Académique Documents
Professionnel Documents
Culture Documents
Resumen ejecutivo
La nueva Unión Europea (UE) Reglamento de protección de datos generales Esta guía es para los CISO que quieren saber si sus empresas se verán afectadas por la nueva
(GDPR) sustituye a la Directiva 95/46 / CE (Directiva). La nueva regulación se expande protección de regulación, cuáles podrían ser los efectos, y los pasos de sus equipos podrían tomar para
la privacidad e incluye nuevas obligaciones para las empresas que manejan datos personales prepararse para los requisitos de seguridad de datos GDPR. Aprenderás:
procedentes de la UE. Y a diferencia de la Directiva, se amplía el alcance de la ley de protección de
datos a las empresas que pueden no tener presencia en la UE Mientras aquellas empresas procesan
los datos personales de un residente de la UE en relación con productos o servicios que se ofrecen, o • El marco básico, la intención y el alcance de la GDPR
si esas compañías monitorean el comportamiento de los individuos dentro de la UE.
• ¿Qué empresas se ven afectadas
Incluso para las organizaciones que ya siguen las mejores prácticas de seguridad cibernética, los nuevos
• Un enfoque pragmático para abordar un proyecto de cumplimiento GDPR
requisitos de seguridad de datos podría dar lugar a cambios en los procesos y la tecnología que
requieren tiempo y recursos para poner en práctica. El potencial de crecimiento para los equipos de
• ¿Cómo puede ayudar Imperva
seguridad es doble: pueden beneficiarse del aumento de la capacidad de investigación y plan de
respuesta a la violación aerodinámico que viene con las medidas de proceso y de tecnología como
resultado de conformidad.
máxima
Cualquier empresa que procesa los datos personales procedentes de la UE (sea o no el interesado sea un ciudadano o GDPR es una prioridad para las
residente de la UE) o los datos de una UE residente si la empresa tiene operaciones en la UE o no serán cubiertos por el
multinacionales de EE.UU.
GDPR. Debido a que esto podría afectar a casi todos los sitio web o aplicación en el mundo, no es de extrañar que el
cumplimiento GDPR se ha convertido en una prioridad para los CISO de todo el mundo.
En una encuesta realizada por PwC, el 54 por ciento de
Sobre el GDPR
El nombre oficial
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 la protección
de las personas físicas en lo que respecta al tratamiento de datos personales ya la libre circulación de
estos datos, y se deroga la Directiva 95/46 / CE (Reglamento general de Protección de datos).
88 páginas
Estado
Propósito
Dar a las personas en la UE derechos más fuertes, dotándoles de un mejor control de sus datos y la
protección de su privacidad en la era digital.
organizaciones impactadas
Ambos controladores de datos (los que determinan los fines y los medios del tratamiento de datos personales) y
procesadores de datos (los que procesan datos personales en nombre del controlador) de los datos personales
Cualquier información relativa a una persona física identificada o identificable que se origina en la UE. Más
específicamente, la GDPR afirma: “ 'datos personales': toda información sobre una persona física identificada o
identificable (el 'interesado'); una persona física identificable es uno que puede ser identificada, directa o
indirectamente, en particular por referencia a un identificador tal como un nombre, un número de identificación,
datos de localización, y el identificador de línea o a uno o más factores específicos de la física, fisiológica,
identidad genética, psíquica, económica, cultural o social de esa persona física “.
Para aquellos que cumplen satisfactoriamente los requisitos, hay una certificación opcional, que puede proporcionar una
ventaja competitiva y ayudar a construir la confianza del cliente.
Una de las razones que muchas organizaciones globales que operan fuera de la UE no pueden Mientras que simplemente tener un sitio web o de correo electrónico accesible en la UE no es suficiente
haber comenzado a planificar para el cumplimiento GDPR es que no entienden o no la regla es para que un negocio global en el ámbito GDPR, ciertos factores pueden indicar que una empresa tiene la
aplicable a ellos. Mientras CISO siempre debe consultar con su departamento legal acerca de intención de ofrecer bienes o servicios a los residentes o visitantes dentro de la UE de la UE, que a
la aplicabilidad, la siguiente explicación y ejemplos proporcionan un punto de partida para continuación, llevar el negocio en el ámbito de las nuevas reglas. Estos factores pueden incluir:
• El uso de un lenguaje o una moneda que se utiliza generalmente en uno o más Estados
No es sorprendente que los requisitos GDPR se aplican a cualquier organización hacer negocios en la UE, miembros de la UE, con la posibilidad de ordenar bienes y servicios en ese idioma
independientemente de si el tratamiento de datos de carácter personal se lleva a cabo en la UE o no, y si se
Es importante señalar que las nuevas normas se aplicarán a las empresas establecidas fuera
de la UE si se procesan los datos personales de los residentes o visitantes de la UE en relación
con:
EJEMPLO 1 Ejemplo 2
Una firma de análisis financiero se encarga de proyectar los ingresos de una empresa europea para los Un sitio web para móviles y en línea permite a la gente a comprar, comprar y valorar productos. La
próximos tres años. El analista principal trabaja fuera de una oficina en los EE.UU., sino que utiliza los datos empresa estadounidense propietaria de la tienda al por menor para recoger información personal
personales suministrados por el cliente. Debido a que los datos fueron recogidos en la UE, que está sujeta a acerca de las personas que visitan y hacen compras. La información se utiliza posteriormente en las
requisitos GDPR, a pesar de que el analista se basa fuera de la oficina de Estados Unidos y no recogió campañas de publicidad e informes de ventas. Si una persona visita el sitio web mientras están
inicialmente los datos. físicamente presentes en la UE, los requisitos de la GDPR siguen los datos personales recogidos
durante esa visita. Esto significa que cualquier sitio web o aplicación móvil que se puede acceder por y
recoge datos personales de una persona en la UE tendrán que cumplir con la GDPR.
El precio de incumplimiento
Si los beneficios de cumplir con GDPR no son suficientes incentivos, las posibles sanciones para las empresas que no cumplan deben ayudarle a crear un
modelo de negocio convincente para la inversión necesaria. Mientras que las multas son discrecional y no obligatorio, que se impongan sobre una base
caso por caso, en formas diseñadas para ser efectivas, proporcionadas y disuasorias, los dos niveles de multas administrativas máximos establecidos en la
regulación son empinadas. Dependiendo de la violación, las multas pueden caer en una de dos categorías: 2
En caso de incumplimiento en relación con su consentimiento, protección de datos, las obligaciones del controlador y del procesador, los
registros escritos, evaluaciones de impacto sobre la intimidad, las comunicaciones de violación, y las certificaciones, entre otros. Véase el
artículo 83 (4).
Por falta de adhesión a los principios básicos de procesamiento de datos, la violación de los derechos personales, o la
transferencia de datos personales a otros países u organizaciones internacionales que no garanticen un nivel adecuado de
protección de datos, entre otros. Véase el artículo 83 (5).
2 Diario oficial de la Unión Europea , El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.
tributo de la UE
Considere este ejemplo. Acme, Inc. genera 20 mil millones € / ~ $ 21,5 mil millones en ingresos en 2017 y se De 800 millones de € / $ 862 millones de
encontró que han transferido los datos personales a los Estados Unidos (un país que la Comisión Europea ha
determinado no tiene un nivel adecuado de protección de datos personales) y sin la aplicación de salvaguardias
adecuadas para proteger los datos y sin asegurar que los titulares de los datos tienen datos exigibles los derechos
de privacidad y recursos jurídicos efectivos.
reguladores de la UE (es decir, la autoridad competente de protección de datos) tienen el poder de imponer una multa de 800 millones € / $
862 millones (4% de los 20 mil millones de €), que es mucho más que el mínimo de 20 millones de €. Con márgenes de operación típicas en
un solo dígito, una multa de esta magnitud podría fácilmente consumir la mayor parte del beneficio para una empresa grande durante todo un
año.
INGRESOS ANUALES
20 mil millones de € / ~ $ 21,5 billón
Recolección de
Para ayudar a su organización a comenzar con su proyecto de cumplimiento GDPR, los expertos en seguridad de datos en
Información de
Imperva recomiendan seguir esta lista: almacenamiento /
procesamiento
Tarjetas De
LISTA DE CONTROL GDPR EXPLICACIÓN Explicación Crédito
Comerciantes
Un DPIA ayuda a identificar y minimizar los riesgos de privacidad. Trabajando con las partes interesadas
evaluación de privacidad de los dentro de las organizaciones empresariales y socios, a documentar cómo el procesamiento de datos
datos de impacto (DPIA) personales cumpla la GDPR. Un DPIA es requerida por el GDPR en situaciones de alto riesgo.
Proveedor del
programa de
Evaluar lo que los datos personales que tiene y donde se almacena. Mediante la realización de un inventario Inventario y
fidelización
inventario de los datos procesamiento de pedidos
de los datos personales, a obtener una comprensión clara de los datos personales utilizados en su
personales
organización.
Identificar todos los sistemas que tocan de datos que está dentro del alcance de la GDPR. Mapear los
flujos de datos de punto de entrada hasta el final a la destrucción, incluyendo los procesos de terceros.
mapeo de datos le ayuda a asegurar que todos los riesgos se descubren apropiadamente a medida que
análisis del flujo de datos
adquiera un conocimiento sólido de ciclo de vida completo de datos de su organización. Véase la Figura
CRM interno
1.
Almacén
Siga los puntos de contacto para los datos (incluyendo bases de datos, sistemas de archivos y las
personas) y llevar a cabo una evaluación de riesgos contra cada uno de ellos. Se le evaluación de las Acceso a la Información de
Información / Archivo /
políticas de protección de datos actuales y procesos, así como los controles de la tecnología que hacen
Transferencia Destrucción
Las evaluaciones de riesgo (s) cumplir las políticas y procedimientos. Por ejemplo, ¿tiene controles para hacer cumplir los requisitos de
transferencia de datos transfronterizos de la GDPR? Identificar las áreas de mayor riesgo y lo que debe Cumplimiento Recuperación de desastres
Vendedor y copias de seguridad
hacerse para mitigar ese riesgo.
Datos de la transacción
Evaluar sus procedimientos y controles para detectar, informar e investigar una violación de datos. El GDPR
Busco: 28.000 DPOS NECESARIOS
impone requisitos de notificación de violaciones de los controladores y procesadores de datos. Por ejemplo, los
procedimientos de violación responsables del tratamiento deben reportar las violaciones de datos a las autoridades de supervisión dentro de El GDPR exige que las autoridades públicas el procesamiento de
de datos opinión las 72 horas de la toma de conciencia de una violación a menos que es poco probable que resulte en un riesgo información personal para designar a un oficial de protección de
para los derechos y libertades de una persona física la brecha. datos (RPD), cuando las actividades básicas requieren “un
Presentar los resultados de su análisis, junto con las soluciones recomendadas para conseguir el de supervisión designada, y estar disponible para consultas de los
Firmar en los resultados
apoyo y el presupuesto para el proyecto. Usted debe obtener signo ejecutivo fuera de los interesados. De acuerdo con un estudio realizado por la Asociación
(beneficios)
resultados esperados del proyecto. Internacional de Profesionales de la Privacidad (IAPP), este requisito
Gobernabilidad (rendición de
Poner en marcha procesos para llevar a cabo DPIAs en curso y asegurar el cumplimiento
cuentas en curso y DPIAs)
continuo a través de la prueba.
28.000 OPD tendrán que ser nombrado el 25 de mayo,
2018.
Más de 5.000 clientes en todo el mundo, incluyendo empresas de servicios financieros, empresas de salud y agencias gubernamentales confían en
Imperva para proteger sus datos y aplicaciones críticas. Cuando se trata de cumplir con GDPR, Imperva ofrece servicios de expertos y premiada
tecnología que se combinan para crear las mejores soluciones de su clase. Estas soluciones pueden ayudar a su empresa en la implementación de
medidas de reducción de riesgos y mejorar el cumplimiento de su organización con los requisitos de seguridad de los datos en virtud de la GDPR.
Las soluciones de seguridad de datos Imperva proteger los datos sensibles de posibles violaciones de datos y pueden ayudar a implementar salvaguardias adecuadas de
datos, que son un componente básico de cumplimiento GDPR. Nuestras soluciones de seguridad cibernética incluyen:
Imperva SecureSphere base de datos del cortafuegos: Base de datos Imperva SecureSphere Firewall aborda los requisitos fundamentales
de seguridad de datos de descubrimiento y clasificación de los datos sensibles, evaluación de la vulnerabilidad de base de datos, la supervisión
del acceso de datos y acceso de los usuarios a los datos sensibles, así como la prevención de la transferencia física de los datos fuera de la UE
o de entidades no autorizados por el controlador -Procesador acuerdos. Se escala para satisfacer las demandas de seguridad de incluso las
organizaciones más grandes, y está respaldado por el Centro de Defensa de Imperva, una organización de investigación de seguridad de clase
mundial que mantiene cutting- protección de los bordes del producto contra amenazas en constante evolución.
Imperva camuflaje: Imperva camuflaje Data Masking ocupa de los requisitos de minimización de datos y GDPR seudónimos mediante
la sustitución de los datos confidenciales con datos ficticios realistas. Los datos de enmascarado mantiene la integridad referencial y es
estadísticamente precisa, permitiendo que los datos recogidos para ser utilizado para la prueba, análisis y otras actividades basadas en
datos.
Imperva CounterBreach: Imperva CounterBreach protege los datos empresariales almacenados en bases de datos empresariales, recursos
compartidos de archivos y aplicaciones SaaS de robos y pérdidas causadas por los usuarios comprometidos, por descuido o maliciosos. Se aplica
aprender a aprender de forma dinámica los patrones de acceso a datos de los usuarios normales de la máquina y luego identifica la actividad de
acceso inapropiado o abusivo, lo que ayuda a prevenir las violaciones de datos antes de que ocurran.
Imperva descubrimiento de datos y servicio de análisis: Base de datos Imperva Descubrimiento y Servicio de análisis (DDNA)
proporciona una metodología probada para descubrir y clasificar los datos, lo cual es un aspecto crítico de cumplimiento GDPR.
Resultados clave incluyen: identificación de los elementos de base de datos, propietarios y custodios de datos; clasificación de riesgo
Imperva Proyecto Descubrimiento y Servicio de Análisis: Imperva Proyecto de descubrimiento y análisis de servicios (pDNA) evalúa los
controles actuales de seguridad de base de datos para identificar las deficiencias de control. Resultados clave incluyen: la identificación de
las principales partes interesadas, evaluación de riesgos y recomendaciones de soluciones y planes para abordar las brechas identificadas.
Aprende más
Obtenga más información sobre cómo cumplir con la normativa de protección de datos dentro de GDPR:
• Echa un vistazo a las notas del producto “GDPR: Nuevas reglas de protección de datos en la UE”
Acerca de Imperva
Imperva® (NASDAQ: IMPV) es un proveedor líder de soluciones de seguridad informática que protegen
los datos críticos para el negocio y aplicaciones. líneas de productos SecureSphere, CounterBreach,
Incapsula y el camuflaje de la compañía permiten a las organizaciones para descubrir activos y riesgos,
proteger la información donde quiera que esté - en la nube y en las instalaciones - y cumplir con las
regulaciones. los Centro de Defensa Imperva , Un equipo de investigación compuesto por algunos de los
principales expertos del mundo en los datos y la seguridad de aplicaciones, mejora continuamente los
productos de Imperva con la inteligencia de amenazas actualizada al minuto, y publica informes que
permiten conocer y orientación sobre las amenazas más recientes y cómo mitigarlos . Imperva tiene su
sede en Redwood Shores, California. Aprende más: www.imperva.com , nuestro blog , en Gorjeo .
© 2017 Imperva, Inc. Todos los derechos reservados. Imperva, el logotipo de Imperva, CounterBreach, Incapsula, SecureSphere, ThreatRadar, camuflaje y el diseño son marcas registradas de Imperva, Inc. y sus subsidiarias. | Imperva.com