Se conformer à la
Le POPIA est un mandat réglementaire visant à protéger les informations personnellement identifiables (PII) des citoyens sud-africains. Il prévoit des conditions pour la collecte et le traitement licites des données personnelles des citoyens par toutes les organisations publiques et privées résidant à la fois en République d'Afrique du Sud et en dehors.
La conformité POPIA nécessite la protection des informations personnelles des employés, des vendeurs, des fournisseurs et des partenaires en plus des données clients. Dans POPIA, les informations personnelles comprennent (mais sans s'y limiter) des aspects aussi divers que:
Croyances religieuses ou philosophiques
Race, sexe, origine ethnique
Appartenance syndicale ou
Casier judiciaire, financier, éducatif ou
Informations biométriques
Correspondance confidentielle 
Identifiant en ligne
Information des enfants
Le respect de ces réglementations améliorera la réputation de votre organisation auprès du public.
Le respect de ces directives strictes gagnera la confiance des clients. Ils sauront qu'ils peuvent faire confiance à votre entreprise par rapport aux autres qui ne se conforment pas.
Les mesures de sécurité prises pour la conformité POPIA constitueront un tremplin pour protéger votre organisation contre les violations de données.
Le non-respect de POPIA peut vous coûter, à vous et à votre entreprise, une peine d'emprisonnement pouvant aller jusqu'à 10 ans, une amende pouvant aller jusqu'à 10 millions de rands, ou les deux.
POPIA peut être globalement catégorisé en huit conditions, et y adhérer toutes est un processus en plusieurs étapes. Savoir ce que ces conditions signifient pour votre organisation est essentiel pour atteindre la conformité.
Les exigences POPIA sont vastes et peuvent sembler complexes et déroutantes. Le respect de ces conditions nécessite la mise en place d'une combinaison de politiques organisationnelles strictes et de mesures techniques. Mais en adoptant les bons processus et produits informatiques, la conformité POPIA peut être grandement facilitée. ManageEngine dispose d'une suite complète de solutions de gestion informatique pour aider votre organisation à se conformer aux exigences de sécurité des données, de documentation et d'audit de POPIA. Répondez aux conditions POPIA suivantes à l'aide des solutions ManageEngine.
Condition 1: Responsabilité
Nommer un responsable de l'information ou un responsable de l'information adjoint qui aura la seule responsabilité de garantir la conformité lors de la collecte et du traitement des données.
Les outils de gestion des identités et des accès aideront à établir des contrôles d'accès basés sur les rôles afin que seul le personnel autorisé soit en mesure de traiter les données sensibles.
Access Manager Plus : Créez des rôles personnalisés avec des autorisations de rôle prédéfinies pour vous assurer que les utilisateurs n'ont que l'accès requis pour effectuer leurs tâches.
M365 Manager Plus : Aide à établir un contrôle d'accès basé sur les rôles pour l'administration de Microsoft 365.
Endpoint Central : Accordez les autorisations de votre choix en fonction de plusieurs rôles prédéfinis et/ou personnalisés à l'aide de son approche de contrôle d'accès basé sur les rôles (RBAC).
AD360 : Sélectionnez n'importe quelle combinaison de tâches de gestion, d'audit, de reporting et d'alerte concernant AD et Microsoft 365, et déléguez-les en créant des rôles d'assistance personnalisés.
Condition 2: Limitation du traitement
Ne collectez et ne stockez que les données nécessaires à une finalité spécifique et ne les traitez qu'avec le consentement de la personne concernée.
Localisez et supprimez les données indésirables, y compris les fichiers obsolètes et en double, à l'aide d'outils de découverte de données.
DataSecurity Plus: Localisez les PII avec son scanner PII. Il prend en charge l'analyse des données sensibles de plus de 50 types de fichiers, y compris le texte et l’email.
Condition 3: Spécification de l'objectif
Assurez-vous que les informations collectées sont destinées à un objectif spécifique, bien défini et légitime. Après le traitement, les données doivent être éliminées de manière irréversible.
Les outils de découverte de données aident à localiser le contenu sensible tel que PII/ePHI et à maintenir un inventaire des données personnelles stockées. Cela évite que l'un des points de stockage des données ne soit oublié dans le processus de suppression.
DataSecurity Plus: Recherchez toutes les formes de PII associées à une personne concernée sur les serveurs de fichiers Windows à l'aide de l'expression régulière ou de la correspondance de mots clés.
Condition 4: Limitation du traitement Le traitement ultérieur doit être compatible avec l'objectif initialement déclaré et nécessite un consentement supplémentaire de la personne concernée, sauf pour des exigences légales ou de sécurité nationale.
Les solutions de gestion des informations de sécurité et des événements (SIEM) aideront à détecter et à auditer les activités anormales relatives aux données sensibles stockées telles que la fuite de données ou le partage non autorisé, les modifications ou la suppression pour garantir que les données ne sont pas utilisées à mauvais escient par des sources internes ou externes.
DataSecurity Plus: Surveillez et analysez l'utilisation de tous les périphériques amovibles et bloquez les données sensibles copiées sur des périphériques USB avec le suivi USB de DataSecurity Plus.
Log360: Détectez les comportements suspects des utilisateurs avec les algorithmes d'apprentissage automatique non supervisés du moteur UEBA de Log360 et l'analyse statistique.
Condition 5: Qualité de l'information
Les informations collectées et stockées doivent être complètes, exactes et non trompeuses. Il ne doit également être mis à jour que lorsque cela est nécessaire.
Un mécanisme d'alerte en temps réel pour notifier l'accès non autorisé, la modification ou la suppression de fichiers contenant des données confidentielles.
Log360: Générez des alertes e-mail/SMS en temps réel lorsque des fichiers contenant des données confidentielles sont consultés, copiés ou modifiés. Les rapports prédéfinis de Log360 aident à retracer les activités jusqu'à l'utilisateur qui les a effectuées.
Access Manager Plus: Créez des journaux contextuels des sessions utilisateur et envoyez instantanément des interruptions SNMP et des messages syslog aux outils SIEM pour prendre en charge les audits de conformité.
Condition 6: Franchise
Informer la personne concernée de tous les détails concernant la collecte et le traitement des données. Une documentation stricte de toutes les opérations de traitement doit être conservée comme preuve.
Générez des journaux d'audit contextuels, des enregistrements de session des utilisateurs traitant des données personnelles et des modèles de rapport prédéfinis pour faciliter la documentation des activités de traitement à l'aide d'une solution de gestion de session privilégiée.
PAM360: Capturez toutes les activités autour de comptes privilégiés avec des journaux contextuels, des rapports intégrés et des enregistrements de session utilisateur.
Log360: Activez la collecte de journaux sans agent et basée sur un agent et exploitez des rapports de conformité prédéfinis compréhensibles.
Condition 7: Mesures de sécurité
Prendre des mesures techniques et organisationnelles pour garantir l'intégrité, la confidentialité et la sécurité des informations collectées.
Les solutions informatiques peuvent aider les organisations à répondre aux exigences de sécurité de la condition 7:
(i) Détecter les vulnérabilités et les attaques externes inconnues à l'aide de règles de corrélation personnalisées dans les outils de gestion des journaux.
Log360: Détectez les menaces externes potentielles telles que les tentatives d'injection SQL, les activités de ransomware, les requêtes d'URL malveillantes, l'installation de logiciels malveillants, etc. à l'aide des règles prédéfinies du moteur de corrélation en temps réel de Log360.
(ii) Tirez les leçons des erreurs commises dans le passé en effectuant une analyse des causes premières des violations à l'aide de l'analyse des journaux.
Log360: Effectuez une analyse des causes premières des violations de données et affichez des détails sur leur source, leur heure et leur impact à l'aide du moteur de recherche de journaux intuitif de Log360.
(iii) Les outils de gestion des correctifs peuvent automatiser les mises à jour et les correctifs des serveurs, des systèmes d'exploitation, des actifs de l'entreprise et des applications.
Patch Manager Plus: Analysez les terminaux pour détecter les correctifs manquants et automatisez le déploiement des correctifs testés sur le système d'exploitation et les applications tierces.
(iv) Les solutions de sécurité des navigateurs peuvent gérer et sécuriser les navigateurs sur les réseaux.
Browser Security Plus: Effectuez des analyses périodiques de tous les navigateurs accessibles à partir de plusieurs appareils stockant des données d'entreprise pour détecter les menaces.
(v) Les solutions d'audit peuvent auditer et surveiller les ressources critiques pour garantir l'intégrité des données et la protection des actifs de l'entreprise.
DataSecurity Plus: Suivez les accès aux fichiers confidentiels à l'aide des journaux d'audit d'accès centralisés et maintenez des pistes d'audit pour vous aider à vous conformer aux réglementations informatiques.
PAM360: Obtenez des enregistrements vidéo facilement disponibles, des rapports personnalisés et des journaux d'audit sur l'activité des utilisateurs privilégiés.
ADAudit Plus: Activez l'audit Windows Active Directory en temps réel, l'audit de connexion/déconnexion, l'audit du serveur de fichiers et l'audit Windows Server.
(vi) Les outils de prévention des violations peuvent aider à détecter les sources vulnérables, limiter l'accès aux fichiers confidentiels et crypter les données en transit pour éviter les failles de sécurité.
Vulnerability Manager Plus: Découvrez les failles de sécurité dans les terminaux locaux et distants et utilisez des analyses basées sur les attaquants pour identifier les zones les plus sujettes aux attaques.
Password Manager Pro: Organisez et stockez les identités privilégiées à l'aide d'un coffre-fort central. Il permet de partager en toute sécurité les mots de passe avec les membres de l'équipe selon les besoins.
Key Manager Plus: Bénéficiez d'une visibilité complète sur les clés SSH et les environnements SSL pour éviter les violations de données ou les problèmes de conformité.
(vii) Les outils de découverte et de sécurité des données peuvent fournir des informations telles que les scores de risque des fichiers contenant des informations personnelles, des sources vulnérables, etc. nécessaires pour effectuer une évaluation de l'impact de la protection des données afin d'identifier et d'évaluer les risques d'un projet.
DataSecurity Plus: Localisez les fichiers contenant des données sensibles et analysez leur vulnérabilité en calculant leur score de risque en fonction des autorisations, du volume, du type de règles violées, des détails de l'audit, etc.
Condition 8: Participation de la personne concernée
Avoir un système en place pour répondre aux demandes des personnes concernées pour la modification ou la suppression d'informations en raison de données obsolètes, incomplètes, inexactes ou obtenues illégalement.
Les outils de découverte de données peuvent aider à localiser les fichiers contenant les informations sensibles des personnes concernées pour les corriger, les mettre à jour ou les supprimer davantage.
DataSecurity Plus: Créez des règles et des politiques de découverte de données personnalisées pour localiser les données sensibles stockées dans vos serveurs de fichiers. Vous pouvez également générer des rapports qui incluent le type, l'emplacement et la quantité de données sensibles stockées dans chaque fichier.
Téléchargez ce guide pour avoir un aperçu détaillé des mandats POPIA et des différents outils
essentiels pour préparer votre organisation à atteindre la conformité POPIA.
In partnership with
ZA: 012 665 5551
E: contact@itrtech.co.za
Le respect total de la loi POPI nécessite une variété de solutions, de processus, de personnes et de technologies. Les solutions mentionnées ci-dessus sont quelques-unes des façons dont les outils de gestion informatique peuvent répondre à certaines des exigences de POPIA. Associées à d'autres solutions, processus et personnes appropriés, les solutions de ManageEngine aident à atteindre et à maintenir la conformité POPIA. Ce matériel est fourni à titre informatif uniquement et ne doit pas être considéré comme un avis juridique pour la conformité POPIA. ManageEngine ne donne aucune garantie, expresse, implicite ou statutaire, quant aux informations contenues dans ce document.
