Что делает Keeper Security в отношении GDPR?
Мы сотрудничали с TrustArc, мировым лидером по вопросам соблюдения конфиденциальности, чтобы определить необходимые изменения в наших бизнес-процессах, практиках обеспечения конфиденциальности и продуктах, с целью обеспечения соответствия требованиям GDPR.
Поскольку мы используем архитектуру безопасности с нулевым уровнем разглашения данных, наши основные продукты и услуги выверены в соответствии с положениями GDPR. Соблюдение международных законов и защита конфиденциальности наших клиентов очень важны для нас.
Что такое нулевой уровень разглашения данных?
Keeper является поставщиком решений с нулевым уровнем разглашения данных. Только пользователь Keeper имеет полный контроль над шифрованием и дешифрованием своих данных. В Keeper шифрование и дешифрование происходит только на устройстве пользователя при его входе в хранилище. Каждая отдельная запись, хранящаяся в хранилище Keeper, шифруется с помощью 256-разрядного ключа AES, случайно генерируемого на устройстве. Ключи записей шифруются производным ключом, полученном на устройстве из мастер-пароля. Данные на устройстве пользователя также шифруются с помощью другого ключа, называемого клиентским ключом. Безопасная синхронизация данных между устройствами пользователя также шифруется на сетевом уровне и осуществляется посредством Keeper's Cloud Security Vault. Эта модель многоуровневого шифрования обеспечивает самую надежную защиту данных.
Какие изменения вносит Keeper Security в целях соответствия требованиям GDPR?
Поскольку наша платформа имеет нулевой уровень разглашения данных, хранящаяся в нашем продукте информация полностью шифруется и доступна только пользователю. Мы внесли изменения в наши аналитические системы с целью обеспечения анонимности наших клиентов, и мы внесли изменения, позволяющее вам контролировать свое согласие с тем, как могут использоваться или храниться любые персональные данные, которые могут быть собраны у вас.
Является ли Keeper обработчиком данных или контроллером данных?
GDPR определяет два субъекта, которые могут обрабатывать персональные данные. Контроллер данных определяет, какие данные собирать и какую обработку персональных данных проводить. Обработчик данных действует по указанию контроллера данных в целях сбора, хранения, извлечения и/или удаления персональных данных. Компания Keeper Security является контроллером данных, когда продает свой менеджер паролей непосредственно клиентам. Мы являемся обработчиком данных, когда продаем организациям, которые в свою очередь рассматриваются как контроллеры данных.
Как экспортировать свои персональные данные?
Чтобы экспортировать свои данные, войдите в веб-хранилище Keeper по адресу https://keepersecurity.com/vault и нажмите "Больше >> Резервное копирование >> Экспорт". Вы можете загрузить хранящуюся о вас информацию в формате CSV или PDF. Если срок действия вашей учетной записи истек, обратитесь к нам по адресу support@keepersecurity.com, и наша группа поддержки поможет вам с доступом к вашему хранилищу.
Как сделать запрос на удаление своих персональных данных?
Отправьте письмо на адрес support@keepersecurity.com и сообщите адрес электронной почты, связанный с вашей учетной записью Keeper.
Где хранятся мои данные?
Keeper имеет центры обработки данных в нескольких регионах США и Ирландии. Бизнес-клиенты могут выбирать, где будет базироваться их решение Keeper: в центре обработке данных в США или в Европе. Частные пользователи, зарегистрировавшиеся через веб-хранилище Keeper в США (https://keepersecurity.com/vault), мобильные или настольные приложения, будут по умолчанию приписаны к центру обработки данных в США. Информация пользователей, зарегистрировавшихся непосредственно в европейском веб-хранилище (https://keepersecurity.eu/vault), будет храниться в центре обработке данных в Европе.
Как перенести свои данные из центра обработки данных в США в центр обработки данных в Европе?
Обратитесь по адресу support@keepersecurity.com для получения инструкций и помощи в связи с этим переносом данных.
Как Keeper Security помогает нам соответствовать требованиям GDPR?
Архитектура с нулевым уровнем разглашения данных и безопасность: Менеджер паролей Keeper изначально создан "с нуля" на основе той идеи, что только сам пользователь может иметь доступ к своим данным. Этот подход идеально согласуется с принципами и требованиями GDPR по защите данных. Все шифрование выполняется на устройствах пользователя. Передаваемые данные шифруются с помощью протокола Transport Layer Security (TLS) и хранятся в виде текста, зашифрованного с помощью AES-256. Благодаря разделению данных и ключей шифрования ни один сотрудник Keeper никогда не может получить доступ к данным из хранилища пользователя. Что касается Статьи 34, если когда-либо произойдет утечка данных из хранилища Keeper, зашифрованный текст будет бесполезен для хакеров, так что никакое уведомление не потребуется.
Помимо регулярных проверок и тестов, Keeper ежегодно сертифицируется на соответствие стандартам ISO27001 и SOC 2, тип 2.
Keeper использует облачную инфраструктуру Amazon AWS в нескольких географических местах для хостинга и работы хранилища Keeper. Хранимые и передаваемые данные полностью изолируются в предпочитаемом пользователем центре обработки данных. Другими словами, данные из ЕС остаются в ЕС. Это обеспечивает пользователей самым быстрым и самым безопасным облачным хранилищем.
Никакой дополнительной обработки: Keeper никогда не извлекает данные из хранилищ пользователей по любой причине. Во-первых, Keeper строго соблюдает конфиденциальность данных пользователей. Во-вторых, это просто технически невозможно благодаря нашей архитектуре с нулевым уровнем разглашения данных. Это соответствует принципам GDPR по части как организационной, так и технической политики защиты персональных данных.
Контроль над данными: Пользователи могут экспортировать свои данные (в формат csv), изменять или удалять записи в своем хранилище в любое время. Это соответствует требованиям GDPR в том, что персональные данные могут передаваться или удаляться, как только закончено их использование по назначению, отозвано согласие или изменена законная бизнес-цель. Поскольку субъекты данных могут самостоятельно обслуживать свои хранилища Keeper, контроллер данных освобожден от значительного бремени по части соблюдения GDPR. Данные шифруются таким образом, что только субъект данных может получать к ним доступ, так что никакие сотрудники не смогут даже увидеть их.
Контроль доступа на основе ролей: Концепция наименьшего уровня полномочий означает, что сотрудники должны иметь доступ только к минимальному объему данных, необходимому для выполнения их работы. Чаще всего эта концепция реализуется с помощью контроля доступа на основе ролей.
Keeper интегрируется с Microsoft Active Directory (AD) в целях синхронизации с узлами (организационными единицами), командами и пользователями. После подключения Keeper дает возможность осуществлять контроль доступа на основе ролей на любом узле. При желании этот контроль может быть распространен на все узлы, расположенные ниже. Контроль над использованием хранилищ Keeper включает в себя надежность мастер-пароля, время ротации, требования двухфакторной аутентификации, ведение списков разрешенных IP и не только. Keeper блокирует учетные записи, срок действия которых прекращен в AD, и эти учетные записи могут быть переданы доверенным администраторам. Это дает ИТ-администраторам контроль над учетными данными и активами по всей организации.
Административный анализ и аудит: Keeper Enterprise дает возможность получать сведения о надежности паролей сотрудников, повторном использовании ими своих паролей и использования второго фактора аутентификации. Keeper предоставляет журналы аудита с штампами времени и фильтрами для быстрого поиска аномалий, недолжного поведения, криминалистической экспертизы или отчетности по соответствии требованиям.