Saltar al contenido principal

Cumplimiento de NIS2 y GDPR

VaultPAM está diseñado como infraestructura de cumplimiento para organizaciones de la UE sujetas a NIS2 y GDPR. Este artículo asigna las capacidades de VaultPAM a los requisitos específicos que se aplican a la gestión de acceso privilegiado.

Artículo 21 de NIS2

El Artículo 21 de la Directiva NIS2 requiere que las organizaciones implementen medidas técnicas y operacionales apropiadas y proporcionales para gestionar riesgos. La tabla siguiente asigna las medidas específicas a las capacidades de VaultPAM.

Requisito del Artículo 21 de NIS2Capacidad de VaultPAMDónde configurar
Autenticación multifactor para todo acceso privilegiadoPolítica de cumplimiento de MFA; soporta TOTP y claves de hardwareConfiguración de la organización > Seguridad > Cumplimiento de MFA
Registro y monitoreo de sesiones privilegiadasGrabación completa de sesiones con pista de auditoría; cada acción se registraAdmin > Audit log
Control de acceso y privilegio mínimoPolíticas de acceso a nivel de Safe; concesiones Just-in-Time (JIT); flujos de trabajo de aprobaciónMotor de políticas > Creación de políticas
Respuesta a incidentes y pista de auditoríaAudit log a prueba de manipulaciones con exportación CSV; grabaciones de sesiones como evidencia forenseAdmin > Audit log > Exportar CSV
Seguridad de la cadena de suministroAislamiento de Connector; cada connector tiene un token de alcance; los connectors comprometidos se pueden revocarAdmin > Gestión de Connector

Obligaciones de acceso privilegiado de GDPR

GDPR impone obligaciones a los responsables y encargados del tratamiento de datos personales. El acceso privilegiado a sistemas que contienen datos personales debe ser controlado y evidenciado.

Artículo 32 -- Medidas técnicas y organizacionales

VaultPAM satisface el Art. 32 al proporcionar cifrado de credenciales en reposo (a través del motor de secretos de OpenBao), grabaciones de sesiones cifradas, cumplimiento de MFA y una pista de auditoría completa de todos los eventos de acceso privilegiado.

Artículo 5(1)(f) -- Integridad y confidencialidad

El principio de integridad y confidencialidad (Art. 5(1)(f)) requiere que los datos personales se traten de manera que garantice la seguridad apropiada. VaultPAM lo refuerza a nivel de infraestructura: las credenciales nunca se exponen en texto plano en la interfaz después del checkout, las sesiones se graban y son auditables, y las políticas de acceso previenen que usuarios no autorizados accedan a recursos protegidos.

Artículo 30 -- Registros de actividades de tratamiento

El Audit log de VaultPAM proporciona un registro continuo de quién accedió a qué sistema, cuándo y por cuánto tiempo. Este registro se puede exportar como CSV y utilizar como evidencia en sus registros de actividades de tratamiento (ROPA) del Art. 30. El Audit log es a prueba de manipulaciones y se retiene durante un período configurable (predeterminado: 90 días).

Residencia de datos

Para implementaciones SaaS, todos los datos de inquilinos se almacenan exclusivamente en GCP europe-central2 (Varsovia, Polonia). Los datos no salen de la UE. Esto satisface los requisitos de residencia de datos de GDPR y NIS2 para organizaciones con sede en la UE.

Para recibir confirmación por escrito (por ejemplo, para una Evaluación de Impacto de Transferencia de Datos), solicite un Acuerdo de Tratamiento de Datos (DPA) a support@vaultpam.com. El DPA especifica la región de procesamiento y los subencargados.

Artículos relacionados