Práticas recomendadas de GDPR para servidor de arquivos do Windows
A partir de 25 de maioº, 2018, todas as empresas que lidam com dados pessoais da UE devem estar em conformidade com o GDPR. Da perspectiva de um Windows File Server, os dados pessoais são a maior preocupação para Conformidade com GDPR. As empresas fora da UE assumem que o GDPR não se aplica a elas, no entanto, toda interação com um cidadão da UE exige conformidade – simplesmente administrar uma empresa localizada fora da UE não oferece um “cartão de saída da prisão” !
Com o GDPR, as empresas devem notificar autoridades e clientes sobre violações de dados dentro de 72 horas após tomarem conhecimento do incidente, manter registros para fornecer confirmação aos clientes se seus dados estão sendo usados e como, fornecer uma cópia de seus dados, se solicitado, e permitir que eles para que seus dados sejam apagados. Como parte da auditoria de descoberta de dados do GDPR, as empresas devem classificar todos os dados pessoais e, uma vez classificados, proteger esses dados.
Esta lista de verificação abrange recomendações de práticas recomendadas para proteção de dados pessoais armazenados em uma infraestrutura do Windows File Server, mas os Dados Pessoais também incluem itens como email armazenado no Office Online ou local no Exchange. Os detalhes a seguir são as melhores práticas que devem ser seguidas para proteger os dados pessoais em conformidade não apenas com o GDPR, mas também com outros padrões (HIPAA, FINRA, etc).
Dados pessoais cobertos pelo GDPR
O artigo 4.º, n.º 1, define “dados pessoais” da seguinte forma (todas as ênfases adicionadas, salvo indicação em contrário):
«dados pessoais», qualquer informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); uma pessoa singular identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador online ou a um ou mais fatores específicos da natureza física, fisiológica, identidade genética, mental, económica, cultural ou social dessa pessoa singular;
Com uma definição tão ampla, cabe a qualquer organização identificar e proteger os Dados Pessoais. Quais ferramentas estão disponíveis para administradores de sistema do Windows para identificar e proteger dados? Nas seções a seguir, identificamos ferramentas e recursos disponíveis para administradores de rede para proteger servidores e compartilhamentos de arquivos do Windows.
Identificação de dados pessoais
Como parte do processo de descoberta, as organizações precisam identificar, em detalhes, suas atividades de processamento de dados. Eles podem fazê-lo preparando e mantendo um registro de todas as atividades de processamento de dados. De acordo com o GDPR, as organizações terão que manter a documentação interna completa de suas atividades de processamento de dados. O primeiro passo para proteger o acesso remoto aos dados com o MyWorkDrive é identificar e localizar dados pessoais e processos de negócios. Uma vez que os dados pessoais são identificados, eles podem ser protegidos do acesso. Além de desenvolver e documentar os fluxos de trabalho de processamento de dados, existem ferramentas no MyWorkDrive para pesquisar arquivos em Compartilhamentos de arquivos do Windows incluindo o Windows Search Service e para organizações maiores dTSearch. A combinação de pesquisa, documentação e descoberta de processamento de dados é a primeira etapa para proteger os Windows File Servers em qualquer organização sujeita ao GDPR.
Protegendo dados pessoais em servidores de arquivos do Windows
Depois que os dados forem classificados, você deve ter uma compreensão abrangente do tipo de dados que processa e como os dados precisam ser protegidos. Considere como você está protegendo os dados pessoais atualmente (se houver) e faça as alterações necessárias ou implemente os procedimentos necessários. A proteção da privacidade dos dados pessoais deve ser priorizada. Pode ser necessário concluir uma Avaliação de Impacto de Privacidade (PIA) das políticas para avaliar os ciclos de vida dos dados e o impacto potencial na privacidade do indivíduo. A ênfase deve ser colocada nos requisitos específicos do GDPR, como garantir a portabilidade de dados, o direito de ser informado, o direito de ser esquecido e a maneira correta de destruir os dados. Os procedimentos e controles necessários devem estar em vigor para apoiar os direitos de dados pessoais armazenados. As práticas para proteger os dados são necessárias para dados pessoais em todas as formas e locais, inclusive no local e na nuvem, dados de backup, dados arquivados e dados sendo criados. A segurança de ciclos de vida de dados inteiros deve ser abordada. Para proteger os dados pessoais, as empresas podem usar vários métodos, incluindo criptografia, anonimização e pseudonimização. O método que você usa depende das permissões e do acesso do usuário. Desenvolver uma política de retenção de arquivos é essencial para que os arquivos possam ser removidos ao longo do tempo e, portanto, não estejam mais sujeitos à conformidade.
A Microsoft tem recursos abrangentes para bloquear o Windows Servers para cumprir o GDPR, incluindo proteções de credenciais e privilégios de administrador e proteger o sistema operacional para executar seus aplicativos e infraestrutura. Além dos recursos da Microsoft para bloquear os sistemas operacionais Windows File Server, é fundamental proteger os sistemas em redes confiáveis e habilitar medidas de segurança adicionais, como autenticação de dois fatores quando os dados são acessados remotamente e impedir downloads para dispositivos não gerenciados. Muito disso significa coisas básicas, como ativar os logs do sistema e talvez várias ferramentas para coletar e relatar sobre eles, mas igualmente, sempre que possível, as empresas devem considerar a implementação de coisas como Prevenção contra vazamento de dados para monitorar todos os dados pessoais acessados no local ou remotamente. . Do ponto de vista do MyWorkDrive, proteger dados pessoais em compartilhamentos de arquivos pode ser tão simples quanto excluí-los totalmente do acesso remoto ou limitar o acesso a compartilhamentos específicos para leitura e edição apenas em nosso cliente Web File Manage enquanto restringe downloads utilizando nossos recursos de prevenção de perda de dados.
Criptografia durante o trânsito
Protocolos como servidor FTP construído no Windows IIS não está em conformidade com os padrões GDPR. Nem os clientes VPN do Windows mais antigos. O MyWorkDrive adiciona proteção adicional durante a transmissão para proteger os dados da empresa com alta criptografia, registro extensivo, autenticação de dois fatores e recursos de prevenção contra perda de dados. O servidor e os clientes MyWorkDrive suportam totalmente o padrão TLS 1.2 para proteger arquivos e as empresas podem desabilitar com segurança o acesso ao TLS 1.0. Nosso Artigo de suporte do MyWorkDrive detalha como desabilitar cifras inseguras e fracas para proteger os dados durante o trânsito. Uma etapa adicional para proteger os dados em trânsito é proteger o próprio sistema operacional com regras de firewall. O próprio MyWorkDrive pode ser executado em uma zona de firewall separada que limita as portas de entrada e saída apenas às necessárias para compartilhamentos SMB, Active Directory e tráfego DNS internamente e tráfego HTTPS (SSL) externamente. Detalhes adicionais sobre as necessidades de portas para a comunicação adequada do firewall do servidor MyWorkDrive em um ambiente bloqueado estão disponíveis aqui.
Criptografia em repouso
Uma maneira de limitar essa exposição a violações do GDPR é criptografar dados em repouso – mesmo que ocorra uma violação se a chave de criptografia não for violada, as empresas podem evitar a etapa de notificação. O relatório GDPR tem um ótimo artigo aqui que observa “No caso de comprometimento ou perda de dados, se a organização estiver no controle total de suas próprias chaves de criptografia, ela poderá evitar completamente a etapa de notificação se os dados forem ilegíveis para o mundo fora da organização. Por outro lado, se o provedor de nuvem ou SaaS controla as chaves e elas são violadas, não há como ter certeza de que os dados da organização estão seguros – e as notificações e multas acontecem.” Isso inclui arquivos armazenados em servidores de arquivos do Windows e backups armazenados no local ou na nuvem. O MyWorkDrive nunca armazena dados do cliente, seja no local no servidor de acesso à Web de arquivos do MyWorkDrive ou quando aberto no Office 365 online. As empresas podem criptografar com segurança seus dados em Compartilhamentos de arquivos do Windows sem afetar o acesso remoto ao arquivo MyWorkDrive, utilizando ferramentas internas do servidor windows ou utilizando fornecedores de terceiros, como Sophos ou Symantec. A partir do servidor MyWorkDrive e das perspectivas do cliente, os usuários estão acessando compartilhamentos de arquivos em seu contexto de usuário exatamente como fariam com unidades mapeadas tradicionais. O MyWorkDrive servidor de arquivos em nuvem converte o tráfego local do servidor de arquivos SMB em HTTPS para que o usuário acesse os arquivos remotamente, adiciona recursos de registro adicionais e autenticação opcional de dois fatores. Além disso, como os arquivos podem ser acessados e editados diretamente sem download, minimiza o armazenamento de arquivos localmente nos dispositivos do usuário final. As empresas também podem habilitar os recursos de prevenção de perda de dados do MyWorkDrive para impedir o download e o compartilhamento externo, enquanto ainda permitem a visualização e edição de documentos em um navegador seguro.
Monitoramento e relatórios
Obviamente, você não pode começar a seguir em frente para atender aos rigorosos requisitos de notificação do GDPR dentro de 72 horas se não conseguir detectar a violação em primeiro lugar. Solicitações de acesso a dados: O GDPR inclui requisitos explícitos para notificação de violação quando uma violação de dados pessoais significa “uma violação de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou dados pessoais processados de outra forma. O MyWorkDrive inclui amplos recursos de log e pesquisa para relatar acesso, modificação ou download que podem ser combinados com ferramentas de gerenciamento de log centralizado, ferramentas de relatório do Windows File Server ou ferramentas de alerta de terceiros, como File Audit Plus by Manage Engine, Netwrix Auditor ou Quest's Change Auditor da NetApp. Todos os logs de acesso do MyWorkDrive estão em formato XML padronizado para facilitar a integração e a geração de relatórios. O Ipswitch também descreve as melhores práticas para gerenciamento de log de eventos para segurança e conformidade aqui.
Isenção de responsabilidade
Este white paper é um comentário sobre o GDPR, como o MyWorkDrive o interpreta, a partir da data de publicação. A aplicação do GDPR é altamente específica aos fatos e nem todos os aspectos e interpretações do GDPR estão bem resolvidos. Como resultado, este white paper é fornecido apenas para fins informativos e não deve ser considerado como aconselhamento jurídico ou para determinar como o GDPR pode se aplicar a você e sua organização. Recomendamos que você trabalhe com um profissional legalmente qualificado para discutir o GDPR, como ele se aplica especificamente à sua organização e a melhor forma de garantir a conformidade. O MYWORKDRIVE NÃO OFERECE GARANTIAS, EXPRESSAS, IMPLÍCITAS OU ESTATUTÁRIAS, QUANTO ÀS INFORMAÇÕES CONTIDAS NESTE LIVRO BRANCO. Este white paper é fornecido "no estado em que se encontra". As informações e opiniões expressas neste white paper, incluindo URLs e outras referências a sites da Internet, podem ser alteradas sem aviso prévio. Este documento não fornece nenhum direito legal a qualquer propriedade intelectual em qualquer produto MyWorkDrive. Você pode copiar e usar este white paper apenas para fins internos de referência.
Publicado em março de 2018, Versão 1.0
© 2019 MyWorkDrive, Wanpath LLC. Todos os direitos reservados.