Conformità NIS2 e GDPR
VaultPAM è progettato come infrastruttura di conformità per le organizzazioni europee soggette a NIS2 e GDPR. Questo articolo mappa le funzionalità di VaultPAM ai requisiti specifici che si applicano alla gestione degli accessi privilegiati.
Articolo 21 della direttiva NIS2
L'Articolo 21 della direttiva NIS2 richiede alle organizzazioni di implementare misure tecniche e organizzative appropriate e proporzionate per gestire i rischi. La tabella seguente mappa le misure specifiche alle funzionalità di VaultPAM.
| Requisito dell'Articolo 21 della direttiva NIS2 | Funzionalità di VaultPAM | Dove configurare |
|---|---|---|
| Autenticazione a più fattori per tutti gli accessi privilegiati | Policy di applicazione MFA; supporta TOTP e chiavi hardware | Impostazioni organizzazione > Sicurezza > Applicazione MFA |
| Registrazione e monitoraggio delle sessioni privilegiate | Registrazione completa delle sessioni con audit trail; ogni azione è registrata | Admin > Audit log |
| Controllo degli accessi e principio del privilegio minimo | Policy di accesso a livello Safe; concessioni Just-in-Time (JIT); workflow di approvazione | Policy engine > Creazione di policy |
| Risposta agli incidenti e audit trail | Audit log a prova di manomissione con esportazione CSV; registrazioni delle sessioni come evidenza forense | Admin > Audit log > Esporta CSV |
| Sicurezza della catena di fornitura | Isolamento dei Connector; ogni Connector dispone di un token con ambito; i Connector compromessi possono essere revocati | Admin > Gestione Connector |
Obblighi GDPR relativi all'accesso privilegiato
Il GDPR impone obblighi ai titolari del trattamento e ai responsabili del trattamento dei dati personali. L'accesso privilegiato ai sistemi che contengono dati personali deve essere controllato e documentato.
Articolo 32 -- Misure tecniche e organizzative
VaultPAM soddisfa l'Art. 32 fornendo la crittografia delle credenziali a riposo (tramite il motore dei segreti OpenBao), le registrazioni delle sessioni crittografate, l'applicazione dell'MFA e un audit trail completo di tutti gli eventi di accesso privilegiato.
Articolo 5(1)(f) -- Integrità e riservatezza
Il principio di integrità e riservatezza (Art. 5(1)(f)) richiede che i dati personali siano trattati in modo da garantire una sicurezza appropriata. VaultPAM applica questo requisito a livello infrastrutturale: le credenziali non sono mai esposte in testo semplice nell'interfaccia utente dopo il checkout, le sessioni sono registrate e controllabili, e le policy di accesso impediscono agli utenti non autorizzati di raggiungere risorse protette.
Articolo 30 -- Registri delle attività di trattamento
L'audit log di VaultPAM fornisce un registro continuo di chi ha avuto accesso a quale sistema, quando e per quanto tempo. Questo registro può essere esportato in CSV e utilizzato come evidenza nel vostro registro delle attività di trattamento (ROPA) dell'Art. 30. L'audit log è a prova di manomissione e conservato per un periodo configurabile (predefinito: 90 giorni).
Residenza dei dati
Per i deployment SaaS, tutti i dati dei tenant vengono archiviati esclusivamente in GCP europe-central2 (Varsavia, Polonia). I dati non escono dall'UE. Ciò soddisfa i requisiti di residenza dei dati di GDPR e NIS2 per le organizzazioni con sede in Europa.
Per ricevere una conferma scritta (ad esempio, per una Valutazione dell'Impatto del Trasferimento dei Dati), richiedete un Accordo di Trattamento dei Dati (DPA) a support@vaultpam.com. Il DPA specifica la regione di trattamento e i sub-processori.