Recursos/White Papers

Tecnologia

14 principais ferramentas para saber se você cumpre os requisitos do GDPR

Correndo para ficar em conformidade com as novas regras de privacidade do GDPR na UE? Essas ferramentas podem ajudá-lo a cumprir o prazo

William Jackson, CSO/EUA

Publicada em 01 de março de 2018 às 15h39

Regulamento Geral de Proteção de Dados da União Européia (GDPR) entra em vigor em maio de 2018, o que significa que qualquer organização que faça negócios na UE ou seus estados membros tem pouco tempo para cumprir a nova lei de privacidade. 

O GDPR aplica-se a qualquer organização que detenha ou processe dados pessoais de cidadãos da UE e as penalidades por não cumprimento podem ser rígidas: até 20 milhões de Euros (cerca de US $ 24 milhões) ou 4% da receita global de negócios, o que for maior. As organizações devem ser capazes de identificar, proteger e gerenciar todas as informações de identificação pessoal (PII) dos residentes da UE, mesmo que essas organizações não estejam baseadas na UE.

Alguns fornecedores estão oferecendo ferramentas para ajudá-lo a se preparar e cumprir o GDPR. O que se segue é uma amostra representativa de ferramentas para avaliar o que você precisa fazer para assegurar a conformidade, implementar medidas para atender aos requisitos e manter tudo funcionando ao longo do tempo.

Ferramentas de avaliação
1 - Snow Software GDPR Risk Assessment identifica mais de 23 mil versões de aplicativos que detêm ou transmitem dados pessoais. Também fornece visibilidade sobre dispositivos, usuários e aplicativos, seja nas instalações, na nuvem ou no celular.

A varredura passiva significa que os agentes não precisam ser instalados nos nós de extremidade. Pode sinalizar os dispositivos que não possuem controles de segurança GDPR adequados para que a organização saiba onde seus dados estão, quem está usando e como está protegido.

2 - The International Association of Privacy Professionals (IAPP) and TRUSTe GDPR Readiness Assessment está disponível como uma versão especial chamada TRUSTe Assessment Manager. Criado para membros do IAPP, contém mais de 60 perguntas mapeadas para os principais requisitos do GDPR e produz uma análise de lacunas com as etapas recomendadas para remediação. 

A ferramenta de avaliação é baseada na nuvem e não exige um download de software. Os membros do IAPP podem ativar uma conta gratuita. Integra-se com uma variedade de aplicações e ambientes de hospedagem existentes, incluindo Amazon Web Services e Alibaba Cloud.

3 - DB DBN-6300 é um dispositivo de segurança que utiliza inteligência artificial e análise de protocolo para dar visibilidade às atividades de infraestrutura do banco de dados. Ele também descobre intrinsecamente bases de dados contendo PII e aplicativos conectados e mapeia automaticamente como as informações estão sendo processadas. 

O DBN-6300 realiza varredura passiva em um ponto de acesso de rede em vez de usar a varredura ativa. Está disponível como um dispositivo físico ou em Open Virtualization Format (OVF) e suporta sistemas de gerenciamento de banco de dados, incluindo  Oracle Server, Microsoft SQL Server e SAP Sybase ASE. 

A máquina virtual suporta VMware vSwitch, dvSwitch e uma plataforma de rede definida por software (SDN) configurada para permitir o recurso de rede.

4 - O Opus Global’s Third-Party Compliance como solução de serviço (SaaS) move a avaliação para a cadeia de suprimentos, identificando terceiros com os quais os dados pessoais de seus clientes são compartilhados. Os questionários sobre controles de segurança de dados são enviados automaticamente para usuários externos. 

A ferramenta analisa as respostas para determinar se elas cumprem os requisitos GDPR e fornece recomendações para remediação. Isso permite que a organização documente completamente quem tem acesso a dados cobertos e como ele está protegido. Esta solução SaaS não requer hardware, software ou infraestrutura de TI.

Ferramentas de implementação GDPR

5 - Secureprivacy.ai é uma solução automatizada de gerenciamento de consentimento para tornar os sites compatíveis com os requisitos do GDPR para obter o consentimento informado dos usuários para coleta e uso de dados. Também permite que eles desapareçam. Uma vez instalado, o script Secureprivacy.ai fornece notificações detalhadas página a página para os requisitos adequados de opt-in e opt-out. 

As capturas de tela são salvas para documentar o consentimento do usuário e estão disponíveis através de um painel de controle. A solução é formatada para dispositivos desktop e móveis e inclui um plugin para usuários do WordPress. A documentação inclui o endereço IP do usuário e a localização e pode ser facilmente exportada para uso comercial e regulamentar.

6 - Datum Information Value Management para GDPR é uma edição especial do software de governança de informações que está pré-configurado com processos, regras, padrões, modelos e frameworks baseados em GDPR. Ele alinha os dados de uma organização com os requisitos regulamentares, identificando os dados abrangidos pelas regras de privacidade da UE e os recursos e controles necessários. 

A ferramenta descobre os dados e como são usados e mapeia o processo de governança da organização. Isso permite que os dados sejam usados ​​e compartilhados com as partes interessadas em toda a organização dentro dos requisitos dos regulamentos de privacidade e a conformidade dos documentos para os reguladores.

7 - O SAS for Personal Data Protection cria um ambiente unificado com uma única interface de usuário para acessar e gerenciar dados. Permite que as organizações acessem, identifiquem, protejam e auditem dados pessoais para que possam cumprir os requisitos do GDPR de que os dados pessoais não devam apenas ser protegidos, mas removidos mediante solicitação. 

Esta combinação de software e serviços SAS permite que as organizações combinem tipos de dados de várias fontes, como Oracle, Apache e Hadoop, identificando dados pessoais em fontes estruturadas e não estruturadas. Os seus recursos de governança de dados aplicam políticas e protegem os dados por meio de máscara e criptografia baseadas em função que asseguram informações confidenciais enquanto estão em repouso e em uso.

8 - Neupart Secure GDPR baseia-se no sistema de gerenciamento de segurança seguro do ISMS da empresa. Os recursos adicionais projetados para que as empresas implementem e mantenham os processos GDPR incluem modelos, proteção de dados e ferramentas de avaliação de impacto, capacidade de notificação de violação de dados e análise de lacunas para rastrear seu status de conformidade atual. Ele também fornece um painel de instruções de proteção de dados (DPO) para que os DPOs tenham uma visão única das principais áreas de conformidade.

9 - Neo4j é uma solução gráfica que fornece visibilidade sobre os dados da organização e as conexões entre e entre os dados. Os dados pessoais podem residir em muitas aplicações em vários locais em toda a empresa e na nuvem, e devem ser protegidos e gerenciados em todos os locais. 

As organizações devem ser capazes de rastrear dados através do seu ciclo de vida, desde a sua aquisição até o uso e posterior remoção. Para rastrear e controlar os dados, as conexões entre múltiplos sistemas e silos de dados devem ser entendidas. O banco de dados nativo do Neo4j fornece essa visibilidade, juntamente com a análise e integração de dados. Ele está disponível como um download ou uma ferramenta online.

10 - O Aircloak Insights permite que as organizações façam uso de dados protegidos anonimizando-os para análise para que os resultados possam ser compartilhados sem restrições sob o GDPR. A solução consiste em dois pedaços de software (o frontend  web Air e o mecanismo de anonimização Cloak) que funcionam em dois recipientes do Docker para virtualização no Windows e no Linux. 

Funciona com os bancos de dados mais populares, incluindo um grande conjunto de bancos de dados SQL.

GDPR

Ferramentas de manutenção GDPR

11 - BigID BigOps é uma ferramenta de varredura que usa Machine Learning para rastrear continuamente as alterações na PII nos ambientes de produção e desenvolvimento, no data center ou na nuvem. O Machine Learning  permite que o software compreenda dados pessoais conhecidos e seus contextos e, em seguida, descubra e catalogue todos os dados pessoais nos compartimentos de dados. 

Integra-se com estruturas de automação, como a Jenkins, para monitorar as mudanças nos dados ao longo do ciclo de vida de desenvolvimento, ajudando a garantir que permaneça em conformidade com os requisitos do GDPR. Também ajuda com os requisitos para a resposta à violação de dados, permitindo que uma organização compare seus dados com a de um vazamento de dados roubados para determinar, em poucos minutos, se há violações ao GDPR.

12 - A plataforma de software de gerenciamento de privacidade OneTrust automatiza tarefas para permitir a continuidade da conformidade com os requisitos do GDPR para os cookies do site e a manutenção de portais. A OneTrust realiza varreduras contínuas das páginas Web de uma organização para identificar e categorizar cookies e fornece um mecanismo transparente para obter os consentimentos necessários para cada cookie. 

As organizações também podem usar o OneTrust para criar um portal para lidar com os pedidos dos usuários para gerenciar PII sob o GDPR. Pode acompanhar e documentar as solicitações dos usuários e a resposta da organização.

13 - A FileCloud é conhecida como uma plataforma de compartilhamento e sincronização de arquivos empresariais. Agora, oferece recursos para facilitar tarefas associadas a alguns requisitos GDPR. As configurações de privacidade tornam mais fácil pedir aos usuários o consentimento ao acessar o conteúdo da nuvem. As ferramentas de administrador permitem a eliminação ou anonimização de PII para pedidos relacionados ao direito de serem esquecidos, ou para responder aos pedidos de quais PII uma empresa possui de um indivíduo. O FileCloud também aborda o requisito de portabilidade de dados com a capacidade de exportar em formatos padrão.

14 - Já a  Loom Systems Sophie para GDPR é descrita pelo fornecedor como uma ferramenta de operações de TI algorítmicas (AIOps), que usa inteligência artificial (AI) para "analisar logs de máquina e dados não estruturados do forma a dar visibilidade imediata aos ambientes de TI". 

O produto possui um recurso "Find my PII" que automatiza a coleta de logs sensíveis. Isso facilita o cumprimento do direito de de ser esquecido, pois ele permite que você localize e exclua rapidamente dados pessoais quando uma solicitação para remoção for recebida.



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui