Meilleures pratiques GDPR pour le serveur de fichiers Windows

Conformité RGPD

Au 25 maie, 2018, toutes les entreprises qui traitent des données personnelles de l'UE doivent être conformes au RGPD. Du point de vue d'un serveur de fichiers Windows, les données personnelles sont la plus grande préoccupation pour Conformité RGPD. Les entreprises en dehors de l'UE supposent que le RGPD ne s'applique pas à elles, mais chaque interaction avec un citoyen de l'UE doit être conforme - le simple fait de gérer une entreprise située en dehors de l'UE ne vous donne pas une "carte de sortie de prison". !

Avec le GDPR, les entreprises doivent informer les autorités et les clients des violations de données dans les 72 heures suivant la prise de connaissance de l'incident, conserver des enregistrements pour confirmer aux clients si leurs données sont utilisées et comment, leur fournir une copie de leurs données sur demande et leur permettre faire effacer leurs données. Dans le cadre de l'audit de découverte de données GDPR, les entreprises doivent classer toutes les données personnelles et, une fois classées, protéger ces données.

Cette liste de contrôle couvre les meilleures pratiques recommandées pour la protection des données personnelles stockées sur une infrastructure de serveur de fichiers Windows, mais les données personnelles incluent également des éléments tels que les e-mails stockés dans Office Online ou sur site dans Exchange. Les détails qui suivent sont les meilleures pratiques à suivre pour protéger les données personnelles conformément non seulement au RGPD, mais également à d'autres normes (HIPAA, FINRA, etc.).

Données personnelles couvertes par le RGPD

L'article 4, paragraphe 1, définit les « données à caractère personnel » comme suit (toutes les italiques ajoutées sauf indication contraire) :

« données à caractère personnel » : toute information relative à une personne physique identifiée ou identifiable (« personne concernée ») ; est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments propres à l'état physique, physiologique, l'identité génétique, mentale, économique, culturelle ou sociale de cette personne physique ;

Avec une définition aussi large, il incombe à toute organisation d'identifier et de protéger les données personnelles. Quels outils sont à la disposition des administrateurs système Windows pour identifier et protéger les données ? Dans les sections suivantes, nous identifions les outils et les ressources disponibles pour les administrateurs réseau pour protéger les serveurs de fichiers et les partages Windows.

Identification des données personnelles

Dans le cadre du processus de découverte, les organisations doivent identifier en détail leurs activités de traitement des données. Ils peuvent le faire en préparant et en tenant un registre de toutes les activités de traitement de données. Dans le cadre du RGPD, les organisations devront conserver une documentation interne complète de leurs activités de traitement de données. La première étape pour protéger l'accès à distance aux données avec MyWorkDrive consiste à identifier et localiser les données personnelles et les processus métier. Une fois les données personnelles identifiées, elles peuvent être protégées contre tout accès. En plus de développer et de documenter des workflows de traitement de données, des outils existent dans MyWorkDrive pour rechercher des fichiers sur Partages de fichiers Windows y compris le service de recherche Windows et pour les grandes organisations dTRechercher. Combiner la recherche, la documentation et la découverte du traitement des données est la première étape de la protection des serveurs de fichiers Windows dans toute organisation soumise au RGPD.

Protection des données personnelles sur les serveurs de fichiers Windows

Une fois les données classées, vous devez avoir une compréhension globale du type de données que vous traitez et de la manière dont les données doivent être protégées. Réfléchissez à la manière dont vous sécurisez actuellement les données personnelles (le cas échéant) et apportez les modifications nécessaires ou mettez en place les procédures nécessaires. La protection de la confidentialité des données personnelles doit être une priorité. Il peut être nécessaire de réaliser une évaluation de l'impact sur la vie privée (PIA) des politiques pour évaluer les cycles de vie des données et l'impact potentiel sur la vie privée de l'individu. L'accent doit être mis sur les exigences spécifiques au RGPD telles que la garantie de la portabilité des données, le droit d'être informé, le droit d'être oublié et la manière correcte de détruire les données. Les procédures et contrôles nécessaires doivent être en place pour soutenir les droits des données personnelles stockées. Des pratiques de sécurisation des données sont nécessaires pour les données personnelles sous toutes leurs formes et dans tous les emplacements, y compris sur site et dans le cloud, les données sauvegardées, les données archivées et les données en cours de création. La sécurité de l'ensemble du cycle de vie des données doit être prise en compte. Pour protéger les données personnelles, les entreprises peuvent utiliser diverses méthodes, notamment le cryptage, l'anonymisation et la pseudonymisation. La méthode que vous utilisez dépend des autorisations et de l'accès de l'utilisateur. Développer une politique de conservation des archives de fichiers est essentiel pour que les fichiers puissent être supprimés au fil du temps et ne soient donc plus soumis à la conformité.

Microsoft a ressources complètes pour verrouiller Windows Servers pour se conformer au GDPR, y compris la protection des informations d'identification et des privilèges d'administrateur et la sécurisation du système d'exploitation pour exécuter vos applications et votre infrastructure. En plus des ressources Microsoft pour verrouiller les systèmes d'exploitation Windows File Server, il est essentiel de sécuriser les systèmes sur des réseaux de confiance et d'activer des mesures de sécurité supplémentaires telles que l'authentification à deux facteurs lorsque les données sont accessibles à distance et d'empêcher les téléchargements vers des appareils non gérés. Une grande partie de cela signifie des éléments de base tels que l'affichage des journaux système et peut-être divers outils pour les rassembler et en faire rapport, mais également, dans la mesure du possible, les entreprises devraient envisager de mettre en œuvre des éléments tels que la prévention des fuites de données pour surveiller toutes les données personnelles consultées, que ce soit sur site ou à distance. . Du point de vue de MyWorkDrive, la protection des données personnelles sur les partages de fichiers peut être aussi simple que de les exclure complètement de l'accès à distance ou de limiter l'accès à des partages spécifiques pour qu'ils soient lus et modifiés uniquement dans notre client Web File Manage tout en limitant les téléchargements à l'aide de nos fonctionnalités de prévention des pertes de données.

Cryptage pendant le transit

Des protocoles tels que Serveur ftp Windows IIS intégré n'est pas conforme aux normes GDPR. Les anciens clients VPN Windows non plus. MyWorkDrive ajoute une protection supplémentaire pendant la transmission pour sécuriser les données de l'entreprise avec un cryptage élevé, une journalisation étendue, une authentification à deux facteurs et des fonctionnalités de prévention de la perte de données. MyWorkDrive Server et les clients prennent entièrement en charge la norme TLS 1.2 pour sécuriser les fichiers et les entreprises peuvent désactiver en toute sécurité l'accès TLS 1.0. Notre Article d'assistance MyWorkDrive détaille comment désactiver les chiffrements non sécurisés et faibles pour protéger les données pendant le transit. Une étape supplémentaire pour protéger les données en transit consiste à protéger le système d'exploitation lui-même avec des règles de pare-feu. MyWorkDrive lui-même peut être exécuté dans une zone de pare-feu distincte qui limite les ports entrants et sortants uniquement à ceux requis pour les partages SMB, Active Directory et le trafic DNS en interne et le trafic HTTPS (SSL) en externe. Des détails supplémentaires sur les besoins en ports pour une communication correcte du pare-feu du serveur MyWorkDrive dans un environnement verrouillé sont disponibles ici.

Chiffrement au repos

Une façon de limiter cette exposition aux violations du RGPD consiste à chiffrer les données au repos - même si une violation devait se produire si la clé de chiffrement n'est pas violée, les entreprises peuvent potentiellement éviter l'étape de notification. Le rapport RGPD a un excellent article ici qui note "En cas de compromission ou de perte de données, si l'organisation contrôle totalement ses propres clés de chiffrement, elle peut éviter complètement l'étape de notification si les données sont illisibles pour le monde extérieur à l'organisation. En revanche, si le fournisseur de cloud ou de SaaS contrôle les clés et qu'elles sont violées, il n'y a aucun moyen d'être certain que les données de l'organisation sont en sécurité - et des notifications et des amendes s'ensuivent. Cela inclut les fichiers stockés sur les serveurs de fichiers Windows et les sauvegardes stockées sur site ou dans le cloud. MyWorkDrive ne stocke jamais aucune donnée client, que ce soit sur site sur le serveur d'accès Web aux fichiers MyWorkDrive ou lorsqu'il est ouvert dans Office 365 en ligne. Les entreprises peuvent chiffrer leurs données en toute sécurité sur Partages de fichiers Windows sans affecter l'accès à distance aux fichiers MyWorkDrive en utilisant outils de serveur Windows intégrés ou en utilisant des fournisseurs tiers tels que Sophos ou Symantec. Du point de vue du serveur et du client MyWorkDrive, les utilisateurs accèdent aux partages de fichiers dans leur contexte utilisateur, comme ils le feraient avec des lecteurs mappés traditionnels. Le MyWorkDrive serveur de fichiers en nuage convertit le trafic du serveur de fichiers SMB local en HTTPS pour que l'utilisateur puisse accéder aux fichiers à distance, ajoute des capacités de journalisation supplémentaires et une authentification à deux facteurs en option. De plus, étant donné que les fichiers peuvent être consultés et modifiés directement sans téléchargement, le minimise le stockage local des fichiers sur les appareils des utilisateurs finaux. Les entreprises peuvent également activer les fonctionnalités de prévention des pertes de données MyWorkDrive pour empêcher le téléchargement et le partage externe tout en permettant l'affichage et la modification de documents dans un navigateur sécurisé.

Surveillance et rapports

Évidemment, vous ne pouvez pas commencer à aller de l'avant pour répondre aux exigences strictes de notification GDPR dans les 72 heures si vous ne pouvez pas détecter la violation en premier lieu. Demandes d'accès aux données : le RGPD comprend des exigences explicites de notification de violation lorsqu'une violation de données personnelles signifie " une violation de la sécurité entraînant la destruction accidentelle ou illégale, la perte, l'altération, la divulgation non autorisée ou l'accès à des données personnelles transmises, stockées ou données personnelles autrement traitées. MyWorkDrive comprend des fonctionnalités étendues de journalisation et de recherche pour signaler l'accès, la modification ou le téléchargement qui peuvent être combinés avec des outils de gestion centralisée des journaux, des outils de rapport de serveur de fichiers Windows ou des outils d'alerte tiers tels que File Audit Plus par Manage Engine, Netwrix Auditor ou Quest's Change Auditeur pour NetApp. Tous les journaux d'accès MyWorkDrive sont au format XML standardisé pour faciliter l'intégration et la création de rapports. Ipswitch décrit en outre les meilleures pratiques de gestion des journaux d'événements pour la sécurité et la conformité ici.


Avertissement

Ce livre blanc est un commentaire sur le RGPD, tel que MyWorkDrive l'interprète, à la date de publication. L'application du GDPR est très spécifique aux faits, et tous les aspects et interprétations du GDPR ne sont pas bien établis. Par conséquent, ce livre blanc est fourni à titre informatif uniquement et ne doit pas être considéré comme un avis juridique ou pour déterminer comment le RGPD pourrait s'appliquer à vous et à votre organisation. Nous vous encourageons à travailler avec un professionnel légalement qualifié pour discuter du RGPD, de la manière dont il s'applique spécifiquement à votre organisation et de la meilleure façon d'assurer la conformité. MYWORKDRIVE NE DONNE AUCUNE GARANTIE, EXPRESSE, IMPLICITE OU LÉGALE, QUANT AUX INFORMATIONS CONTENUES DANS CE LIVRE BLANC. Ce livre blanc est fourni « tel quel ». Les informations et opinions exprimées dans ce livre blanc, y compris les URL et autres références de sites Web Internet, peuvent changer sans préavis. Ce document ne vous confère aucun droit légal sur la propriété intellectuelle de tout produit MyWorkDrive. Vous pouvez copier et utiliser ce livre blanc uniquement à des fins de référence internes.

Publié en mars 2018, version 1.0

© 2019 MyWorkDrive, Wanpath LLC. Tous les droits sont réservés.

Daniel, fondateur de MyWorkDrive.com, a occupé divers postes de gestion de la technologie au service des entreprises, du gouvernement et de l'éducation dans la région de la baie de San Francisco depuis 1992. Daniel est certifié en technologies Microsoft et écrit sur les technologies de l'information, la sécurité et la stratégie et a été récompensé aux États-Unis Brevet #9985930 en réseau d'accès à distance