Compliance mit dem POPI-Act
mit DataSecurity Plus

Der Protection of Personal Information Act (auch POPI-Act oder POPIA) ist ein vom Parlament Südafrikas verabschiedetes Datenschutzgesetz. Es regelt, wie Organisationen im In- und Ausland personenbezogene Daten in Südafrika sammeln, nutzen, speichern, löschen und anderweitig verwalten.

ManageEngine DataSecurity Plus hilft Ihnen folgendermaßen, die Anforderungen gemäß dem POPI-Act zu erfüllen:

Erkennung personenbezogene Daten in Speicherumgebungen des Unternehmens.
Überwachung von Nutzeraktivitäten in Dateien, die vertrauliche Daten enthalten.
Schutz von Dateien vor unbeabsichtigten und böswilligen Datenlecks.
Bereitstellung erweiterter Einblicke in Sicherheitsberechtigungen und Dateispeicher.
Optimierte POPIA-Audits mit detaillierten Berichten.

Und vieles mehr.

E-BOOK

So hilft Ihnen DataSecurity Plus dabei, personenbezogene Daten zu erkennen, zu verfolgen und zu schützen, um die DSGVO einzuhalten.

Zur POPIA-Compliance mit DataSecurity Plus

Diese Tabelle zeigt die verschiedenen Abschnitte von POPIA auf, bei denen Ihnen DataSecurity Plus unter die Arme greift.

Was der POPIA-Abschnitt besagt	Was Sie tun müssen	Wie DataSecurity Plus Sie dabei unterstützt
Abschnitt 10 Personenbezogene Daten dürfen nur verarbeitet werden, wenn sie gemäß dem Zweck ihrer Verarbeitung angemessen, relevant und nicht übermäßig sind.	Versichern Sie sich, keine personenbezogenen Daten gesammelt zu haben, die für Ihre Aktivitäten unnötig sind. Die von Ihnen gespeicherten personenbezogenen Daten dürfen nur von den Mitarbeitern verarbeitet werden, die zum Erfüllen ihrer Arbeit darauf zugreifen müssen.	Datenerkennung: Sucht nach personenbezogenen Daten der betroffenen Person, die von Ihrer Organisation gespeichert werden. Daraufhin wird ein Inventar erstellt, sodass sichergestellt werden kann, dass nur benötigte Daten gespeichert werden. Berechtigungsanalyse: Listet Nutzer auf, die auf Daten zugreifen können – zusammen mit Details dazu, welche Aktionen jeder Nutzer an diesen durchführen kann. ROT-Datenanalyse: Identifizieren Sie alte, überholte oder nicht geänderte Dateien, damit keine personenbezogenen Daten über den beabsichtigten Aufbewahrungszeitraum hinaus gespeichert werden.
Abschnitt 11(4) Wenn eine betroffene Person der Verarbeitung ihrer personenbezogenen Daten widerspricht, dürfen diese von der verantwortlichen Partei nicht mehr verarbeitet werden.	Suchen Sie nach allen Instanzen der personenbezogenen Daten der betroffenen Person und ergreifen Sie die nötigen Maßnahmen, um die Verarbeitung der Daten zu stoppen.	Abgleich von Schlüsselwörtern: Identifiziert Daten, die mit dem gesuchten Schlüsselwort übereinstimmen. So können Sie die zu löschenden personenbezogenen Daten akkurat und schnell ausfindig machen. Reaktionsautomatisierung: Nachdem ein übereinstimmendes Schlüsselwort gefunden wird, lässt sich die Löschung bzw. das Verschieben in Quarantäne automatisieren – oder Sie können Batch-Dateien ausführen, um die Nutzung durch spezifische Aktionen zu begrenzen.
Abschnitt 14(1) Datensätze mit personenbezogenen Daten dürfen nicht länger aufbewahrt werden, als dies für den Zweck erforderlich ist, aus dem sie gesammelt und dann verarbeitet wurden.	Organisationen dürfen personenbezogene Daten nicht länger aufbewahren, als sie benötigt werden. Sie müssen weiterhin regelmäßige Prüfungen durchführen, um ungewollt lange gespeicherte Daten zu erkennen und sich um sie zu kümmern.	Dateianalyse: Hilft Ihnen dabei, eine Richtlinie zur Datenaufbewahrung zu erstellen, indem redundante, veraltete oder triviale Daten im Datenspeicher erkannt und Dateien entfernt werden, deren Aufbewahrungszeitraum überschritten wurde.
Abschnitt 14(2) Datensätze mit personenbezogenen Daten dürfen über die in Unterabschnitt 14(1) festgelegten Zeiträume hinaus zu Verlaufs-, Statistik- und Forschungszwecken aufbewahrt werden. Das gilt aber nur, wenn die verantwortliche Partei angemessene Vorkehrungen getroffen hat, damit die Datensätze nicht zu anderen Zwecken verwendet werden.	Beim Speichern von vertraulichen personenbezogenen Daten über einen langen Zeitraum sind Organisationen verpflichtet, Kontrollen zu implementieren, um die Sicherheit, Integrität und Vertraulichkeit der Daten sicherzustellen.	Überwachung der Datei-Integrität: Auditiert alle erfolgreichen und fehlgeschlagenen Versuche, eine Datei zu erstellen, zu lesen, zu schreiben, zu löschen, Berechtigungen zu ändern bzw. sie zu verschieben, umzubenennen, zu kopieren oder einzufügen – und das in Echtzeit. Außerdem wird ein detaillierter Auditverlauf erstellt, um eine tiefgehende Analyse zu ermöglichen und die Compliance mit den gesetzlichen Vorgaben zu belegen. Datensicherheit: Löst sofortige Alarmierungen aus, wenn verdächtig hohe Volumen an Dateiänderungen erkannt werden, oder wenn ein Nutzer kritische Dateien außerhalb der Geschäftszeiten ändert. Sperrt versuche, vertrauliche Dateien über Endpunkte nach draußen zu schleusen. Bewertung wirksamer Berechtigungen: Hilft, die Vertraulichkeit von Daten sicherzustellen, indem die dafür wirksamen Berechtigungen analysiert werden. Damit können Datenadministratoren bestätigen, dass Nutzer keine zusätzlichen Berechtigungen haben, als für ihre jeweilige Rolle erforderlich ist.
Abschnitt 14(4) Eine verantwortliche Partei muss Datensätze personenbezogener Daten umgehend vernichten, löschen oder unkenntlich machen, sofern es zumutbarer Weise praktikabel ist, wenn die Partei nicht mehr zur Verwahrung des Datensatz berechtigt ist.	Löschen Sie vertrauliche personenbezogene Daten, wenn der Aufbewahrungszeitraum erreicht ist, sie diese nicht mehr verarbeiten müssen oder die betroffene Person deren Löschung beantragt.	Datenerkennung: Identifizieren Sie die von Ihnen gespeicherten personenbezogenen Daten der betroffenen Person anhand von Schlüsselwort-Abgleich und regelmäßigen Ausdrücken, um sie aus dem Speicher des Unternehmens zu löschen. ROT-Datenanalyse: Identifiziert alte Dateien und automatisiert deren Löschung.
Abschnitt 14(6) Die verantwortliche Partei muss die Verarbeitung personenbezogener Daten beschränken.	Sorgen Sie dafür, dass der Zugriff auf bestrittene vertrauliche personenbezogene Daten beschränkt wird, oder gewähren Sie grundsätzlich nur Zugriff, wenn dieser erforderlich ist.	Prinzip der geringsten Berechtigungen (PoLP): Verfolgt Berechtigungsänderungen nach, listet die geltenden Berechtigungen auf, identifiziert Dateien, auf die alle Mitarbeiter zugreifen können, sucht nach Nutzern mit vollständiger Kontrolle, und vieles mehr. So hilft Ihnen die Lösung bei der Implementierung von PoLP. Sie können diese Berechtigungsberichte jederzeit bei Bedarf erzeugen, oder Zeitpläne zur Zustellung dieser Berichte erstellen, um die Dateiberechtigungen in regelmäßigen Abständen zu überprüfen.
Abschnitt 15(1) Die weitere Verarbeitung personenbezogener Daten muss gemäß dem Zweck mit dem Zweck übereinstimmen, zu dem sie gesammelt wurden.	Implementieren Sie Maßnahmen, um eine abnormale Nutzung der personenbezogenen Daten zu erkennen und zu begrenzen.	Sofortige Alarmierungen, automatisierte Reaktionen: Löst Alarmierungen aus, wenn Nutzeraktivitäten in Dateiservern, Failover-Clustern, Workgroup-Servern oder Workstations gegen die eingestellten Richtlinien zum Umgang mit Daten verstoßen. Sie können außerdem Skripte ausführen, um automatisch Rechner herunterzufahren, Sitzungen von Endnutzern zu beenden und mehr.
Abschnitt 16(1) Eine verantwortliche Partei muss zumutbar praktikable Schritte unternehmen, um sicherzustellen, dass die personenbezogenen Daten vollständig, zutreffend und nicht irreführend sowie bei Bedarf aktualisiert werden.	Identifizieren und prüfen Sie die Korrektheit der von Ihrer Organisation gespeicherten personenbezogenen Daten.	Datenerkennung: Nutzt die Datenerkennung, um die personenbezogenen Daten der betroffenen Person zu suchen. Dabei kommen eindeutige Schlüsselwörter zum Einsatz, wie Personalausweisnummer, Kreditkartendaten, E-Mail-IDs usw. Stellt detaillierte Berichte zum Speicherort und den zugewiesenen Berechtigungen der personenbezogenen Daten bereit. ROT-Datenanalyse: Sucht nach Dateien, die älter als das vom Nutzer angegebene Alter sind, um Daten aufzuspüren, die aktualisiert werden müssen.
Abschnitt 17 Eine verantwortliche Partei muss alle Verarbeitungsoperationen dokumentieren.	Verfolgen Sie alle Aktionen nach, die von der Sammlung bis zur Löschung an den personenbezogenen Daten durchgeführt werden.	Überwachung von Dateiänderungen: Auditiert in Echtzeit Änderungen, die an Dateien und Ordnern vorgenommen werden, mit Informationen dazu, wer, wann und von wo aus auf welche Datei zugegriffen hat. Stellt detaillierte Berichte für Compliance-Audits bereit. Außerdem wird ein detaillierter Auditverlauf erstellt, um die weitere Analyse zu ermöglichen und Compliance-Anforderungen zu erfüllen.
Abschnitt 19(1) Eine verantwortliche Partei muss die Integrität und Vertraulichkeit personenbezogener Daten sichern, die sich in ihrem Besitz bzw. unter ihrer Kontrolle befinden. Dazu muss sie angemessene, zumutbare technische und organisatorische Maßnahmen ergreifen, um das Folgende zu verhindern: Verlust von, Schäden an oder unbefugte Vernichtung von personenbezogenen Daten; und unrechtmäßigen Zugriff auf bzw. Verarbeitung von personenbezogenen Daten.	Implementieren Sie eine DLP-Lösung (zur Datenverlustprävention), um versehentliche oder böswillige Lecks vertraulicher personenbezogener Daten zu verhindern.	Berechtigungsanalyse: Listet alle Nutzer auf, die auf eine Datei mit personenbezogenen Daten zugreifen können, um zu prüfen, ob sie diese Berechtigungen auch benötigen. Endpunkt-Datenverlustprävention: Überwacht die Nutzung von Wechseldatenträgern an Endpunkten. Blockiert das Verschieben von Dateien mit vertraulichen Daten auf USB-Geräte bzw. das Versenden als E-Mail-Anhang. Verhindert unbeabsichtigte Datenlecks, indem Systemmeldungen den Nutzer darauf hinweisen, dass das Risiko des Verschiebens kritischer Daten besteht. Reduziert die Zeit zur Vorfallreaktion mit sofortigen Alarmierungen und einem automatisierten Mechanismus zur Bedrohungsreaktion. Bedrohungserkennung und -reaktion: Identifiziert mögliche Ransomware-Angriffe und kann automatisch infizierte Server herunterfahren, korrumpierte Dateien in Quarantäne verschieben und die Ausbreitung der Ransomware eindämmen.
Abschnitt 19(2) Die verantwortliche Partei muss zumutbare Maßnahmen ergreifen, um: Alle zumutbar voraussehbaren internen und externen Risiken zu erkennen, die für personenbezogene Daten in ihrem Besitz oder unter ihrer Kontrolle vorliegen; und Angemessene Vorkehrungen gegen die erkannten Risiken treffen.	Identifizieren und bewerten Sie Risiken für die von Ihnen gespeicherten personenbezogenen Daten. Implementieren Sie Maßnahmen, um das Risiko zu begrenzen.	Datenrisikobewertung: Berechnet die Risiko-Punktzahl von Dateien mit personenbezogenen Daten, indem Sie die zugehörigen Berechtigungen, das Volumen und den Typ gebrochener Regeln, Audit-Details und mehr analysieren. Endpunkt-Datenverlustprävention: Klassifiziert geschäftskritische Dateien nach ihrer Vertraulichkeit und verhindert, dass es zu per E-Mail, USB-Geräte, Drucker usw. zu einem Datenleck kommt.
Abschnitt 22(2) Eine Benachrichtigung über einen Sicherheitsverstoß muss alle angemessenen und notwendigen Maßnahmen berücksichtigen, um den Umfang der kompromittierten Daten festzustellen und die Integrität des Informationssystems der verantwortlichen Partei wiederherzustellen.	Untersuchen Sie forensisch mögliche Ursachen und den Umfang des Datenlecks.	Detaillierter Auditverlauf: Pflegt einen vollständigen Auditverlauf aller Aktionen bis zum Zeitpunkt des Datenlecks. Dies hilft dabei, die Ursache des Lecks effektiv zu analysieren und zu erkennen, welche Daten genau kompromittiert wurden.
Abschnitt 23(1) Eine betroffene Person (sog. Data Subject) hat das Recht: zu verlangen, dass die verantwortliche Partei bestätigt, ob sie personenbezogene Daten zur jeweiligen betroffenen Person im Speicher hat; und zu verlangen, dass die verantwortliche Partei einen Datensatz bzw. eine Beschreibung der personenbezogenen Daten herausgibt, die sie zur betroffenen Person speichert. Dies umfasst Informationen zu allen Parteien, die Zugriff zu den Daten haben bzw. hatten.	Suchen und geben Sie sämtliche Informationen frei, die Ihre Organisation zur betroffenen Person speichert, und welche Einzelpersonen darauf zugreifen konnten.	Datenerkennung: Sucht nach Instanzen der personenbezogenen Daten, die in Windows-Dateiservern und Failover-Clustern gespeichert sind. Nutzt vorkonfigurierte Regeln und Richtlinien für die Datenerkennung, um nach Personalausweisnummern, Kreditkartendaten, E-Mail-IDs und mehr als 50 anderen Typen vertraulicher personenbezogener Daten zu scannen. Analyse von Sicherheitsberechtigungen: Findet heraus, wer über Berechtigungen zu Dateien verfügt, die personenbezogene Daten enthalten. Auditing von Dateizugriffen: Auditiert die Nutzeraktivität in Dateien und verzeichnet Details dazu, wer wann und von wo aus worauf zugegriffen hat.
Abschnitt 24(1) Eine betroffene Person kann verlangen, dass die verantwortliche Partei die in ihrem Besitz befindlichen personenbezogenen Daten zur betroffenen Person korrigiert oder löscht.	Suchen und korrigieren Sie alle Instanzen der falschen unzutreffenden Informationen zur betroffenen Person. Löschen Sie alle Daten, deren Speicherung die betroffene Person widerspricht.	Datenerkennung: Verwendet die Datenerkennung, um die personenbezogenen Daten der betroffenen Person zu suchen. Außerdem lassen sich Batch-Dateien ausführen, um diese Daten zu löschen oder zur weiteren Verarbeitung an einen sicheren Speicherort zu verschieben.
Abschnitt 26 Eine verantwortliche Partei darf keine personenbezogenen Daten verarbeiten, bei denen es um religiöse oder philosophische Glaubenssätze, die Rasse oder ethnische Herkunft, die Mitgliedschaft in Gewerkschaften, die politischen Ansichten, Gesundheit oder Sexualleben, biometrische Informationen oder kriminelle Handlungen der betroffenen Person geht, sofern nicht gemäß der Abschnitte 27–31 von POPIA zulässig.	Organisationen können die beschriebenen personenbezogenen Daten nicht ohne die notwendige Genehmigung sammeln und speichern.	Datenerkennung: Scannt im Datenspeicher nach Inhalten, die zum festgelegten regelmäßigen Ausdruck (RegEx) bzw. Schlüsselwort passen. Dies hilft Organisationen ohne die nötige Autorisierung dabei, Instanzen der betreffenden personenbezogenen Daten zu erkennen und zu beheben, um Strafen aufgrund fehlender Compliance zu vermeiden. Datenrisikobewertung: Erstellt Berichte zu Dateien, die personenbezogene Daten enthalten, mit Details zum Speicherort, den zum Zugriff berechtigten Personen, der Risikobewertung und mehr.

Was der POPIA-Abschnitt besagt

Was Sie tun müssen

Wie DataSecurity Plus Sie dabei unterstützt

Abschnitt 10

Personenbezogene Daten dürfen nur verarbeitet werden, wenn sie gemäß dem Zweck ihrer Verarbeitung angemessen, relevant und nicht übermäßig sind.

Versichern Sie sich, keine personenbezogenen Daten gesammelt zu haben, die für Ihre Aktivitäten unnötig sind.
Die von Ihnen gespeicherten personenbezogenen Daten dürfen nur von den Mitarbeitern verarbeitet werden, die zum Erfüllen ihrer Arbeit darauf zugreifen müssen.

Datenerkennung:

Sucht nach personenbezogenen Daten der betroffenen Person, die von Ihrer Organisation gespeichert werden. Daraufhin wird ein Inventar erstellt, sodass sichergestellt werden kann, dass nur benötigte Daten gespeichert werden.

Berechtigungsanalyse:

Listet Nutzer auf, die auf Daten zugreifen können – zusammen mit Details dazu, welche Aktionen jeder Nutzer an diesen durchführen kann.

ROT-Datenanalyse:

Identifizieren Sie alte, überholte oder nicht geänderte Dateien, damit keine personenbezogenen Daten über den beabsichtigten Aufbewahrungszeitraum hinaus gespeichert werden.

Abschnitt 11(4)

Wenn eine betroffene Person der Verarbeitung ihrer personenbezogenen Daten widerspricht, dürfen diese von der verantwortlichen Partei nicht mehr verarbeitet werden.

Suchen Sie nach allen Instanzen der personenbezogenen Daten der betroffenen Person und ergreifen Sie die nötigen Maßnahmen, um die Verarbeitung der Daten zu stoppen.

Abgleich von Schlüsselwörtern:

Identifiziert Daten, die mit dem gesuchten Schlüsselwort übereinstimmen. So können Sie die zu löschenden personenbezogenen Daten akkurat und schnell ausfindig machen.

Reaktionsautomatisierung:

Nachdem ein übereinstimmendes Schlüsselwort gefunden wird, lässt sich die Löschung bzw. das Verschieben in Quarantäne automatisieren – oder Sie können Batch-Dateien ausführen, um die Nutzung durch spezifische Aktionen zu begrenzen.

Abschnitt 14(1)

Datensätze mit personenbezogenen Daten dürfen nicht länger aufbewahrt werden, als dies für den Zweck erforderlich ist, aus dem sie gesammelt und dann verarbeitet wurden.

Organisationen dürfen personenbezogene Daten nicht länger aufbewahren, als sie benötigt werden. Sie müssen weiterhin regelmäßige Prüfungen durchführen, um ungewollt lange gespeicherte Daten zu erkennen und sich um sie zu kümmern.

Dateianalyse:

Hilft Ihnen dabei, eine Richtlinie zur Datenaufbewahrung zu erstellen, indem redundante, veraltete oder triviale Daten im Datenspeicher erkannt und Dateien entfernt werden, deren Aufbewahrungszeitraum überschritten wurde.

Abschnitt 14(2)

Datensätze mit personenbezogenen Daten dürfen über die in Unterabschnitt 14(1) festgelegten Zeiträume hinaus zu Verlaufs-, Statistik- und Forschungszwecken aufbewahrt werden. Das gilt aber nur, wenn die verantwortliche Partei angemessene Vorkehrungen getroffen hat, damit die Datensätze nicht zu anderen Zwecken verwendet werden.

Beim Speichern von vertraulichen personenbezogenen Daten über einen langen Zeitraum sind Organisationen verpflichtet, Kontrollen zu implementieren, um die Sicherheit, Integrität und Vertraulichkeit der Daten sicherzustellen.

Überwachung der Datei-Integrität:

Auditiert alle erfolgreichen und fehlgeschlagenen Versuche, eine Datei zu erstellen, zu lesen, zu schreiben, zu löschen, Berechtigungen zu ändern bzw. sie zu verschieben, umzubenennen, zu kopieren oder einzufügen – und das in Echtzeit.
Außerdem wird ein detaillierter Auditverlauf erstellt, um eine tiefgehende Analyse zu ermöglichen und die Compliance mit den gesetzlichen Vorgaben zu belegen.

Datensicherheit:

Löst sofortige Alarmierungen aus, wenn verdächtig hohe Volumen an Dateiänderungen erkannt werden, oder wenn ein Nutzer kritische Dateien außerhalb der Geschäftszeiten ändert.
Sperrt versuche, vertrauliche Dateien über Endpunkte nach draußen zu schleusen.

Bewertung wirksamer Berechtigungen:

Hilft, die Vertraulichkeit von Daten sicherzustellen, indem die dafür wirksamen Berechtigungen analysiert werden. Damit können Datenadministratoren bestätigen, dass Nutzer keine zusätzlichen Berechtigungen haben, als für ihre jeweilige Rolle erforderlich ist.

Abschnitt 14(4)

Eine verantwortliche Partei muss Datensätze personenbezogener Daten umgehend vernichten, löschen oder unkenntlich machen, sofern es zumutbarer Weise praktikabel ist, wenn die Partei nicht mehr zur Verwahrung des Datensatz berechtigt ist.

Löschen Sie vertrauliche personenbezogene Daten, wenn der Aufbewahrungszeitraum erreicht ist, sie diese nicht mehr verarbeiten müssen oder die betroffene Person deren Löschung beantragt.

Datenerkennung:

Identifizieren Sie die von Ihnen gespeicherten personenbezogenen Daten der betroffenen Person anhand von Schlüsselwort-Abgleich und regelmäßigen Ausdrücken, um sie aus dem Speicher des Unternehmens zu löschen.

ROT-Datenanalyse:

Identifiziert alte Dateien und automatisiert deren Löschung.

Abschnitt 14(6)

Die verantwortliche Partei muss die Verarbeitung personenbezogener Daten beschränken.

Sorgen Sie dafür, dass der Zugriff auf bestrittene vertrauliche personenbezogene Daten beschränkt wird, oder gewähren Sie grundsätzlich nur Zugriff, wenn dieser erforderlich ist.

Prinzip der geringsten Berechtigungen (PoLP):

Verfolgt Berechtigungsänderungen nach, listet die geltenden Berechtigungen auf, identifiziert Dateien, auf die alle Mitarbeiter zugreifen können, sucht nach Nutzern mit vollständiger Kontrolle, und vieles mehr. So hilft Ihnen die Lösung bei der Implementierung von PoLP.
Sie können diese Berechtigungsberichte jederzeit bei Bedarf erzeugen, oder Zeitpläne zur Zustellung dieser Berichte erstellen, um die Dateiberechtigungen in regelmäßigen Abständen zu überprüfen.

Abschnitt 15(1)

Die weitere Verarbeitung personenbezogener Daten muss gemäß dem Zweck mit dem Zweck übereinstimmen, zu dem sie gesammelt wurden.

Implementieren Sie Maßnahmen, um eine abnormale Nutzung der personenbezogenen Daten zu erkennen und zu begrenzen.

Sofortige Alarmierungen, automatisierte Reaktionen:

Löst Alarmierungen aus, wenn Nutzeraktivitäten in Dateiservern, Failover-Clustern, Workgroup-Servern oder Workstations gegen die eingestellten Richtlinien zum Umgang mit Daten verstoßen.
Sie können außerdem Skripte ausführen, um automatisch Rechner herunterzufahren, Sitzungen von Endnutzern zu beenden und mehr.

Abschnitt 16(1)

Eine verantwortliche Partei muss zumutbar praktikable Schritte unternehmen, um sicherzustellen, dass die personenbezogenen Daten vollständig, zutreffend und nicht irreführend sowie bei Bedarf aktualisiert werden.

Identifizieren und prüfen Sie die Korrektheit der von Ihrer Organisation gespeicherten personenbezogenen Daten.

Datenerkennung:

Nutzt die Datenerkennung, um die personenbezogenen Daten der betroffenen Person zu suchen. Dabei kommen eindeutige Schlüsselwörter zum Einsatz, wie Personalausweisnummer, Kreditkartendaten, E-Mail-IDs usw.
Stellt detaillierte Berichte zum Speicherort und den zugewiesenen Berechtigungen der personenbezogenen Daten bereit.

ROT-Datenanalyse:

Sucht nach Dateien, die älter als das vom Nutzer angegebene Alter sind, um Daten aufzuspüren, die aktualisiert werden müssen.

Abschnitt 17

Eine verantwortliche Partei muss alle Verarbeitungsoperationen dokumentieren.

Verfolgen Sie alle Aktionen nach, die von der Sammlung bis zur Löschung an den personenbezogenen Daten durchgeführt werden.

Überwachung von Dateiänderungen:

Auditiert in Echtzeit Änderungen, die an Dateien und Ordnern vorgenommen werden, mit Informationen dazu, wer, wann und von wo aus auf welche Datei zugegriffen hat.
Stellt detaillierte Berichte für Compliance-Audits bereit.
Außerdem wird ein detaillierter Auditverlauf erstellt, um die weitere Analyse zu ermöglichen und Compliance-Anforderungen zu erfüllen.

Abschnitt 19(1)

Eine verantwortliche Partei muss die Integrität und Vertraulichkeit personenbezogener Daten sichern, die sich in ihrem Besitz bzw. unter ihrer Kontrolle befinden. Dazu muss sie angemessene, zumutbare technische und organisatorische Maßnahmen ergreifen, um das Folgende zu verhindern:

Verlust von, Schäden an oder unbefugte Vernichtung von personenbezogenen Daten; und
unrechtmäßigen Zugriff auf bzw. Verarbeitung von personenbezogenen Daten.

Implementieren Sie eine DLP-Lösung (zur Datenverlustprävention), um versehentliche oder böswillige Lecks vertraulicher personenbezogener Daten zu verhindern.

Berechtigungsanalyse:

Listet alle Nutzer auf, die auf eine Datei mit personenbezogenen Daten zugreifen können, um zu prüfen, ob sie diese Berechtigungen auch benötigen.

Endpunkt-Datenverlustprävention:

Überwacht die Nutzung von Wechseldatenträgern an Endpunkten.
Blockiert das Verschieben von Dateien mit vertraulichen Daten auf USB-Geräte bzw. das Versenden als E-Mail-Anhang.
Verhindert unbeabsichtigte Datenlecks, indem Systemmeldungen den Nutzer darauf hinweisen, dass das Risiko des Verschiebens kritischer Daten besteht.
Reduziert die Zeit zur Vorfallreaktion mit sofortigen Alarmierungen und einem automatisierten Mechanismus zur Bedrohungsreaktion.

Bedrohungserkennung und -reaktion:

Identifiziert mögliche Ransomware-Angriffe und kann automatisch infizierte Server herunterfahren, korrumpierte Dateien in Quarantäne verschieben und die Ausbreitung der Ransomware eindämmen.

Abschnitt 19(2)

Die verantwortliche Partei muss zumutbare Maßnahmen ergreifen, um:

Alle zumutbar voraussehbaren internen und externen Risiken zu erkennen, die für personenbezogene Daten in ihrem Besitz oder unter ihrer Kontrolle vorliegen; und
Angemessene Vorkehrungen gegen die erkannten Risiken treffen.

Identifizieren und bewerten Sie Risiken für die von Ihnen gespeicherten personenbezogenen Daten. Implementieren Sie Maßnahmen, um das Risiko zu begrenzen.

Datenrisikobewertung:

Berechnet die Risiko-Punktzahl von Dateien mit personenbezogenen Daten, indem Sie die zugehörigen Berechtigungen, das Volumen und den Typ gebrochener Regeln, Audit-Details und mehr analysieren.

Endpunkt-Datenverlustprävention:

Klassifiziert geschäftskritische Dateien nach ihrer Vertraulichkeit und verhindert, dass es zu per E-Mail, USB-Geräte, Drucker usw. zu einem Datenleck kommt.

Abschnitt 22(2)

Eine Benachrichtigung über einen Sicherheitsverstoß muss alle angemessenen und notwendigen Maßnahmen berücksichtigen, um den Umfang der kompromittierten Daten festzustellen und die Integrität des Informationssystems der verantwortlichen Partei wiederherzustellen.

Untersuchen Sie forensisch mögliche Ursachen und den Umfang des Datenlecks.

Detaillierter Auditverlauf:

Pflegt einen vollständigen Auditverlauf aller Aktionen bis zum Zeitpunkt des Datenlecks. Dies hilft dabei, die Ursache des Lecks effektiv zu analysieren und zu erkennen, welche Daten genau kompromittiert wurden.

Abschnitt 23(1)

Eine betroffene Person (sog. Data Subject) hat das Recht:

zu verlangen, dass die verantwortliche Partei bestätigt, ob sie personenbezogene Daten zur jeweiligen betroffenen Person im Speicher hat; und
zu verlangen, dass die verantwortliche Partei einen Datensatz bzw. eine Beschreibung der personenbezogenen Daten herausgibt, die sie zur betroffenen Person speichert. Dies umfasst Informationen zu allen Parteien, die Zugriff zu den Daten haben bzw. hatten.

Suchen und geben Sie sämtliche Informationen frei, die Ihre Organisation zur betroffenen Person speichert, und welche Einzelpersonen darauf zugreifen konnten.

Datenerkennung:

Sucht nach Instanzen der personenbezogenen Daten, die in Windows-Dateiservern und Failover-Clustern gespeichert sind.
Nutzt vorkonfigurierte Regeln und Richtlinien für die Datenerkennung, um nach Personalausweisnummern, Kreditkartendaten, E-Mail-IDs und mehr als 50 anderen Typen vertraulicher personenbezogener Daten zu scannen.

Analyse von Sicherheitsberechtigungen:

Findet heraus, wer über Berechtigungen zu Dateien verfügt, die personenbezogene Daten enthalten.

Auditing von Dateizugriffen:

Auditiert die Nutzeraktivität in Dateien und verzeichnet Details dazu, wer wann und von wo aus worauf zugegriffen hat.

Abschnitt 24(1)

Eine betroffene Person kann verlangen, dass die verantwortliche Partei die in ihrem Besitz befindlichen personenbezogenen Daten zur betroffenen Person korrigiert oder löscht.

Suchen und korrigieren Sie alle Instanzen der falschen unzutreffenden Informationen zur betroffenen Person.
Löschen Sie alle Daten, deren Speicherung die betroffene Person widerspricht.

Datenerkennung:

Verwendet die Datenerkennung, um die personenbezogenen Daten der betroffenen Person zu suchen. Außerdem lassen sich Batch-Dateien ausführen, um diese Daten zu löschen oder zur weiteren Verarbeitung an einen sicheren Speicherort zu verschieben.

Abschnitt 26

Eine verantwortliche Partei darf keine personenbezogenen Daten verarbeiten, bei denen es um religiöse oder philosophische Glaubenssätze, die Rasse oder ethnische Herkunft, die Mitgliedschaft in Gewerkschaften, die politischen Ansichten, Gesundheit oder Sexualleben, biometrische Informationen oder kriminelle Handlungen der betroffenen Person geht, sofern nicht gemäß der Abschnitte 27–31 von POPIA zulässig.

Organisationen können die beschriebenen personenbezogenen Daten nicht ohne die notwendige Genehmigung sammeln und speichern.

Datenerkennung:

Scannt im Datenspeicher nach Inhalten, die zum festgelegten regelmäßigen Ausdruck (RegEx) bzw. Schlüsselwort passen. Dies hilft Organisationen ohne die nötige Autorisierung dabei, Instanzen der betreffenden personenbezogenen Daten zu erkennen und zu beheben, um Strafen aufgrund fehlender Compliance zu vermeiden.

Datenrisikobewertung:

Erstellt Berichte zu Dateien, die personenbezogene Daten enthalten, mit Details zum Speicherort, den zum Zugriff berechtigten Personen, der Risikobewertung und mehr.

Wichtige Information: Vollständige POPIA-Compliance setzt vielfältige Lösungen, Prozesse, Personalressourcen und Technologien voraus. Diese Materialien werden zu rein informativen Zwecken zur Verfügung gestellt und dürfen nicht als rechtlich verbindliche Beratung zur Compliance mit dem POPI-Act betrachtet werden. ManageEngine übernimmt keinerlei Gewährleistung, ob ausdrücklich, implizit oder statutarisch, hinsichtlich der Angaben in diesen Materialien.

Sorgen Sie für Datensicherheit und Compliance

DataSecurity Plus hilft Ihnen, die Anforderungen zahlreicher Compliance-Vorschriften einzuhalten, indem es Daten im Speicher sowie bei der Verwendung und Übertragung schützt.

Sie sind auf der Suche nach einer vereinheitlichten SIEM-Lösung, die außerdem über integrated DLP-Funktionen verfügt? Probieren Sie Log360 gleich aus!

Kostenlose 30-Tage-Testversion

Compliance mit dem POPI-Act mit DataSecurity Plus

E-BOOK

Zur POPIA-Compliance mit DataSecurity Plus

Abschnitt 10

Datenerkennung:

Berechtigungsanalyse:

ROT-Datenanalyse:

Abschnitt 11(4)

Abgleich von Schlüsselwörtern:

Reaktionsautomatisierung:

Abschnitt 14(1)

Dateianalyse:

Abschnitt 14(2)

Überwachung der Datei-Integrität:

Datensicherheit:

Bewertung wirksamer Berechtigungen:

Abschnitt 14(4)

Datenerkennung:

ROT-Datenanalyse:

Abschnitt 14(6)

Prinzip der geringsten Berechtigungen (PoLP):

Abschnitt 15(1)

Sofortige Alarmierungen, automatisierte Reaktionen:

Abschnitt 16(1)

Datenerkennung:

ROT-Datenanalyse:

Abschnitt 17

Überwachung von Dateiänderungen:

Abschnitt 19(1)

Berechtigungsanalyse:

Endpunkt-Datenverlustprävention:

Bedrohungserkennung und -reaktion:

Abschnitt 19(2)

Datenrisikobewertung:

Endpunkt-Datenverlustprävention:

Abschnitt 22(2)

Detaillierter Auditverlauf:

Abschnitt 23(1)

Datenerkennung:

Analyse von Sicherheitsberechtigungen:

Auditing von Dateizugriffen:

Abschnitt 24(1)

Datenerkennung:

Abschnitt 26

Datenerkennung:

Datenrisikobewertung:

Sorgen Sie für Datensicherheit und Compliance

Sie sind auf der Suche nach einer vereinheitlichten SIEM-Lösung, die außerdem über integrated DLP-Funktionen verfügt? Probieren Sie Log360 gleich aus!

Compliance mit dem POPI-Act
mit DataSecurity Plus