Conformité à la loi sud-africaine sur la protection des données personnelles

Conformité à la loi sud-africaine sur la protection des données personnelles

Thales aide les entreprises à se conformer aux principales dispositions de la loi sud-africaine sur la protection des données personnelles

Loi POPI ( « Protection of Personal Information Act »)

La loi sud-africaine sur la protection des données personnelles (loi POPI) vise à garantir que les organisations opérant en Afrique du Sud fassent preuve de prudence lors de la collecte, du stockage ou du partage de données personnelles.

Les solutions de gestion des accès et d’authentification de Thales ainsi que la plateforme CipherTrust Data Security Platform fournissent les outils dont vous avez besoin pour vous conformer à la loi POPI et prévenir les violations de données. Si vous êtes victime d’une violation de données, vous pourrez peut-être vous soustraire à l’obligation de rendre cette violation publique, si les données concernées ont été chiffrées avec la plateforme CipherTrust.

Thales soutient vos efforts de conformité en vous aidant à :

  • Authentifier et gérer les accès
  • Prévenir les violations en procédant à des contrôles granulaires et en séparant les utilisateurs à accès privilégié des données sensibles
  • Éviter d’avoir à vous soumettre à l’obligation de rendre les violations publiques en procédant au chiffrement et à la tokénisation des données
  • Identifier les situations d’accès irrégulières et les violations en cours grâce aux journaux de renseignements de sécurité
  • Réglementation
  • Conformité

Résumé

La loi sud-africaine POPI exige des organisations qu’elles protègent adéquatement les données sensibles sous peine d’encourir de lourdes amendes, des poursuites civiles, voire des peines d’emprisonnement. La loi accorde aux personnes concernées certains droits qui leur permettent de contrôler la manière dont leurs données personnelles peuvent être collectées, traitées, stockées et partagées.

Sanctions

Selon le chapitre 11 (infractions, sanctions et amendes administratives) de la loi POPI :

107. Toute personne reconnue coupable d’une infraction à la présente loi est passible…

(a) d’une amende ou d’une peine d’emprisonnement n’excédant pas 10 ans, ou d’une amende assortie d’une peine d’emprisonnement, en cas de contravention à l’article 100, 103(1), 104(2), 105(1), 106(1) (3) ou (4) ; ou

(b) d’une amende ou d’une peine d’emprisonnement n’excédant pas 12 mois, ou d’une amende assortie d’une peine d’emprisonnement, en cas de contravention aux articles 59, 101, 102, 103(2) ou 104(1).

Selon le chapitre 11, « tout tribunal de première instance a la compétence de prononcer n’importe laquelle des sanctions prévues à l’article 107 ».

Résumé relatif à la conformité

La condition 7 de la loi POPI décrit les critères de sécurisation des données personnelles. Thales aide les entreprises à répondre à deux des aspects clés de la condition 7 :

Le point 19 de la condition 7 stipule que toute organisation doit garantir l’intégrité et la confidentialité des données personnelles contre la perte, les dommages et la destruction non autorisée et prévenir tout accès illicite à ces informations. Le point 19 exige également des organisations qu’elles évaluent les risques potentiels afférents aux données personnelles et qu’elles mettent en place des mesures de protection contre ces risques. Ces mesures de protection doivent être régulièrement évaluées, maintenues, mises à jour et auditées pour garantir la conformité de l’entreprise.

Le point 22 décrit les mesures que les organisations doivent prendre si « les données personnelles d’une personne concernée ont été consultées ou acquises par une personne non autorisée ». La partie responsable doit informer le régulateur et la personne concernée dont les données ont été violées « dès que raisonnablement possible après la découverte de la violation ». Le régulateur a le droit d’obliger l’organisation concernée à publier les détails de la violation des données, sauf si cela devait présenter un risque pour la sécurité de la nation ou des personnes.

Les bonnes pratiques pour assurer l’intégrité et la confidentialité des données personnelles contre la perte, les dommages, la destruction non autorisée et les accès illicites doivent se traduire par une gestion des accès et une authentification robustes, associées à un chiffrement transparent, une gestion intégrée des clés cryptographiques et la génération de renseignements de sécurité. Thales propose les solutions suivantes pour aider les organisations à se conformer à la loi sud-africaine POPI.

Découverte et classification des données

La première étape de la protection des données sensibles consiste à trouver les données, quel que soit l’endroit où elles se trouvent au sein de l’organisation, à les classer comme sensibles et à les typer (p. ex. PII, financières, IP, HHI, confidentielles, etc.), afin de pouvoir appliquer les techniques de protection des données les plus appropriées. Il est également important de surveiller et d’évaluer régulièrement les données pour s’assurer qu’aucune nouvelle donnée n’est négligée et que votre organisation n’enfreint aucune règle de conformité.

La solution CipherTrust Data Discovery and Classification de Thales identifie de manière efficace les données sensibles structurées et non structurées sur site et dans le cloud. Prenant en charge les modèles de déploiement sans agent et avec agent, cette solution fournit des modèles intégrés qui permettent une identification rapide des données réglementées, mettent en évidence les risques de sécurité et vous aident à découvrir les lacunes en matière de conformité. Grâce à un flux de travail rationalisé, les zones d’ombre en matière de sécurité sont exposées et le temps de remédiation réduit. Des rapports détaillés sont générés en vue d’enrichir les programmes de conformité et de faciliter la communication avec les dirigeants.

Protection des données sensibles au repos

Séparation des utilisateurs à accès privilégié et des données sensibles des utilisateurs

Grâce à CipherTrust Data Security Platform, les administrateurs peuvent mettre en place une séparation des tâches stricte entre les administrateurs privilégiés et les propriétaires des données. CipherTrust Transparent Encryption chiffre les fichiers sans toucher aux métadonnées. De cette manière, les administrateurs informatiques (y compris les administrateurs d’hyperviseur, de cloud, de stockage et de serveur) peuvent effectuer leurs tâches d’administration de système sans obtenir d’accès privilégié aux données sensibles qui se trouvent dans les systèmes qu’ils sont amenés à gérer.

Séparation des tâches d’administration

Il est possible de mettre en place des politiques de séparation des tâches strictes pour s’assurer qu’aucun administrateur ne bénéficie d’un contrôle complet sur les activités de sécurité des données, les clés de chiffrement ou l’administration. De plus, CipherTrust Manager prend en charge l’authentification à deux facteurs pour l’accès administrateur.

Contrôle granulaire des accès privilégiés

CipherTrust Data Security Platform peut exécuter des politiques de gestion des accès pour les utilisateurs les moins privilégiés à niveau de granularité élevé, ce qui permet de protéger les données contre les abus d’utilisation et les attaques de type APT. Il est possible d’appliquer des politiques de gestion des accès d’utilisateurs privilégiés granulaires en fonction de l’utilisateur, du processus, du type de fichier, de l’heure et d’autres paramètres. Les options de mise en application peuvent porter non seulement sur les permissions d’accès aux données en clair, mais également sur les commandes de système de fichiers disponibles pour les utilisateurs.

Gestion des accès et authentification robustes

Les solutions de gestion des accès et d’authentification de Thales fournissent à la fois les mécanismes de sécurité et les fonctionnalités de génération de rapports dont les entreprises ont besoin pour se conformer aux réglementations sur la sécurité des données. Nos solutions protègent les données sensibles en mettant en application les contrôles d’accès appropriés lorsque les utilisateurs se connectent aux applications qui stockent des données sensibles. En prenant en charge un large éventail de méthodes d’authentification et un accès dépendant du rôle et reposant sur des politiques, nos solutions aident les entreprises à réduire les risques de violation de données dues à des identifiants compromis ou volés, ou à une utilisation abusive des identifiants en interne.

La prise en charge du SSO intelligent et de l’authentification renforcée permet aux organisations d’optimiser le confort des utilisateurs finaux, leur permettant de s’authentifier uniquement lorsque cela s’avère nécessaire. Grâce à des rapports approfondis, les entreprises peuvent produire une piste d’audit détaillée de tous les événements d’accès et d’authentification, ce qui leur permet de prouver leur conformité à un large éventail de réglementations.

Protection des données sensibles en transit

Les dispositifs de chiffrement à haut débit, ou High Speed Encryptors (HSE), de Thales offrent un chiffrement des données en transit indépendant du réseau (couches 2, 3 et 4), ce qui garantit la sécurité des données pendant leur transit d’un site à l’autre, d’une infrastructure sur site vers le cloud et inversement. Grâce à nos HSE, les clients peuvent améliorer la protection de leurs données, de leurs vidéos, de leurs fichiers audio et de leurs métadonnées contre les écoutes, la surveillance et l’interception, explicite et déguisée ; le tout à un coût abordable et sans compromis sur les performances.

Sécurisez vos actifs numériques, respectez les normes réglementaires et sectorielles et protégez la réputation de votre organisation. Découvrez comment Thales peut vous aider.

Data Security Compliance and Regulations - eBook

Data Security Compliance and Regulations - eBook

This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.

Thales CipherTrust Data Discovery and Classification - Product Brief

Thales CipherTrust Data Discovery and Classification - Fiche produit

La première étape vers la conformité est de comprendre ce qui constitue les données sensibles, où elles sont stockées et comment elles sont utilisées. Si vous ne savez pas quelles données sensibles vous possédez, où elles résident et pourquoi elles sont là, vous ne pouvez pas...

SafeNet Trusted Access - Solution Brief

SafeNet Trusted Access - Solution Brief

More and more cloud-based services are becoming an integral part of the enterprise, as they lower costs and management overhead while increasing flexibility. Cloud-based authentication services, especially when part of a broader access management service, are no exception, and...

Guide to Authentication Technologies - White Paper

A Comprehensive Guide to Authentication Technologies and Methods - White Paper

Authentication solutions need to be frictionless. Adopting methods with a higher Authentication Assurance Level and Stronger authentication, can effectively reduce the risk of attacks. Explore authentication technologies to learn: • Selecting authentication methods • Analysis...

CipherTrust Transparent Encryption - White Paper

CipherTrust Transparent Encryption - White Paper

Enterprise digital transformation and increasingly sophisticated IT security threats have resulted in a progressively more dangerous environment for enterprises with sensitive data, even as compliance and regulatory requirements for sensitive data protection rise. With attacks...

CipherTrust Transparent Encryption - Product Brief

CipherTrust Transparent Encryption - Product Brief

CipherTrust Transparent Encryption delivers data-at-rest encryption with centralized key management, privileged user access control, and detailed data access audit logging that helps organizations meet compliance and best practice requirements for protecting data, wherever it...

High Speed Encryption Solutions - Solution Brief

High Speed Encryption Solutions - Solution Brief

Networks are under constant attack and sensitive assets continue to be exposed. More than ever, leveraging encryption is a vital mandate for addressing threats to data as it crosses networks. Thales High Speed Encryption solutions provide customers with a single platform to ...

The Key Pillars for Protecting Sensitive Data in Any Organization - White Paper

The Key Pillars for Protecting Sensitive Data in Any Organization - White Paper

Traditionally organizations have focused IT security primarily on perimeter defense, building walls to block external threats from entering the network. However, with today’s proliferation of data, evolving global and regional privacy regulations, growth of cloud adoption, and...

The Enterprise Encryption Blueprint - White Paper

The Enterprise Encryption Blueprint - White Paper

You’ve been tasked with setting and implementing an enterprise wide encryption strategy, one that will be used to guide and align each Line of Business, Application Owner, Database Administrator and Developer toward achieving the goals and security requirements that you define...

eBook – Le chiffrement intégral, guide pratique pour protéger vos données sensibles

eBook – Le chiffrement intégral, guide pratique pour protéger vos données sensibles

En tant qu’expert en matière de sécurité des données pour votre entreprise, vous devez protéger les données sensibles de votre organisation en développant et appliquant une stratégie de chiffrement à l’échelle de l’entreprise. Mais il est très difficile d’identifier où...