Cumplimiento de NIS2 y GDPR
VaultPAM está diseñado como infraestructura de cumplimiento para organizaciones de la UE sujetas a NIS2 y GDPR. Este artículo asigna las capacidades de VaultPAM a los requisitos específicos que se aplican a la gestión de acceso privilegiado.
Artículo 21 de NIS2
El Artículo 21 de la Directiva NIS2 requiere que las organizaciones implementen medidas técnicas y operacionales apropiadas y proporcionales para gestionar riesgos. La tabla siguiente asigna las medidas específicas a las capacidades de VaultPAM.
| Requisito del Artículo 21 de NIS2 | Capacidad de VaultPAM | Dónde configurar |
|---|---|---|
| Autenticación multifactor para todo acceso privilegiado | Política de cumplimiento de MFA; soporta TOTP y claves de hardware | Configuración de la organización > Seguridad > Cumplimiento de MFA |
| Registro y monitoreo de sesiones privilegiadas | Grabación completa de sesiones con pista de auditoría; cada acción se registra | Admin > Audit log |
| Control de acceso y privilegio mínimo | Políticas de acceso a nivel de Safe; concesiones Just-in-Time (JIT); flujos de trabajo de aprobación | Motor de políticas > Creación de políticas |
| Respuesta a incidentes y pista de auditoría | Audit log a prueba de manipulaciones con exportación CSV; grabaciones de sesiones como evidencia forense | Admin > Audit log > Exportar CSV |
| Seguridad de la cadena de suministro | Aislamiento de Connector; cada connector tiene un token de alcance; los connectors comprometidos se pueden revocar | Admin > Gestión de Connector |
Obligaciones de acceso privilegiado de GDPR
GDPR impone obligaciones a los responsables y encargados del tratamiento de datos personales. El acceso privilegiado a sistemas que contienen datos personales debe ser controlado y evidenciado.
Artículo 32 -- Medidas técnicas y organizacionales
VaultPAM satisface el Art. 32 al proporcionar cifrado de credenciales en reposo (a través del motor de secretos de OpenBao), grabaciones de sesiones cifradas, cumplimiento de MFA y una pista de auditoría completa de todos los eventos de acceso privilegiado.
Artículo 5(1)(f) -- Integridad y confidencialidad
El principio de integridad y confidencialidad (Art. 5(1)(f)) requiere que los datos personales se traten de manera que garantice la seguridad apropiada. VaultPAM lo refuerza a nivel de infraestructura: las credenciales nunca se exponen en texto plano en la interfaz después del checkout, las sesiones se graban y son auditables, y las políticas de acceso previenen que usuarios no autorizados accedan a recursos protegidos.
Artículo 30 -- Registros de actividades de tratamiento
El Audit log de VaultPAM proporciona un registro continuo de quién accedió a qué sistema, cuándo y por cuánto tiempo. Este registro se puede exportar como CSV y utilizar como evidencia en sus registros de actividades de tratamiento (ROPA) del Art. 30. El Audit log es a prueba de manipulaciones y se retiene durante un período configurable (predeterminado: 90 días).
Residencia de datos
Para implementaciones SaaS, todos los datos de inquilinos se almacenan exclusivamente en GCP europe-central2 (Varsovia, Polonia). Los datos no salen de la UE. Esto satisface los requisitos de residencia de datos de GDPR y NIS2 para organizaciones con sede en la UE.
Para recibir confirmación por escrito (por ejemplo, para una Evaluación de Impacto de Transferencia de Datos), solicite un Acuerdo de Tratamiento de Datos (DPA) a support@vaultpam.com. El DPA especifica la región de procesamiento y los subencargados.