Einhaltung des südafrikanischen Protection of Personal Information Act

Zusammenfassung

Der südafrikanische POPI Act verlangt von Unternehmen, dass diese sensible Daten angemessen schützen. Ansonsten drohen ihnen hohe Geldbußen, zivilrechtliche Konsequenzen oder sogar Gefängnis. Das Gesetz verleiht den betroffenen Personen bestimmte Rechte und damit die Kontrolle darüber, wie ihre personenbezogenen Daten erfasst, verarbeitet, gespeichert und weitergegeben werden dürfen.

Strafen

In Kapitel 11 (Verstöße, Strafen und Bußgelder) des POPI Act heißt es:

107. Alle Personen, die in Bezug auf die Bestimmungen dieses Gesetzes einer Straftat für schuldig befunden werden, werden –

(a) im Falle eines Verstoßes gegen Absatz 100, 103(1), 104(2), 105(1), 106(1), (3) oder (4) zu einer Geldstrafe oder einer Gefängnisstrafe von maximal 10 Jahren oder zu beidem; oder

(b) im Falle eines Verstoßes gegen Absatz 59, 101, 102, 103(2) oder 104(1) zu einer Geldstrafe oder einer Gefängnisstrafe von maximal 12 Monaten oder zu beidem verurteilt.

In Kapitel 11 wiederum heißt es wie folgt: „Ein Amtsgericht entscheidet über das Strafmaß gemäß Absatz 107.“

Überblick über die Einhaltung der Vorschriften

Paragraph 7 des POPI Act erläutert die Kriterien für die Sicherung personenbezogener Informationen. Thales unterstützt Unternehmen dabei, zwei der zentralen Aspekte von Paragraph 7 zu erfüllen:

Ziffer 19 von Paragraph 7 legt fest, dass ein Unternehmen die Integrität und Vertraulichkeit von personenbezogenen Daten sicherstellen und diese vor Verlust, Beschädigung, unbefugter Vernichtung und unrechtmäßigem Zugriff schützen muss. Ziffer 19 verlangt außerdem, dass Unternehmen das potenzielle Risiko für personenbezogene Daten bewerten und entsprechende Sicherheitsvorkehrungen ergreifen. Diese Sicherheitsvorkehrungen müssen regelmäßig evaluiert, beibehalten, aktualisiert und geprüft werden, um sicherzustellen, dass das Unternehmen alle Vorgaben einhält.

Ziffer 22 beschreibt die Maßnahmen, die Unternehmen ergreifen müssen, wenn „Unbefugte auf die personenbezogenen Informationen einer betroffenen Person zugegriffen oder sich diese angeeignet haben“. Die verantwortliche Partei muss die zuständigen Behörden sowie die betroffene Person so schnell wie möglich nach der Entdeckung der Datenschutzverletzung benachrichtigen. Die zuständige Behörde kann das betroffene Unternehmen zwingen, Details der Datenschutzverletzung zu veröffentlichen. Hiervon ausgenommen sind nur Fälle, in denen die Sicherheit der Nation oder einzelner Personen gefährdet ist.

Zur Sicherung der Integrität und der Vertraulichkeit personenbezogener Daten sowie zu deren Schutz vor Verlust, Beschädigung, unbefugter Vernichtung und unrechtmäßigen Zugriff hat sich eine Kombination aus leistungsstarker Zugriffsverwaltung und Authentifizierung in Kombination mit transparenter Verschlüsselung, integrierter Verwaltung der kryptographischen Schlüssel und Sicherheitsintelligenz bewährt. Thales stellt Unternehmen zur Einhaltung des südafrikanischen POPI Act die folgenden Lösungen bereit:

Datenerkennung und -klassifizierung

Beim Schutz sensibler Daten muss zunächst in Erfahrung gebracht werden, wo im Unternehmen sich diese Daten befinden. Anschließend müssen diese Daten als sensibel klassifiziert und typisiert werden (z. B. PII, Finanzdaten, IP, HHI, vertrauliche Kundendaten usw.), damit Sie die am besten geeigneten Datenschutztechniken anwenden können. Außerdem ist es wichtig, die Daten regelmäßig zu überwachen und zu bewerten, damit neue Daten nicht übersehen werden und Ihr Unternehmen nicht gegen Bestimmungen verstößt.

CipherTrust Data Discovery and Classification von Thales erkennt schnell und präzise strukturierte sowie unstrukturierte Daten on-premises und in der Cloud. Diese Lösung unterstützt sowohl agentenlose als auch agentenbasierte Bereitstellungsmodelle. Sie verfügt über integrierte Templates, die eine schnelle Identifizierung regulierter Daten ermöglichen, Sicherheitsrisiken sichtbar machen und dazu beitragen, Lücken bei der Einhaltung von Bestimmungen aufzudecken. Ein straffer Workflow zeigt auf, wo die Sicherheitslücken liegen, und reduziert die Zeit, die für deren Behebung aufgewendet werden muss. Detaillierte Berichte unterstützen Compliance-Programme und erleichtern die Kommunikation auf Geschäftsleitungsebene.

Schutz sensibler Data-at-Rest

Trennung von Benutzern mit privilegiertem Zugriff und sensiblen Benutzerdaten

Mit der CipherTrust Data Security Platform können Unternehmen eine starke Aufgabentrennung zwischen privilegierten Administratoren und Dateneigentümern schaffen. CipherTrust Transparent Encryption verschlüsselt Dateien, aber nicht die Metadaten. So können IT-Administratoren – einschließlich Hypervisoren sowie Cloud-, Speicher- und Serveradministratoren – ihre Systemverwaltungsaufgaben erledigen, ohne dass sie Zugriff auf die sensiblen Daten haben, die auf den Systemen gespeichert sind, die sie verwalten.

Trennung administrativer Aufgaben.

Es können strenge Richtlinien zur Aufgabentrennung durchgesetzt werden, um sicherzustellen, dass ein Administrator nicht die vollständige Kontrolle über Datensicherheitsaktivitäten, kryptographische Schlüssel oder die Verwaltung hat. Darüber hinaus unterstützt der CipherTrust Manager Zwei-Faktor-Authentifizierung für Administratorzugriffe.

Engmaschige Kontrolle privilegierter Zugriffe.

Die CipherTrust Data Security Platform kann sehr granulare Zugriffsverwaltungsrichtlinien nach dem Least-Privilege-Prinzip durchsetzen und ermöglicht so den Schutz der Daten vor Missbrauch durch privilegierte Benutzer und APT-Angriffen. Granulare Richtlinien für die Verwaltung des privilegierten Benutzerzugriffs können nach Benutzer, Prozess, Dateityp, Tageszeit und anderen Parametern angewendet werden. Mit den Erzwingungsoptionen kann nicht nur die Berechtigung zum Zugriff auf Klartextdaten kontrolliert werden, sondern auch, welche Dateisystembefehle einem Benutzer zur Verfügung stehen.

Leistungsstarke Zugriffsverwaltung und Authentifizierung

Die Zugriffsverwaltungs- und Authentifizierungslösungen von Thales bieten die erforderlichen Sicherheitsmechanismen und Berichtsfunktionen, die Unternehmen für die Einhaltung von Datensicherheitsvorschriften benötigen. Unsere Lösungen schützen sensible Daten, indem Sie geeignete Zugriffskontrollen durchsetzen, sobald Benutzer auf Anwendungen zugreifen, in denen sensible Daten gespeichert sind. Sie unterstützen eine große Bandbreite an Authentifizierungsmethoden sowie richtlinien- und rollenbasierten Zugriff und helfen Unternehmen dabei, das Risiko von Datenschutzverletzungen aufgrund kompromittierter oder gestohlener Zugangsdaten oder deren Missbrauch durch Insider zu senken.

Dank intelligentem Single-Sign-on und Step-up-Authentifizierung können Organisationen die Benutzerfreundlichkeit erhöhen. Endbenutzer müssen sich nur bei Bedarf authentifizieren. Unternehmen können mithilfe umfangreicher Berichtsfunktionen detaillierte Audit-Protokolle aller Zugriffs- und Authentifizierungsereignisse erstellen. So ist die Einhaltung zahlreicher Vorschriften gewährleistet.

Schutz sensibler Data-in-Motion

Die High Speed Encryptors (HSEs) von Thales bieten eine netzwerkunabhängige Verschlüsselung für Data-in-Motion (Ebene 2, 3 und 4), die die Sicherheit der Daten auf dem Weg von Standort zu Standort oder von on-premises zur Cloud und zurück gewährleistet. Mit unseren HSE-Lösungen können Kunden Daten, Videos, Sprach- und Metadaten besser vor Lauschangriffen, Überwachung und offenem und verborgenen Abfangen schützen – zu einem günstigen Preis, ohne das Abstriche bei der Leistung gemacht werden müssen.