Preparação GDPR – Compliance

Um aspecto do GDPR é o fato de que todos os usuários que têm acesso a dados pessoais devem ser monitorados. Como prática recomendada, apenas grupos devem ser colocados nas listas de controle de acesso (ACLs) de dados pessoais, não usuários individuais. Portanto, são os grupos que também precisam ser monitorados para modificações. Para reduzir a quantidade de monitoramento necessária para o GDPR, é altamente sugerido criar grupos dedicados ao acesso a dados pessoais. Isso permitirá que apenas esses grupos sejam monitorados no nível exigido pelo GDPR.

Se você decidir não criar grupos especiais para acessar dados pessoais, considere o seguinte cenário: Se você pegar um grupo existente e colocá-lo na ACL para dados pessoais, é seguro assumir que o grupo já está sendo usado em outra capacidade. Então, se os requisitos para a outra alteração de uso e mais usuários precisam ser adicionados ao grupo, você imediatamente possui uma violação GDPR nas suas mãos.

No entanto, se você criar grupos dedicados ao acesso a dados pessoais e nomeá-los em conformidade (com alguma referência ao GDPR, por exemplo), você poderá acompanhar esses grupos separadamente dos grupos que acessam dados não pessoais. Com esta separação de grupos que acessam dados pessoais dos outros grupos, você poderá configurar facilmente quais grupos estão sendo monitorados. Além disso, você irá mais facilmente ser capaz de monitorar as ACLs relacionadas com dados pessoais.

Se você está considerando manter seus grupos existentes e trabalhar com eles para acessar dados pessoais, sugiro que você teste isso primeiro antes de tomar uma decisão final. O que você provavelmente encontrará é que a adesão do grupo muda demais para poder usar os grupos existentes. Para que você possa monitorar essas mudanças de grupos, você precisará habilitar a auditoria e também ter uma ferramenta que pode ajudá-lo a analisar os eventos gerados, como o ADAudit Plus.

À medida que as organizações continuam a se preparar para o GDPR, todos estamos descobrindo que atender a este regulamento de conformidade levará muito mais trabalho do que o pensamento original. Preparar agora é a melhor coisa que você pode fazer.

Conte com o ADAudit Plus para realizar a auditoria dos eventos e conte sempre com apoio da equipe ACSoftware a revendedora ManageEngine no Brasil.

Deixe um comentário

Blog ACSoftware - ManageEngine