Bonnes pratiques du serveur de fichiers Windows RGPD

Conformité du serveur de fichiers Windows au RGPD

Au 25 maie, 2018 toutes les entreprises qui traitent des données personnelles de l'UE doivent être conformes au RGPD. Du point de vue d'un serveur de fichiers Windows RGPD, les données personnelles sont la plus grande préoccupation pour Conformité RGPD. Les entreprises en dehors de l'UE supposent que le RGPD ne s'applique pas à elles, mais chaque interaction avec un citoyen de l'UE doit être conforme - le simple fait de gérer une entreprise située en dehors de l'UE ne vous donne pas une "carte de sortie de prison". !

Avec le RGPD, les entreprises doivent informer les autorités et les clients des violations de données dans les 72 heures suivant la prise de connaissance de l'incident, conserver des enregistrements pour fournir aux clients la confirmation si leurs données sont utilisées et comment, leur fournir une copie de leurs données si elles le demandent et leur permettre de faire effacer leurs données. Dans le cadre de l'audit de découverte de données du RGPD, les entreprises doivent classer toutes les données personnelles et, une fois classifiées, protéger ces données.

Cette liste de contrôle couvre les recommandations de bonnes pratiques pour la protection des données personnelles stockées sur une infrastructure Windows File Server. Cependant, les données personnelles incluent également des éléments tels que les e-mails stockés dans Office Online ou sur site dans Exchange. Les détails qui suivent sont les meilleures pratiques à suivre pour protéger les données personnelles en conformité non seulement avec le RGPD, mais également avec d'autres normes (HIPAA, FINRA, etc.).

Données personnelles couvertes par le RGPD

L'article 4, paragraphe 1, définit les « données à caractère personnel » comme suit (toutes les italiques ajoutées sauf indication contraire) :

« données à caractère personnel » : toute information relative à une personne physique identifiée ou identifiable (« personne concernée ») ; est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments propres à l'état physique, physiologique, l'identité génétique, mentale, économique, culturelle ou sociale de cette personne physique ;

Avec une définition aussi large, toute organisation doit identifier et protéger les données personnelles. Quels outils sont à la disposition des administrateurs système Windows pour identifier et protéger les données ? Dans les sections suivantes, nous identifions les outils et les ressources à la disposition des administrateurs réseau pour protéger les serveurs de fichiers et les partages Windows RGPD.

Identification des données personnelles

Dans le cadre du processus de découverte, les organisations doivent identifier en détail leurs activités de traitement des données. Elles peuvent le faire en préparant et en tenant à jour un registre de toutes les activités de traitement des données. En vertu du RGPD, les organisations doivent conserver une documentation interne complète de leurs activités de traitement des données.

La première étape de la protection de l'accès à distance aux données avec MyWorkDrive consiste à identifier et à localiser les données personnelles et les processus métier. Une fois les données personnelles identifiées, elles peuvent être protégées contre tout accès. En plus de développer et de documenter les flux de travail de traitement des données, des outils existent dans MyWorkDrive pour rechercher des fichiers sur Partages de fichiers Windows y compris le service de recherche Windows et pour les grandes organisations dTRechercher. Combiner la recherche, la documentation et la découverte du traitement des données est la première étape de la protection des serveurs de fichiers Windows dans toute organisation soumise au RGPD.

Protection des données personnelles sur les serveurs de fichiers Windows

Une fois les données classées, vous devez avoir une compréhension globale du type de données que vous traitez et de la manière dont elles doivent être protégées. Réfléchissez à la manière dont vous sécurisez actuellement les données personnelles (le cas échéant) et apportez les modifications nécessaires ou mettez en place les procédures nécessaires. La protection de la confidentialité des données personnelles doit être une priorité. Il peut être nécessaire de réaliser une évaluation de l'impact sur la vie privée (PIA) des politiques pour évaluer le cycle de vie des données et l'impact potentiel sur la vie privée de l'individu.

L’accent doit être mis sur les exigences spécifiques au RGPD, telles que la portabilité des données, le droit à l’information, le droit à l’oubli et la manière correcte de détruire les données. Les procédures et contrôles nécessaires doivent être mis en place pour garantir les droits des données personnelles stockées. Des pratiques de sécurisation des données sont nécessaires pour les données personnelles sous toutes leurs formes et à tous les endroits, y compris sur site et dans le cloud, les données sauvegardées, les données archivées et les données en cours de création. La sécurité de l’ensemble du cycle de vie des données doit être prise en compte.

Pour protéger les données personnelles, les entreprises peuvent utiliser diverses méthodes, notamment le cryptage, l'anonymisation et la pseudonymisation. La méthode utilisée dépend des autorisations et des accès de l'utilisateur. L'élaboration d'une politique de conservation des archives de fichiers est essentielle pour que les fichiers puissent être supprimés au fil du temps et ne soient donc plus soumis à la conformité.

Microsoft a ressources complètes pour verrouiller le serveur Windows GDPRs pour se conformer au RGPD, notamment en protégeant les informations d'identification et les privilèges d'administrateur et en sécurisant le système d'exploitation pour exécuter vos applications et votre infrastructure. En plus des ressources Microsoft pour verrouiller les systèmes d'exploitation Windows File Server, il est essentiel de sécuriser les systèmes sur des réseaux de confiance et d'activer des mesures de sécurité supplémentaires telles que l'authentification à deux facteurs lorsque les données sont consultées à distance et d'empêcher les téléchargements sur des appareils non gérés.

Cela implique en grande partie des tâches de base telles que l'affichage des journaux système et peut-être divers outils pour les rassembler et en rendre compte, mais également, dans la mesure du possible, les entreprises devraient envisager de mettre en œuvre des éléments tels que la prévention des fuites de données pour surveiller toutes les données personnelles consultées, que ce soit sur site ou à distance.

Du point de vue de MyWorkDrive, la protection des données personnelles sur les partages de fichiers peut être aussi simple que de les exclure entièrement de l'accès à distance ou de limiter l'accès à des partages spécifiques en lecture et en modification uniquement dans notre client Web File Manage tout en limitant les téléchargements à l'aide de nos fonctionnalités de prévention de la perte de données.

Cryptage pendant le transit

Des protocoles tels que Serveurs FTP Les services intégrés à Windows IIS ne sont pas conformes aux normes GDPR. Les anciens clients VPN Windows non plus. MyWorkDrive ajoute une protection supplémentaire pendant la transmission pour sécuriser les données de l'entreprise avec un cryptage élevé, une journalisation étendue, une authentification à deux facteurs et des fonctionnalités de prévention de la perte de données.

MyWorkDrive Server et les clients prennent entièrement en charge la norme TLS 1.2 pour sécuriser les fichiers et les entreprises peuvent désactiver en toute sécurité l'accès TLS 1.0. Article d'assistance MyWorkDrive explique comment désactiver les chiffrements non sécurisés et faibles pour protéger les données pendant le transit.

Une étape supplémentaire pour protéger les données en transit consiste à protéger le système d'exploitation lui-même avec des règles de pare-feu. MyWorkDrive lui-même peut être exécuté dans une zone de pare-feu distincte qui limite les ports entrants et sortants à ceux requis uniquement pour les partages SMB, le trafic Active Directory et DNS en interne et le trafic HTTPS (SSL) en externe. Des détails supplémentaires sur les ports nécessaires pour une communication correcte du pare-feu du serveur MyWorkDrive dans un environnement verrouillé sont disponibles ici.

Chiffrement au repos

Une façon de limiter cette exposition aux violations du RGPD consiste à chiffrer les données au repos - même si une violation devait se produire si la clé de chiffrement n'est pas violée, les entreprises peuvent potentiellement éviter l'étape de notification.

Le rapport RGPD L'article suivant est très intéressant : « En cas de compromission ou de perte de données, si l'organisation contrôle entièrement ses propres clés de chiffrement, elle peut éviter complètement l'étape de notification si les données sont illisibles pour le monde extérieur à l'organisation. En revanche, si le fournisseur de cloud ou de SaaS contrôle les clés et qu'elles sont violées, il n'y a aucun moyen de s'assurer que les données de l'organisation sont en sécurité – et des notifications et des amendes s'ensuivent. » Cela inclut les fichiers stockés sur les serveurs de fichiers Windows GDPR et les sauvegardes stockées sur site ou dans le cloud.

MyWorkDrive ne stocke jamais de données client, que ce soit sur site sur le serveur d'accès Web aux fichiers MyWorkDrive ou lorsqu'elles sont ouvertes dans Office 365 en ligne. Les entreprises peuvent crypter en toute sécurité leurs données sur Partages de fichiers Windows sans affecter l'accès à distance aux fichiers MyWorkDrive en utilisant outils de serveur Windows intégrés ou en utilisant des fournisseurs tiers tels que Sophos ou Symantec.

Du point de vue du serveur et du client MyWorkDrive, les utilisateurs accèdent aux partages de fichiers dans leur contexte utilisateur, comme ils le feraient avec des lecteurs mappés traditionnels. serveur de fichiers en nuage convertit le trafic du serveur de fichiers SMB local en HTTPS pour que l'utilisateur puisse accéder aux fichiers à distance, et ajoute des fonctionnalités de journalisation supplémentaires et une authentification à deux facteurs en option. De plus, comme les fichiers peuvent être consultés et modifiés directement sans téléchargement, le stockage des fichiers localement sur les appareils des utilisateurs finaux est réduit.

Les entreprises peuvent également activer les fonctionnalités de prévention de la perte de données de MyWorkDrive pour empêcher le téléchargement et le partage externe tout en permettant la visualisation et la modification de documents dans un navigateur sécurisé.

Surveillance et rapports

De toute évidence, vous ne pouvez pas commencer à progresser pour répondre aux exigences strictes de notification du RGPD dans les 72 heures si vous ne pouvez pas détecter la violation en premier lieu.

Demandes d'accès aux données : Le RGPD inclut des exigences explicites en matière de notification de violation lorsqu'une violation de données personnelles signifie « une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal à des données personnelles transmises, stockées ou autrement traitées.

MyWorkDrive comprend des fonctionnalités de journalisation et de recherche étendues pour signaler les accès, les modifications ou les téléchargements qui peuvent être combinés avec des outils de gestion centralisée des journaux, des outils de création de rapports GDPR Windows File Server ou des outils d'alerte tiers tels que File Audit Plus de Manage Engine, Netwrix Auditor ou Change Auditor de Quest pour NetApp.

Tous les journaux d'accès MyWorkDrive sont au format XML standardisé pour faciliter l'intégration et la création de rapports. Ipswitch décrit également les meilleures pratiques en matière de gestion des journaux d'événements pour des raisons de sécurité et de conformité ici.


Avertissement

Ce livre blanc est un commentaire sur le RGPD, tel que MyWorkDrive l'interprète, à la date de publication. L'application du GDPR est très spécifique aux faits, et tous les aspects et interprétations du GDPR ne sont pas bien établis. Par conséquent, ce livre blanc est fourni à titre informatif uniquement et ne doit pas être considéré comme un avis juridique ou pour déterminer comment le RGPD pourrait s'appliquer à vous et à votre organisation. Nous vous encourageons à travailler avec un professionnel légalement qualifié pour discuter du RGPD, de la manière dont il s'applique spécifiquement à votre organisation et de la meilleure façon d'assurer la conformité. MYWORKDRIVE NE DONNE AUCUNE GARANTIE, EXPRESSE, IMPLICITE OU LÉGALE, QUANT AUX INFORMATIONS CONTENUES DANS CE LIVRE BLANC. Ce livre blanc est fourni « tel quel ». Les informations et opinions exprimées dans ce livre blanc, y compris les URL et autres références de sites Web Internet, peuvent changer sans préavis. Ce document ne vous confère aucun droit légal sur la propriété intellectuelle de tout produit MyWorkDrive. Vous pouvez copier et utiliser ce livre blanc uniquement à des fins de référence internes.

Daniel, fondateur de MyWorkDrive.com, a occupé divers postes de gestion de la technologie au service des entreprises, du gouvernement et de l'éducation dans la région de la baie de San Francisco depuis 1992. Daniel est certifié en technologies Microsoft et écrit sur les technologies de l'information, la sécurité et la stratégie et a été récompensé aux États-Unis Brevet #9985930 en réseau d'accès à distance