Conformité à la loi générale brésilienne sur la protection des données (Lei Geral de Proteção de Dados - LGPD)

Résumé

La loi générale sur la protection des données brésilienne (LGPD) est entrée en vigueur en 2020.

Selon l’article 1 de la loi :

Cette loi prévoit le traitement de données à caractère personnel, y compris par voie numérique, par une personne physique ou une entité juridique de droit public ou privé, dans le but de protéger les droits fondamentaux de la liberté et de la vie privée et le libre développement de la personnalité de la personne physique.

Où que vous opériez et quelle que soit la réglementation, vous pouvez compter sur Thales pour vous aider à gérer vos risques. Thales peut aider votre organisation à se conformer à de nombreuses exigences de la LGPD.

Meilleures pratiques

La loi générale sur la protection des données brésilienne (LGPD) exige les meilleures pratiques en matière de sécurité des données à caractère personnel et précise que les données à caractère personnel rendues anonymes ne sont plus considérées comme relevant du champ d’application de la loi si elles ne peuvent pas être facilement ramenées à leur état d’origine par les personnes susceptibles de les obtenir.

Les meilleures pratiques en matière de sécurité des données comprennent toujours les éléments suivants :

• Découverte et classification des données
• Contrôle de l’accès des utilisateurs aux données
• Chiffrement ou tokénisation des données
• Protection et gestion des clés utilisées pour chiffrer les données
• un enregistrement des événements liés à l’accès aux données

Thales dispose d’années d’expérience pour aider les organisations à mettre en œuvre ces meilleures pratiques afin de se conformer au LGDP.

Découverte et la classification des données

La première étape de la protection des données sensibles consiste à trouver les données, quel que soit l’endroit où elles se trouvent au sein de l’organisation, à les classer comme sensibles et à les typer (p. ex. PII, financières, IP, HHI, confidentielles, etc.), afin de pouvoir appliquer les techniques de protection des données les plus appropriées. Il est également important de surveiller et d’évaluer régulièrement les données pour s’assurer qu’aucune nouvelle donnée n’est négligée et que votre organisation n’enfreint aucune règle de conformité.

La solution CipherTrust Data Discovery and Classification de Thales identifie de manière efficace les données sensibles structurées et non structurées sur site et dans le Cloud. Prenant en charge les modèles de déploiement sans agent et avec agent, cette solution fournit des modèles intégrés qui permettent une identification rapide des données réglementées, mettent en évidence les risques de sécurité et vous aident à découvrir les lacunes en matière de conformité. Grâce à un flux de travail rationalisé, les zones d’ombre en matière de sécurité sont exposées et le temps de remédiation réduit. La génération de rapports détaillés soutient les programmes de conformité et facilite la communication avec les dirigeants.

Gestion des accès et authentification robustes

Les solutions de gestion des accès et d’authentification de Thales fournissent à la fois les mécanismes de sécurité et les fonctionnalités de génération de rapports dont les entreprises ont besoin pour se conformer aux réglementations sur la sécurité des données. Nos solutions protègent les données sensibles en mettant en application les contrôles d’accès appropriés lorsque les utilisateurs se connectent aux applications qui stockent des données sensibles. En prenant en charge une gamme étendue de méthodes d’authentification et un accès basé sur les rôles et axé sur les politiques, nos solutions aident les organisations à réduire les risques de violation de données dus à des identifiants compromis ou volés, ou à une utilisation abusive des identifiants par des initiés.

La prise en charge de l’identification unique et intelligente et de l’authentification renforcée permet aux organisations d’optimiser le confort des utilisateurs finaux, en veillant à ce qu’ils n’aient à s’authentifier qu’en cas de besoin. La génération de rapports étendue permet aux entreprises de produire une piste d’audit détaillée de tous les événements d’accès et d’authentification, ce qui leur permet de prouver leur conformité à une large gamme de réglementations.

Protection des données sensibles au repos

La plateforme CipherTrust Data Security Platform est une suite intégrée de produits et de solutions de sécurité axée sur les données qui unifie la découverte, la protection et le contrôle des données sur une seule plateforme.

• Découvrir : une organisation doit être en mesure de découvrir les données où qu’elles se trouvent et de les classer. Ces données peuvent se présenter sous de nombreuses formes (fichiers, bases de données et big data) et elles peuvent reposer dans des dispositifs de stockage sur site, des environnements Cloud et des dispositifs de sauvegarde. La sécurité des données et la conformité commencent par la découverte des données sensibles exposées avant les pirates et les auditeurs. La plateforme CipherTrust Data Security Platform permet aux organisations d’obtenir une visibilité complète des données sensibles sur site et dans le Cloud grâce à une découverte, à une classification et à une analyse des risques efficaces des données.
• Protéger : une fois qu’une organisation sait où se trouvent ses données sensibles, des mesures de protection telles que le chiffrement ou la tokenisation peuvent être appliquées. Pour que le chiffrement et la tokenisation parviennent à sécuriser les données sensibles, les clés cryptographiques elles-mêmes doivent être sécurisées, gérées et contrôlées par l’organisation. La plateforme CipherTrust Data Security Platform offre une gamme complète de fonctionnalités de sécurité des données, notamment le chiffrement au niveau des fichiers avec des contrôles d’accès, le chiffrement au niveau des applications, le chiffrement des bases de données, le masquage statique des données, la tokenisation sans coffre-fort avec le masquage dynamique des données basé sur des politiques, et la tokenisation avec coffre-fort pour prendre en charge une vaste gamme de cas d’utilisation de la protection des données.
• Contrôler : l’organisation doit contrôler l’accès à ses données et centraliser la gestion des clés. Toutes les réglementations et tous les mandats relatifs à la sécurité des données exigent des organisations qu’elles soient en mesure de surveiller, de détecter, de contrôler et de signaler les accès autorisés et non autorisés aux données et aux clés de chiffrement. La plateforme CipherTrust Data Security Platform offre une gestion robuste des clés d’entreprise à travers plusieurs fournisseurs de services Cloud et des environnements Cloud hybrides pour gérer de manière centralisée les clés de chiffrement et configurer les politiques de sécurité afin que les organisations puissent contrôler et protéger les données sensibles dans le Cloud, sur site et dans les environnements hybrides.
• Surveiller : enfin, l’entreprise doit surveiller l’accès aux données sensibles pour identifier les attaques en cours ou récentes provenant d’initiés malveillants, d’utilisateurs privilégiés, d’APT et d’autres cybermenaces. Les journaux et les rapports CipherTrust Security Intelligence rationalisent la génération de rapports de conformité et accélèrent la détection des menaces à l’aide des principaux systèmes de gestion des informations et des événements de sécurité (SIEM). Cette solution permet une réaffectation automatisée immédiate des tentatives d’accès non autorisées et une réponse automatique immédiate à celles-ci et fournit toutes les données nécessaires pour créer les modèles de comportement requis afin d’identifier les utilisations suspectes par les utilisateurs autorisés.

Protection des données sensibles en transit

Les dispositifs de chiffrement à haut débit, ou High Speed Encryptors (HSE), de Thales offrent un chiffrement des données en transit indépendant du réseau (couches 2, 3 et 4), ce qui garantit la sécurité des données pendant leur transit d’un site à l’autre, d’une infrastructure sur site vers le Cloud et inversement. Grâce à nos HSE, les clients peuvent améliorer la protection de leurs données, de leurs vidéos, de leurs fichiers audio et de leurs métadonnées contre les écoutes, la surveillance et l’interception, explicite et déguisée ; le tout à un coût abordable et sans compromis sur les performances.

Protection des clés de chiffrement

Les HSM Luna de Thales fournissent un environnement renforcé et inviolable pour des opérations cryptographiques (traitement, génération et protection des clés, chiffrement, et bien d’autres) sécurisées. Disponibles dans 3 facteurs de forme certifiés FIPS 140-2, les HSM Luna prennent en charge une vaste gamme de situations de déploiement.

De plus, les HSM Luna :

• Génèrent et protègent les clés racines et des autorités de certification, fournissant une prise en charge des infrastructures PKI dans de nombreux cas d’utilisation.
• Signent le code de vos applications afin que vous puissiez avoir la garantie que vos logiciels restent sûrs, intacts et authentiques.
• Créent des certificats numériques pour les appareils électroniques d’accréditation et d’authentification propriétaires pour les applications IdO et autres déploiements réseau.