Pesquisa de site

Atender aos requisitos de risco de terceiros do GDPR em 2023

O Regulamento Geral de Proteção de Dados (GDPR) é uma das leis de proteção de privacidade de dados mais rigorosas do mundo. Embora a União Europeia (UE) tenha projetado o GDPR para proteger os cidadãos europeus, sua conformidade transcende as fronteiras europeias, impactando a maioria das empresas que coletam dados pessoais por meio de seus sites - porque você não pode controlar se um cidadão europeu acessa seu site.

Os fornecedores terceirizados geralmente exigem acesso a dados pessoais confidenciais para fornecer seus serviços. Os cibercriminosos sabem disso e desenvolveram uma categoria distinta de ataques cibernéticos que exploram esse caminho de dados confidenciais - ataques à cadeia de suprimentos. Esse relacionamento com terceiros significa que padrões inferiores de segurança cibernética em sua rede de terceiros podem afetar negativamente sua conformidade com o GDPR. Para complementar os esforços de mitigação de risco do GDPR, a Autoridade de Regulamentação Prudencial descreve seus padrões de gerenciamento de risco de terceiros na Declaração de Supervisão SS2/21.

O GDPR descreve uma abordagem unilateral para a mitigação de riscos de terceiros, esperando que as entidades descubram e mitiguem os riscos de segurança da informação tanto internamente quanto em toda a rede de terceiros. Essas medidas de segurança podem ser resumidas em uma estrutura de conformidade apoiada por quatro pilares principais:

  • Pilar 1: Avaliações de risco - Avaliar os padrões de privacidade de dados de todos os provedores de serviços com acesso a dados pessoais.
  • Pilar 2: Coleta de evidências de conformidade - Documentando evidências de controle de segurança do GDPR demonstrando conformidade.
  • Pilar 3: Monitoramento contínuo - Para todas as formas de riscos de segurança de terceiros.
  • Pilar 4: Recursos de trilha de auditoria - O mapeamento do fluxo de informações em todo o ecossistema do fornecedor.

Para obter mais detalhes sobre os requisitos de conformidade de todos os considerandos e artigos específicos do GDPR relativos ao Gerenciamento de Riscos de Terceiros (TPRM), continue lendo.

Atender a todos os requisitos do GDPR relacionados ao gerenciamento de riscos de terceiros (e gerenciamento de riscos do fornecedor)

Os padrões de due diligence de vulnerabilidade de segurança de terceiros descritos pelo GDPR podem ser mapeados para um programa de Gerenciamento de Riscos de Terceiros e um programa de Gerenciamento de Riscos de Fornecedores. A diferença entre os dois é que um programa de TPRM inclui controles de segurança para todas as formas de riscos de terceiros, incluindo riscos financeiros e de reputação, enquanto um programa VRM se concentra explicitamente na mitigação de riscos de segurança para fornecedores de terceiros e até de terceiros.

Saiba mais sobre o > de gerenciamento de riscos de fornecedores

Saiba mais sobre o Gerenciamento de Riscos de Terceiros >

Qual é a diferença entre um artigo GDPR e um considerando?

O GDPR é um documento legal, e lê-lo pode ser complicado se você tiver pouca ou nenhuma experiência com esses documentos.

Aqui está uma explicação rápida da estrutura do GDPR para facilitar o entendimento do documento:

O GDPR é composto por dois componentes - artigos e considerandos. Os artigos descrevem os requisitos legais do GDPR que as entidades devem seguir para alcançar a conformidade. Os considerandos oferecem informações de apoio, explicando quais ações devem ser tomadas para atender aos requisitos de cada artigo.

Artigo 24 do GDPR: Responsabilidade do Controlador

O primeiro parágrafo do artigo 24.º tem a seguinte redacção:

Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento deve aplicar medidas técnicas e organizativas adequadas para assegurar e demonstrar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas devem ser revistas e atualizadas sempre que necessário.

O artigo 24.º corresponde a quatro considerandos:

  • Considerando 74 - Responsabilidade e Responsabilidade do Controlador.
  • Considerando 75 - Riscos para os Direitos e Liberdades das Pessoas Singulares.
  • Considerando 76 - Avaliação dos riscos.
  • Considerando 77 - Orientações para a avaliação dos riscos

Saiba mais sobre processadores de dados, controladores de dados e responsáveis pela proteção de dados >

Atender aos requisitos de risco de terceiros do Artigo 24 do GDPR

Certifique-se de que cada terceiro usado como processador de dados tenha os controles de segurança apropriados para proteger os dados pessoais.

Saiba como comunicar o risco de terceiros ao Conselho >

O UpGuard oferece um questionário de segurança GDPR para avaliar os esforços de controle de segurança de todos os serviços de terceiros. Para avaliações altamente direcionadas de controles de segurança específicos ou atividades de processamento de dados, o UpGuard oferece um criador de questionários para clientes. Os questionários personalizados podem ser criados a partir de uma tela em branco ou criados editando um modelo existente.

Saiba mais sobre o criador de questionários personalizados do UpGuard >

Artigo 25 do GDPR: Proteção de dados desde a concepção e por padrão

O primeiro parágrafo do artigo 25.º tem a seguinte redacção:

Tendo em conta o estado da técnica, o custo de implementação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas singulares decorrentes do tratamento, o responsável pelo tratamento deve, tanto no momento da determinação dos meios de tratamento como no momento do próprio tratamento, Implementar medidas técnicas e organizacionais adequadas, como a pseudonimização, que são projetadas para implementar princípios de proteção de dados, como a minimização de dados, de maneira eficaz e integrar as salvaguardas necessárias no processamento, a fim de atender aos requisitos deste Regulamento e proteger os direitos dos titulares dos dados.

O artigo 24.º atribui a um considerando:

  • Considerando 78 - Medidas Técnicas e Organizacionais Apropriadas

Atender aos requisitos de risco de terceiros do Artigo 25 do GDPR

A criação de trilhas de auditoria de transferência de informações que se estendem à rede de fornecedores terceirizados revelará possíveis problemas de exposição e portabilidade de dados que impedem o requisito de minimização do artigo 25.

Também ajuda a auditar práticas de segurança cibernética "integradas" e "complementares". As descobertas de tais relatórios revelarão deficiências de conformidade de terceiros de alto risco no programa de segurança de cada fornecedor.

A solução de monitoramento de superfície de ataque da UpGuard pode ajudá-lo a identificar riscos de segurança que se estendem à rede de fornecedores terceirizados.

Obtenha uma avaliação gratuita de 7 dias do UpGuard >

Artigo 28 do GDPR: Processador

>

O primeiro parágrafo do artigo 28.º tem a seguinte redacção:

Quando o tratamento for efetuado por conta de um responsável pelo tratamento, o responsável pelo tratamento recorrerá apenas a subcontratantes que ofereçam garantias suficientes para aplicar medidas técnicas e organizativas adequadas, de modo a que o tratamento cumpra os requisitos do presente regulamento e assegure a proteção dos direitos do titular dos dados.

O artigo 28.º atribui um considerando a um considerando:

  • Considerando 81 - Utilização de transformadores

O UpGuard monitora continuamente a superfície de ataque de terceiros para descobrir vulnerabilidades que podem levar a incidentes de segurança e violações de dados. O recurso de avaliação de risco UpGuard também pode mapear respostas a padrões regulatórios populares, como o GDPR, para ajudá-lo a descobrir possíveis medidas técnicas e organizacionais que não atendem aos padrões estipulados em seu contrato de processamento de dados.

Conheça as principais soluções de gerenciamento de riscos de terceiros do mercado >

Artigo 32 do GDPR: Segurança do processamento

O primeiro parágrafo do artigo 32.º tem a seguinte redacção:

- A pseudonimização e encriptação de dados pessoais;

- A capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento;

- A capacidade de restaurar a disponibilidade e o acesso aos dados pessoais prontamente no caso de um incidente físico ou técnico;

- Um processo para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento.

O artigo 32.º atribui seis considerandos:

  • Considerando 75 - Riscos para os Direitos e Liberdades das Pessoas Singulares.
  • Considerando 76 - Avaliação dos riscos.
  • Considerando 77 - Orientações para a avaliação dos riscos
  • Considerando 78 - Medidas Técnicas e Organizacionais Apropriadas
  • Considerando 79 - Repartição das responsabilidades
  • Considerando 83 - Segurança do Processamento

Atender aos requisitos de risco de terceiros do Artigo 32 do GDPR

A confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento para fornecedores são melhor determinadas por meio de uma combinação de avaliações de risco e classificações de segurança.

As classificações de segurança avaliam a postura de segurança de cada fornecedor, e uma queda de valor pode indicar uma vulnerabilidade crítica de segurança nos sistemas de processamento, colocando os dados pessoais em risco de comprometimento.

Além da avaliação de risco, testes de penetração devem ser realizados para avaliar ainda mais a resiliência dos controles de segurança cibernética de um fornecedor.

O UpGuard inclui um recurso de classificação de segurança para ajudá-lo a avaliar rapidamente a postura de segurança de novos fornecedores durante o processo de integração, bem como dos fornecedores existentes. A classificação de segurança do UpGuard permite que você rastreie a eficácia das solicitações de correção e descubra possíveis lapsos nas práticas de segurança que aumentam o risco de privacidade.

Obtenha uma avaliação gratuita de 7 dias do UpGuard >

Artigo 35 do GDPR: Avaliação de impacto da proteção de dados

Os segmentos do Artigo 35 relativos à gestão de riscos de terceiros estão incluídos abaixo:

A avaliação deve conter, pelo menos:

- Uma descrição sistemática das operações de tratamento previstas e das finalidades do tratamento, incluindo, se for caso disso, o interesse legítimo prosseguido pelo responsável pelo tratamento;

- Uma avaliação da necessidade e proporcionalidade das operações de tratamento em relação às finalidades;

- Uma avaliação dos riscos para os direitos e liberdades dos titulares dos dados a que se refere o n.º 1 (acima); e

- As medidas previstas para fazer face aos riscos, incluindo salvaguardas, medidas de segurança e mecanismos para assegurar a proteção dos dados pessoais e demonstrar a conformidade com o presente regulamento, tendo em conta os direitos e interesses legítimos dos titulares dos dados e de outras pessoas em causa.

O artigo 35.º atribui sete considerandos:

  • Considerando 75 - Riscos para os direitos e liberdades das pessoas singulares
  • Considerando 84 - Avaliação dos riscos e avaliação de impacto
  • Considerando 89 - Eliminação da obrigação geral de apresentação de relatórios
  • Considerando 90 - Avaliação de impacto sobre a proteção de dados
  • Considerando 91 - Necessidade de uma avaliação de impacto sobre a proteção de dados
  • Considerando 92 - Avaliação de impacto mais ampla da proteção de dados
  • Considerando 93 - Avaliação de impacto da proteção de dados nas autoridades

Atender aos requisitos de risco de terceiros do Artigo 35 do GDPR

Avaliar os impactos potenciais das novas tecnologias nos dados pessoais por meio de uma combinação de avaliações de risco e análise quantitativa (ou qualitativa) de risco. O processo de projeção de impactos de segurança deve ser semelhante aos processos usados para avaliar seu apetite ao risco.

Saiba como calcular o apetite ao risco para > TPRM

O construtor de questionários personalizados do UpGuard permite que você adapte as avaliações de risco a cada cenário exclusivo de análise de ameaças. Um questionário poderia ser elaborado para o artigo 35 do GDPR, onde são analisadas as salvaguardas específicas, as medidas de segurança e os mecanismos que garantem a proteção de dados pessoais.

Obtenha uma avaliação gratuita de 7 dias do UpGuard >

Artigo 45.º do RGPD: Transferências com base numa decisão de adequação

Os segmentos do Artigo 45 relativos à gestão de riscos de terceiros estão incluídos abaixo:

Ao avaliar a adequação do nível de protecção, a Comissão deve ter em conta, nomeadamente, os seguintes elementos:

- O Estado de direito, o respeito pelos direitos humanos e pelas liberdades fundamentais, a legislação pertinente, tanto geral como setorial, nomeadamente em matéria de segurança pública, defesa, segurança nacional e direito penal, e o acesso das autoridades públicas aos dados pessoais.

O artigo 45.º abrange cinco considerandos:

  • Considerando 103 — Nível adequado de proteção de dados com base numa decisão de adequação
  • Considerando 104 - Critérios para uma decisão de adequação
  • Considerando 105 - Consideração de acordos internacionais para uma decisão de adequação
  • Considerando 106 - Monitorização e revisão periódica do nível de proteção de dados
  • Considerando 107 - Alteração, revogação e suspensão de decisões de adequação

Atender aos requisitos de risco de terceiros do Artigo 45 do GDPR

Certifique-se de investigar as leis locais de notificação de violação para todas as entidades que processam dados pessoais nos níveis de estado membro e país. Isso ajudará você a determinar a qualidade dos controles de segurança especificamente mapeados para os requisitos dessas leis.

O mecanismo avançado de monitoramento de superfície de ataque da UpGuard pode determinar rapidamente deficiências nos controles de segurança, mapeando para estruturas e regulamentos populares de segurança cibernética. O UpGuard também pode descobrir vazamentos de dados vinculados a fornecedores terceirizados, o que pode ser um indicador precoce de práticas inadequadas de proteção de dados pessoais. Além disso, as organizações podem começar a gerenciar seus riscos de terceiros com o monitoramento contínuo 24 horas por dia, 7 dias por semana do UpGuard, violação ou vazamento de dados em tempo real e assistência nos processos de correção.

O UpGuard também oferece um questionário de segurança para conformidade com o GDPR, para oferecer uma maneira de as organizações gerenciarem melhor a conformidade de seus fornecedores com a rígida lei de privacidade de dados. A plataforma permite que as empresas classifiquem seus fornecedores por nível de risco, analisem riscos específicos e personalizem o questionário para atender aos requisitos de sua empresa.

Artigos relacionados