Cosa sta facendo Keeper Security per il GDPR?
Abbiamo collaborato con TrustArc, leader mondiale nell'ambito del rispetto delle norme sulla privacy, per identificare i cambiamenti nei nostri processi aziendali, nelle procedure in materia di privacy e nei prodotti necessari per assicurare la conformità al GDPR.
In quanto azienda basata sulla sicurezza zero-knowledge, il GDPR è strettamente allineato ai principali prodotti e servizi forniti da noi. Teniamo molto a conformarci alla legislazione internazionale e alla protezione della privacy dei nostri clienti.
Cosa significa "zero-knowledge"?
Keeper è un fornitore di servizi di sicurezza zero-knowledge. L'utente di Keeper è l'unica persona ad avere il pieno controllo sulla crittografia e sulla decrittografia dei propri dati. Con Keeper, la crittografia e la decrittografia avvengono solo sul dispositivo dell'utente dopo aver effettuato l'accesso alla propria cassetta di sicurezza. Ciascuna singola voce archiviata nella cassetta di sicurezza dell'utente è crittografata con una chiave AES a 256 bit che è generata in modo casuale sul dispositivo. Le chiavi sono protette da una chiave aggiuntiva, chiamata Chiave dati. Per gli utenti che accedono a Keeper utilizzando la password principale, la chiave dati è crittografata tramite una chiave derivata sul dispositivo dalla password principale dell’utente usando PBKDF2 con 1.000.000 di iterazioni. Per gli utenti che effettuano l’accesso con SSO, la chiave dati viene crittografata con una chiave privata a curva ellittica. La sincronizzazione sicura delle voci tra i dispositivi dell'utente è anch'essa crittografata al livello di rete e trasmessa attraverso la Cloud Security Vault di Keeper. Questo modello di crittografia a più livelli fornisce il più avanzato servizio di protezione dei dati disponibile sul mercato.
Quali modifiche ha implementato Keeper Security per rimanere conforme al GDPR?
Trattandosi di una piattaforma zero-knowledge, le informazioni archiviate nel nostro prodotto sono completamente crittografate e a disposizione esclusivamente dell'utente. Sono state apportate delle modifiche ai sistemi di analisi dei dati per garantire l'anonimato dei nostri clienti, oltre ad alcune modifiche per consentire agli utenti di controllare il proprio consenso sulle modalità di utilizzo o di memorizzazione di qualsiasi dato personale che possa essere raccolto.
Keeper è responsabile o titolare del trattamento?
Il GDPR identifica due entità che possono trattare i dati personali: il titolare del trattamento, che decide quali dati raccogliere e quale trattamento dei dati effettuare, e il responsabile del trattamento, che agisce sotto la direzione di un titolare del trattamento per raccogliere, memorizzare, recuperare e/o cancellare dati personali. Keeper Security è un titolare del trattamento quando vende il proprio gestore di password direttamente ai consumatori; è invece un responsabile del trattamento quando vende alle aziende, che a loro volta sarebbero da considerare i titolari del trattamento.
Come posso esportare i miei dati personali?
Per esportare i propri dati, accedere alla cassetta di sicurezza Web di Keeper all'indirizzo https://keepersecurity.com/vault e fare clic su "Altro >> Backup >> Esporta". È possibile scaricare le proprie informazioni memorizzate nei formati CSV o PDF. In caso di account scaduto, contattare il team di supporto all'indirizzo exportme@keepersecurity.com per ricevere assistenza durante l'accesso alla propria cassetta di sicurezza.
Come posso richiedere la cancellazione dei miei dati?
Scrivere all'indirizzo e-mail deleteme@keepersecurity.com e fornire l'indirizzo e-mail associato al proprio account Keeper.
Dove sono memorizzati i miei dati?
Keeper operates data centers in multiple regions throughout the world with Amazon AWS. Enterprise customers may elect to establish their Keeper tenant in any supported primary region including: United States (US), United States GovCloud (US_GOV), Europe (EU), Australia (AU), Canada (CA) and Japan (JP). Customer data and access to the platform are isolated to that specific region. From each primary region, Keeper utilizes multi-zone and multi-region replication to ensure high availability. In the United States commercial region, Keeper utilizes East and West locations. In the US GovCloud data center, Keeper utilizes East and West locations. In Europe, Keeper utilizes Ireland and Frankfurt locations. In Australia, Keeper utilizes Canada as a DR region. In Canada, data is replicated within the country. In Japan, the primary region is Tokyo and replicated to Osaka. Individual consumer users who sign up through the Keeper Web Vault, desktop app or mobile apps may select the desired data center location on the account creation screen.
Come posso trasferire i miei dati dal centro dati statunitense al centro dati europeo?
Scrivere all'indirizzo e-mail exportme@keepersecurity.com per ricevere istruzioni e assistenza per un trasferimento dati di questo tipo.
In che modo Keeper Security agevola il raggiungimento della conformità al GDPR?
Architettura zero-knowledge e sicurezza: il gestore di password di Keeper è stato creato sul concetto secondo cui il singolo utente è l'unica persona che può accedere ai propri dati. Ciò si allinea perfettamente ai principi del GDPR e ai requisiti in materia di protezione dei dati. La crittografia è interamente realizzata sul dispositivo (o i dispositivi) del singolo utente. I dati vengono crittografati in transito con Transport Layer Security (TLS) e memorizzati sotto forma di testo cifrato crittografato con AES-256. Dato che i dati e le chiavi di crittografia sono separati, nessun dipendente di Keeper potrà mai accedere ai dati del cliente archiviati nella propria cassetta di sicurezza. Come previsto dall'articolo 34, se i dati archiviati nella cassetta di sicurezza di Keeper venissero violati, il testo cifrato risulterebbe inutile per i responsabili della violazione e pertanto non sarebbe necessaria alcuna notifica.
Oltre ai consueti test e alle revisioni sulla sicurezza, Keeper viene sottoposta ogni anno ai test per le certificazioni SOC 2 Type 2 e ISO 27001.
Keeper utilizza la solida infrastruttura cloud AWS di Amazon in diverse località geografiche per ospitare e gestire la cassetta di sicurezza di Keeper. I dati a riposo e in transito vengono completamente isolati nel centro dati globale preferito dal cliente. In altre parole, i dati europei rimangono nell'UE. Questo fornisce ai clienti il più veloce e sicuro cloud storage.
Nessun trattamento supplementare: Keeper non estrapolerà mai i dati dei clienti memorizzati nella cassetta di sicurezza per alcun motivo. In primo luogo, il rispetto della privacy dei clienti occupa una posizione centrale nella politica di Keeper. In secondo luogo, ciò sarebbe tecnicamente impossibile per via dell'architettura zero-knowledge. Ciò è in linea con i principi del GDPR relativi alle misure tecniche e organizzative messe in atto per proteggere i dati personali.
Controllo dei dati: i clienti possono esportare i propri dati (nei formati CSV o PDF), modificare o cancellare le voci memorizzate nella propria cassetta di sicurezza in qualsiasi momento. Questo consente di rispettare i requisiti del GDPR in base al quale i dati personali possono essere trasferiti o cancellati non appena l'uso previsto sia stato soddisfatto, il consenso sia stato ritirato o le finalità aziendali legittime cambino. Dato che gli interessati possono utilizzare la propria cassetta di sicurezza di Keeper autonomamente, il titolare del trattamento è sollevato da un peso significativo nella conformità al GDPR. I dati sono crittografati in modo tale che soltanto l'interessato possa accedervi, per cui se nessun dipendente è in grado di vederli, tanto meno avrà la necessità di accedervi.
Controllo degli accessi in base al ruolo: il concetto di sicurezza in base al principio del privilegio minimo significa che i dipendenti dovrebbero avere accesso soltanto alla minima quantità di dati necessaria per il loro lavoro. Il più delle volte questo viene realizzato con il controllo degli accessi in base al ruolo (RBAC, role-based access control).
Keeper collabora con Microsoft Active Directory (AD) per sincronizzare i nodi (unità organizzative), i team e gli utenti. Una volta collegato, Keeper abilita il controllo degli accessi in base al ruolo per qualsiasi nodo. Tali controlli possono essere messi in cascata ai nodi di livello inferiore, se lo si desidera. I controlli sulle cassette di sicurezza di Keeper includono la forza della password principale, il tempo di rotazione, i requisiti dell'Autenticazione a 2 fattori, l'inserimento degli indirizzi IP nell'elenco elementi consentiti e altri elementi. Keeper blocca gli account che sono stati chiusi in AD e li trasferisce ad amministratori fidati; ciò fornisce agli amministratori IT il controllo degli account e delle risorse con dati di tutta l'organizzazione.
Informazioni amministrative e controlli: Keeper Enterprise fornisce informazioni dettagliate sulla forza delle password dei dipendenti, sul riutilizzo e sull'utilizzo dell'Autenticazione a due fattori. Keeper fornisce dei registri di controllo completi di data e orari nonché filtri per consentire ricerche rapide di anomalie, cattivo comportamento, scienza forense o segnalazioni relative alla conformità.