Keeper to platforma wykorzystująca szyfrowanie „zero-knowledge”, która dba o zachowanie zgodności z GDPR

Główne informacje na temat zgodności Keeper z RODO

Czym jest rozporządzenie GDPR?

Ogólne rozporządzenie o ochronie danych (RODO) stanowi najważniejszy element legislacji Unii Europejskiej w zakresie ochrony danych osobowych ostatnich 20 lat i zastępuje Dyrektywę o ochronie danych z 1995 r. RODO zwiększa prawa osób prywatnych w UE w zakresie prywatności i nakłada znacznie większe obowiązki na organizacje przetwarzające dane. W Keeper Security dbamy o to, by postanowienia RODO były w pełni realizowane.

Rozporządzenie GDPR reguluje kwestię przetwarzania danych osobowych dotyczących mieszkańców Unii Europejskiej, w tym m.in. ich gromadzenie, przechowywanie, przesyłanie i wykorzystywanie. Pojęcie „danych osobowych” jest szeroko definiowane i obejmuje wszelkie informacje związane z osobą zidentyfikowaną lub możliwą do zidentyfikowania, określaną jako „osoba, której dane dotyczą”. W przypadku większości firm są to pracownicy i klienci.

Rozporządzenie GDPR wyróżnia dwa podmioty, które mogą przetwarzać dane osobowe. Administrator danych sprawuje kontrolę nad przetwarzaniem danych osobowych i decyduje, które dane gromadzić. Podmiot przetwarzający dane osobowe działa według wskazówek administratora danych i gromadzi, przechowuje, pobiera i/lub usuwa dane osobowe. Keeper Security występuje w roli administratora danych, gdy sprzedaje menedżer haseł klientom bezpośrednio. W roli podmiotu przetwarzającego dane występujemy, gdy sprzedajemy produkty firmom, które będą postrzegane jako administratorzy danych.

Nasze zaangażowanie

Keeper jest zgodny z rozporządzeniem RODO. Dbamy, by nasze procesy biznesowe i produkty zawsze były z nim zgodne, aby zapewnić zadowolenie naszych klientów z Unii Europejskiej.

Klient internetowy Keeper, aplikacja dla systemu Android, aplikacja dla systemu Windows Phone, aplikacja dla iPhone'a/iPada i rozszerzenia przeglądarki zostały certyfikowane zgodnie z Ramami ochrony prywatności danych UE-USA („DPF UE-USA”), brytyjskim rozszerzeniem DPF UE-USA oraz szwajcarsko-amerykańskimi Ramami ochrony prywatności danych („DPF Szwajcaria-USA”) określonymi przez Departament Handlu USA. Keeper uzyskała certyfikat SOC 2 Type 2 zgodnie z wytycznymi Service Organization Control instytutu AICPA. Keeper ma również certyfikat ISO27001.

Większe prawa

Rozporządzenie GDPR zwiększa zakres praw mieszkańców Unii Europejskiej, przyznając im między innymi prawo do bycia zapomnianym i wykonania kopii swoich danych osobowych. Dane muszą być w popularnym formacie nadającym się do przetwarzania maszynowego, a administrator danych nie może ingerować w przesył danych.

Obowiązek zachowania zgodności

Rozporządzenie GDPR nakłada na organizacje obowiązek wprowadzania odpowiednich polityk i protokołów bezpieczeństwa, przeprowadzania oceny wpływu na prywatność, prowadzenia szczegółowych rejestrów dot. danych oraz zawierania pisemnych umów z pośrednikami.

Lepsze egzekwowanie przepisów

Rozporządzenie GDPR daje organom władzy możliwość nakładania na organizacje kar finansowych w wysokości do 20 mln € lub 4% ogólnego rocznego przychodu firmy (w zależności od tego, która wartość jest wyższa), zależnie od tego, jak poważne jest naruszenie lub poniesiona szkoda. Dodatkowo GDPR zapewnia organizacjom działającym w różnych państwach członkowskich UE centralny punkt odniesienia w zakresie egzekwowania przepisów, gdyż wymaga od nich współpracy z organem nadzorczym w kwestiach międzygranicznej ochrony danych.

Nowe wymagania w zakresie profilowania i monitorowania

Rozporządzenie GDPR nakłada dodatkowe obowiązki na organizacje zaangażowane w profilowanie i monitorowanie zachowania osób zamieszkałych na terenie UE. Postanowienia GDPR mają zastosowanie na całym świecie w stosunku do dowolnej organizacji przetwarzającej dane osobowe mieszkańców Unii Europejskiej, w tym śledzącej ich aktywność online, niezależnie od tego, czy ta organizacja jest fizycznie obecna na terenie UE.

Powiadomienia o zagrożeniu danych i bezpieczeństwo

Rozporządzenie GDPR wprowadza wymóg zgłaszania naruszeń danych organom ds. ochrony danych, oraz w określonych sytuacjach osobom, których dane dotyczą. Ponadto nakłada na organizacje dodatkowe wymogi w zakresie bezpieczeństwa.

Umowa o powierzeniu przetwarzania danych (DPA) – Keeper

Aby zapewnić zgodność z postanowieniami rozporządzenia GDPR, może być konieczne podpisanie umowy o powierzeniu przetwarzania danych (DPA) między klientami biznesowymi a firmą Keeper Security. Poproś reprezentanta Keeper Security o umowę o powierzeniu przetwarzania danych lub skontaktuj się z nami drogą e-mailową: business.support@keepersecurity.com.

Pobierz umowę o powierzeniu przetwarzania danych (DPA)

Często zadawane pytania (FAQ)

Jakie działania podejmuje firma Keeper Security w związku z GDPR?

Współpracowaliśmy z TrustArc, globalnym liderem w zakresie zachowania zgodności z przepisami o ochronie prywatności, w celu zidentyfikowania zmian w naszych procesach biznesowych, praktykach w zakresie prywatności oraz produktach, które są niezbędne do zachowania zgodności z rozporządzeniem GDPR.

Jesteśmy firmą oferująca rozwiązania w zakresie bezpieczeństwa oparte na szyfrowaniu „zero-knowledge", tak więc zapisy rozporządzenia GDPR odnoszą się do oferowanych przez nas produktów i usług. Zachowanie zgodności z międzynarodowymi przepisami i ochrona prywatności naszych klientów to kwestie, które są dla nas bardzo ważne.

Czym jest szyfrowanie „Zero Knowledge”?

Keeper zapewnia rozwiązania w zakresie bezpieczeństwa oparte na szyfrowaniu „zero-knowledge". Użytkownik Keeper to jedyna osoba, która ma pełną kontrolę nad procesem szyfrowania i odszyfrowywania swoich danych. W przypadku aplikacji Keeper szyfrowanie i odszyfrowywanie ma miejsce wyłącznie na urządzeniu użytkownika po zalogowaniu do sejfu. Każdy wpis przechowywany w sejfie użytkownika jest szyfrowany za pomocą 256-bitowego klucza AES generowanego losowo na urządzeniu. Klucze wpisów są chronione przy użyciu dodatkowego klucza, zwanego kluczem danych. W przypadku użytkowników logujących się przez hasło główne, jest on szyfrowany za pomocą klucza pozyskiwanego na urządzeniu z hasła głównego użytkownika przy użyciu PBKDF2 z 1 000 000 iteracji. W przypadku użytkowników korzystających z logowania SSO klucz danych jest szyfrowany przez klucz prywatny Elliptic Curve. Dane przechowywane na urządzeniu użytkownika są też szyfrowane przy użyciu innego 256-bitowego klucza, zwanego kluczem klienta. Bezpieczna synchronizacja wpisów pomiędzy urządzeniami użytkownika jest szyfrowana na poziomie sieci i przekierowywana przez Cloud Security Vault aplikacji Keeper. Ten model wielopoziomowego szyfrowania zapewnia najbardziej zaawansowaną ochronę danych dostępną na rynku.

Jakie zmiany zostały wprowadzone w Keeper Security, aby zapewnić zgodność z RODO?

Keeper to platforma stosująca szyfrowanie „zero-knowledge", tak więc informacje na niej przechowywane są w pełni szyfrowane i dostępne wyłącznie dla użytkownika. W celu zapewnienia anonimowości naszych klientów wprowadziliśmy zmiany w naszym systemie analiz. Dodatkowo wprowadzone zostały zmiany, aby umożliwić Ci kontrolowanie udzielanych zgód określających, w jaki sposób gromadzone na Twój temat dane osobowe mogą być wykorzystywane i przechowywane.

Czy Keeper jest podmiotem przetwarzającym dane czy administratorem danych?

Rozporządzenie GDPR określa dwa podmioty, które mogą przetwarzać dane osobowe. Administrator danych decyduje, które dane gromadzić i w jakim zakresie je przetwarzać. Podmiot przetwarzający dane osobowe działa według wskazówek administratora danych i gromadzi, przechowuje, pobiera i/lub usuwa dane osobowe. Keeper Security występuje w roli administratora danych, gdy sprzedaje menedżer haseł klientom bezpośrednio. W roli podmiotu przetwarzającego dane występujemy, gdy sprzedajemy produkty firmom, które będą postrzegane jako administratorzy danych.

W jaki sposób mogę eksportować moje dane osobowe?

Aby wyeksportować swoje dane, zaloguj się do sejfu internetowego Keeper: https://keepersecurity.com/vault i wybierz opcje: Więcej >> Kopia zapasowa >> Eksport. Możesz pobrać przechowywane przez nas Twoje dane osobowe w formacie CSV lub PDF. Jeśli Twoje konto wygasło, skontaktuj się z nami pod adresem: exportme@keepersecurity.com, a nasz zespół ds. obsługi klienta pomoże Ci uzyskać dostęp do Twojego sejfu.

W jaki sposób mogę zażądać usunięcia moich danych?

Wyślij wiadomość e-mail na adres: deleteme@keepersecurity.com i podaj adres e-mail powiązany z kontem Keeper.

Gdzie przechowywane są moje dane?

Keeper operates data centers in multiple regions throughout the world with Amazon AWS. Enterprise customers may elect to establish their Keeper tenant in any supported primary region including: United States (US), United States GovCloud (US_GOV), Europe (EU), Australia (AU), Canada (CA) and Japan (JP). Customer data and access to the platform are isolated to that specific region. From each primary region, Keeper utilizes multi-zone and multi-region replication to ensure high availability. In the United States commercial region, Keeper utilizes East and West locations. In the US GovCloud data center, Keeper utilizes East and West locations. In Europe, Keeper utilizes Ireland and Frankfurt locations. In Australia, Keeper utilizes Canada as a DR region. In Canada, data is replicated within the country. In Japan, the primary region is Tokyo and replicated to Osaka. Individual consumer users who sign up through the Keeper Web Vault, desktop app or mobile apps may select the desired data center location on the account creation screen.

W jaki sposób mogę przenieść swoje dane z centrum danych w USA do centrum danych w UE?

Skontaktuj się z nami, wysyłając wiadomość na adres: exportme@keepersecurity.com, aby uzyskać instrukcje i pomoc w przeniesieniu danych.

W jaki sposób firma Keeper Security pomaga w zachowaniu zgodności z rozporządzeniem GDPR?

Architektura „zero-knowledge" i bezpieczeństwo: Menedżer haseł Keeper został stworzony w oparciu o naszą podstawową zasadę, że użytkownik indywidualny jest jedyną osobą, która może uzyskać dostęp do swoich danych. Jest to całkowicie zgodne z zasadami rozporządzenia GDPR i jego wymogami w zakresie ochrony danych. Szyfrowanie odbywa się w pełni na urządzeniach użytkowników. Przesyłane dane są szyfrowane przy wykorzystaniu standardu Transport Layer Security (TLS) i przechowywane w formie szyfrogramu zaszyfrowanego przy pomocy algorytmu AES-256. Dzięki odseparowaniu danych i kluczy szyfrujących żaden z pracowników Keeper nie ma dostępu do danych w sejfach naszych klientów. Zgodnie z artykułem 34, jeśli kiedykolwiek dojdzie do naruszenia bezpieczeństwa danych w sejfie Keeper, szyfrogram okaże się nieużyteczny dla hakerów. Dlatego nie będzie konieczne powiadamianie o tym klientów.

Oprócz standardowych testów i ocen bezpieczeństwa Keeper co roku uzyskuje certyfikat SOC 2 Typu 2 i ISO27001.

Keeper stosuje architekturę chmurową z wykorzystaniem usług Amazon AWS w różnych lokalizacjach geograficznych, aby zapewnić hostowanie i obsługę sejfu Keeper. Nieużywane, jak również przesyłane dane są oddzielone od siebie w wybranym przez klienta globalnym centrum danych. Oznacza to, że dane użytkowników z UE pozostają w UE. Zapewnia to użytkownikom najszybsze i najbezpieczniejsze przechowywanie danych w chmurze.

Brak dodatkowego przetwarzania: Keeper nie będzie nigdy wykorzystywać w żadnym celu danych klientów przechowywanych w sejfach. Nasza polityka na najwyższym szczeblu zakłada, że dbamy o prywatność naszych klientów. Dodatkowo, ze względy na stosowanie architektury „zero-knowledge" jest to technicznie niemożliwe. W ten sposób spełniamy zasady rozporządzenia GDPR zakładające, że zarówno polityka organizacyjna, jak i techniczna ma chronić dane osobowe.

Kontrola danych: Klienci mogą w dowolnej chwili eksportować swoje dane (w formacie CSV lub PDF) oraz modyfikować lub usuwać wpisy w swoim sejfie. Dzięki temu zostaje spełniony nałożony przez rozporządzenie GDPR wymóg umożliwienia przenoszenia i usuwania danych osobowych po zakończeniu ich zamierzonego użytkowania, gdy wycofana jest zgoda na ich przetwarzanie lub gdy ulega zmianie uzasadniony cel służbowy. Osoby, których dane dotyczą mogą same obsługiwać swój sejf Keeper, w związku z czym administrator danych jest w znacznym stopniu zwolniony z wykonywania działań w celu zachowania zgodności z rozporządzeniem GDPR. Dane są szyfrowane w taki sposób, aby dostęp do nich miały jedynie osoby, których dane dotyczą, tak więc pracownicy ich nie widzą i nie muszą mieć do nich dostępu.

Kontrola dostępu oparta na przydzielaniu ról: Zasada przydzielania jak najmniejszych uprawnień oznacza, że pracownicy powinni posiadać dostęp tylko do minimalnej ilości danych niezbędnych do wykonywania ich pracy. Stosowanie tej zasady jest możliwe dzięki kontroli dostępu opartej na przydzielaniu ról (RBAC).

Keeper zapewnia integrację z usługą Microsoft Active Directory (AD) w celu synchronizacji z węzłami (jednostki organizacyjne), zespołami i użytkownikami. Po połączeniu Keeper uaktywnia kontrolę dostępu dla poszczególnych węzłów opartą na przydzielaniu ról. W razie konieczności może ona uwzględniać wszystkie węzły niższego szczebla. Ta kontrola na poziomie sejfu Keeper uwzględnia takie aspekty, jak siła hasła głównego, czas rotacji, wymogi w zakresie logowania dwuskładnikowego, biała lista adresów IP. Keeper blokuje konta, które są zamknięte w AD. Można je przenosić do zaufanych administratorów. Daje to administratorom IT kontrolę nad danymi i aktywami w całej organizacji.

Podgląd administratorów i audyt: Keeper Enterprise zapewnia podgląd siły haseł stosowanych przez pracowników oraz stosowania przez nich uwierzytelniania dwuskładnikowego. Keeper prowadzi również dzienniki audytu z uwzględnieniem oznaczenia czasu i filtrów w celu umożliwienia szybkiego wyszukiwania anomalii, nieprawidłowych zachowań i działań przestępczych oraz raportowania w zakresie zachowania zgodności.

close
close
Polski (PL) Zadzwoń do nas