Jakie działania podejmuje firma Keeper Security w związku z GDPR?
Współpracowaliśmy z TrustArc, globalnym liderem w zakresie zachowania zgodności z przepisami o ochronie prywatności, w celu zidentyfikowania zmian w naszych procesach biznesowych, praktykach w zakresie prywatności oraz produktach, które są niezbędne do zachowania zgodności z rozporządzeniem GDPR.
Jesteśmy firmą oferująca rozwiązania w zakresie bezpieczeństwa oparte na szyfrowaniu „zero-knowledge", tak więc zapisy rozporządzenia GDPR odnoszą się do oferowanych przez nas produktów i usług. Zachowanie zgodności z międzynarodowymi przepisami i ochrona prywatności naszych klientów to kwestie, które są dla nas bardzo ważne.
Czym jest szyfrowanie „Zero Knowledge”?
Keeper zapewnia rozwiązania w zakresie bezpieczeństwa oparte na szyfrowaniu „zero-knowledge". Użytkownik Keeper to jedyna osoba, która ma pełną kontrolę nad procesem szyfrowania i odszyfrowywania swoich danych. W przypadku aplikacji Keeper szyfrowanie i odszyfrowywanie ma miejsce wyłącznie na urządzeniu użytkownika po zalogowaniu do sejfu. Każdy wpis przechowywany w sejfie użytkownika jest szyfrowany za pomocą 256-bitowego klucza AES generowanego losowo na urządzeniu. Klucze wpisów są chronione przy użyciu dodatkowego klucza, zwanego kluczem danych. W przypadku użytkowników logujących się przez hasło główne, jest on szyfrowany za pomocą klucza pozyskiwanego na urządzeniu z hasła głównego użytkownika przy użyciu PBKDF2 z 1 000 000 iteracji. W przypadku użytkowników korzystających z logowania SSO klucz danych jest szyfrowany przez klucz prywatny Elliptic Curve. Dane przechowywane na urządzeniu użytkownika są też szyfrowane przy użyciu innego 256-bitowego klucza, zwanego kluczem klienta. Bezpieczna synchronizacja wpisów pomiędzy urządzeniami użytkownika jest szyfrowana na poziomie sieci i przekierowywana przez Cloud Security Vault aplikacji Keeper. Ten model wielopoziomowego szyfrowania zapewnia najbardziej zaawansowaną ochronę danych dostępną na rynku.
Jakie zmiany zostały wprowadzone w Keeper Security, aby zapewnić zgodność z RODO?
Keeper to platforma stosująca szyfrowanie „zero-knowledge", tak więc informacje na niej przechowywane są w pełni szyfrowane i dostępne wyłącznie dla użytkownika. W celu zapewnienia anonimowości naszych klientów wprowadziliśmy zmiany w naszym systemie analiz. Dodatkowo wprowadzone zostały zmiany, aby umożliwić Ci kontrolowanie udzielanych zgód określających, w jaki sposób gromadzone na Twój temat dane osobowe mogą być wykorzystywane i przechowywane.
Czy Keeper jest podmiotem przetwarzającym dane czy administratorem danych?
Rozporządzenie GDPR określa dwa podmioty, które mogą przetwarzać dane osobowe. Administrator danych decyduje, które dane gromadzić i w jakim zakresie je przetwarzać. Podmiot przetwarzający dane osobowe działa według wskazówek administratora danych i gromadzi, przechowuje, pobiera i/lub usuwa dane osobowe. Keeper Security występuje w roli administratora danych, gdy sprzedaje menedżer haseł klientom bezpośrednio. W roli podmiotu przetwarzającego dane występujemy, gdy sprzedajemy produkty firmom, które będą postrzegane jako administratorzy danych.
W jaki sposób mogę eksportować moje dane osobowe?
Aby wyeksportować swoje dane, zaloguj się do sejfu internetowego Keeper: https://keepersecurity.com/vault i wybierz opcje: Więcej >> Kopia zapasowa >> Eksport. Możesz pobrać przechowywane przez nas Twoje dane osobowe w formacie CSV lub PDF. Jeśli Twoje konto wygasło, skontaktuj się z nami pod adresem: exportme@keepersecurity.com, a nasz zespół ds. obsługi klienta pomoże Ci uzyskać dostęp do Twojego sejfu.
W jaki sposób mogę zażądać usunięcia moich danych?
Wyślij wiadomość e-mail na adres: deleteme@keepersecurity.com i podaj adres e-mail powiązany z kontem Keeper.
Gdzie przechowywane są moje dane?
Keeper operates data centers in multiple regions throughout the world with Amazon AWS. Enterprise customers may elect to establish their Keeper tenant in any supported primary region including: United States (US), United States GovCloud (US_GOV), Europe (EU), Australia (AU), Canada (CA) and Japan (JP). Customer data and access to the platform are isolated to that specific region. From each primary region, Keeper utilizes multi-zone and multi-region replication to ensure high availability. In the United States commercial region, Keeper utilizes East and West locations. In the US GovCloud data center, Keeper utilizes East and West locations. In Europe, Keeper utilizes Ireland and Frankfurt locations. In Australia, Keeper utilizes Canada as a DR region. In Canada, data is replicated within the country. In Japan, the primary region is Tokyo and replicated to Osaka. Individual consumer users who sign up through the Keeper Web Vault, desktop app or mobile apps may select the desired data center location on the account creation screen.
W jaki sposób mogę przenieść swoje dane z centrum danych w USA do centrum danych w UE?
Skontaktuj się z nami, wysyłając wiadomość na adres: exportme@keepersecurity.com, aby uzyskać instrukcje i pomoc w przeniesieniu danych.
W jaki sposób firma Keeper Security pomaga w zachowaniu zgodności z rozporządzeniem GDPR?
Architektura „zero-knowledge" i bezpieczeństwo: Menedżer haseł Keeper został stworzony w oparciu o naszą podstawową zasadę, że użytkownik indywidualny jest jedyną osobą, która może uzyskać dostęp do swoich danych. Jest to całkowicie zgodne z zasadami rozporządzenia GDPR i jego wymogami w zakresie ochrony danych. Szyfrowanie odbywa się w pełni na urządzeniach użytkowników. Przesyłane dane są szyfrowane przy wykorzystaniu standardu Transport Layer Security (TLS) i przechowywane w formie szyfrogramu zaszyfrowanego przy pomocy algorytmu AES-256. Dzięki odseparowaniu danych i kluczy szyfrujących żaden z pracowników Keeper nie ma dostępu do danych w sejfach naszych klientów. Zgodnie z artykułem 34, jeśli kiedykolwiek dojdzie do naruszenia bezpieczeństwa danych w sejfie Keeper, szyfrogram okaże się nieużyteczny dla hakerów. Dlatego nie będzie konieczne powiadamianie o tym klientów.
Oprócz standardowych testów i ocen bezpieczeństwa Keeper co roku uzyskuje certyfikat SOC 2 Typu 2 i ISO27001.
Keeper stosuje architekturę chmurową z wykorzystaniem usług Amazon AWS w różnych lokalizacjach geograficznych, aby zapewnić hostowanie i obsługę sejfu Keeper. Nieużywane, jak również przesyłane dane są oddzielone od siebie w wybranym przez klienta globalnym centrum danych. Oznacza to, że dane użytkowników z UE pozostają w UE. Zapewnia to użytkownikom najszybsze i najbezpieczniejsze przechowywanie danych w chmurze.
Brak dodatkowego przetwarzania: Keeper nie będzie nigdy wykorzystywać w żadnym celu danych klientów przechowywanych w sejfach. Nasza polityka na najwyższym szczeblu zakłada, że dbamy o prywatność naszych klientów. Dodatkowo, ze względy na stosowanie architektury „zero-knowledge" jest to technicznie niemożliwe. W ten sposób spełniamy zasady rozporządzenia GDPR zakładające, że zarówno polityka organizacyjna, jak i techniczna ma chronić dane osobowe.
Kontrola danych: Klienci mogą w dowolnej chwili eksportować swoje dane (w formacie CSV lub PDF) oraz modyfikować lub usuwać wpisy w swoim sejfie. Dzięki temu zostaje spełniony nałożony przez rozporządzenie GDPR wymóg umożliwienia przenoszenia i usuwania danych osobowych po zakończeniu ich zamierzonego użytkowania, gdy wycofana jest zgoda na ich przetwarzanie lub gdy ulega zmianie uzasadniony cel służbowy. Osoby, których dane dotyczą mogą same obsługiwać swój sejf Keeper, w związku z czym administrator danych jest w znacznym stopniu zwolniony z wykonywania działań w celu zachowania zgodności z rozporządzeniem GDPR. Dane są szyfrowane w taki sposób, aby dostęp do nich miały jedynie osoby, których dane dotyczą, tak więc pracownicy ich nie widzą i nie muszą mieć do nich dostępu.
Kontrola dostępu oparta na przydzielaniu ról: Zasada przydzielania jak najmniejszych uprawnień oznacza, że pracownicy powinni posiadać dostęp tylko do minimalnej ilości danych niezbędnych do wykonywania ich pracy. Stosowanie tej zasady jest możliwe dzięki kontroli dostępu opartej na przydzielaniu ról (RBAC).
Keeper zapewnia integrację z usługą Microsoft Active Directory (AD) w celu synchronizacji z węzłami (jednostki organizacyjne), zespołami i użytkownikami. Po połączeniu Keeper uaktywnia kontrolę dostępu dla poszczególnych węzłów opartą na przydzielaniu ról. W razie konieczności może ona uwzględniać wszystkie węzły niższego szczebla. Ta kontrola na poziomie sejfu Keeper uwzględnia takie aspekty, jak siła hasła głównego, czas rotacji, wymogi w zakresie logowania dwuskładnikowego, biała lista adresów IP. Keeper blokuje konta, które są zamknięte w AD. Można je przenosić do zaufanych administratorów. Daje to administratorom IT kontrolę nad danymi i aktywami w całej organizacji.
Podgląd administratorów i audyt: Keeper Enterprise zapewnia podgląd siły haseł stosowanych przez pracowników oraz stosowania przez nich uwierzytelniania dwuskładnikowego. Keeper prowadzi również dzienniki audytu z uwzględnieniem oznaczenia czasu i filtrów w celu umożliwienia szybkiego wyszukiwania anomalii, nieprawidłowych zachowań i działań przestępczych oraz raportowania w zakresie zachowania zgodności.