Práticas recomendadas de GDPR para servidor de arquivos do Windows

A partir de 25 de maio^º, 2018, todas as empresas que lidam com dados pessoais da UE devem estar em conformidade com o GDPR. Da perspectiva de um Windows File Server, os dados pessoais são a maior preocupação para Conformidade com GDPR. As empresas fora da UE assumem que o GDPR não se aplica a elas, no entanto, todas as interações com um cidadão da UE exigem conformidade - simplesmente administrar uma empresa localizada fora da UE não fornece um “cartão de saída da prisão”. !

Com o GDPR, as empresas devem notificar as autoridades e os clientes sobre violações de dados dentro de 72 horas após tomar conhecimento do incidente, manter registros para fornecer aos clientes a confirmação se seus dados estão sendo usados e como, fornecer uma cópia de seus dados, se solicitado, e permitir que eles para ter seus dados apagados. Como parte da auditoria de descoberta de dados do GDPR, as empresas devem classificar todos os dados pessoais e, uma vez classificados, protegê-los.

Esta lista de verificação abrange recomendações de práticas recomendadas para proteção de dados pessoais armazenados em uma infraestrutura de servidor de arquivos do Windows. No entanto, os dados pessoais também incluem itens como email armazenado no Office Online ou no local no Exchange. Os detalhes a seguir são as melhores práticas que devem ser seguidas para proteger os dados pessoais em conformidade não apenas com o GDPR, mas também com outros padrões (HIPAA, FINRA, etc.).

Dados pessoais cobertos pelo GDPR

O artigo 4.º, n.º 1, define “dados pessoais” da seguinte forma (todas as ênfases adicionadas, salvo indicação em contrário):

«dados pessoais», qualquer informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); uma pessoa singular identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador online ou a um ou mais fatores específicos da natureza física, fisiológica, identidade genética, mental, económica, cultural ou social dessa pessoa singular;

Com uma definição tão ampla, cabe a qualquer organização identificar e proteger os Dados Pessoais. Quais ferramentas estão disponíveis para administradores de sistema do Windows para identificar e proteger dados? Nas seções a seguir, identificamos ferramentas e recursos disponíveis para administradores de rede para proteger servidores de arquivos e compartilhamentos do Windows.

Identificação de dados pessoais

Como parte do processo de descoberta, as organizações precisam identificar, em detalhes, suas atividades de processamento de dados. Eles podem fazê-lo preparando e mantendo um registro de todas as atividades de processamento de dados. De acordo com o GDPR, as organizações terão que manter a documentação interna completa de suas atividades de processamento de dados. O primeiro passo é proteger o acesso remoto aos dados com MyWorkDrive é identificar e localizar dados pessoais e processos de negócios. Uma vez que os dados pessoais são identificados, eles podem ser protegidos contra acesso. Além de desenvolver e documentar fluxos de trabalho de processamento de dados, existem ferramentas no MyWorkDrive para pesquisar arquivos em Compartilhamentos de arquivos do Windows incluindo o Windows Search Service e para organizações maiores dTSearch. Combinar pesquisa, documentação e descoberta de processamento de dados é o primeiro passo para proteger os servidores de arquivos do Windows em qualquer organização sujeita ao GDPR.

Protegendo dados pessoais em servidores de arquivos do Windows

Uma vez que os dados tenham sido classificados, você deve ter uma compreensão abrangente do tipo de dados que você processa e como os dados precisam ser protegidos. Considere como você está protegendo os dados pessoais atualmente (se houver) e faça as alterações necessárias ou implemente os procedimentos necessários. A proteção da privacidade dos dados pessoais deve ser priorizada. Pode ser necessário concluir uma Avaliação de Impacto de Privacidade (PIA) das políticas para avaliar os ciclos de vida dos dados e o impacto potencial na privacidade do indivíduo. A ênfase deve ser colocada nos requisitos específicos do GDPR, como garantir a portabilidade dos dados, o direito de ser informado, o direito de ser esquecido e a maneira correta de destruir os dados. Os procedimentos e controles necessários devem estar em vigor para apoiar os direitos dos dados pessoais armazenados. Práticas para proteger os dados são necessárias para dados pessoais em todas as formas e locais, incluindo no local e na nuvem, dados de backup, dados arquivados e dados sendo criados. A segurança de todos os ciclos de vida dos dados deve ser abordada. Para proteger os dados pessoais, as empresas podem usar vários métodos, incluindo criptografia, anonimização e pseudonimização. O método que você usa depende das permissões e do acesso do usuário. Desenvolver uma política de retenção de arquivos é essencial para que os arquivos possam ser removidos com o tempo e, portanto, não estejam mais sujeitos à conformidade.

A Microsoft tem recursos abrangentes para bloquear o Windows Servers para estar em conformidade com o GDPR, incluindo proteções de credenciais e privilégios de administrador e protegendo o sistema operacional para executar seus aplicativos e infraestrutura. Além dos recursos da Microsoft para bloquear os sistemas operacionais Windows File Server, é fundamental proteger os sistemas em redes confiáveis e permitir medidas de segurança adicionais, como a autenticação de dois fatores, quando os dados são acessados remotamente e impedir downloads para dispositivos não gerenciados. Muito disso significa coisas básicas, como ativar os logs do sistema e talvez várias ferramentas para agrupar e relatar sobre eles, mas igualmente onde possível, as empresas devem considerar a implementação de coisas como prevenção de vazamento de dados para monitorar todos os dados pessoais acessados, seja no local ou remotamente. . Do ponto de vista do MyWorkDrive, proteger dados pessoais em compartilhamentos de arquivos pode ser tão simples quanto excluí-los totalmente do acesso remoto ou limitar o acesso a compartilhamentos específicos para ler e editar apenas em nosso cliente Web File Manage enquanto restringe downloads utilizando nossos recursos de prevenção contra perda de dados.

Criptografia durante o trânsito

Protocolos como servidor FTP construído no Windows IIS não está em conformidade com os padrões GDPR. Nem os clientes VPN do Windows mais antigos. O MyWorkDrive adiciona proteção adicional durante a transmissão para proteger os dados da empresa com alta criptografia, registro extensivo, autenticação de dois fatores e recursos de prevenção contra perda de dados. O MyWorkDrive Server e os clientes suportam totalmente o padrão TLS 1.2 para proteger arquivos e as empresas podem desabilitar com segurança o acesso TLS 1.0. Nosso Artigo de suporte do MyWorkDrive detalha como desabilitar cifras inseguras e fracas para proteger os dados durante o trânsito. Uma etapa adicional para proteger os dados em trânsito é proteger o próprio sistema operacional com regras de firewall. O próprio MyWorkDrive pode ser executado em uma zona de firewall separada que limita as portas de entrada e saída apenas àquelas necessárias para compartilhamentos SMB, Active Directory e tráfego DNS internamente e tráfego HTTPS (SSL) externamente. Estão disponíveis detalhes adicionais sobre as portas necessárias para a comunicação adequada do firewall do servidor MyWorkDrive em um ambiente bloqueado aqui.

Criptografia em repouso

Uma maneira de limitar essa exposição a violações do GDPR é criptografar dados em repouso – mesmo que ocorra uma violação se a chave de criptografia não for violada, as empresas podem evitar a etapa de notificação. O relatório GDPR tem um ótimo artigo aqui que observa “No caso de comprometimento ou perda de dados, se a organização tiver controle total de suas próprias chaves de criptografia, ela poderá evitar a etapa de notificação por completo se os dados estiverem ilegíveis para o mundo fora da organização. Por outro lado, se o provedor de nuvem ou SaaS controlar as chaves e elas forem violadas, não há como ter certeza de que os dados da organização estão seguros – e notificações e multas serão aplicadas.” Isso inclui arquivos armazenados em servidores de arquivos do Windows e backups armazenados no local ou na nuvem. O MyWorkDrive nunca armazena nenhum dado do cliente, seja localmente no servidor de acesso à web do arquivo MyWorkDrive ou quando aberto no Office 365 online. As empresas podem criptografar com segurança seus dados em Compartilhamentos de arquivos do Windows sem afetar o acesso remoto ao arquivo MyWorkDrive, utilizando ferramentas internas do servidor windows ou utilizando fornecedores terceirizados, como Sophos ou Symantec. Do servidor MyWorkDrive e das perspectivas do cliente, os usuários estão acessando compartilhamentos de arquivos em seu contexto de usuário, assim como fariam com as unidades mapeadas tradicionais. O MyWorkDrive servidor de arquivos em nuvem converte o tráfego do servidor de arquivos SMB local em HTTPS para o usuário acessar os arquivos remotamente, adiciona recursos adicionais de registro e autenticação opcional de dois fatores. Além disso, como os arquivos podem ser acessados e editados diretamente sem download, o armazenamento de arquivos é minimizado localmente nos dispositivos do usuário final. As empresas também podem habilitar os recursos de prevenção contra perda de dados do MyWorkDrive para impedir o download e o compartilhamento externo, permitindo a visualização e edição de documentos em um navegador seguro.

Monitoramento e relatórios

Obviamente, você não pode começar a cumprir os rigorosos requisitos de notificação do GDPR em 72 horas se não conseguir detectar a violação em primeiro lugar. Solicitações de acesso a dados: o GDPR inclui requisitos explícitos para notificação de violação, quando uma violação de dados pessoais significa “uma violação de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou dados pessoais processados de outra forma. O MyWorkDrive inclui amplo registro e recursos de pesquisa para relatar acesso, modificação ou download que podem ser combinados com ferramentas de gerenciamento de registro centralizado, ferramentas de relatório do Windows File Server ou ferramentas de alerta de terceiros, como File Audit Plus da Manage Engine, Netwrix Auditor ou Quest's Change Auditor da NetApp. Todos os logs de acesso do MyWorkDrive estão em formato XML padronizado para facilitar a integração e geração de relatórios. Ipswitch também descreve as melhores práticas para gerenciamento de log de eventos para segurança e conformidade aqui.

Isenção de responsabilidade

Este white paper é um comentário sobre o GDPR, como o MyWorkDrive o interpreta, na data de publicação. A aplicação do GDPR é altamente específica de fatos e nem todos os aspectos e interpretações do GDPR são bem estabelecidos. Como resultado, este white paper é fornecido apenas para fins informativos e não deve ser considerado como aconselhamento jurídico ou para determinar como o GDPR pode se aplicar a você e sua organização. Incentivamos você a trabalhar com um profissional legalmente qualificado para discutir o GDPR, como ele se aplica especificamente à sua organização e a melhor forma de garantir a conformidade. MYWORKDRIVE NÃO OFERECE NENHUMA GARANTIA, EXPRESSA, IMPLÍCITA OU LEGAL, QUANTO ÀS INFORMAÇÕES NESTE WHITE PAPER. Este white paper é fornecido "no estado em que se encontra". As informações e opiniões expressas neste white paper, incluindo URL e outras referências a sites da Internet, podem ser alteradas sem aviso prévio. Este documento não fornece a você nenhum direito legal sobre qualquer propriedade intelectual em qualquer produto MyWorkDrive. Você pode copiar e usar este white paper apenas para fins de referência interna.

Publicado em março de 2018, Versão 1.0

© 2019 MyWorkDrive, Wanpath LLC. Todos os direitos reservados.