O Easy Software leva a sério a proteção de dados pessoais. A regulamentação europeia conhecida como Regulação Geral de Proteção de Dados (GDPR) traz uma série de desafios para todas as organizações e se tornou um dos mais repercutidos tópicos de negócios.
Nossa missão é fornecer aos clientes Easy Redmine, bem como a toda a comunidade do Projeto, um software confiável que permita o cumprimento de todas as obrigações dos Processadores de Dados de forma eficiente.
Este documento deve fornecer respostas para:
· Eu sou Processador de Dados, como posso estar adequado a GDPR com o Easy Redmine?
· Estou usando a nuvem Easy Redmine, este serviço está em conformidade com a GDPR?
· Eu preciso saber se o Easy Software tem um processo de segurança adequado.
1. Terminologia
Easy Software é o fabricante do Easy Redmine.
Controlador de Dados - a entidade que determina as finalidades, condições e meios do processamento de dados pessoais. Para o propósito deste documento, é a sua organização.
Processador de Dados - a entidade que processa dados em nome do Controlador de Dados; neste documento:
· Clientes em nuvem do Easy Redmine: Easy Software é o Processador de Dados e os dados são processados nos nossos serviços em nuvem com base nas regras configuradas por você, Processador de Dados, no aplicativo em nuvem Easy Redmine.
· Usuários com servidores próprios do Easy Redmine: Easy Software não é um Processador de Dados. Mas o Easy Redmine irá ajudá-lo a organizar seus dados corretamente.
Easy Redmine é um aplicativo que pode ou não ser usado para processar dados pelo Controlador de Dados.
2. Introdução
A Easy Software, como fabricante do Easy Redmine, introduz atualizações do Easy Redmine para ajudar os Controladores de Dados a cumprir suas obrigações decorrentes da regulamentação GDPR.
Ao mesmo tempo, para nossos clientes em nuvem, este documento traz informações sobre o Easy Software como Processador de Dados.
Além disso, a Easy Software declara que, até a data efetiva da GDPR, todos os processos, contratos, fornecedores, acesso a dados e outros estarão totalmente de acordo com os requisitos da GDPR.
3. Easy Redmine para todos os Controladores de Dados
A descrição e os recursos a seguir serão implantados/atualizados até o final de abril de 2018.
O Easy Redmine traz os seguintes recursos para aumentar a segurança de dados e a demanda específica da GDPR para Controladores de Dados.
· Aplicação de política de Senha Ampliada
o Definição para usar comprimento mínimo, uso de letras grandes, números e caracteres especiais na senha
o Limite de tempo para validade da senha e controle de repetição de senha
o Log-off automático após um período de tempo
o Adicionado recentemente um recurso para redigitar sua senha depois de manipular funções e privilégios de usuário
· Recursos específicos da GDPR:
o Direito de ser Esquecido: a Exclusão do Contato é um recurso tradicional. Porém, pode atrapalhar a consistência dos dados, relatórios, etc., já que existe a possibilidade de ter um contato vinculado a projetos, tarefas, GRC e outras entidades. Além disso, corromperia os dados sobre o perfil do seu cliente. Anonimização de Contato permite a exclusão de dados do contato que possibilitariam identificar a pessoa, mas dados anônimos do cliente sobre serviços, tarefas e outros permanecem.
o Direito de Acesso: Um botão específico que exporta os detalhes do Contato em formato legível automatizado (XML) e cumpre sua obrigação de fornecer informações pessoais sobre os dados coletados.
· Visibilidade de dados limitada - é um requisito fundamental da GDPR solicitar aos Controladores de Dados que limitem o acesso a dados pessoais somente às pessoas que precisam ter esse acesso. O Easy Redmine traz uma abordagem dupla para este problema:
o Uma limitação para acessar contatos em geral.
o Uma limitação onde somente tipos específicos de Contato podem acessar Contatos. Normalmente, todos podem acessar Contatos do tipo Empresa (empresas não estão sujeitas a GDPR) mas o acesso a Contatos com o tipo Pessoal é limitado somente para usuários selecionados. Assim, o usuário sem a permissão pode ver que há um contato vinculado (verá apenas o nome), mas não pode ver outros dados que possam permitir a identificação pessoal.
o Arquivos com visibilidade personalizada - certos dados podem ser restritos para serem vistos apenas por
§ a) Usuário / lista de usuários
§ b) Grupo de usuários / lista de grupos de usuários
§ c) Tipo de usuário / lista de tipos de usuários
o Auditorias de ação do usuário
§ O Easy Redmine fornece registros completos sobre as ações do usuário, incluindo a ação View.
§ Agora o Easy Redmine traz um recurso para gerenciar os registros, visando atender seu processo interno.
o Visibilidade de dados limitada - é um requisito fundamental da GDPR pedir aos Controladores de Dados que limitem a si mesmos o acesso a dados pessoais.
Como se tornar conforme com a GDPR passo a passo
· Identifique quais Dados Pessoais você coleta no Easy Redmine.
· Crie o regulamento interno que todos os dados pessoais precisam ser preenchidos em campos Personalizados, não em campos nativos do Easy Redmine. Porém a abordagem recomendada é decidir que todos os dados pessoais devem ser armazenados apenas em Contatos.
o Se você preferir usar Anonimização e Direito de ser Esquecido você terá um regulamento onde todos os dados pessoais devem estar em Contatos.
o Identifique os dados sujeitos a eliminação para a Anonimização – você pode fazê-lo nas configurações personalizadas do Contato.
o Decida quais usuários do Easy Redmine precisam acessar os Contatos e limite o acesso por tipo de Contato.
o Se você precisa que todos os usuários acessem todos os contatos, mas alguns vejam um conjunto de dados limitado, basta definir a visibilidade do campo personalizado.
· Identifique quais campos personalizados além dos Contatos precisam ser protegidos e defina a visibilidade dos dados de acordo.
· Aumente a execução de políticas de senha do Easy Redmine.
· Direito de esquecer:
o Recomendamos definir um Modelo de Projeto que formalize todas as etapas para excluir dados pessoais de todos os sistemas detalhadamente. Assim, quando uma solicitação chegar, você pode apenas documentar que todas as etapas foram executadas de acordo com seu processo interno.
· Crie um regulamento para definir por quanto tempo você precisa manter os dados de auditoria de ação do usuário (registros) e configure de acordo no Easy Redmine.
4. Easy Redmine em nuvem
A Easy Software fornece Easy Redmine como um serviço em nuvem. Para clientes em nuvem, a Easy Software atua como Processador de Dados. Como Processador de Dados, cumprimos os requisitos da GDPR da seguinte forma:
· A Easy Software implementou medidas técnicas e de processo para limitar o acesso potencial aos dados apenas em uma exceção e ocasiões solicitadas.
· Se você é uma organização da UE, é garantido que sua instância do Easy Redmine (bem como os dados e seus backups em locais de recuperação de desastres) sejam armazenados na UE.
· A Easy Software usa apenas Data Centers verificados, com segurança de ponta e todas as certificações ISO relevantes. Detalhes podem ser fornecidos mediante solicitação.
· Backups regulares, https para navegadores, criptografia SSH-2 para o firewall de transferência de backup limitado a HTTPS e outras configurações regulares que atendem aos requisitos da GDPR. Você pode aprender mais sobre nuvens aqui.
· A segurança pode ser ainda maior com o serviço Nuvem Privativa, no qual a segurança individual pode ser aumentada por uma configuração individual do servidor dedicado (HW).
· Easy Software Ltd. é uma empresa do Reino Unido, mas a regulamentação GDPR foi implementada em todos os aspectos da organização e para todos os produtos e serviços.
5. Easy Software e seus dados pessoais
Easy Software é um fabricante de plataforma de Gerenciamento de Projetos. A Easy Software é uma organização comercial de negócios para empresas. Isso significa que todos os dados coletados servem para apoiar os negócios e serviços da Easy Software para as organizações.
De acordo com a regulamentação GDPR, alguns dados de indivíduos são coletados também e são considerados dados sob a proteção da GDPR.
5.1. Dados pessoais coletados
· Nome e sobrenome
· Telefone
· O e-mail
· Empresa
· Posição na empresa
· Treinamentos e certificações obtidos para produtos da Easy Software
· História relacionada à visita de páginas de produtos Easy Software.
· Endereço de IP
5.2. Objetivo da coleta de dados, processamento e criação de perfil
O Easy Software coleta dados para os seguintes propósitos:
· Configurar uma cooperação comercial com organizações. Para esse propósito, a Easy Software pode coletar dados sobre pessoas de contato em tais organizações.
· Fornecer serviços para clientes existentes (organizações) e, para isso, a Easy Software pode coletar dados sobre pessoas de contato em tais organizações.
· Informar os clientes e potenciais clientes sobre novas funcionalidades, lançamentos e outras mensagens de caráter informativo e de marketing.
Coleta:
· Todas as informações sobre os indivíduos são coletadas por meio de formulários de contato.
· A Easy Software não possui ou usa dados de fontes externas sobre indivíduos.
Combinação de dados e criação de perfil:
· A Easy Software não classifica nenhum indivíduo, todos os dados coletados servem apenas como informações de contato dentro de uma organização.
· A Easy Software classifica as organizações para fins comerciais e de marketing. Não são sujeitas a análises.
· A Easy Software combina todos os dados no próprio sistema de informação (Easy Redmine) em Contato de Empresa ou GRC de Empresa. Qualquer outro sistema usa apenas fragmentos de dados e, portanto, não são considerados como dados pela GDPR.