Compromisso de conformidade da One Identity

Um relatório SOC 2 Tipo 2 é um relatório de controles internos que mostra como uma empresa protege os dados dos clientes e como esses controles estão funcionando. Esses relatórios são emitidos por auditores terceirizados independentes e abrangem os princípios de segurança, disponibilidade, confidencialidade e privacidade.

Qual é o objetivo principal dessa iniciativa?

Fornecer uma avaliação independente do ambiente de controle de segurança e privacidade da One Identity. A avaliação inclui uma descrição dos controles, os testes realizados para avaliá-los, os resultados desses testes e uma opinião geral sobre o projeto e a eficácia operacional.

Qual é o escopo?

O relatório SOC 2 Tipo 2 da One Identity abrange os Princípios e critérios de serviços de confiança da AICPA para segurança, disponibilidade, confidencialidade e privacidade. O relatório também inclui um mapeamento dos controles testados com a ISO/IEC 27001:2013 Anexo A/ISO/IEC 27002:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2014, requisitos de segurança da HIPAA e diretrizes de exame da FFIEC para a segurança de informações GLBA.

Com que frequência você é avaliado/auditado?

As auditorias são realizadas anualmente.

Quem é o público principal?

Clientes e terceiros relevantes com necessidade comercial.

A norma ISO 27018:2019 fornece orientação na forma de objetivos, controles e diretrizes. A One Identity alinhou seus controles de privacidade existentes para estar em conformidade com essa norma, para aumentar seu programa de privacidade. Esses controles são testados como parte do relatório periódico SOC 2 Tipo 2 e um órgão independente auditou a conformidade com a norma como parte das auditorias anuais do nosso certificado ISO 27001:2013.

Qual é o objetivo principal dessa iniciativa?

A norma ISO 27018:2019 fornece orientação na forma de objetivos, controles e diretrizes. O alinhamento com essa norma oferece garantia adicional da adequação do Programa de privacidade da One Identity.

Qual é o escopo?

O Programa de privacidade da One Identity e seu alinhamento aos objetivos, aos controles e às diretrizes recomendados.

Com que frequência você é avaliado/auditado?

Os controles da ISO 27018:2019 são testados como parte das auditorias periódicas do relatório SOC 2 Tipo 2 e das nossas auditorias de certificação ISO 27001:2013.

Quem é o público principal?

Clientes e terceiros relevantes com necessidade comercial.

A norma ISO 27017:2015 fornece orientação para os provedores de serviços em nuvem e para os consumidores desses serviços na forma de objetivos, controles e diretrizes. A One Identity alinhou seus controles de segurança existentes para estar em conformidade com essa norma, para aumentar seu programa de segurança. Esses controles são testados como parte do relatório periódico SOC 2 Tipo 2 e um órgão independente auditou a conformidade com a norma como parte das auditorias anuais do nosso certificado ISO 27001:2013.

Qual é o objetivo principal dessa iniciativa?

A norma ISO 27017:2015 fornece orientação para os provedores de serviços em nuvem e para os consumidores desses serviços na forma de objetivos, controles e diretrizes. O alinhamento com esse padrão oferece garantia adicional da adequação do Programa de segurança da One Identity.

Qual é o escopo?

O Programa de segurança da One Identity e seu alinhamento com os objetivos, os controles e as diretrizes recomendados.

Com que frequência você é avaliado/auditado?

Os controles da ISO 27017:2015 são testados como parte das auditorias periódicas do relatório SOC 2 Tipo 2 e de nossas auditorias de certificação da ISO 27001:2013.

Quem é o público principal?

Clientes e terceiros relevantes com necessidade comercial.

A norma ISO 27001:2013 ajuda as organizações a manter os ativos de informação seguros. O uso dessa família de normas ajuda a One Identity a gerenciar a segurança de ativos, como informações financeiras, propriedade intelectual, detalhes de funcionários e informações confiadas a nós por terceiros. Um órgão independente auditou nossa conformidade com essa norma e emitiu nosso certificado ISO 27001:2013, que exige auditorias anuais para ser mantido.

Qual é o objetivo principal dessa iniciativa?

Fornecer uma avaliação e certificação independentes do Sistema de gerenciamento de segurança da informação (ISMS) da One Identity. O ISMS inclui todos os aspectos de segurança e privacidade que afetam a One Identity e seus clientes.

Qual é o escopo?

O escopo da certificação ISO 27001:2013 é o ISMS que oferece suporte ao gerenciamento da infraestrutura e dos serviços usados para oferecer suporte à solução de gerenciamento de identidades e acessos corporativos da One Identity.

Com que frequência você é avaliado/auditado?

Uma auditoria de certificação abrangente é realizada a cada três anos e as auditorias de acompanhamento são realizadas 12 e 24 meses após cada auditoria abrangente. Além disso, a One Identity realiza uma auditoria interna anual com um terceiro independente como parte dos requisitos da ISO 27001:2013.

Quem é o público principal?

Clientes e terceiros relevantes com necessidade comercial.

A Skyhigh Networks realiza avaliações objetivas e abrangentes da preparação empresarial dos serviços em nuvem com base em um conjunto detalhado de critérios desenvolvidos em conjunto com a Cloud Security Alliance (CSA). Os serviços designados como Skyhigh Enterprise-Ready são aqueles que recebem as mais altas classificações do CloudTrust™, que satisfazem plenamente os requisitos mais rigorosos de proteção de dados, verificação de identidade, segurança de serviços, práticas comerciais e proteção legal.

Qual é o objetivo principal dessa iniciativa?

Fornecer uma avaliação objetiva dos recursos de segurança do OneLogin com base em critérios desenvolvidos em conjunto com a Cloud Security Alliance.

Qual é o escopo?

Os controles de segurança do OneLogin foram avaliados em relação a um conjunto específico de critérios desenvolvidos pela Skyhigh Networks em conjunto com a Cloud Security Alliance.

Com que frequência você é avaliado/auditado?

Uma avaliação é realizada periodicamente a critério da Skyhigh Network e quando alterações são enviadas pelo OneLogin.

Quem é o público principal?

Clientes e terceiros relevantes com necessidade comercial.

A One Identity considera a GDPR uma evolução importante e necessária das leis de proteção de dados da UE. O programa de privacidade e segurança da One Identity atende e excede os mais altos padrões do setor, incluindo a conformidade com a GDPR.

A nova Regulamentação Geral de Proteção de Dados (“GDPR”), que substitui a Diretiva de Proteção de Dados da Comissão Europeia, entrou em vigor em 25 de maio de 2018. Seu objetivo é unificar as normas de privacidade da União Europeia (UE) e proteger melhor os dados pessoais dos cidadãos da UE, tanto dentro quanto fora dela. Como processadora e controladora de dados, a One Identity verificou que atendemos a todos os requisitos da GDPR e continuaremos a manter ativamente a conformidade com a GDPR. Também estamos fornecendo recursos e documentação para apoiar nossos clientes em suas funções como controladores de dados.

Na One Identity, nossa prioridade é garantir que todos os dados dos clientes sejam tratados de forma segura e responsável. Aqui está uma visão geral do que esperar da GDPR, como estamos cumprindo essa nova regulamentação e como estamos capacitando os clientes a cumpri-la.

Qual é o objetivo da GDPR?

A GDPR é uma lei abrangente de proteção de dados que serve a dois propósitos:

1. Proteger os dados individuais: a GDPR devolve o controle dos dados pessoais aos residentes da UE e proíbe que as organizações explorem esses dados.

2. Diretrizes para organizações: a GDPR torna a lei de proteção de dados idêntica em todo o mercado. Ele fornece às empresas diretrizes legais mais simples, que podem ser mais facilmente aplicadas pelos órgãos governamentais.

A quem se aplica a GDPR?

A GDPR se aplica a qualquer organização que opera na UE, bem como a organizações que ofereçam produtos ou serviços a clientes ou empresas na UE. Isso amplia o escopo de proteção dos residentes da UE para melhorar o controle da privacidade.

Como a GDPR me afetará?

Se você é residente da UE, parabéns! A União Europeia está tomando medidas para garantir que seus dados sejam usados de forma segura e adequada.

Se a sua organização presta serviços na UE, você precisará estar em conformidade com a GDPR. Isso afetará a forma como você armazena, processa e utiliza os dados do usuário de várias maneiras. Veja esta visão geral das principais alterações introduzidas pela GDPR, pois ela substitui a Diretiva de Proteção de Dados da Comissão Europeia.

Direito de acesso e portabilidade: os usuários podem pedir que você confirme se seus dados pessoais estão sendo processados, onde isso está acontecendo e para qual finalidade. Além disso, o controlador de dados deve fornecer uma cópia dos dados pessoais, gratuitamente, em formato eletrônico.

Exigência de notificação em caso de violação: as violações que provavelmente “resultam em um risco para os direitos e liberdades dos indivíduos” devem ser informadas em até 72 horas após ter conhecimento da violação.

Privacidade desde a concepção: as empresas devem considerar a privacidade dos dados durante os estágios de concepção de todos os projetos, juntamente com o ciclo de vida do processo de dados relevante. As empresas também devem considerar a privacidade dos dados durante os estágios de concepção de todos os projetos, juntamente com o ciclo de vida do processo de dados relevante.

Direito ao esquecimento: as empresas devem permitir que os usuários apaguem seus dados pessoais, interrompam a disseminação dos dados e, possivelmente, façam com que terceiros interrompam o processamento dos dados.

Esta não é uma lista completa. Mas, se você não atender a um desses requisitos, poderá ser multado em até 4% do seu faturamento anual de crescimento, ou seja, 20 milhões de euros.

Quais medidas a One Identity está tomando para estar em conformidade com a GDPR?

A One Identity é uma organização global que processa e controla dados de todo o mundo, inclusive da UE. Nossas certificações existentes e nosso compromisso duradouro com as estruturas de privacidade nos preparam para a GDPR de várias maneiras.

• Para atender aos requisitos da GDPR, as organizações precisam articular os fluxos de dados e demonstrar como a privacidade é controlada e mantida. Nossa abordagem de “página em branco” para redesenhar nossos fluxos de dados e criar diagramas de mapeamento de dados muito detalhados nos ajuda a conseguir isso.

• MSA padrão e contrato de processamento de dados atualizados: as organizações também devem atualizar sua linguagem contratual para refletir a responsabilidade adicional exigida pela GDPR. Para isso, a One Identity utiliza a linguagem de notificação de violação de dados, usa subcontratados e comunica as responsabilidades aos nossos próprios fornecedores de processamento de dados.

• Diretor de proteção de dados: a One Identity utiliza um consultor externo independente com sede na UE para atuar como nosso DPO.

Como a One Identity ajuda os clientes a ficarem em conformidade?

A One Identity se dedica a capacitar os clientes com os recursos necessários para cumprir a GDPR. Veja como:

Direito de acesso e portabilidade

• Os administradores de TI podem localizar facilmente um usuário no sistema e imprimir suas informações armazenadas em qualquer um dos diretórios de usuários.
• Os privilégios do usuário e as atribuições de função na One Identity indicam onde os metadados do usuário são usados (ou seja, todos os aplicativos aos quais ele tem acesso).

Exigência de notificação de violação

• O serviço de streaming de eventos da One Identity pode ajudar a identificar tentativas de violação muito mais rapidamente quando estiver correlacionado com outros eventos de segurança empresarial.
• Após a identificação de uma possível violação, os administradores podem usar o painel de eventos e a ferramenta de relatórios da One Identity para uma investigação mais detalhada.

Direito ao esquecimento

• A One Identity permite o desprovisionamento automatizado de usuários de outros sistemas e aplicativos externos.
• Os administradores podem excluir os usuários imediatamente para atender aos requisitos de privacidade e segurança da empresa.
• Os administradores também podem auditar manualmente os aplicativos provisionados.

Privacidade desde a concepção: a One Identity é um parceiro confiável
A privacidade desde a concepção é um requisito particularmente desafiador, mas, como fornecedor, estamos preparados para isso.

• O serviço One Identity sempre lidou com informações que precisam ser protegidas, seja devido a normas de privacidade, normas do setor de cartões de crédito, sua designação como segredos compartilhados ou vários outros requisitos de proteção de dados.
• A One Identity incorpora avaliações de impacto de privacidade que são realizadas periodicamente e como parte do processo de concepção de novos recursos.

Privacidade desde a concepção: uma arquitetura melhor com a One Identity
Se você for um arquiteto de TI ou de engenharia, talvez esteja pensando não apenas na conformidade de terceiros, mas também nos desafios de conformidade dos seus próprios sistemas. Considere as vantagens de criar suas integrações com base na plataforma da One Identity.

Muitos dos desafios de conformidade são resultado de arquiteturas mais antigas que permitem um controle limitado sobre como os dados são armazenados, gerenciados e processados. Por exemplo, era muito comum que aplicativos legados acessassem diretamente o diretório corporativo. Isso significa que, normalmente, eles têm acesso a todas as informações do usuário com poucas restrições sobre o que podem modificar, armazenar em cache ou arquivar.

Percorremos um longo caminho desde então.

Para entender como, vamos começar com alguns elementos essenciais. O núcleo da plataforma de identidade da One Identity são os protocolos modernos, incluindo SAML, OpenID Connect e SCIM. Esses protocolos modernos usam tokens seguros, afirmações de segurança e provisionamento automatizado.

• Tokens seguros: o usuário nunca faz login diretamente em um aplicativo. Em vez disso, o usuário sempre faz login de forma segura usando um portal de login único (SSO). Qualquer aplicativo confiável pode receber um token seguro que representa o usuário.
• Afirmações de segurança: as informações de identidade (por exemplo, nome de usuário, ID de funcionário) são assinadas digitalmente por um parceiro confiável, especificamente um provedor de identidade.
• Provisionamento/desprovisionamento automatizado: quando um usuário recebe acesso a um aplicativo, seus metadados relevantes são enviados para o aplicativo. Da mesma forma, quando o acesso de um usuário é revogado, seus metadados relevantes são excluídos do aplicativo.

A plataforma de identidade da One Identity permite que você aproveite protocolos modernos para praticamente qualquer nuvem pública ou aplicativo privado/personalizado.

Vantagens:

• Os aplicativos não autenticam os usuários diretamente, o que significa mais segurança e privacidade.
• Os aplicativos não têm acesso direto ao diretório corporativo para leitura/gravação em toda a base de usuários.
• Os aplicativos obtêm apenas os metadados do usuário de que precisam, somente para usuários com acesso ao aplicativo, e o acesso do usuário pode até ser anônimo.
• Os aplicativos podem obter informações de função/privilégio sem acesso direto às informações do usuário.

Para saber mais sobre como estamos adotando a GDPR, consulte nossa política de privacidade.

Se você tiver dúvidas ou precisar de mais informações, envie um e-mail para privacy@onelogin.com.

As Cláusulas contratuais do modelo da UE são projetadas para facilitar as transferências de dados pessoais do Espaço Econômico Europeu (EEE) para outros países, ao mesmo tempo em que fornecem proteções adequadas para a proteção de dados pessoais. Essas cláusulas fazem parte de nosso Anexo de processamento de dados e oferecem um meio alternativo de atender aos requisitos de adequação e, portanto, são uma alternativa à Estrutura do Privacy Shield dos EUA ou às Regras corporativas vinculantes.

Qual é o objetivo principal dessa iniciativa?

Fornecer um mecanismo para que os clientes no EEE, que são considerados os controladores de dados, trabalhem com a One Identity, o processador de dados, e concordem mutuamente com a transferência de dados pessoais para fora do EEE somente sob as devidas proteções e em conformidade com a lei de proteção de dados da UE.

Qual é o escopo?

As cláusulas contratuais do modelo são padrão para todos os provedores de processamento de dados e documentam o compromisso do provedor em cumprir a lei de proteção de dados da UE.

Com que frequência você é avaliado/auditado?

As cláusulas de contrato modelo da UE são executadas conforme a necessidade

Quem é o público principal?

Clientes que vão transferir dados pessoais do EEE para a One Identity.

Os testes de penetração de aplicativos são realizados anualmente por terceiros independentes. O objetivo desses testes é ajudar a garantir que descobrimos as possíveis vulnerabilidades de segurança em nossos aplicativos e que estamos nos afastando do OWASP Top 10 e do SANS Top 25. Os testadores têm acesso à sua própria conta e ao código-fonte subjacente.

Qual é o objetivo principal dessa iniciativa?

Os testes de penetração ajudam a One Identity a identificar possíveis vulnerabilidades de segurança em nossos aplicativos, incluindo os que estão no OWASP Top 10 e no SANS Top 25.

Qual é o escopo?

Os aplicativos principais são abordados em todas as avaliações, e os serviços adicionais, incluindo aplicativos móveis e extensões de navegador, são áreas de foco em uma base rotativa.

Com que frequência você é avaliado/auditado?

Testes de penetração de terceiros são realizados anualmente.

Quem é o público principal?

One Identity – somente para uso interno

Os programas de recompensa por bugs oferecem outro veículo para que as organizações descubram vulnerabilidades em seus sistemas, aproveitando uma grande rede de pesquisadores de segurança globais que são incentivados a divulgar bugs de segurança de forma responsável por meio de um sistema de recompensa. Operacionalmente, os resultados finais são muito semelhantes aos de um teste de penetração realizado por um fornecedor, mas o número de pesquisadores em busca de bugs é muito maior e não tem prazo determinado, ao contrário de um exercício típico do teste de penetração.

Qual é o objetivo principal dessa iniciativa?

Semelhante aos nossos testes de penetração programados, o programa de recompensa por bugs ajuda o OneLogin a identificar possíveis vulnerabilidades de segurança em nosso aplicativo, incluindo as que estão no OWASP Top 10 e no SANS Top 25.

Com que frequência você é avaliado/auditado?

Programa contínuo.

Quem é o público principal?

OneLogin – somente para uso interno

A Lei Gramm-Leach-Bliley (GLBA) de 1999 estabeleceu pela primeira vez um requisito para proteger as informações financeiras do consumidor. As regulamentações de serviços financeiros sobre segurança de informações, iniciadas pela GLBA, exigem que as instituições financeiras nos Estados Unidos criem um programa de segurança de informações para proteger a segurança, a confidencialidade e a integridade dessas informações. O Federal Financial Institutions Examination Council (FFIEC) apoia essa missão fornecendo diretrizes abrangentes e em constante evolução para a conformidade. O OneLogin não armazena informações financeiras de consumidores, mas mapeou sua estrutura de controles conforme as diretrizes da FFIEC para validar que somos capazes de cumprir a GLBA, caso seja necessário. Essa estrutura de controle é testada como parte dos relatórios SOC 2 Tipo 2.

Qual é o objetivo principal dessa iniciativa?

Validar que o OneLogin é capaz de cumprir as diretrizes da FFIEC projetadas conforme os requisitos da GLBA para proteger as informações financeiras do consumidor.

Qual é o escopo?

Os controles de segurança do OneLogin foram avaliados conforme as diretrizes da FFIEC para testar a conformidade com a GLBA.

Com que frequência você é avaliado/auditado?

Os controles de segurança alinhados com as diretrizes da FFIEC para testar os requisitos GLBA são testados como parte das auditorias periódicas do relatório SOC 2 Tipo 2.

Quem é o público principal?

Clientes e terceiros relevantes com necessidade comercial.

O National Institute of Standards and Technology (NIST) desenvolveu a Estrutura para melhoria da segurança cibernética de infraestrutura crítica (Estrutura de segurança cibernética do NIST) em resposta à Ordem executiva 13636. A estrutura, criada por meio da colaboração entre o governo e o setor privado, usa uma linguagem comum para abordar e gerenciar o risco de segurança cibernética de forma econômica, com base nas necessidades dos negócios, sem impor requisitos regulatórios adicionais às empresas. A One Identity alinhou seus controles de segurança existentes para estar em conformidade com essa estrutura, a fim de aumentar seu programa de segurança. Esses controles são testados como parte do relatório periódico SOC 2 Tipo 2.

Qual é o objetivo principal dessa iniciativa?

Fornecer um ponto de referência adicional para o desenvolvimento e a manutenção do Programa de segurança da One Identity.

Qual é o escopo?

A estrutura possui três partes: o núcleo, o perfil e as camadas de implementação da estrutura. O núcleo da estrutura é um conjunto de atividades de segurança cibernética, resultados e referências informativas que são comuns aos setores de infraestrutura crítica, fornecendo a orientação detalhada para o desenvolvimento de perfis organizacionais individuais. Por meio do uso dos perfis, a estrutura ajudará a organização a alinhar suas atividades de segurança cibernética com seus requisitos de negócios, tolerâncias a riscos e recursos. As camadas fornecem um mecanismo para que as organizações visualizem e entendam as características de sua abordagem para gerenciar o risco de segurança cibernética.

Com que frequência você é avaliado/auditado?

Os controles de segurança alinhados com o núcleo da estrutura de segurança cibernética do NIST são testados como parte das auditorias periódicas do relatório SOC 2 Tipo 2.

Quem é o público principal?

Clientes e terceiros relevantes com necessidade comercial.

Organizações do setor público do Reino Unido e órgãos independentes podem usar o Digital Marketplace para comprar serviços baseados em nuvem. Para isso, os fornecedores devem concordar e respeitar a estrutura do G-Cloud, e o OneLogin participa desse programa.

Qual é o objetivo principal dessa iniciativa?

Fornecer dados de serviço do OneLogin para organizações do setor público do Reino Unido e órgãos independentes conforme os requisitos da estrutura do G-Cloud.

Qual é o escopo?

A estrutura do G-Cloud exige uma declaração de fornecedor que contém elementos de dados padrão que permitem que as organizações avaliem os fornecedores com base nos mesmos critérios. Os elementos de dados incluem informações sobre o suporte de padrões abertos, integração e desligamento, provisionamento, armazenamento de dados, proteção e resiliência de ativos, gerenciamento de vulnerabilidades e gerenciamento de incidentes, entre outros.

Com que frequência você é avaliado/auditado?

Normalmente, cada iteração da estrutura do G-Cloud dura 12 meses, período em que uma nova iteração é criada e os fornecedores devem enviar uma nova declaração com base nos requisitos dessa iteração.

Quem é o público principal?

Organizações do setor público do Reino Unido e órgãos independentes.