O Regulamento Geral de Proteção de Dados (GDPR) da União Europeia entra em vigor em 25 de maio de 2018. O GDPR é uma das estruturas mais completas do gênero e um verdadeiro divisor de águas para as organizações, não apenas na UE, mas em todo o mundo. Criou um alvoroço entre os profissionais de segurança e os colocou na sua busca incessante por diversas estratégias e soluções, num esforço para fazer com que as suas organizações cumpram a lei. Não existe uma estratégia única que possa ajudar as organizações a cumprir o GDPR, mas, no entanto, o propósito do regulamento permanece muito claro: reforçar a proteção dos dados pessoais dos cidadãos e residentes da UE.

De acordo com o GDPR, o termo dados pessoais refere-se a qualquer informação que direta ou indiretamente ajude a identificar um “Titular dos Dados” (ou seja, uma pessoa física). O Artigo 4 do GDPR define os dados pessoais da seguinte forma:

‘dados pessoais’ qualquer informação relativa a uma pessoa física identificada ou identificável ("titular dos dados"); uma pessoa física identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador como nome, número de identificação, dados de localização, identificador online ou um ou mais fatores específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa física;

O Key Manager Plus está sob o escopo do GDPR, pois coleta, armazena e processa os seguintes dados pessoais.

• Nome do usuário
• Nome de usuário SSH
• SAN
• Nome do recurso
• Nome do servidor de destino
• Nome da chave
• Emissor
• Endereço IP
• Nome da instância
• Nome do host
• Nome do domínio
• Controlador de domínio
• Nome do DNS
• Descrição
• Data center
• Nome comum
• Modelo de certificado
• Autoridade de certificação
• Nome de usuário do AD

Considerando a privacidade dos dados do cliente como nossa principal prioridade, agora incorporamos as seguintes melhorias para ajudá-lo a atender exclusivamente às normas de privacidade definidas pelo GDPR da UE.

1. Disposição para controle de exposição de dados pessoais em relatórios

O Key Manager Plus agora inclui disposições para controlar até que ponto os dados pessoais são expostos em relatórios predefinidos. Os administradores podem optar por “mascarar” ou “ocultar” certas informações de identificação pessoal (PII) e, assim, substituir esses dados pessoais específicos por caracteres fictícios aleatórios ou ocultá-los totalmente em relatórios gerados pelo Key Manager Plus ou em notificações de e-mail de relatórios programados que contenham esses dados pessoais.

2. Proteção por senha para exportações

Os administradores agora podem ativar a proteção por senha para exportações, aplicando assim uma camada adicional de segurança para vários arquivos (certificados, chave privada de certificado, solicitação de assinatura de certificado, relatórios PDF e CSV, chave pública SSH, chave privada SSH, chaves protegidas no armazenamento de chaves) exportados do Key Manager Plus. O Key Manager Plus oferece atualmente dois níveis de proteção por senha:

• Senha global - Uma senha uniforme aplicável a todos os usuários ao exportar arquivos do Key Manager Plus.
• Senha do usuário - Além da senha global, os administradores também podem permitir que os usuários definam suas próprias senhas separadas para serem usadas ao exportar arquivos do Key Manager Plus.

3. Reconhecimento do administrador da transferência de dados para integrações de terceiros

O Key Manager Plus agora tornou obrigatório que os administradores reconheçam a transferência de dados pessoais ao configurar a integração com terceiros - como solicitações de certificado da Let’s Encrypt e outras ACs confiáveis de terceiros, integração com CMDB do ServiceDesk Plus - onde houver fluxo de dados pessoais do Key Manager Plus.

4. Disposições para eliminar trilhas de auditoria

O Key Manager Plus inclui opções para eliminar trilhas de auditoria, proporcionando aos administradores o privilégio de apagar dados pessoais que não são mais necessários em relação aos fins para os quais foram originalmente registrados.

5. Criptografia no banco de dados de informações pessoais confidenciais

O Key Manager Plus oferece criptografia de dados pessoais confidenciais no banco de dados. Isso não só ajuda os administradores a garantir o anonimato e a privacidade dos dados dos usuários, mas também garante a integridade dos dados, o que significa que os criminosos cibernéticos não seriam capazes de decifrar ou manipular os dados dos usuários, mesmo durante circunstâncias de qualquer ataque à segurança.

6. Provisão para gerenciar endereços de e-mail de não usuários

Ao agendar operações como descoberta de recursos SSH, descoberta de certificados, varredura de vulnerabilidades e geração de relatórios, o Key Manager Plus permite que o administrador envie os status de conclusão das tarefas agendadas e notificações de expiração de licença para endereços de e-mail de usuários que não possuem uma conta individual do Key Manager Plus. Uma lista completa de todos esses IDs externos é devidamente mantida no Key Manager Plus para ajudar os administradores autorizados a manter um controle sobre endereços de e-mail de não usuários usados no Key Manager Plus e também os excluir, se necessário.

Isenção de responsabilidade:

Este relatório é fornecido com base no entendimento da ManageEngine, uma divisão da ZOHO Corp, sobre os requisitos do GDPR da UE. A ZOHO Corp. não é um auditor ou autoridade legal, e você deve consultar seu auditor corporativo ou representante legal para obter orientação.

As informações fornecidas neste relatório não substituem a orientação de um consultor jurídico. Não há garantia de que as informações contidas neste relatório estejam completas ou livres de erros. Este relatório foi gerado usando informações fornecidas no “Capítulo 3: Direitos do titular dos dados” no Regulamento Geral de Proteção de Dados (GDPR) (UE) 2016/679 elaborado pelo Conselho e Parlamento Europeu. O principal objetivo do relatório é delinear a lista de disposições fornecidas no Password Manager Pro para permitir que uma organização defenda os direitos dos seus titulares de dados e proteja os seus dados pessoais que são processados dentro da solução.