Zgodność z NIS2 i RODO
VaultPAM zostało zaprojektowane jako infrastruktura zgodności dla organizacji z UE podlegających NIS2 oraz RODO. Ten artykuł odwzorowuje funkcje VaultPAM na konkretne wymagania mające zastosowanie do zarządzania dostępem uprzywilejowanym.
Artykuł 21 NIS2
Artykuł 21 dyrektywy NIS2 wymaga od organizacji wdrożenia odpowiednich i proporcjonalnych środków technicznych i operacyjnych w celu zarządzania ryzykiem. Poniższa tabela odwzorowuje poszczególne środki na funkcje VaultPAM.
| Wymaganie artykułu 21 NIS2 | Funkcja VaultPAM | Gdzie skonfigurować |
|---|---|---|
| Uwierzytelnianie wieloskładnikowe dla całego dostępu uprzywilejowanego | Polityka egzekwowania MFA; obsługuje TOTP oraz klucze sprzętowe | Ustawienia organizacji > Bezpieczeństwo > Egzekwowanie MFA |
| Rejestrowanie i monitorowanie sesji uprzywilejowanych | Pełne nagrywanie sesji ze ścieżką audytu; każde działanie jest rejestrowane | Administracja > Dziennik audytu |
| Kontrola dostępu i minimalne uprawnienia | Polityki dostępu na poziomie sejfu; nadania dostępu just-in-time (JIT); przepływy zatwierdzania | Silnik polityk > Tworzenie polityk |
| Reagowanie na incydenty i ścieżka audytu | Dziennik audytu odporny na manipulacje z eksportem do CSV; nagrania sesji jako dowody śledcze | Administracja > Dziennik audytu > Eksport CSV |
| Bezpieczeństwo łańcucha dostaw | Izolacja konektorów; każdy konektor ma token o ograniczonym zakresie; skompromitowane konektory można unieważnić | Administracja > Zarządzanie konektorami |
Obowiązki RODO w zakresie dostępu uprzywilejowanego
RODO nakłada obowiązki na administratorów danych oraz podmioty przetwarzające dane osobowe. Dostęp uprzywilejowany do systemów przechowujących dane osobowe musi być kontrolowany i udokumentowany.
Artykuł 32 -- Środki techniczne i organizacyjne
VaultPAM spełnia wymagania art. 32 poprzez zapewnienie szyfrowania poświadczeń w spoczynku (za pośrednictwem silnika sekretów OpenBao), szyfrowanych nagrań sesji, egzekwowania MFA oraz kompletnej ścieżki audytu wszystkich zdarzeń dostępu uprzywilejowanego.
Artykuł 5 ust. 1 lit. f) -- Integralność i poufność
Zasada integralności i poufności (art. 5 ust. 1 lit. f)) wymaga, aby dane osobowe były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo. VaultPAM egzekwuje to na poziomie infrastruktury: poświadczenia nigdy nie są ujawniane w postaci jawnej w interfejsie użytkownika po pobraniu, sesje są nagrywane i podlegają audytowi, a polityki dostępu uniemożliwiają nieuprawnionym użytkownikom dotarcie do chronionych zasobów.
Artykuł 30 -- Rejestr czynności przetwarzania
Dziennik audytu VaultPAM zapewnia ciągły rejestr tego, kto, kiedy i jak długo uzyskiwał dostęp do danego systemu. Dziennik ten można wyeksportować jako CSV i wykorzystać jako dowód w rejestrze czynności przetwarzania (RCP) zgodnie z art. 30. Dziennik audytu jest odporny na manipulacje i przechowywany przez konfigurowalny okres (domyślnie: 90 dni).
Rezydencja danych
W przypadku wdrożeń SaaS wszystkie dane najemcy są przechowywane wyłącznie w GCP europe-central2 (Warszawa, Polska). Dane nie opuszczają UE. Spełnia to wymagania dotyczące rezydencji danych wynikające z RODO i NIS2 dla organizacji z siedzibą w UE.
Aby otrzymać pisemne potwierdzenie (na przykład na potrzeby oceny skutków przekazania danych), poproś o umowę powierzenia przetwarzania danych (DPA) pod adresem support@vaultpam.com. Umowa DPA określa region przetwarzania oraz podmioty podprzetwarzające.