O que a Keeper Security está fazendo em relação ao GDPR?
Trabalhamos com a TrustArc, líder global em conformidade de privacidade, para identificar as mudanças em nossos processos comerciais, práticas de privacidade e produtos necessários para garantir que estejamos em conformidade com o GDPR.
Como empresa de segurança de conhecimento zero, o GDPR é bem alinhado com os produtos e serviços principais que fornecemos. A conformidade com as leis internacionais e com a proteção da privacidade de nossos clientes é muito importante para nós.
O que é Conhecimento Zero?
O Keeper é um provedor de segurança de conhecimento zero. O usuário do Keeper é a única pessoa que tem controle total sobre a criptografia e a descriptografia de seus dados. Com o Keeper, a criptografia e a descriptografia ocorrem apenas no dispositivo do usuário ao fazer login no cofre. Cada registro individual armazenado no cofre do usuário é criptografado com uma chave AES de 256 bits que é gerada aleatoriamente no dispositivo. As chaves dos registros são protegidas por uma chave adicional, chamada de Chave de Dados. Para os usuários que fazem login no Keeper com uma senha mestra, a Chave de Dados é criptografada por uma chave derivada no dispositivo da Senha Mestra do usuário, usando PBKDF2 com 1.000.000 de iterações. Para usuários que fazem login com SSO, a Chave de Dados é criptografada por uma chave privada de curva elíptica. Os dados armazenados em repouso no dispositivo do usuário também são criptografados por outra chave AES de 256 bits, chamada de Chave do Cliente. A sincronização segura de registros entre os dispositivos do usuário também é criptografada na camada de rede e roteada através do Cofre de segurança em nuvem do Keeper. Esse modelo de criptografia de várias camadas fornece a proteção de dados mais avançada disponível no setor.
Que mudanças o Keeper Security implementou para manter conformidade com GDPR?
Como plataforma de conhecimento zero, as informações armazenadas em nosso produto são totalmente criptografadas e disponíveis apenas para o usuário. Fizemos mudanças em nossos sistemas analíticos para garantir o anonimato para nossos clientes e para permitir que você controle seu consentimento sobre como os dados pessoais que podem ser coletados sobre você serão utilizados ou armazenados.
A Keeper é um processador de dados ou um controlador de dados?
O GDPR identifica duas entidades que podem processar dados pessoais. Um controlador de dados decide que dados coletar e que processamento é feito de dados pessoais. Um processador de dados age na direção de um controlador de dados para coletar, armazenar, recuperar e/ou excluir dados pessoais. A Keeper Security é um controlador de dados quando vendemos nosso gerenciador de senhas diretamente aos clientes. Somos um processador de dados quando vendemos para negócios, que, por sua vez, seriam considerados os controladores de dados.
Como exporto meus dados pessoais?
Para exportar seus dados, faça login no Cofre Web do Keeper em https://keepersecurity.com/vault e clique em "Mais >> Backup >> Exportar". Você pode baixar as informações armazenadas em formato CSV ou PDF., Se sua conta estiver expirada, entre em contato com exportme@keepersecurity.com e nossa equipe de suporte o ajudará no acesso ao cofre.
Como solicito a exclusão dos meus dados?
Envie um e-mail para deleteme@keepersecurity.com e forneça o endereço de e-mail associado com sua conta do Keeper.
Onde meus dados são armazenados?
Keeper operates data centers in multiple regions throughout the world with Amazon AWS. Enterprise customers may elect to establish their Keeper tenant in any supported primary region including: United States (US), United States GovCloud (US_GOV), Europe (EU), Australia (AU), Canada (CA) and Japan (JP). Customer data and access to the platform are isolated to that specific region. From each primary region, Keeper utilizes multi-zone and multi-region replication to ensure high availability. In the United States commercial region, Keeper utilizes East and West locations. In the US GovCloud data center, Keeper utilizes East and West locations. In Europe, Keeper utilizes Ireland and Frankfurt locations. In Australia, Keeper utilizes Canada as a DR region. In Canada, data is replicated within the country. In Japan, the primary region is Tokyo and replicated to Osaka. Individual consumer users who sign up through the Keeper Web Vault, desktop app or mobile apps may select the desired data center location on the account creation screen.
Como transfiro meus dados do centro de dados dos EUA para o centro de dados da UE?
Entre em contato com exportme@keepersecurity.com para obter instruções e assistência para a transferência dos dados.
Como a Keeper Security ajuda na nossa conformidade com o GDPR?
Segurança e arquitetura de conhecimento zero: O gerenciador de senhas da Keeper foi criado do zero com a ideia de que o usuário individual é a única pessoa que pode acessar seus dados. Isso está em alinhamento perfeito com os princípios e os requisitos de proteção de dados do GDPR. Toda a criptografia é feita nos dispositivos do indivíduo. Os dados são criptografados em trânsito com Transport Layer Security (TLS) e armazenados em texto cifrado com criptografia AES de 256 bits. Ao separar os dados e as chaves de criptografia, nenhum funcionário da Keeper pode acessar os dados do cofre do cliente. De acordo com o Artigo 34, se os dados do cofre do Keeper fossem violados, o texto cifrado seria inútil para os atacantes e, portanto, nenhuma notificação seria necessária.
Além das avaliações e testes regulares de segurança, o Keeper tem certificação SOC 2 Tipo 2 e certificação ISO27001 anual.
O Keeper usa a infraestrutura de nuvem reforçada Amazon AWS em várias localizações geográficas para hospedar e operar o Cofre do Keeper. Os dados em repouso e em trânsito são totalmente isolados em um centro de dados global preferencial do cliente. Em outras palavras, dados da UE permanecem na UE. Isso oferece aos clientes o armazenamento em nuvem mais rápido e seguro.
Nenhum processamento adicional: O Keeper nunca minerará dados do cofre do cliente para nenhuma finalidade. Em primeiro lugar, é uma questão de política nos níveis mais altos do Keeper de termos o compromisso com a privacidade dos clientes. Em segundo lugar, devido à nossa arquitetura de conhecimento zero, é tecnicamente impossível fazermos isso. Isso segue os princípios do GDPR de políticas organizacionais e técnicas para proteger dados pessoais.
Controle de dados: Os clientes podem exportar seus dados (em formato csv), modificar ou excluir os registros do cofre a qualquer momento. Isso possibilita os requisitos do GDPR de que dados pessoais possam ser transferidos ou excluídos assim que o uso desejado é concluído, o consentimento é retirado ou a finalidade comercial legítima muda. Como os sujeitos de dados podem cuidar de seus cofres do Keeper, o controlador de dados não tem um fardo significativo em relação à conformidade com o GDPR. Os dados são criptografados de forma que apenas o sujeito de dados pode acessá-los, portanto, nenhum funcionário poderá vê-los, muito menos ter a necessidade de acessá-los.
Controle de acesso com base em função: O conceito de segurança de menor privilégio significa que os funcionários só devem ter acesso à quantidade mínima de dados de que precisam para fazer o seu trabalho. Isso é frequentemente conseguido com o controle de acesso com base em função (RBAC).
O Keeper se integra com o Microsoft Active Directory (AD) para sincronizar com nós (unidades organizacionais), equipes e usuários. Depois de conectado, o Keeper ativa o controle de acesso com base em qualquer nó. Esses controles podem ser cascateados para todos os nós inferiores, se desejado. Esses controles nos cofres do Keeper incluem complexidade da senha mestre, tempo de rotação, requisitos de autenticação de dois fatores, lista branca de IPs e muito mais. O Keeper bloqueia contas que são encerradas no AD e aquelas contas podem ser transferidas para administradores confiáveis. Isso dá aos administradores de TI controle sobre contas de dados e ativos em toda a organização.
Auditoria e percepção dos administradores: O Keeper Enterprise fornece percepção sobre a complexidade das senhas dos funcionários, a reutilização e o uso da autenticação de dois fatores. O Keeper fornece registros de auditoria complexos, com marcações de data e hora e filtros para possibilitar pesquisas rápidas de anomalias, comportamentos ruins, relatórios forenses ou de conformidade.
