close

A Keeper Security tem o compromisso de obter conformidade com o GDPR

Principais mudanças que entrarão em vigor com o GDPR

O que é o GDPR?

O Regulamento Geral de Proteção de Dados (GDPR) é considerado o item mais significativo da legislação europeia de proteção de dados a ser introduzido na União Europeia (UE) em 20 anos e substituirá a Diretriz de Proteção de Dados de 1995. O GDPR aprimora os direitos de privacidade dos indivíduos da UE e dá obrigações significativamente melhores para as organizações que tratam dados. Na Keeper Security, temos o compromisso de tornar o GDPR um sucesso.

O GDPR regula o processamento de dados pessoais sobre indivíduos na União Europeia, incluindo a coleta, o armazenamento, a transferência ou o uso. O conceito de "dados pessoais" é amplamente definido e cobre qualquer informação relacionada a um indivíduo identificado ou identificável, definido pelo GDPR como "sujeito dos dados". Para a maioria das empresas, isso inclui funcionários e clientes.

O GDPR identifica duas entidades que podem ter dados pessoais. Um controlador de dados exercita controle sobre o processamento de dados pessoais e decide que dados coletar. Um processador de dados age na direção de um controlador de dados para coletar, armazenar, recuperar e/ou excluir dados pessoais. A Keeper Security é um controlador de dados quando vendemos nosso gerenciador de senhas diretamente para os clientes. Somos um processador de dados quando vendemos para empresas que, por sua vez, seriam consideradas controladoras de dados.

Nosso compromisso

A Keeper tem o compromisso de fazer mudanças e melhorias em nossos processos e produtos comerciais para garantir que estaremos prontos para o GDPR em 25 de maio de 2018.

O cliente web do Keeper, os aplicativos para Android, Windows Phone e iPhone/iPad, e as extensões para navegador já foram certificadas em conformidade com o Privacy Shield da UE, com o programa Privacy Shield da UE-EUA do Departamento de Comércio dos EUA, atendendo à Diretriz de Proteção de Dados da Comissão Europeia. O Keeper também é certificado em conformidade com o SOC 2 Tipo 2, de acordo com a estrutura de Controle da Organização de Serviços AICPA. O Keeper também tem certificação ISO27001.

Direitos expandidos para indivíduos

O GDPR fornece direitos expandidos para indivíduos na União Europeia ao conceder a eles, entre outras coisas, o direito de serem esquecidos e o direito de solicitar uma cópia de quaisquer dados pessoais armazenados em seu nome. Os dados devem ser em formato comum legível para máquina e o controlador de dados não deve interferir na transferência de dados.

Obrigações da conformidade

O GDPR exige que as organizações implementem políticas e protocolos de segurança apropriados, conduzam avaliações de impacto na privacidade, mantenham registros detalhados de atividades de dados e façam acordos por escrito com fornecedores.

Maior execução

Sob o GDPR, as autoridades podem multar as organizações em até €20 milhões ou 4% do faturamento global anual da empresa (o que for maior) com base na gravidade da violação e os danos causados. Além disso, o GDPR fornece um ponto central de execução para as organizações com operações em vários estados membros da UE, exigindo que as empresas trabalhem com uma autoridade de supervisão principal para problemas de proteção de dados entre fronteiras.

Novos requisitos para perfis e monitoramento

O GDPR exige obrigações adicionais de organizações envolvidas na criação de perfis ou no monitoramento de comportamento de indivíduos da UE. As provisões do GDPR se aplicam globalmente a qualquer organização que processe dados pessoais de indivíduos da União Europeia, incluindo o rastreamento de atividades on-line, independentemente de a organização ter presença física na UE.

Notificação de violação de dados e segurança

O GDPR exige que as organizações informem certas violações de dados às autoridades de proteção de dados e, sob certas circunstâncias, aos sujeitos de dados afetados. O GDPR também exige requisitos adicionais de segurança das organizações.

Acordo de Processamento de Dados (DPA) da Keeper

Clientes comerciais podem precisar assinar um Acordo de Processamento de Dados (DPA) com a Keeper Security para auxiliar na conformidade com o GDPR. Solicite o DPA de seu representante da Keeper Security ou envie-nos um e-mail para business.support@keepersecurity.com.

Baixe o Acordo de Processamento de Dados (DPA)

Perguntas frequentes

O que a Keeper Security está fazendo em relação ao GDPR?

Trabalhamos com a TrustArc, líder global em conformidade de privacidade, para identificar as mudanças em nossos processos comerciais, práticas de privacidade e produtos necessários para garantir que estejamos em conformidade com o GDPR.

Como empresa de segurança de conhecimento zero, o GDPR é bem alinhado com os produtos e serviços principais que fornecemos. A conformidade com as leis internacionais e com a proteção da privacidade de nossos clientes é muito importante para nós.

O que é Conhecimento Zero?

A Keeper é uma provedora de segurança de conhecimento zero. O usuário do Keeper é a única pessoa que tem controle total sobre a criptografia e a descriptografia de seus dados. Com o Keeper, a criptografia e a descriptografia ocorrem apenas no dispositivo do usuário depois do login no cofre. Cada registro individual armazenado no cofre do usuário é criptografado com uma chave AES de 256 bits gerada randomicamente no dispositivo. As chaves de registro são protegidas por uma chave adicional, chamada de Chave de Dados. A Chave de Dados é criptografada com uma chave derivada da senha mestre do usuário no dispositivo. Os dados armazenados em repouso no dispositivo do usuário também são criptografados com outra chave, chamada de Chave do Cliente. A sincronização segura de registros entre os dispositivos do usuário também é criptografada na camada de rede e encaminhada pelo Cofre de Segurança em Nuvem do Keeper. Esse modelo de criptografia em várias camadas fornece a proteção de dados mais avançada disponível no setor.

Que mudanças a Keeper Security está implementando para manter a conformidade com o GDPR?

Como plataforma de conhecimento zero, as informações armazenadas em nosso produto são totalmente criptografadas e disponíveis apenas para o usuário. Fizemos mudanças em nossos sistemas analíticos para garantir o anonimato para nossos clientes e para permitir que você controle seu consentimento sobre como os dados pessoais que podem ser coletados sobre você serão utilizados ou armazenados.

A Keeper é um processador de dados ou um controlador de dados?

O GDPR identifica duas entidades que podem processar dados pessoais. Um controlador de dados decide que dados coletar e que processamento é feito de dados pessoais. Um processador de dados age na direção de um controlador de dados para coletar, armazenar, recuperar e/ou excluir dados pessoais. A Keeper Security é um controlador de dados quando vendemos nosso gerenciador de senhas diretamente aos clientes. Somos um processador de dados quando vendemos para negócios, que, por sua vez, seriam considerados os controladores de dados.

Como exporto meus dados pessoais?

Para exportar seus dados, faça login no Cofre Web do Keeper em https://keepersecurity.com/vault e clique em "Mais >> Backup >> Exportar". Você pode baixar as informações armazenadas em formato CSV ou PDF., Se sua conta estiver expirada, entre em contato com support@keepersecurity.com e nossa equipe de suporte o ajudará no acesso ao cofre.

Como solicito a exclusão dos meus dados?

Envie um e-mail para support@keepersecurity.com e forneça o endereço de e-mail associado com sua conta do Keeper.

Onde meus dados são armazenados?

A Keeper opera centros de dados em várias regiões nos Estados Unidos e na Irlanda. Clientes comerciais podem optar por estabelecer sua solução do Keeper no centro de dados dos EUA ou da Europa. Usuários clientes individuais que se registram via Cofre Web do Keeper dos EUA (https://keepersecurity.com/vault), aplicativos móveis ou desktop terão como padrão o centro de dados dos EUA. Usuários que se registram diretamente no Cofre Web da UE (https://keepersecurity.eu/vault) terão as informações armazenadas no centro de dados da UE.

Como transfiro meus dados do centro de dados dos EUA para o centro de dados da UE?

Entre em contato com support@keepersecurity.com para obter instruções e assistência para a transferência dos dados.

Como a Keeper Security ajuda na nossa conformidade com o GDPR?

Segurança e arquitetura de conhecimento zero: O gerenciador de senhas da Keeper foi criado do zero com a ideia de que o usuário individual é a única pessoa que pode acessar seus dados. Isso está em alinhamento perfeito com os princípios e os requisitos de proteção de dados do GDPR. Toda a criptografia é feita nos dispositivos do indivíduo. Os dados são criptografados em trânsito com Transport Layer Security (TLS) e armazenados em texto cifrado com criptografia AES‌ de 256 bits. Ao separar os dados e as chaves de criptografia, nenhum funcionário da Keeper pode acessar os dados do cofre do cliente. De acordo com o Artigo 34, se os dados do cofre do Keeper fossem violados, o texto cifrado seria inútil para os atacantes e, portanto, nenhuma notificação seria necessária.

Além das avaliações e testes regulares de segurança, o Keeper tem certificação SOC 2 Tipo 2 e certificação ISO27001 anual.

O Keeper usa a infraestrutura de nuvem reforçada Amazon AWS em várias localizações geográficas para hospedar e operar o Cofre do Keeper. Os dados em repouso e em trânsito são totalmente isolados em um centro de dados global preferencial do cliente. Em outras palavras, dados da UE permanecem na UE. Isso oferece aos clientes o armazenamento em nuvem mais rápido e seguro.

Nenhum processamento adicional: O Keeper nunca minerará dados do cofre do cliente para nenhuma finalidade. Em primeiro lugar, é uma questão de política nos níveis mais altos do Keeper de termos o compromisso com a privacidade dos clientes. Em segundo lugar, devido à nossa arquitetura de conhecimento zero, é tecnicamente impossível fazermos isso. Isso segue os princípios do GDPR de políticas organizacionais e técnicas para proteger dados pessoais.

Controle de dados: Os clientes podem exportar seus dados (em formato csv), modificar ou excluir os registros do cofre a qualquer momento. Isso possibilita os requisitos do GDPR de que dados pessoais possam ser transferidos ou excluídos assim que o uso desejado é concluído, o consentimento é retirado ou a finalidade comercial legítima muda. Como os sujeitos de dados podem cuidar de seus cofres do Keeper, o controlador de dados não tem um fardo significativo em relação à conformidade com o GDPR. Os dados são criptografados de forma que apenas o sujeito de dados pode acessá-los, portanto, nenhum funcionário poderá vê-los, muito menos ter a necessidade de acessá-los.

Controle de acesso com base em função: O conceito de segurança de menor privilégio significa que os funcionários só devem ter acesso à quantidade mínima de dados de que precisam para fazer o seu trabalho. Isso é frequentemente conseguido com o controle de acesso com base em função (RBAC).

O Keeper se integra com o Microsoft Active Directory (AD) para sincronizar com nós (unidades organizacionais), equipes e usuários. Depois de conectado, o Keeper ativa o controle de acesso com base em qualquer nó. Esses controles podem ser cascateados para todos os nós inferiores, se desejado. Esses controles nos cofres do Keeper incluem complexidade da senha mestre, tempo de rodízio, requisitos de autenticação de dois fatores, lista branca de IPs e muito mais. O Keeper bloqueia contas que são encerradas no AD e aquelas contas podem ser transferidas para administradores confiáveis. Isso dá aos administradores de TI controle sobre contas de dados e ativos em toda a organização.

Auditoria e percepção dos administradores: O Keeper Enterprise fornece percepção sobre a complexidade das senhas dos funcionários, a reutilização e o uso da autenticação de dois fatores. O Keeper fornece registros de auditoria complexos, com marcações de data e hora e filtros para possibilitar pesquisas rápidas de anomalias, comportamentos ruins, relatórios forenses ou de conformidade.