为什么我应该遵守 GDPR?
-
简化流程和应用程序。
统一所有数据存储库并清楚了解数据收集的类型和目的将有助于您的组织轻松促进数据访问和修改请求,并提高安全性。
-
获得这种竞争优势。
不畏惧采取严格措施保护客户和员工个人信息的企业将表明他们认真对待数据隐私,这也将对客户的认知产生积极影响。
-
带来文化转变。
实际上,您无法在一天内实现 GDPR 合规性。 合规性是一个渐进的改进过程,它将在您的公司内形成一种“设计安全”的文化。
-
1
用于存储、查看、监控和分析来自各种环境的日志数据的中央存储库。
-
2
一种实时警报机制,用于捕捉组织 IT 环境中发生的可疑活动。
-
3
一个审计系统,用于确保您的环境生成的日志数据的完整性、机密性和安全性。
-
4
保护在您的环境中存储个人数据的资产的方法。
-
5
一个系统,用于创建和管理所有已处理数据的记录以及详细的按需报告。
-
6
能够识别谁访问了特权帐户和敏感信息。
-
7
对传输中的个人信息进行充分的安全和加密。
-
8
一种在发生违规时识别、响应和报告违规的机制。
-
9
对携带任何形式个人信息的资产和系统的监控系统。
-
10
一种用于定期识别和保护环境中出现的漏洞的工具。
IT 如何帮助为 GDPR 做准备?
有 99 篇文章要遵循,遵守 GDPR 是一个
多步骤的过程。 这里有一份信息技术清单,可帮助您入门。
GDPR 的
文章究竟要求什么?
GDPR 的要求既长又复杂。 虽然没有单一的解决方案可以解决整个法规,但 GDPR 中有许多合规性要求可以使用正确的 IT 工具简化。
让我们来看看 GDPR 的一些文章,以及我们的解决方案如何帮助您满足这些要求。
-
1. 第 5(1)(b)条
仅出于特定目的收集个人数据,不得以任何与所述目的不符的方式处理数据。
探索解决方案1. 第 5(1)(b)条
个人数据应为特定、明确和合法的目的收集,不得以与这些目的不符的方式进一步处理;为公共利益、科学或历史研究的存档目的进一步处理 根据第 89 条第 (1) 款,目的或统计目的不应被视为与初始目的不符(“目的限制”)。
ManageEngine 如何帮助您合规
DataSecurity Plus 的访问审核报告可帮助您识别异常数据访问、修改和删除。
使用 Log360 预先打包的警报配置文件,在发生此类异常活动时向有关当局发送通知。
-
2.第5(1)(c)条
仅收集足够且相关的个人数据,仅限于处理目的所需的数据。
探索解决方案2.第5(1)(c)条
个人数据应充分、相关且仅限于与其处理目的相关的必要内容(“数据最小化”)
ManageEngine 如何帮助您合规
查找和删除垃圾数据,包括陈旧的、重复的和孤立的文件,并确保仅使用 DataSecurity Plus 存储需要的相关数据
相关产品
DataSecurity Plus -
3.第5(1)(d)条
始终保持收集/处理的个人数据准确和更新。
探索解决方案3.第5(1)(d)条
个人数据应准确,并在必要时保持最新; 必须采取一切合理措施确保不准确的个人数据在考虑到处理目的后立即被删除或纠正(“准确性”)
ManageEngine 如何帮助您合规
使用 Desktop Central 安排对组织中所有设备的扫描,以确保个人数据的持续可用性和完整性。
使用 DataSecurity Plus 中的 文件分析和存储分析报告监控和删除过时的数据。
审计数据库 Log360 确定数据已存储多长时间,并在达到存储阈值后立即删除个人数据。
利用 Browser Security Plus 扫描您组织中所有设备中使用的所有浏览器,以确保全方位保护个人数据。
-
4. 第 5(1)(f)条
以最高的安全性处理所有形式的个人数据,并防止非法或未经授权的处理方式。
探索解决方案4. 第 5(1)(f)条
“[个人数据应]以确保个人数据适当安全的方式进行处理,包括使用适当的技术或组织措施防止未经授权或非法处理以及意外丢失、破坏或损坏( ‘完整性和保密性’)。”
ManageEngine 如何帮助您合规
获得对尝试访问业务服务和数据的用户/设备的可见性 Desktop Central 的条件交换访问。
Log360的预定义警报配置文件在进行未经授权的访问尝试时向利益相关者发送警报,并阻止此类尝试。
通过使用确保机密文件和文件夹的完整性 Log360在发生关键文件更改时生成即时通知。
Use EventLog Analyzer预定义的GDPR报告模板,用于审核存储个人数据的系统上发生的所有活动以及对个人数据本身的更改。
使用 EventLog Analyzer 当个人数据的完整性受到损害时,向数据保护官员或安全管理员发出警告。
审核所有文件和文件夹操作,跟踪访问关键数据的所有失败尝试,并使用 DataSecurity Plus.
Trigger即时向管理员发送电子邮件警报,提醒他们在 DataSecurity Plus.
立即检测并控制潜在的勒索软件感染,以防止使用 DataSecurity Plus.
检测并防止通过USB设备或电子邮件泄漏关键业务文件 DataSecurity Plus.
使用 Patch Manager Plus 用于在计划或导出用户报告时屏蔽、删除和保留PII。
-
5.第5(2)条
在需要时证明符合GDPR的要求。
探索解决方案5.第5(2)条
“财务总监应负责并能够证明其遵守第1款(“责任”)
ManageEngine如何帮助您遵守法规
通过以任何文件格式导出ADManager Plus' reports报告和/或以指定的时间间隔通过电子邮件发送给利益相关者,演示安全处理实践。
通过向法医调查员提供PAM360�s现成的视频记录、开箱即用的合规性和定制报告,以及每项特权活动的审计日志,证明符合各种标准。
-
6.第15(1)条
始终让您的数据主体有权获取有关正在处理的个人数据类型以及与此个人数据相关的活动性质的信息。
探索解决方案6.第15(1)条
"数据主体应有权从控制人处获得有关其个人数据是否正在处理的确认,以及在这种情况下,访问个人数据和以下信息:
(a) 处理的目的;
(b) 有关的个人资料类别;;
(c) 已向或将向其披露个人数据的接收人或接收人类别,尤其是第三国或国际组织的接收人;
(d) 在可能的情况下,个人数据存储的预期期限,或者,如果不可能,用于确定该期限的标准;
(e) 存在要求控制人更正或删除个人数据或限制处理与数据主体有关的个人数据的权利,或反对此类处理的权利;
(f) 向监管机构提出投诉的权利;
(g) 如果个人数据不是从数据主体处收集的,则提供有关其来源的任何可用信息;
(h) 第22条第(1)款和第(4)款提及的自动决策,包括分析的存在,以及至少在这些情况下,有关所涉逻辑的有意义信息,以及此类处理对数据主体的重要性和预期后果。"
了解公司持有的个人数据类型。使用 DataSecurity Plus' 的数据发现功能监控谁访问个人数据,包括何时何地使用该数据。
ManageEngine如何帮助您遵守法规
了解公司持有的个人数据类型。使用 DataSecurity Plus' 的数据发现功能监控谁访问个人数据。
DataSecurity Plus' 可帮助您使用regex或通过在Windows文件服务器和故障转移群集环境中匹配唯一关键字(如客户ID、名称等)来查找特定用户的个人数据(PII)。
相关产品
DataSecurity Plus -
7.第15(3)条
向数据主体提供一份已收集用于处理的所有个人数据的副本。
探索解决方案7.第15(3)条
“控制人应提供正在处理的个人数据的副本。对于数据主体要求的任何其他副本,控制人可根据管理成本收取合理费用。如果数据主体通过电子方式提出请求,除非数据主体另有要求,否则该信息应为以常用的电子形式流动。"
ManageEngine如何帮助您遵守法规
确定存储个人/敏感数据的位置,以便使用 DataSecurity Plus.
相关产品
DataSecurity Plus -
8.第16条
让数据主体可以选择方便地更正或更新其个人信息。
探索解决方案8.第16条
“数据主体有权在无不当延误的情况下从控制员处获得有关其不准确个人数据的更正。考虑到处理目的,数据主体有权填写不完整的个人数据,包括通过提供补充声明的方式."
ManageEngine如何帮助您遵守法规
使用 DataSecurity Plus'的自动文件发现功能,定期扫描整个Windows文件系统,随时更新您的个人数据清单。
相关产品
DataSecurity Plus -
9.第17(1)条
如果任何数据主体要求删除其个人数据,始终有条款及时满足其要求。
探索解决方案9.第17(1)条
“数据主体应有权从控制者处获得有关其个人数据的删除,不得无故拖延,且控制者有义务删除个人数据,不得无故拖延,前提是以下原因之一适用:
就收集或以其他方式处理个人数据的目的而言,不再需要这些个人数据;
数据主体根据Article 6(1)或Article 9(2)撤回处理所依据的同意,且处理无其他法律依据;
数据主体根据 Article 21(1)反对处理,且处理无压倒一切的合法理由,或数据主体根据Article 21(2)反对处理
个人资料已被非法处理;
必须删除个人数据,以遵守联盟或成员国法律规定的、控制人受其约束的法律义务;
收集的个人数据是与本节所述信息社会服务的提供有关的 Article 8(1).
ManageEngine如何帮助您遵守法规
通过使用DataSecurity Plus匹配进一步处理的关键字,找到包含数据主体信息实例的所有文件
相关产品
DataSecurity Plus -
10.第24(1)条
实施适当的技术和组织措施,确保按照GDPR进行处理。
探索解决方案10.第24(1)条
“考虑到处理的性质、范围、背景和目的以及对自然人权利和自由的不同可能性和严重性的风险,控制员应实施适当的技术和组织措施,以确保并能够证明处理是按照他的规定。必要时,应对这些措施进行审查和更新。"
ManageEngine如何帮助您遵守法规
Desktop Central 帮助您定期检查组织的资产和设备是否仍然符合应用于它们的公司配置。
安全地将敏感业务文档分发到设备,并限制授权个人和/或使用Desktop Central的应用程序使用这些文档
使用 ADManager Plus 以多种文件格式通过电子邮件发送报告或将其导出到指定位置,以确保您在调查和安全评估期间始终拥有所需的数据。
-
11.第24(2)条
实施适当的数据保护政策,以保护数据主体的PII。
探索解决方案11.第24(2)条
“在与处理活动相称的情况下,第1款所指的措施应包括控制员实施适当的数据保护政策。”
ManageEngine如何帮助您遵守法规
使用DataSecurity Plus' 预定义策略有助于防止不必要的数据传输到USB设备,并监视文件完整性。
使用自动威胁响应机制关闭受感染的系统,断开恶意用户会话,以及使用 DataSecurity Plus进行更多操作
相关产品
DataSecurity Plus -
12.第25(2)条
个人数据应仅为收集目的进行处理,不应让未直接参与这些过程的人访问。
解决方案12.第25(2)条
“控制员应实施适当的技术和组织措施,以确保在默认情况下,仅处理每个特定处理目的所需的个人数据。该义务适用于所收集的个人数据的数量、处理程度、存储期限及其ac易接近性。特别是,这些措施应确保默认情况下,未经个人同意,不得访问个人数据;对无限数量自然人的干预。"
ManageEngine如何帮助您遵守法规/h4>
使用Desktop Central的容器化功能将移动设备上的个人和公司数据分开,限制组织仅对公司工作区的访问。
Desktop Central 帮助您根据用户请求取消组织网络中的资产/设备。从服务器中删除与用户相关的所有形式的个人数据,并撤消对该数据的访问。
防止未经授权的用户利用Password Manager Pro对个人数据存储库的特权访问
使用 ADManager Plus的通知规则审核权限更改事件,以识别与个人数据相关的非法或未经授权的权限更改。
查找对您的Windows共享具有完全控制权限的用户,并查找使用DataSecurity Plus与所有人共享的所有文件和文件夹
在PAM360中启用双因素身份验证和访问控制工作流,并利用其即时特权访问,确保只有授权用户才能在特定时间段内远程访问敏感数据。
-
13.第30(1)条
始终保持所有处理活动的记录,详细说明处理数据的原因、处理的数据类别以及处理过程中采取的安全措施。
探索解决方案13.第30(1)条
“每个控制器以及(如适用)控制器�承包商代表应保存其负责的加工活动记录。该记录应包含以下所有信息:
1.控制人和联合控制人(如适用)的姓名和联系方式�s代表和数据保护官员;
2.处理的目的;
3.对数据主体类别和个人数据类别的说明;
4.已向或将向其披露个人数据的收件人类别,包括第三国或国际组织的收件人;
5.在适用的情况下,向第三国或国际组织转让个人数据,包括该第三国或国际组织的身份证明,以及在Article 49(1)所述转让的情况下,适当保障措施的文件;
6.在可能的情况下,设想的擦除不同类别数据的时限;
7.在可能的情况下,Article 32(1)所述技术和组织安全措施的一般说明
ManageEngine如何帮助您遵守法规/h4>
使用 DataSecurity Plus专用GDPR数据发现策略定位跨Windows文件服务器和故障转移群集存储的敏感个人数据的实例。
DataSecurity Plus 帮助您找到谁对包含敏感个人数据的文件拥有什么权限,并审核文件中的用户活动,详细说明谁访问了什么、何时从何处访问。
PAM360提供在个人数据存储库上执行的所有活动的上下文丰富的审核日志、开箱即用报告和会话记录。
维护并查看使用Patch Manager Plus操作日志查看器”执行的所有处理活动的记录
ADManager Plus 帮助您获得组织中与个人数据相关的所有活动的完整审核跟踪。
使用 Desktop Central的审核日志查看器维护GDPR要求的所有处理活动的记录
DataSecurity Plus 提供有关公司持有的个人数据的易于理解的报告,包括每个文件中存储的个人数据的类型、位置和数量。
-
14.第32(1)(a)条
确保所有处理系统的机密性,并通过实施适当措施加密个人数据。
探索解决方案14.第32(1)(a)条
“考虑到目前的技术水平、实施成本、处理的性质、范围、背景和目的以及自然人权利和自由的不同可能性和严重性的风险,控制者和处理者应采取适当的技术和组织措施,以确保与风险相适应的安全措施,包括:个人数据的假名化和加密;"
ManageEngine如何帮助您遵守法规/h4>
Key Manager Plus 帮助您采用多层信息安全方法,保护传输中的数据,并找到监视和管理公钥基础架构的简便方法。
使用Desktop Central加密存储在移动设备上的个人数据
-
15.第32(1)(b)条
确保处理系统和服务的可用性、机密性和完整性。
探索解决方案15.第32(1)(b)条
“确保处理系统和服务的持续保密性、完整性、可用性和恢复能力的能力;”
ManageEngine如何帮助您遵守法规/h4>
使用Key Manager Plus保护和加密对数据主体个人身份信息的访问
持续监控和审核使用DataSecurity Plus存储个人数据的存储系统
在使用Log360的这些系统和服务上,注意未经授权的访问尝试和用户活动中的异常情况
使用ADAudit Plus检测到对关键资源(如防火墙、Active Directory、数据库和文件服务器)的任何更改时,进行审核并发出实时警报
使授权用户能够安全地连接到关键远程资源,而无需暴露密码,并使用PAM360's 防止个人数据存储库上的恶意活动
使用Vulnerability Manager Plus在未启用BitLocker加密的系统上检测并发出警报。您可以加密整个磁盘卷,以防止未经授权访问磁盘和进行过滤。
-
16.第32(1)(d)条
定期测试已实施安全措施的有效性。
探索解决方案16.第32(1)(d)条
“定期测试、评估和评估技术和组织措施有效性的过程,以确保处理的安全性。”
ManageEngine如何帮助您遵守法规/h4>
定期检查您组织的设备是否仍然符合使用Desktop Central分配给它们的公司策略
防止攻击者利用Password Manager Pro对收集的个人数据的特权访问
确保处理的安全性,注意使用Log360可能导致潜在数据泄露的任何异常情况
使用EventLog Analyzer审核存储个人数据的系统上发生的所有活动以及对个人数据本身的更改
监控和审核存储个人数据的关键系统上的特权活动,并使用PAM360终止利用个人信息的异常会话
通过一组预定义的基线,不断观察端点中的配置漂移和错误配置,并使其符合 Vulnerability Manager Plus
-
17.第32(2)条
始终为处理活动中可能出现的风险做好准备,如个人数据的丢失、更改、删除和披露,并实施适当的预防机制。
探索解决方案17.第32(2)条
“在评估适当的安全级别时,应特别考虑处理所带来的风险,尤其是意外或非法破坏、丢失、更改、未经授权披露或访问传输、存储或以其他方式处理的个人数据所带来的风险。”
ManageEngine如何帮助您遵守法规/h4>
设置警报,以防设备在预定义的时间段内未使用Desktop Central与服务器签入
使用 Log360将来自不同来源的安全数据集中并关联起来,以立即发现潜在的数据泄露并避免数据丢失。
使用Log360审核对个人数据的更改(例如修改、删除、重命名,甚至权限更改)
监控可移动存储设备(如USB)的使用情况,并使用DataSecurity Plus,防止包含个人数据的文件移动到USB设备或通过电子邮件连接。您还可以使用系统提示提供上下文警告,告知将业务关键型数据移动到可移动存储设备或通过电子邮件作为附件的风险。
通过即时警报和DataSecurity Plus的自动威胁响应机制缩短事件响应时间
使用DataSecurity Plus生成有关不正当访问或文件访问和修改(包括权限更改、删除等)突然激增的警报和报告。此外,您还可以发现存在安全漏洞的文件,例如过时用户拥有的文件、过度曝光的FLE、每个人都可以访问的文件等。
维护所有文件和文件夹删除操作的完整记录,并使用 DataSecurity Plus发现和隔离可能的勒索软件感染
设置警报,以防设备在预定义的时间段内未使用 Patch Manager Plus与服务器签入
-
18.第32(4)条
采取措施确保没有人利用或获得对个人数据的未经授权或非法访问。
探索解决方案18.第32(4)条
“控制人和处理人应采取措施,确保在控制人或处理人授权下行事且有权访问个人数据的任何自然人,除非收到控制人的指示,否则不得处理个人数据,除非欧盟或成员国法律要求他或她这样做。”
ManageEngine如何帮助您遵守法规/h4>
管理、监视和审核对使用Log360 和 ADManager Plus.处理个人识别信息的系统和应用程序的管理访问权限
检测用户何时在没有适当权限的情况下使用
通过请求-批准-发布工作流和PAM360的即时特权访问功能,为用户提供对敏感系统和应用程序的细粒度、有时限的访问
Patch Manager Plus 帮助您配置基于角色的访问,以确保授权人员只能执行分配给他们的特定处理活动,并且只能查看和管理分配给他们的设备。
M365 Manager Plus' 委派功能可帮助您为Microsoft 365管理建立基于角色的访问控制,以确保只有授权人员才能访问敏感数据。
-
19.第33条
如果发生个人数据泄露,应在72小时内通知监管机构。如果通知是在72小时后发出的,请随信附上延迟的原因。
探索解决方案19.第33条
1.在个人数据违约的情况下,除非个人数据违约不太可能对权利和fre造成风险,否则控制方应毫不迟延地,并在可行的情况下,在意识到后72小时内,将个人数据违约情况通知第55条规定的主管监管机构自然人的以东领地。如果在72小时内未向监管机构发出通知,则应随附延误原因。
2.处理人在意识到个人数据泄露后,应立即通知控制人,不得无故拖延。
3.控制人应记录任何个人数据违规行为,包括与个人数据违规行为相关的事实、其影响和采取的补救措施。该文件应使监管机构能够验证是否符合本条规定。
ManageEngine如何帮助您遵守法规/h4>
使用 Log360;即时检测网络中的任何数据泄露;s实时报警控制台和关联引擎
使用Log360检测并包含已知的攻击模式,如DoS、DDoS、SQL注入和勒索软件攻击
使用自定义关联规则和警报配置文件检测未知攻击模式,确保个人数据安全。
Log360的日志搜索引擎可以帮助您进行法医分析,并确定违规行为发生的时间、来源、受影响的数据和系统以及责任方。
使用 Password Manager Pro为法医审计做准备
导出所有法医信息并编制事件报告,这些报告可以使用 Log360的广泛报告
DataSecurity Plus 使用Windows文件服务器、故障转移群集和工作组环境中与文件和文件夹相关的所有活动的大量记录,以及有关谁访问了什么、何时访问了什么以及在哪里访问的详细信息,帮助您分析数据泄露的根本原因和范围。
提供防篡改的特权会话记录和每个会话的审核跟踪,作为安全相关证据,以支持使用PAM360的法规遵从性调查,同时利用内置的法规遵从性、自定义和查询报告来满足法规遵从性要求。
-
20.第35(7)(d)条
执行数据保护影响评估并实施安全措施,以保护正在处理的个人数据。
探索解决方案20.第35(7)(d)条
评估应至少包括:
(d) 为应对风险而设想的措施,包括保障措施、安全措施和机制,以确保个人数据的保护,并证明遵守本条例,同时考虑到数据主体和其他相关人员的权利和合法权益。
ManageEngine如何帮助您遵守法规/h4>
DataSecurity Plus 通过分析包含个人数据的文件的权限、数量和违反的规则类型,帮助您计算这些文件的风险分数;审计细节;还有更多。
识别由于DataSecurity Plus权限卫生问题而易受攻击的文件
相关产品
DataSecurity Plus
免责声明:
完全遵守 GDPR 需要各种解决方案、流程、人员和技术。 上面提到的解决方案是 IT 管理工具可以帮助满足 GDPR 的某些要求的一些方式。 与其他合适的解决方案、流程和人员一起,ManageEngine 的解决方案有助于实现和维持 GDPR 合规性。 本材料仅供参考,不应被视为符合 GDPR 的法律建议。 ManageEngine 对本材料中的信息不作任何明示、暗示或法定的保证。