Conformité NIS2 et GDPR
VaultPAM est conçu comme une infrastructure de conformité pour les organisations de l'UE soumises à NIS2 et au GDPR. Cet article met en correspondance les fonctionnalités de VaultPAM avec les exigences spécifiques qui s'appliquent à la gestion des accès à privilèges.
Article 21 de NIS2
L'article 21 de la directive NIS2 impose aux organisations de mettre en œuvre des mesures techniques et opérationnelles appropriées et proportionnées pour gérer les risques. Le tableau ci-dessous met en correspondance ces mesures spécifiques avec les fonctionnalités de VaultPAM.
| Exigence de l'article 21 de NIS2 | Fonctionnalité VaultPAM | Où la configurer |
|---|---|---|
| Authentification multifacteur pour tous les accès à privilèges | Politique d'application de MFA ; prend en charge TOTP et les clés matérielles | Paramètres de l'organisation > Sécurité > Application de MFA |
| Journalisation et surveillance des sessions à privilèges | Enregistrement complet des sessions avec piste d'audit ; chaque action est journalisée | Admin > Journal d'audit |
| Contrôle des accès et moindre privilège | Politiques d'accès au niveau du coffre-fort ; octrois Just-in-Time (JIT) ; flux d'approbation | Moteur de politiques > Création de politiques |
| Réponse aux incidents et piste d'audit | Journal d'audit inviolable avec export CSV ; enregistrements de sessions comme preuves forensiques | Admin > Journal d'audit > Exporter en CSV |
| Sécurité de la chaîne d'approvisionnement | Isolation des connecteurs ; chaque connecteur dispose d'un jeton à portée limitée ; les connecteurs compromis peuvent être révoqués | Admin > Gestion des connecteurs |
Obligations GDPR relatives aux accès à privilèges
Le GDPR impose des obligations aux responsables du traitement et aux sous-traitants des données à caractère personnel. Les accès à privilèges aux systèmes hébergeant des données à caractère personnel doivent être contrôlés et documentés.
Article 32 -- Mesures techniques et organisationnelles
VaultPAM satisfait à l'art. 32 en assurant le chiffrement des identifiants au repos (via le moteur de secrets OpenBao), le chiffrement des enregistrements de sessions, l'application de MFA et une piste d'audit complète de tous les événements d'accès à privilèges.
Article 5, paragraphe 1, point f) -- Intégrité et confidentialité
Le principe d'intégrité et de confidentialité (art. 5, par. 1, point f)) exige que les données à caractère personnel soient traitées de manière à garantir une sécurité appropriée. VaultPAM applique ce principe au niveau de l'infrastructure : les identifiants ne sont jamais exposés en clair dans l'interface après extraction, les sessions sont enregistrées et auditables, et les politiques d'accès empêchent les utilisateurs non autorisés d'atteindre les ressources protégées.
Article 30 -- Registre des activités de traitement
Le journal d'audit de VaultPAM fournit un enregistrement continu de qui a accédé à quel système, quand et pendant combien de temps. Ce journal peut être exporté au format CSV et utilisé comme preuve dans votre registre des activités de traitement (ROPA) au titre de l'art. 30. Le journal d'audit est inviolable et conservé pendant une durée configurable (par défaut : 90 jours).
Résidence des données
Pour les déploiements SaaS, toutes les données des locataires sont stockées exclusivement dans GCP europe-central2 (Varsovie, Pologne). Les données ne quittent pas l'UE. Cela satisfait aux exigences de résidence des données du GDPR et de NIS2 pour les organisations établies dans l'UE.
Pour obtenir une confirmation écrite (par exemple, dans le cadre d'une analyse d'impact relative aux transferts de données), demandez un accord de traitement des données (DPA) à l'adresse support@vaultpam.com. Le DPA précise la région de traitement et les sous-traitants ultérieurs.