遵守
POPIA是一项旨在保护南非公民个人身份信息(PII)的监管命令。它为居住在南非共和国内外的所有公共和私人组织合法收集和处理公民的个人数据提供了条件。
符合POPIA的管理引擎手册
Get your copyPOPIA遵守会议:处理POPI法案的安全要求
观点POPIA遵从要求除了保护客户数据外,还要保护员工、供应商、供应商和合作伙伴的PII。在POPIA中,个人信息包括(但不限于)以下方面:
宗教或哲学信仰
种族,性别,民族出身
工会会员资格或政治信仰
医疗、金融、教育或犯罪记录
生物识别信息
机密通信(电子邮件内容)
网络标识符
孩子的信息
遵守这些规定将提高贵组织在公众中的声誉。
坚持这样严格的指导方针,会赢得客户的信任。他们会知道他们可以信任你的公司,而不是那些不服从的人。
为遵从POPIA而采取的安全措施将是保护您的组织免受数据泄露的踏脚石。
如果不遵守POPIA,你和你的公司将面临10年以下的监禁,1000万兰特以下的罚款,或者两者兼得。
POPIA的需求是巨大的,它们可能看起来很复杂和令人困惑。遵守这些条件需要结合严格的组织政策和技术措施。但是通过采用正确的过程和IT产品,可以使POPIA遵从性变得容易得多。ManageEngine拥有一套全面的IT管理解决方案,可以帮助您的组织遵守POPIA的数据安全性、文档和审计要求。通过ManageEngine解决方案满足以下POPIA条件。
条件1:问责制
委任一名或一名新闻主任或一名副新闻主任,全权负责确保在收集和处理数据期间遵守有关规定。
身份和访问管理工具将有助于建立基于角色的访问控制,以便只有获得授权的人员才能处理敏感数据。
Access Manager Plus: 创建具有预定义角色权限的自定义角色,确保用户只有执行任务所需的访问权限。
M365 Manager Plus: 帮助建立Microsoft 365管理的基于角色的访问控制。
Desktop Central: 使用基于角色的访问控制(Role-Based Access Control, RBAC)方法,根据多个预定义和/或定制的角色授予您选择的权限。
AD360: 选择与AD和Microsoft 365相关的管理、审计、报告和警报任务的任何组合,并通过创建自定义帮助台角色来委派它们。
条件2:处理限制
只收集及储存为特定目的所需的资料,并只在资料当事人同意的情况下处理该等资料。
使用数据发现工具定位和删除垃圾数据,包括过时和重复的文件。
DataSecurity Plus: 用它的PII扫描仪定位PII。它支持扫描敏感数据从超过50种文件类型,包括文本和电子邮件。
条件3:用途说明
确保收集的信息是为了一个特定的、定义良好的和合法的目的。数据处理后,应以无法复原的方式处理。
Data discovery tools help locate sensitive content such as PII/ePHI and maintain an inventory of the personal data stored. This prevents any of the data storage points from being missed in the deletion process.
DataSecurity Plus: 使用正则表达式或关键字匹配在Windows文件服务器上查找与数据主题关联的所有形式的PII。
条件4:进一步处理限制
除法律或国家安全要求外,进一步处理应符合最初声明的目的,并需要获得数据主体的额外同意。
安全信息和事件管理(SIEM)解决方案将有助于检测和审计与存储的敏感数据相关的异常活动,如数据泄漏或未经授权的共享、修改或删除,以确保数据不会被内部或外部来源滥用。
DataSecurity Plus: 监控和分析所有可移动设备的使用,并块敏感数据被复制到USB设备与DataSecurity Plus的USB跟踪。
Log360: 使用Log360的UEBA引擎的无监督机器学习算法和统计分析检测可疑用户行为。
Condition 5: Information quality
收集和存储的信息应完整、准确、不具有误导性。它也应该只在必要时进行更新。
一种实时警报机制,通知有关未经授权的访问,修改或删除文件的机密数据。
Log360: 当包含机密数据的文件被访问、复制或修改时,生成实时电子邮件/SMS警报。Log360预定义的报告有助于跟踪活动,追溯到执行这些活动的用户。
Access Manager Plus: 创建用户会话的上下文丰富的日志,并立即向SIEM工具发送SNMP trap和syslog消息,以支持遵从性审计。
条件6:开放
条件7:安全保障
采取技术和组织措施,确保所收集信息的完整性、保密性和安全性。
IT解决方案可以帮助组织满足条件的安全需求:
(i)在日志管理工具中使用自定义关联规则检测漏洞和未知外部攻击。
Log360:使用Log360实时相关引擎中的预定义规则,检测潜在的外部威胁,如SQL注入尝试、勒索软件活动、恶意URL请求、恶意软件安装等。
(ii)从过去的错误中吸取教训,利用日志取证对违规行为进行根本原因分析。
Log360: 对数据泄露进行根本原因分析,并使用Log360的直观日志搜索引擎查看其来源、时间和影响的详细信息。
(iii)补丁管理工具可以自动更新服务器、操作系统、公司资产和应用程序,并打补丁。
Patch Manager Plus: 扫描端点以检测丢失的补丁,并自动将经过测试的补丁部署到操作系统和第三方应用程序。
(iv)浏览器安全解决方案可以跨网络管理和保护浏览器。
浏览器安全性+ :定期扫描从存储公司数据的多个设备访问的所有浏览器,以检测任何威胁。
(v)审计解决方案可以审计和监测关键资源,以确保数据完整性和保护公司资产。
DataSecurity Plus: 使用中央访问审计日志跟踪机密文件的访问,并维护审计跟踪,以帮助遵守IT法规。
PAM360: 获取随时可用的视频记录、自定义报表和特权用户活动的审计日志。
ADAudit Plus: 启用Windows Active Directory实时审计、登录/注销审计、文件服务器审计和Windows server审计。
防止泄密工具可以帮助发现易受攻击的来源,限制对机密文件的访问,并对传输中的数据进行加密,以防止安全破坏。
Vulnerability Manager Plus: 发现本地和远程端点中的安全漏洞,并使用基于攻击者的分析来识别更容易受到攻击的区域。
Password Manager Pro: 使用中央保险库组织和存储特权身份。它有助于在需要的基础上安全地与团队成员共享密码。
Key Manager Plus: 获得对SSH密钥和SSL环境的完全可见性,以避免数据泄露或遵从性问题。
(vii)数据发现和安全工具可以提供包含PII的文件风险分数、脆弱源等信息,进行数据保护影响评估,识别和评估项目的风险。
DataSecurity Plus: 定位具有敏感数据的文件,并根据权限、数量、违规规则类型、审计细节等计算风险评分,分析其漏洞。
条件8:数据受试者参与
设有系统,以满足资料当事人因资料过时、不完整、不准确或非法取得而修改或删除资料的要求。
数据发现工具可以帮助定位具有数据主体敏感信息的文件,以进一步更正、更新或删除它们。
DataSecurity Plus: 创建自定义数据发现规则和策略来定位存储在文件服务器中的敏感数据。您还可以生成报告,其中包括每个文件中存储的敏感数据的类型、位置和数量。
下载本指南以深入了解POPIA的命令和各种工具,对组织实现POPIA遵从性至关重要。
填写表格下载指南
在伙伴关系
ZA: 012 665 5551
E: contact@itrtech.co.za
完全遵守POPI法案需要各种解决方案、流程、人员和技术。上面提到的解决方案是IT管理工具可以帮助满足POPIA的一些需求的一些方式。与其他适当的解决方案、流程和人员相结合,ManageEngine的解决方案有助于实现和维持对POPIA的遵从。本材料仅供参考,不应被视为遵守POPIA的法律建议。对于本材料中的信息,ManageEngine不作任何明示、暗示或法定的保证。
