Conformità con la legge generale sulla protezione dei dati del Brasile (Lei Geral de Proteção de Dados - LGPD)

Sommario

La Legge generale sulla protezione dei dati (LGPD) del Brasile è entrata in vigore nel 2020.

Secondo l'articolo 1 della legge:

La presente legge prevede il trattamento dei dati personali, anche con mezzi digitali, da parte di una persona fisica o di una persona giuridica di diritto pubblico o privato, al fine di tutelare i diritti fondamentali di libertà e privacy e il libero sviluppo della personalità della persona fisica.

Ovunque tu operi e qualunque sia la normativa, puoi contare su Thales per la gestione dei rischi. Thales può aiutare la tua organizzazione a soddisfare molti dei requisiti della LGPD.

Buone pratiche

La Legge Generale sulla Protezione dei Dati (LGPD) del Brasile richiede le migliori pratiche per la sicurezza dei dati personali e osserva che i dati personali che sono stati resi anonimi non sono più considerati nell'ambito di applicazione della legge, se non possono essere facilmente riportati al loro stato originale da coloro che potrebbero ottenerli.

Le migliori pratiche per la sicurezza dei dati includono sempre:

• Discovery e classificazione dei dati
• Controllo degli accessi da parte degli utenti ai dati
• Crittografia o tokenizzazione dei dati
• Protezione e gestione delle chiavi utilizzate per la crittografia dei dati
• Registrazione degli eventi di accesso ai dati

Thales ha anni di esperienza nell'aiutare le aziende a implementare queste buone prassi per contribuire alla conformità con la LGDP.

Discovery e classificazione dei dati

Il primo passo nella protezione dei dati sensibili è trovare i dati ovunque si trovino nell’organizzazione, classificarli e registrarli come sensibili (ad es. informazioni di identificazione personale, finanziarie, proprietà intellettuale, HHI, riservate del cliente, ecc.) in modo da poter applicare le tecniche di protezione dei dati più appropriate. È anche importante monitorare e valutare regolarmente i dati per garantire che le nuove informazioni non vengano trascurate e che la tua azienda continui a essere conforme alle normative.

CipherTrust Data Discovery and Classification di Thales individua efficacemente dati sensibili, strutturati e non, nel cloud e on-premise. Supportando modelli di deployment con o senza agenti, la soluzione fornisce modelli integrati che permettono un’identificazione rapida dei dati regolati, il rilevamento dei rischi per la sicurezza e l’individuazione di lacune relative alla conformità. Un flusso di lavoro efficiente rivela i punti ciechi relativi alla sicurezza e diminuisce i tempi di risanamento. Le relazioni dettagliate supportano i programmi di compliance e facilitano la comunicazione tra dirigenti.

Autenticazione e gestione degli accessi avanzate

Le soluzioni di Thales per l'autenticazione e la gestione degli accessi offrono i meccanismi di sicurezza e le funzionalità di reportistica di cui le organizzazioni hanno bisogno per rispettare i requisiti relativi alla messa in sicurezza dei dati. Le nostre soluzioni proteggono i dati sensibili applicando adeguati controlli degli accessi quando gli utenti accedono ad applicazioni contenenti informazioni riservate. Supportando un'ampia gamma di metodi di autenticazione e criteri di accesso basati sui ruoli, le nostre soluzioni aiutano le aziende a limitare i rischi di violazione dei dati causati dalla compromissione o sottrazione delle credenziali o da utilizzi impropri da parte di insider.

Il supporto per l'autenticazione Smart Single Sign-On e Step-Up permette alle aziende di ottimizzare la comodità per gli utenti finali, che devono autenticarsi soltanto quando ce n’è bisogno. I report approfonditi permettono alle aziende di produrre un audit trail dettagliato di tutti gli eventi di accesso e autenticazione, garantendo un rispetto comprovato degli obblighi previsti da un'ampia gamma di regolamenti.

Protezione dei dati sensibili a riposo

La CipherTrust Data Security Platform è una suite integrata di prodotti e soluzioni di sicurezza incentrati sui dati che unifica data discovery, protezione dei dati e controllo degli stessi in un’unica piattaforma.

• Scoperta: un’organizzazione deve essere in grado di scoprire e classificare i dati ovunque si trovino. Questi dati possono essere archiviati in numerosi formati: file, database e big data, e possono trovarsi in ambienti on-premises, cloud e backup. La sicurezza dei dati e la compliance iniziano trovando dati sensibili esposti prima che lo facciano hacker e auditor. La CipherTrust Data Security Platform permette alle organizzazioni di ottenere una completa visibilità sui dati sensibili in ambienti on-premises e nel cloud grazie a discovery, classificazione e analisi del rischio efficienti.
• Protezione: quando un’organizzazione ha individuato la posizione dei propri dati sensibili, ha la possibilità di implementare misure di protezione come la crittografia o la tokenizzazione. Per far sì che la crittografia e la tokenizzazione riescano a blindare con successo i dati sensibili, le chiavi di crittografia devono essere protette, gestite e controllate dall’organizzazione. La CipherTrust Data Security Platform fornisce capacità complete di sicurezza dei dati, tra cui crittografia a livello di file con controllo degli accessi, crittografia a livello applicativo, crittografia del database, mascheramento statico dei dati, tokenizzazione senza vault con mascheramento dei dati dinamico basato su criteri e tokenizzazione con vault per supportare un'ampia gamma di casi d'uso di protezione dei dati.
• Controllo: l’organizzazione deve controllare gli accessi ai propri dati e centralizzare la gestione delle chiavi. Tutte le normative e le imposizioni in materia di sicurezza dei dati richiedono che le organizzazioni siano in grado di monitorare, individuare, controllare e segnalare accessi autorizzati e non ai dati e alle chiavi di crittografia. La CipherTrust Data Security Platform fornisce una gestione robusta delle chiavi di tipo enterprise fra provider multipli di servizi cloud e ambienti di cloud ibridi, per consentire di gestire in modo centralizzato le chiavi di crittografia e configurare i criteri di sicurezza in modo che le organizzazioni possano controllare e proteggere i dati sensibili nel cloud, in ambienti on-premises e ibridi.
• Monitoraggio: Infine, l’impresa deve monitorare gli accessi ai dati sensibili per identificare attacchi in corso o recenti provenienti da minacce dall’interno, utenti privilegiati, APT e altri tipi di attacchi informatici. I log e report di CipherTrust Security Intelligence semplificano l’elaborazione dei rapporti di conformità e velocizzano il rilevamento delle minacce grazie a sistemi SIEM (Security Information and Event Management) leader di mercato. La soluzione consente un'immediata escalation automatizzata e la possibilità di reagire a tentativi di accesso non autorizzati, mettendo inoltre a disposizione tutti i dati utili per creare i modelli comportamentali necessari a identificare utilizzi sospetti da parte di utenti autorizzati.

Protezione dei dati sensibili in movimento

Gli HSE (High Speed Encryptor) di Thales offrono una crittografia di rete indipendente dei dati in movimento (livelli 2, 3 e 4) garantendo la sicurezza dei dati durante gli spostamenti tra siti oppure da ambienti on-premise al cloud e viceversa. Le nostre soluzioni HSE consentono ai clienti di proteggere meglio dati, video, file vocali e metadati da spionaggio, sorveglianza e intercettazione esplicita o sotto copertura, il tutto a un costo accessibile e senza compromettere le prestazioni.

Protezione delle chiavi crittografiche

Gli HSM Luna di Thales forniscono un ambiente temprato e a prova di manomissioni per un’elaborazione crittografica, una generazione e protezione delle chiavi e una crittografia sicure. Disponibili in tre fattori di forma certificati secondo lo standard FIPS 140-2, gli HSM Luna supportano svariati tipi di deployment.

Inoltre, gli HSM Luna:

• Generano e proteggono chiavi di root e CA, supportando le PKI in numerosi casi d’uso
• Firmano il codice delle applicazioni in modo da garantire che il tuo software sia sicuro, inalterato e autentico
• Creano certificati digitali per le credenziali e l’autenticazione di dispositivi elettronici proprietari per applicazioni IoT e altri deployment di rete