• Encryption Method Advanced Encryption Standard (AES)

GDPR-Daten-Compliance

  • Die Zeit läuft: Im Mai 2018 ist die Compliance-Deadline für GDPR!

  • Finden Sie heraus, welche PII- und sensiblen PII-Daten in Cloud-SaaS-Anwendungen verwendet werden

  • Sichern Sie GDPR-Compliance beim Verwenden von Datenverarbeitern wie dritten Cloud-SaaS-Provider

  • Integrieren Sie GDPR zentralisiert und als „Privacy by Design” in Ihre IT-Systeme; erfüllen und minimieren Sie GDPR-Compliance-Anforderungen

  • Verringern Sie Umfang und Limitierung von Compliance für PII und sensible PII-Daten; minimieren Sie die Auswirkungen von Reporting zu GDPR-Compliance und Sicherheitsvorfällen

  • Nutzen Sie Datenverschlüsselung (anonymisierte und pseudonymisierte Daten) und minimieren Sie den GDPR-Compliance-Aufwand für dritte Datenverarbeiter

Europaweit bereiten sich Unternehmen auf die neue General Data Protection Regulation (GDPR) der EU, die Datenschutzgrundverordnung, vor. Bis Mai 2018 muss diese in allen Unternehmen voll implementiert sein. Dabei muss genau beachtet werden, wie in Systemen und Datenverarbeitung PII (Persönliche Identifizierbare Informationen) und sensible PII-Daten GDPR-gerecht von Drittparteien wie Cloud-SaaS-Anwendungen übertragen, gespeichert und verarbeitet werden. Oft herrscht große Verwirrung über die Rollen, Verantwortlichkeiten und Pflichten, die GDPR-Compliance mit sich bringt – besonders, wenn Datenverarbeitungsservices genutzt werden und der Schutz von PII- und sensiblen PII-Daten sowie der Standort des Services geklärt werden müssen. Von Anfang an sollte klar sein, dass der Dateninhaber (also das Unternehmen) seine GDPR-Verantwortlichkeiten nicht abgibt, weil er die Services eines dritten Datenverarbeiters (wie eines Cloud-SaaS-Providers) nutzt. Der Dateninhaber ist vollständig verantwortlich für die Anforderungen von GDPR und den Schutz seiner PII- und sensiblen PII-Daten.

Das eperi Gateway ist eine CDP-Lösung (Cloud Data Protection), die PII- und sensitive PII-Daten in Cloud-SaaS-Anwendungen wie Office 365, Salesforce, ServiceNow, Microsoft Dynamics und weiteren verschlüsselt oder tokenisiert, bevor sie die Kontrolle des Dateninhabers – also des Unternehmens – verlassen. Die verwendeten Cloud-SaaS-Anwendungen behalten dabei ihren gesamten Funktionsumfang und ihre Vorteile bei.

eperi nutzt die GDPR-Spezifikationsprinzipien für „Zentralisierung“ und „Privacy by Design“, um einen Kontrollpunkt in der Unternehmensarchitektur des Dateninhabers einzurichten. Dieser kann Daten-Traffic zum dritten Datenverarbeiter (Cloud-SaaS-Anwendungen) überwachen. Werden PII und sensible PII auf dem Weg zur SaaS-Anwendung festgestellt, nutzt das eperi Gateway bewährte und standardisierte Verschlüsselungsalgorithmen wie AES-256, um die Daten zu anonymisieren und zu pseudonymisieren. Die kryptographischen Schlüssel sind dabei IMMER und VOLLSTÄNDIG in der Kontrolle des Dateninhabers. Dieser reduziert dadurch Umfang von und Limitierungen durch GDPR-Compliance und behandelt PII- und sensible PII-Daten bei der Verarbeitung als Data in Transit, Data at Rest und Data in Use durch dritte Datenverarbeiter GDPR-gerecht.

Die eperi-CDP-Lösung sollte nicht mit simpleren DLP-Lösungen (Data Loss Prevention) verwechselt werden, die nur einige PII-Daten wie etwa Kreditkarteninformationen im Unternehmen erfassen und diese daran hindern, das Unternehmen zu verlassen. Diese Blockade unterbricht wichtige Geschäftsprozesse sowie die Funktionalitäten von Cloud-SaaS-Anwendungen und erzeugt so zusätzlichen unnötigen Aufwand.

Die eperi-CDP-Lösung sollte zudem nicht mit Encryption-at-Rest-Lösungen verwechselt werden, die Datenverarbeiter anbieten, da es sich hier nur um Encryption at Rest handelt und der Datenverarbeiter in den meisten Fällen die kryptographischen Schlüssel vollständig oder in Teilen kontrolliert.

Das eperi Gateway ist voll in die Unternehmensinfrastruktur integriert und implementiert Datenschutz-Policys für strukturierte und unstrukturierte Daten auf einem sehr präzisen Level. Im Gegensatz zu DLP-Produkten blockiert die eperi-CDP-Lösung keine sensiblen Daten und behindert damit keine Geschäftsprozesse und Funktionalitäten von Cloud-SaaS-Anwendungen. So funktionieren zentrale Funktionen vieler Anwendungen wie beispielsweise Suchen, Sortieren und Reporting auch weiterhin.