Keeper является платформой с нулевым уровнем разглашения данных, содействующей соблюдению GDPR

Ключевые моменты, касающиеся соблюдения требований GDPR

Наше обязательство

Keeper берет на себя обязательство вносить изменения и улучшения в свои бизнес-процессы и продукты, чтобы быть готовыми к GDPR к 25 мая 2018 г.

Веб-клиент Keeper, приложение для Android, приложение для Windows Phone, приложение для iPhone/iPad и браузерные расширения сертифицированы в соответствии с рамочным соглашением о конфиденциальности данных между ЕС и США («DPF ЕС-США»), британским расширением DPF ЕС-США и рамочным соглашением о конфиденциальности данных между Швейцарией и США («DPF Швейцария-США»), как указано в Министерство торговли США. Keeper соответствует требованиям SOC 2 Type 2 в соответствии с концепцией AICPA. Keeper также имеет сертификат ISO27001.

Расширенные права физических лиц

GDPR предоставляет расширенные права физическим лицам в Европейском Союзе, предоставляя им, среди прочего, право на забвение и право на запрос копии любых персональных данных, хранящихся в отношении них. Эти данные должны находиться в общем машиночитаемом формате, и контроллер данных не должен вмешиваться в передачу данных.

Обязательства по соответствию

GDPR обязывает организации вводить должные политики и протоколы безопасности, проводить оценки воздействия на конфиденциальность, сохранять подробные данные об активностях, связанных с данными, и вступать в письменные соглашения с вендорами.

Повышенная ответственность

В рамках GDPR соответствующие органы могут штрафовать организации на сумму до 20 млн евро или 4% от годового дохода компании (в зависимости от того, какая сумма выше), основываясь на серьезности утечки данных и нанесенного ущерба. Кроме того, GDPR накладывает дополнительное обязательство на организации, действующие в нескольких странах-членах ЕС, требуя, чтобы эти организации работали с ведущим органом по надзору по вопросам, связанным с защитой зарубежных данных.

Новые требования по профилированию и мониторингу

GDPR накладывает дополнительные обязательства на организации, вовлеченные в профилирование или мониторинг поведения физических лиц ЕС. Положения GDPR применяются глобально к любой организации, обрабатывающей персональные данные физических лиц в Европейском Союзе, включая слежение за их онлайн-активностью, независимо от того, имеет ли организация физическое присутствие в ЕС.

Уведомление об утечке данных и безопасность

GDPR обязывает организации сообщать об определенных утечках данных в органы по надзору за соблюдением законодательства о защите персональных данных и, при определенных обстоятельствах, затронутым субъектам данных.

Соглашение с Keeper об обработке данных

Корпоративным клиентам может потребоваться подписать соглашение об обработке данных (DPA) с Keeper Security, чтобы помочь им в соблюдении GDPR. Запросите соглашение DPA у своего представителя Keeper Security или свяжитесь с нами по адресу https://keepersecurity.com/support.

Загрузить Соглашение об обработке данных

Вопросы и ответы

Что делает Keeper Security в отношении GDPR?

Мы сотрудничали с TrustArc, мировым лидером по вопросам соблюдения конфиденциальности, чтобы определить необходимые изменения в наших бизнес-процессах, практиках обеспечения конфиденциальности и продуктах, с целью обеспечения соответствия требованиям GDPR.

Поскольку мы используем архитектуру безопасности с нулевым уровнем разглашения данных, наши основные продукты и услуги выверены в соответствии с положениями GDPR. Соблюдение международных законов и защита конфиденциальности наших клиентов очень важны для нас.

Что такое нулевой уровень разглашения данных?

Keeper — поставщик услуг безопасности с нулевым разглашением информации. Только пользователь Keeper имеет полный контроль над шифрованием и дешифрованием своих данных. В Keeper шифрование и дешифрование происходит только на устройстве пользователя при входе в хранилище. Каждая отдельная запись, хранящаяся в хранилище пользователя, зашифрована 256-битным ключом AES, который генерируется на устройстве случайным образом. Ключи записей защищены дополнительным ключом, называемым ключом данных. Для пользователей, входящих в Keeper с мастер-паролем, ключ данных шифруется ключом, полученным на устройстве из мастер-пароля пользователя, с использованием PBKDF2 с 1 000 000 итераций. Для пользователей, входящих с помощью единого входа, ключ данных шифруется закрытым ключом эллиптической криптографии. Данные, хранящиеся на устройстве пользователя, также шифруются другим 256-битным ключом AES, называемым ключом клиента. Данные, передаваемые при синхронизации записей между устройствами пользователя, также шифруются на сетевом уровне и передаются через Keeper Cloud Security Vault. Эта многоуровневая модель шифрования обеспечивает самую передовую защиту данных в отрасли.

Какие изменения внесла Keeper Security для соблюдения GDPR?

Поскольку наша платформа имеет нулевой уровень разглашения данных, хранящаяся в нашем продукте информация полностью шифруется и доступна только пользователю. Мы внесли изменения в наши аналитические системы с целью обеспечения анонимности наших клиентов, и мы внесли изменения, позволяющее вам контролировать свое согласие с тем, как могут использоваться или храниться любые персональные данные, которые могут быть собраны у вас.

Является ли Keeper обработчиком данных или контроллером данных?

GDPR определяет два субъекта, которые могут обрабатывать персональные данные. Контроллер данных определяет, какие данные собирать и какую обработку персональных данных проводить. Обработчик данных действует по указанию контроллера данных в целях сбора, хранения, извлечения и/или удаления персональных данных. Компания Keeper Security является контроллером данных, когда продает свой менеджер паролей непосредственно клиентам. Мы являемся обработчиком данных, когда продаем организациям, которые в свою очередь рассматриваются как контроллеры данных.

Как экспортировать свои персональные данные?

Чтобы экспортировать свои данные, войдите в веб-хранилище Keeper по адресу https://keepersecurity.com/vault и нажмите "Больше >> Резервное копирование >> Экспорт". Вы можете загрузить хранящуюся о вас информацию в формате CSV или PDF. Если срок действия вашей учетной записи истек, обратитесь к нам по адресу exportme@keepersecurity.com, и наша группа поддержки поможет вам с доступом к вашему хранилищу.

Как сделать запрос на удаление своих персональных данных?

Отправьте письмо на адрес deleteme@keepersecurity.com и сообщите адрес электронной почты, связанный с вашей учетной записью Keeper.

Где хранятся мои данные?

Keeper operates data centers in multiple regions throughout the world with Amazon AWS. Enterprise customers may elect to establish their Keeper tenant in any supported primary region including: United States (US), United States GovCloud (US_GOV), Europe (EU), Australia (AU), Canada (CA) and Japan (JP). Customer data and access to the platform are isolated to that specific region. From each primary region, Keeper utilizes multi-zone and multi-region replication to ensure high availability. In the United States commercial region, Keeper utilizes East and West locations. In the US GovCloud data center, Keeper utilizes East and West locations. In Europe, Keeper utilizes Ireland and Frankfurt locations. In Australia, Keeper utilizes Canada as a DR region. In Canada, data is replicated within the country. In Japan, the primary region is Tokyo and replicated to Osaka. Individual consumer users who sign up through the Keeper Web Vault, desktop app or mobile apps may select the desired data center location on the account creation screen.

Как перенести свои данные из центра обработки данных в США в центр обработки данных в Европе?

Обратитесь по адресу exportme@keepersecurity.com для получения инструкций и помощи в связи с этим переносом данных.

Как Keeper Security помогает нам соответствовать требованиям GDPR?

Архитектура с нулевым уровнем разглашения данных и безопасность: Менеджер паролей Keeper изначально создан "с нуля" на основе той идеи, что только сам пользователь может иметь доступ к своим данным. Этот подход идеально согласуется с принципами и требованиями GDPR по защите данных. Все шифрование выполняется на устройствах пользователя. Передаваемые данные шифруются с помощью протокола Transport Layer Security (TLS) и хранятся в виде текста, зашифрованного с помощью AES‌-256. Благодаря разделению данных и ключей шифрования ни один сотрудник Keeper никогда не может получить доступ к данным из хранилища пользователя. Что касается Статьи 34, если когда-либо произойдет утечка данных из хранилища Keeper, зашифрованный текст будет бесполезен для хакеров, так что никакое уведомление не потребуется.

Помимо регулярных проверок и тестов, Keeper ежегодно сертифицируется на соответствие стандартам ISO27001 и SOC 2, тип 2.

Keeper использует облачную инфраструктуру Amazon AWS в нескольких географических местах для хостинга и работы хранилища Keeper. Хранимые и передаваемые данные полностью изолируются в предпочитаемом пользователем центре обработки данных. Другими словами, данные из ЕС остаются в ЕС. Это обеспечивает пользователей самым быстрым и самым безопасным облачным хранилищем.

Никакой дополнительной обработки: Keeper никогда не извлекает данные из хранилищ пользователей по любой причине. Во-первых, Keeper строго соблюдает конфиденциальность данных пользователей. Во-вторых, это просто технически невозможно благодаря нашей архитектуре с нулевым уровнем разглашения данных. Это соответствует принципам GDPR по части как организационной, так и технической политики защиты персональных данных.

Контроль над данными: Пользователи могут экспортировать свои данные (в формат csv), изменять или удалять записи в своем хранилище в любое время. Это соответствует требованиям GDPR в том, что персональные данные могут передаваться или удаляться, как только закончено их использование по назначению, отозвано согласие или изменена законная бизнес-цель. Поскольку субъекты данных могут самостоятельно обслуживать свои хранилища Keeper, контроллер данных освобожден от значительного бремени по части соблюдения GDPR. Данные шифруются таким образом, что только субъект данных может получать к ним доступ, так что никакие сотрудники не смогут даже увидеть их.

Контроль доступа на основе ролей: Концепция наименьшего уровня полномочий означает, что сотрудники должны иметь доступ только к минимальному объему данных, необходимому для выполнения их работы. Чаще всего эта концепция реализуется с помощью контроля доступа на основе ролей.

Keeper интегрируется с Microsoft Active Directory (AD) в целях синхронизации с узлами (организационными единицами), командами и пользователями. После подключения Keeper дает возможность осуществлять контроль доступа на основе ролей на любом узле. При желании этот контроль может быть распространен на все узлы, расположенные ниже. Контроль над использованием хранилищ Keeper включает в себя надежность мастер-пароля, время ротации, требования двухфакторной аутентификации, ведение списков разрешенных IP и не только. Keeper блокирует учетные записи, срок действия которых прекращен в AD, и эти учетные записи могут быть переданы доверенным администраторам. Это дает ИТ-администраторам контроль над учетными данными и активами по всей организации.

Административный анализ и аудит: Keeper Enterprise дает возможность получать сведения о надежности паролей сотрудников, повторном использовании ими своих паролей и использования второго фактора аутентификации. Keeper предоставляет журналы аудита с штампами времени и фильтрами для быстрого поиска аномалий, недолжного поведения, криминалистической экспертизы или отчетности по соответствии требованиям.