(s).

Soluções da ManageEngine para ajudá-lo na conformidade:

DataSecurity Plus
  • Identifique acesso, coleta, modificação e exclusão de dados anômalos.
Log360
  • Envie notificações às autoridades competentes em caso de atividades anômalas.
Endpoint DLP Plus
  • Aproveite registros extensos sobre eventos de acesso e transferência envolvendo informações confidenciais para auditoria.

Artigo 5(1)(c)

Colete apenas dados pessoais adequados e relevantes, limitados apenas ao necessário para fins de processamento.

Soluções da ManageEngine para ajudá-lo na conformidade:

DataSecurity Plus
  • Encontre e exclua dados inúteis, incluindo arquivos obsoletos, duplicados e órfãos.

Artigo 5(1)(d)

Mantenha os dados pessoais recolhidos/processados sempre precisos e atualizados.

Soluções da ManageEngine para ajudá-lo na conformidade:

Endpoint Central
  • Agende verificações de dispositivos para garantir a disponibilidade e integridade dos dados pessoais.
DataSecurity Plus
  • Monitore e exclua dados desatualizados ou incorretos.
Log360
  • Audite os bancos de dados para determinar por quanto tempo eles foram armazenados e exclua os dados pessoais assim que o limite de armazenamento for atingido.
Browser Security Plus
  • Verifique navegadores ativos para garantir a proteção de dados pessoais.
Endpoint DLP Plus
  • Reúna informações sobre os titulares de dados rapidamente para modificação ou exclusão mediante solicitação.

Artigo 5(1)(f)

Processe todas as formas de dados pessoais com a máxima segurança e evite meios de processamento ilegais ou não autorizados.

Soluções da ManageEngine para ajudá-lo na conformidade:

Endpoint Central
  • Obtenha visibilidade dos usuários ou dispositivos que tentam acessar serviços e dados comerciais.
Log360
  • Envie alertas quando forem feitas tentativas de acesso não autorizadas.
  • Gere notificações instantâneas sempre que ocorrerem mudanças críticas em arquivos.
EventLog Analyzer
  • Audite todas as atividades em sistemas que armazenam dados pessoais e alterações nos próprios dados pessoais.
  • Avise os responsáveis pela proteção de dados ou administradores de segurança sempre que a integridade dos dados pessoais for comprometida.
DataSecurity Plus
  • Audite ações de arquivos e pastas e mantenha uma trilha de auditoria de acessos a eles. Acione alertas instantâneos por e-mail para administradores ao detectar ações suspeitas.
  • Detecte e contenha infecções de ransomware instantaneamente para evitar a perda de dados.
  • Detecte e evite o vazamento de arquivos críticos para os negócios por meio de dispositivos USB ou e-mail.
Patch Manager Plus
  • Mascare, remova e retenha PII ao agendar ou exportar relatórios de usuários.
Endpoint DLP Plus
  • Limite o acesso aos dados ao pessoal essencial e relevante com base na autorização de segurança e nas necessidades específicas da tarefa.

Artigo 5(2)

Demonstre conformidade com os requisitos do GDPR quando necessário.

Soluções da ManageEngine para ajudá-lo com a conformidade:

ADManager Plus
  • Exporte relatórios em qualquer formato de arquivo e/ou envie-os por e-mail para as partes interessadas em intervalos especificados.
PAM360
  • Forneça gravações de vídeo, relatórios personalizados e logs de auditoria em todas as atividades privilegiadas.

Artigo 15

Direito de acesso do titular dos dados

Artigo 15(1)

Sempre apresente aos seus titulares de dados o direito de obter informações sobre o tipo de dados pessoais que estão sendo processados e a natureza das atividades realizadas com relação a eles.

Soluções da ManageEngine para ajudá-lo na conformidade:

DataSecurity Plus
  • Monitore quem acessa dados pessoais, incluindo quando e onde os dados são usados.
  • Encontre os dados pessoais dos usuários em servidores de arquivos do Windows e ambientes de cluster de failover.
Endpoint DLP Plus
  • Descubra o paradeiro dos dados pessoais e a sua relação com as fontes, sistemas e usuários correspondentes.

Artigo 15(3)

Forneça aos titulares dos dados uma cópia de todos os seus dados pessoais que foram recolhidos para processamento.

Soluções da ManageEngine para ajudá-lo na conformidade:

DataSecurity Plus
  • Identifique o local onde os dados pessoais ou sensíveis são armazenados para facilitar os processos posteriores.
Endpoint DLP Plus
  • Examine os endpoints em sua rede para encontrar o paradeiro de todos os itens confidenciais de qualquer titular de dados.

Artigo 16

Direito de retificação

Artigo 16

Dê aos titulares dos dados a opção de retificar ou atualizar convenientemente suas informações pessoais.

Soluções da ManageEngine para ajudá-lo na conformidade:

DataSecurity Plus
  • Mantenha seu inventário de dados pessoais atualizado, verificando o sistema de arquivos do Windows em intervalos regulares.
Endpoint DLP Plus
  • Digitalize, descubra e recupere dados pessoais, permitindo mudanças imediatas mediante solicitação dos titulares dos dados.

Artigo 17

Direito ao apagamento ('direito a ser esquecido')

Artigo 17

Caso algum titular dos dados solicite o apagamento dos seus dados pessoais, tenha sempre a disposição para atender prontamente o seu pedido.

Soluções da ManageEngine para ajudá-lo na conformidade:

DataSecurity Plus
  • Localize arquivos contendo informações do titular dos dados para processos posteriores.
Endpoint DLP Plus
  • Recupere informações sobre titulares de dados rapidamente para facilitar o apagamento de dados sem demora.

Artigo 24

Responsabilidade do controlador

Artigo 24(1)

Implemente medidas técnicas e organizacionais adequadas para garantir que o processamento seja realizado de acordo com o GDPR.

Soluções da ManageEngine para ajudá-lo na conformidade:

Endpoint Central
  • Verifique periodicamente se os ativos de sua organização ainda estão em conformidade com as configurações corporativas.
  • Distribua com segurança documentos comerciais confidenciais para indivíduos e aplicações autorizadas.
ADManager Plus
  • Envie relatórios por e-mail ou exporte-os quando necessário para avaliações e investigações de segurança.
Endpoint DLP Plus
  • Gere relatórios extensos com insights acionáveis para auditar informações confidenciais e políticas aplicadas a elas.

Artigo 24(2)

Implemente políticas de proteção de dados apropriadas para proteger as PII dos titulares de dados.

Soluções da ManageEngine para ajudá-lo na conformidade:

DataSecurity Plus
  • Evite transferências de dados injustificadas para dispositivos USB com políticas predefinidas.
  • Use mecanismos automatizados de resposta a ameaças para desligar sistemas infectados e desconectar sessões de usuários não autorizados.
Endpoint DLP Plus
  • Configure políticas para restringir a movimentação de dados confidenciais para dispositivos periféricos ou por meio de postagens na Web ou anexos de e-mail.

Artigo 25

Proteção de dados por design e por padrão

Artigo 25(2)

Os dados pessoais devem ser tratados apenas para a finalidade para a qual foram recolhidos e não devem ser acessíveis a quem não esteja diretamente envolvido nesses processos.

Soluções da ManageEngine para ajudá-lo na conformidade:

Endpoint Central
  • Mantenha os dados pessoais e corporativos separados em dispositivos móveis.
  • Exclua os dados pessoais dos usuários de seus servidores e revogue o acesso a esses dados.
Password Manager Pro
  • Impeça que usuários não autorizados explorem o acesso privilegiado a repositórios de dados pessoais.
ADManager Plus
  • Audite eventos de mudança de permissão para identificar alterações de permissão não autorizadas relacionadas a dados pessoais.
DataSecurity Plus
  • Encontre usuários com acesso de controle total aos seus compartilhamentos do Windows e localize todos os arquivos e pastas compartilhados com todos.
PAM360
  • Certifique-se de que apenas usuários autorizados possam acessar remotamente dados confidenciais por um período de tempo específico.

Artigo 30

Registros de atividades de processamento

Artigo 30(1)

Sempre mantenha registros de todas as atividades de processamento com detalhes sobre o motivo, categorias de dados processados e medidas de segurança adotadas durante o processamento.

Soluções da ManageEngine para ajudá-lo na conformidade:

DataSecurity Plus
  • Localize instâncias de dados pessoais confidenciais armazenados em servidores de arquivos do Windows e clusters de failover.
  • Descubra a permissão do usuário sobre arquivos que contêm dados pessoais confidenciais e audite a atividade do usuário.
PAM360
  • Obtenha logs de auditoria ricos em contexto, relatórios prontos para uso e gravações de sessão de todas as atividades realizadas em repositórios de dados pessoais.
Patch Manager Plus
  • Mantenha e visualize um registro de todas as atividades de processamento realizadas.
ADManager Plus
  • Obtenha uma trilha de auditoria completa de todas as atividades relacionadas aos dados pessoais.
Endpoint Central
  • Mantenha um registro de todas as atividades de processamento conforme exigido pelo GDPR.
Endpoint DLP Plus
  • Audite dados confidenciais e as políticas aplicadas a eles para protegê-los contra divulgação.

Artigo 32

Segurança de processamento

Artigo 32(1)(a)

Assegure a confidencialidade de todos os sistemas de tratamento e encripte os dados pessoais implementando as medidas adequadas.

Soluções da ManageEngine para ajudá-lo na conformidade:

Key Manager Plus
  • Proteja os dados em trânsito, monitore e gerencie facilmente sua infraestrutura de chave pública.
Endpoint Central
  • Criptografe dados pessoais armazenados em dispositivos móveis.

Artigo 32(1)(b)

Garanta a disponibilidade, confidencialidade e integridade dos sistemas e serviços de processamento.

Soluções da ManageEngine para ajudá-lo na conformidade:

Key Manager Plus
  • Proteja e criptografe o acesso às PII de seus titulares de dados.
DataSecurity Plus
  • Monitore e audite continuamente os sistemas de armazenamento dos dados pessoais.
Log360
  • Detecte tentativas de acesso não autorizado e anomalias nas atividades do usuário em sistemas e serviços.
ADAudit Plus
  • Audite e envie alertas em tempo real quando ocorrer qualquer mudança em recursos críticos.
  • Detecte tentativas de acesso não autorizado e anomalias nas atividades do usuário em sistemas e serviços.
PAM360
  • Permita que usuários autorizados se conectem a recursos remotos críticos sem exposição de senha com segurança.
Vulnerability Manager Plus
  • Detecte sistemas sem criptografia BitLocker e criptografe volumes de disco inteiros.
Endpoint DLP Plus
  • Limite a exposição de dados confidenciais restringindo o acesso apenas ao pessoal relevante com base em sua habilitação de segurança.

Artigo 32(1)(d)

Notificação de uma violação de dados pessoais à autoridade supervisora

Soluções da ManageEngine para ajudá-lo na conformidade:

Endpoint Central
  • Proteja e criptografe o acesso às PII de seus titulares de dados.
Password Manager Pro
  • Prevent attackers from exploiting privileged access to collected personal data.
Log360
  • Secure processing by watching out for any anomalies that could turn out to be a potential data breach.
EventLog Analyzer
  • Audit all activity on systems that store personal data and changes to personal data itself.
PAM360
  • Monitor and audit privileged activities on critical systems, and terminate anomalous sessions.
Vulnerability Manager Plus
  • Monitor misconfigurations in your endpoints and bring them under compliance.
Endpoint DLP Plus
  • Deploy data loss prevention policies to uphold security measures even when offline.

Article 32(2)

Implement preventive mechanisms for risks associated with data processing such as loss, alteration, deletion, and disclosure of personal data.

ManageEngine solutions to help you comply:

Endpoint Central
  • Set alerts in case a device does not check in with the server over a predefined period of time.
Log360
  • Centralize and correlate security data to identify potential data breaches instantly.
  • Audit changes to personal data,e.g., modification, deletion, renaming, or even permission changes.
DataSecurity Plus
  • Monitor the use of USBs and block the movement of personal data to USB devices or via email as an attachment.
  • Reduce incident response times with instant alerts and an automated threat response.
  • Generate alerts and reports on unwarranted accesses or sudden spikes in file accesses and modifications.
  • Maintain a record of all file and folder deletion actions, and uncover and quarantine ransomware infections.
Patch Manager Plus
  • Set alerts in case a device does not check in with the server over a predefined period of time.
Endpoint DLP Plus
  • Configure policies to restrict the movement of sensitive information to peripheral devices.

Article 32(4)

Take steps to ensure that nobody exploits or gains unauthorized or unlawful access to personal data.

ManageEngine solutions to help you comply:

Password Manager Pro
  • Manage, monitor, and audit administrative access to systems and applications that handle PII.
Log360 and ADManager Plus
  • Detect when users access personal data without proper permissions.
PAM360
  • Provision time-bound, just-in-time privileged access to sensitive systems and applications.
Patch Manager Plus
  • Configure role-based access for processing activities through assigned devices.
M365 Manager Plus
  • Establish role-based access control for Microsoft 365 administration.

Artigo 33

Notificação de uma violação de dados pessoais à autoridade supervisora

Artigo 33

Em caso de violação de dados pessoais, informe as autoridades de supervisão no prazo de 72 horas. Se a notificação for feita após 72 horas, envie junto com ela o motivo do atraso.

Soluções da ManageEngine para ajudá-lo na conformidade:

Log360
  • Detecte qualquer violação de dados em sua rede instantaneamente.
  • Detecte e contenha padrões de ataque como DoS, DDoS, injeções de SQL e ataques de ransomware.
  • Crie regras de correlação personalizadas e perfis de alerta para detectar padrões de ataque desconhecidos.
  • Determine quando ocorre uma violação, sua origem, as partes responsáveis e o impacto.
  • Exporte todas as informações forenses e crie relatórios de incidentes.
Password Manager Pro
  • Registre sessões e acesso privilegiado à conta.
DataSecurity Plus
  • Analise a causa raiz e o escopo de uma violação de dados por meio de logs de atividades.
PAM360
  • Forneça gravações de sessões privilegiadas invioláveis e trilhas de auditoria de cada sessão.
Endpoint DLP Plus
  • Mantenha registros de eventos de acesso e transferência de dados com detalhes sobre o usuário, computador e mídia.

Artigo 35

Avaliação do impacto da proteção de dados

Artigo 35

Realize uma avaliação do impacto da proteção de dados e implemente medidas de segurança para proteger os dados pessoais que estão sendo processados.

Soluções da ManageEngine para ajudá-lo na conformidade:

DataSecurity Plus
  • Calcule a pontuação de risco dos arquivos que contêm dados pessoais.
  • Identifique arquivos vulneráveis devido a problemas de higiene de permissão.

Obtenha orientação sobre a conformidade com o GDPR

Fale com nossos especialistas para obter mais informações sobre como sua organização pode cumprir o mandato de conformidade com a GDPR.

Nome* Please enter the name
Email *
Telefone* Please enter your phone number
Country*

Ao clicar em 'Enviar', você concorda com o processamento de dados pessoais de acordo com a Política de Privacidade.

Disclaimer

Isenção de responsabilidade: A conformidade total com a GDPR requer uma variedade de soluções, processos, pessoas e tecnologias. As soluções mencionadas acima são algumas das maneiras pelas quais as ferramentas de gerenciamento de TI podem ajudar com alguns de seus requisitos. Juntamente com outras soluções, processos e pessoas apropriados, as soluções da ManageEngine ajudam a alcançar e manter a conformidade com a GDPR. Este material é fornecido apenas para fins informativos e não deve ser considerado como aconselhamento jurídico. A ManageEngine não oferece garantias, expressas, implícitas ou estatutárias, quanto às informações contidas neste material.