Cumplimiento de GDPR con Mobile Device Manager Plus

El Reglamento General de Protección de Datos de la Unión Europea (GDPR) es un marco legal integral enfocado en la seguridad y privacidad de los datos. Desde un punto de vista organizacional, el GDPR establece las reglas fundamentales para recolectar los datos personales de sujetos de la Unión Europea (UE), protegiendo dichos datos en todo su ciclo de vida, estableciendo y garantizando la rendición de cuentas por el procesamiento de datos personales, y estableciendo contramedidas en caso de filtraciones de datos.

A partir de ahora, todas las compañías que procesen los datos personales de sujetos tendrán que regirse por el GDPR sin importar dónde operen sus negocios. Si se determina que una compañía incumple, enfrentará una multa de hasta €20 millones o cuatro por ciento de sus ventas totales (lo que sea mayor).

Con un creciente número de compañías en el mundo que acogen el uso de dispositivos móviles para mejorar la productividad de sus empleados, la gestión de la movilidad empresarial (EEM) tendrá una parte integral en ayudar a las organizaciones a cumplir con el GDPR al garantizar la seguridad y privacidad de los datos móviles.

La siguiente tabla muestra cómo Mobile Device Manager Plus le ayuda a cumplir con el GDPR:

Número de artículo del GDPR Descripción del artículo ¿Cómo Mobile Device Manager Plus (MDMP) ayuda?
5.1.f

Los datos personales se procesarán de forma que se garantice la seguridad adecuada de los datos personales, incluida la protección frente a procesamientos no autorizados o ilegales y frente a pérdidas accidentales, destrucción o daños, usando medidas técnicas u organizacionales apropiadas («integridad y confidencialidad»).

Obtenga visibilidad de los usuarios móviles que intentan acceder a su servidor de Exchange y restrinja su acceso a los datos personales.

25.2 (i) El controlador implementará medidas técnicas y organizacionales adecuadas para garantizar que, por defecto, solo se procesen los datos personales que son necesarios para cada propósito específico del procesamiento. Esta obligación aplica a la cantidad de datos personales recolectados, la medida de su procesamiento, el periodo de su almacenamiento y su accesibilidad. En particular, dichas medidas garantizarán que por defecto los datos personales no sean accesibles sin la intervención de la persona a un número indefinido de personas naturales.

Segregue al personal y los espacios de trabajo corporativos en dispositivos móviles gestionados. Garantice que los datos corporativos sensibles están protegidos dentro del espacio de trabajo corporativo.

  • En el caso de los dispositivos personales de los usuarios finales, la organización solo tendrá acceso al espacio de trabajo corporativo del dispositivo.
  • En cualquier punto, los usuarios finales pueden eliminar los dispositivos personales de la gestión de Mobile Device Manager Plus. No obstante, una vez que se deje de controlar el dispositivo, no puede tener más acceso a los servicios corporativos. Además, todos los datos personales que pertenecen al dispositivo de dicho usuario se eliminarán del servidor de Mobile Device Manager Plus (MDMP), excepto el nombre de usuario, lo que se requiere para propósitos de auditoría.
  •  

30

Cada controlador y, cuando sea pertinente, el representante del controlador mantendrá un registro de las actividades y propósito de procesamiento, descripción de las categorías de los datos, medidas de seguridad, mapa integral de flujo de datos, bajo su responsabilidad.

Mantenga y vea un registro de todas las actividades de procesamiento realizadas con el servidor de Mobile Device Manager Plus.

32.1.a

Teniendo en cuenta las últimas tendencias, los costos de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento, así como el riesgo de probabilidad variable y la severidad de los derechos y libertades de las personas naturales, el controlador y el procesador implementarán medidas técnicas y organizacionales para garantizar un nivel de seguridad adecuado con respecto al riesgo, incluidas entre otras cosas, cuando sea pertinente: la seudonimización y codificación de datos personales.

Codifique la información corporativa sensible, como los datos personales de los clientes, almacenados en los dispositivos móviles utilizados por sus empleados.

32.1.d (iv)

Un proceso para analizar, valorar y evaluar regularmente la eficacia de las medidas técnicas y organizacionales para garantizar la seguridad del procesamiento.

Reciba notificaciones periódicas sobre si los dispositivos móviles gestionados por su organización aún cumplen con las políticas corporativas asignadas a ellos con Mobile Device Manager Plus.

32.2 Al evaluar el nivel adecuado de la cuenta de seguridad, se tendrán en cuenta los riesgos que representa el procesamiento, en particular, aquellos derivados de la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación no autorizada o el acceso a los datos personales transmitidos, almacenados o de otra forma procesados.

Evite pérdidas y accesos no autorizados a los datos al:

  • Restringir el intercambio de datos entre las aplicaciones gestionadas y no gestionadas en un dispositivo móvil. Además, coloque en la lista negra las aplicaciones con vulnerabilidades de seguridad.
  • Restringir la transferencia no autorizada de datos por USB, Wi-Fi, Bluetooth y AirDrop. Restringir los respaldos de datos a los servicios en la nube de terceros.
  • Distribuir de manera segura los documentos corporativos sensibles desde el servidor de Mobile Device Manager Plus a los dispositivos móviles gestionados.
  • Enrutar el tráfico de red móvil mediante proxy seguro y canales de VPN.
  • Establecer alertas en caso de que el dispositivo no se registre en el servidor de Mobile Device Manager Plus en un periodo predefinido de tiempo.
  • Limpiar de forma remota los datos sensibles de los dispositivos extraviados, perdidos o robados. Detectar y restringir los dispositivos rooteados o con jailbreak.
  •  

32.4 El controlador y el procesador tomarán medidas para garantizar que cualquier persona natural que actúa bajo la autoridad del controlador o procesador que tiene acceso a datos personales no los procese, excepto por instrucción del controlador, a menos que una ley de la Unión o de un Estado miembro lo requiera.

Configure el acceso basado en roles para garantizar que el personal autorizado que utilizan el servidor de Mobile Device Manager Plus puede:

  • Realizar solo las actividades de procesamiento específicas asignadas.
  • Ver y gestionar solo los dispositivos asignados.