GNU/Linux >> Tutoriels Linux >  >> Linux

Qu'est-ce que la LPRPDE en 2022 et comment affecte-t-elle les hébergeurs ?

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est une loi canadienne qui régit la façon dont le secteur privé canadien utilise et divulgue les renseignements personnels dans le cadre d'activités commerciales. La LPRPDE a été créée en avril 2000, mais la loi n'a été pleinement promulguée que le 1er janvier 2004.

Tout comme le plus récent Règlement général sur la protection des données (RGPD) de l'Union européenne (UE), la LPRPDE du Canada représente un nouvel accent sur la protection des renseignements personnels dans le numérique. Dans le monde entier, beaucoup sont de plus en plus soucieux de s'assurer que leurs données personnelles sont traitées de manière éthique et correctement sécurisées. Tout comme le RGPD se concentre fondamentalement sur la protection des données des citoyens européens, la LPRPDE est centrée sur la protection des informations personnelles privées des Canadiens.

Dix principes de la LPRPDE

La LPRPDE est une loi générale, englobant dix principes de confidentialité des « informations équitables » ; celles-ci sont considérées comme les règles de base de la législation. Le but de ces principes est de donner à chaque individu le contrôle de ce qu'il advient de ses informations.

  1. Responsabilité – ce principe définit que l'organisation est responsable de toutes les informations personnelles sous son contrôle
  2. Identification des finalités – l'organisation doit déclarer pourquoi les informations personnelles sont nécessaires avant leur collecte
  3. Consentement – toute information personnelle recueillie doit l'être avec le consentement valable de la personne
  4. Limiter la collecte – seules les données nécessaires doivent être collectées, et elles doivent être justes et licites à tout moment
  5. Limiter l'utilisation, la divulgation et la conservation – ce principe impose que les données ne puissent être utilisées que dans le but initialement prévu, et une fois que les données ont été utilisées, elles doivent être détruites en toute sécurité
  6. Précision – toutes les données collectées DOIVENT être exactes, complètes et aussi à jour que possible
  7. Garanties – toutes les données collectées doivent être protégées avec une sécurité adéquate pour maintenir l'intégrité des données
  8. Ouverture – l'organisation qui collecte les données doit publier les politiques et les processus entrepris lors de la collecte des données
  9. Accès individuel – toute personne a le droit, sur demande, de consulter les données enregistrées et d'en contester l'exactitude
  10. Conformité difficile – Un individu est autorisé à contester le respect par une organisation de l'un de ces principes

Tous ces principes s'appliquent lorsqu'il s'agit d'une infrastructure d'hébergement conforme à la LPRPDE ; cependant, le principal point d'attention est les garanties de la LPRPDE, car le fournisseur d'hébergement a un contrôle direct sur ces éléments

Protections d'hébergement LPRPDE

Le principe des garanties d'hébergement de la LPRPDE ne précise pas directement quelles mesures de sécurité particulières doivent être mises en œuvre sur l'infrastructure d'hébergement ; au lieu de cela, la responsabilité incombe au fournisseur d'hébergement de "s'assurer qu'il protège adéquatement les informations personnelles dont il a la garde à mesure que les technologies évoluent et que de nouveaux risques apparaissent".

Cela signifie que le principe des sauvegardes est au cœur des hébergeurs car les outils de protection doivent déjà être implémentés sur l'infrastructure d'hébergement. Une politique de sécurité doit être créée qui englobe les protections de tous les enregistrements numériques, empêchant la modification ou l'utilisation non autorisée, l'accès, la reproduction, la divulgation, la perte ou le vol.

Les méthodes de protection sont classées de la même manière que celles énumérées dans la règle de sécurité de la loi de 1996 sur la portabilité et la responsabilité de l'assurance maladie (HIPAA). Alors que la loi HIPAA impose la nécessité de mesures de protection techniques, administratives et physiques, la LPRPDE fait référence aux exigences techniques, organisationnelles et physiques de protection.

Garanties techniques

Les garanties techniques se concentrent sur plusieurs domaines clés. Cryptage est l'une des garanties les plus importantes car elle protège les données en cas de perte ou de vol. Le chiffrement permet uniquement à un utilisateur autorisé ou à un système disposant d'une clé privée d'accéder aux données. Si vous n'avez pas la clé, les données sont brouillées et impossibles à déchiffrer. Assurez-vous de choisir un fournisseur d'hébergement qui chiffre de manière proactive les données au repos.

Gérer l'activité des utilisateurs est une autre garantie clé ; les comptes d'utilisateurs doivent être sécurisés avec des mots de passe complexes à plusieurs caractères. L'accès aux données doit être contrôlé selon le principe du moindre privilège, ce qui signifie que vous n'avez accès qu'à la quantité minimale de données requises pour accomplir la tâche à accomplir. Une liste de contrôle d'accès (ACL) doit être maintenue, généralement sous la forme de groupes de sécurité Active Directory. Les ACL n'accorderont un accès privilégié à l'utilisateur concerné qu'à des moments ou des géolocalisations spécifiques.

Journalisation détaillée doit être activé dans toute l'organisation. La journalisation doit permettre aux administrateurs système de vérifier qui a eu accès aux informations personnelles, quand et pourquoi. Les journaux peuvent être introduits dans une plate-forme SIEM qui peut examiner intelligemment les tendances des utilisateurs en matière d'accès aux données. Les alertes peuvent être déclenchées par des activités inattendues, telles que l'accès aux données en dehors des heures de bureau ou par une personne affiliée aux données de l'individu.

De même, Systèmes de protection contre les intrusions (IPS) peut être implémenté à des points stratégiques du réseau cloud pour fonctionner avec le pare-feu en inspectant les paquets que le pare-feu a déjà acceptés comme légitimes. L'IPS réside directement sur le réseau, protégeant contre les vulnérabilités locales au niveau de la couche matérielle

Pare-feu réseau sont également très importants. Ils sont conçus pour sécuriser intrinsèquement l'infrastructure du réseau et isoler et protéger les systèmes visés par la LPRPDE. Il en résulte un environnement géré entièrement privé. Des pare-feu matériels et logiciels sont installés stratégiquement autour du périmètre et des réseaux internes. Un pare-feu d'application Web (WAF) doit être envisagé si les organisations dépendent fortement des serveurs Web. Un WAF est un dispositif défini par une politique qui protège les applications Web en surveillant et en filtrant le trafic via Network Edge Protection

Un principe clé de la LPRPDE est de maintenir l'intégrité des données personnelles qui ont été recueillies. L'un des moyens les plus simples d'y parvenir consiste à disposer d'une solution de sauvegarde définie par la sécurité. en place. Si des données sont supprimées par inadvertance, les données peuvent être restaurées en un rien de temps.

Garanties organisationnelles

Les garanties organisationnelles sont généralement appliquées par l'administration de la conformité d'une organisation, y compris les procédures et les processus mis en place par la direction pour protéger les données. Programmes de formation font partie intégrante de cet objectif. La formation aide à créer une culture de sensibilisation à la protection de la vie privée et peut réduire considérablement le risque d'enfreindre les règles de la LPRPDE. La formation se concentre généralement sur les risques et les tendances en matière de cybersécurité, les règles de confidentialité et une compréhension des sanctions qui pourraient être imposées à l'organisation et à l'individu en cas de violation de données.

Autres bonnes pratiques internes à respecter sont une politique d'écran clair et de bureau clair. Un écran clair indique que chaque fois que les membres de votre personnel quittent leur bureau pendant une période prolongée, ils doivent se déconnecter de leurs ordinateurs et que chaque fois qu'ils partent, même pour un instant, ils doivent verrouiller leurs ordinateurs. Une politique de bureau propre exige que les employés vident leur bureau de tout matériel, y compris les supports amovibles, les notes autocollantes et les cartes de visite, ainsi que toutes les notes et documents, chaque fois qu'ils le laissent sans surveillance.

Tous les employés doivent faire l'objet d'une vérification de sécurité si le travail implique la manipulation d'informations sensibles. La diligence raisonnable nécessite des vérifications des antécédents avant de permettre à tout membre du personnel d'accéder aux systèmes de données personnelles. Tout signalement d'espionnage par un employé doit faire l'objet d'une enquête approfondie et, en cas d'échec des mesures proactives, des mesures disciplinaires doivent être envisagées.

Protections physiques

La conformité à la LPRPDE exige que les sociétés d'hébergement protègent physiquement les données personnelles. Le public ne doit pas être en mesure de voir les données confidentielles, de sorte que l'accès aux emplacements sensibles, tels qu'un centre de données d'hébergement, doit être restreint. Choisissez un fournisseur d'hébergement qui prend au sérieux la sécurité du centre de données. Un centre de données doit être un complexe intrinsèquement sécurisé, surveillé 24 heures sur 24, 7 jours sur 7, souvent avec une surveillance personnelle et à distance de la sécurité sur site. À l'intérieur du centre de données, les salles sont verrouillées et l'accès est contrôlé au personnel autorisé à l'aide de cartes-clés.

Les bureaux, les portes et les armoires doivent être verrouillés. Les caméras de sécurité et les politiques d'accès physique sont d'autres exemples de contrôles physiques "raisonnables".

Mise à jour de la LPRPDE 2018

Depuis sa promulgation initiale, la LPRPDE exige que chaque entreprise opérant au Canada ait mis en place un programme de protection des données. Le 1er novembre 2018, les règles de sécurité des données de la LPRPDE ont été mises à jour, imposant une diligence raisonnable supplémentaire et renforçant la rigueur des règles.

Les entreprises sont désormais tenues de contrôler et de gérer toutes les données qui se trouvent dans leurs systèmes et d'imposer des restrictions d'accès appropriées aux systèmes afin de les protéger raisonnablement. Les organisations qui traitent les données des citoyens canadiens, tant nationaux qu'étrangers, devront désormais effectuer les nouvelles tâches suivantes :

  • Envoyer des avis aux utilisateurs concernés en cas de violation de la vie privée qui comporte un "risque réel de préjudice important pour un individu", comme une perte financière
  • Signaler toute atteinte à la vie privée au Commissariat à la protection de la vie privée du Canada
  • Tenir des registres de toute atteinte à la vie privée

Les directives sur le cloud du Commissariat à la protection de la vie privée ont été mises à jour le 14 décembre. Ces directives sont spécifiques au cloud ; cependant, ils se traduisent bien dans les relations avec n'importe quel fournisseur d'hébergement. La FAQ indique que la LPRPDE "n'interdit pas le cloud computing, même lorsque le fournisseur de cloud se trouve dans un autre pays". Vous pouvez alors utiliser le cloud – c'est très clair. Les paramètres au-delà sont les suivants :

  • Assurez-vous d'obtenir le consentement de chaque personne
  • Protégez toutes les données que vous collectez
  • Assurez-vous de collecter des données personnelles à des fins appropriées
  • Limiter la collecte de données personnelles aux fins indiquées
  • Mettez ces finalités à la disposition de vos utilisateurs
  • Faites connaître vos pratiques de confidentialité aux utilisateurs

Directives LPRPDE spécifiques à l'hébergement et aux tiers

Semblable à l'exigence de l'accord d'associés commerciaux (BAA) pour la conformité HIPAA dans le secteur de la santé aux États-Unis, la LPRPDE stipule que vous devez conserver la responsabilité de toutes les données chaque fois qu'elles sont transférées à ou traitées par un tiers.

Les règles ne sont pas aussi strictes que celles du BAA de l'HIPAA, qui nécessite un contrat. La LPRPDE exige que chaque organisation utilisant un tiers vérifie que la protection des données est correctement en place par "des moyens contractuels ou autres".

Toute organisation utilisant un fournisseur de cloud ou un service d'hébergement doit vérifier que le système respecte les règles de conformité à la LPRPDE, en prêtant particulièrement attention au libellé du contrat qui traite du traitement des données personnelles.

Importance des relations avec les fournisseurs pour le maintien de la conformité à la LPRPDE

Lorsque les paramètres de conformité deviennent plus rigides, les organisations se tournent de plus en plus vers des partenaires informatiques dotés d'une expertise de niche pour répondre à ces paramètres réglementaires nouveaux et spécifiques. Pour cette raison, et puisque le cloud computing et d'autres systèmes tiers sont devenus si courants dans l'industrie, il est important que les organisations s'assurent que tous les fournisseurs qui traitent leurs données suivent les mêmes directives.

Si vous cherchez à vous conformer à la LPRPDE, un fournisseur tiers peut certainement vous aider. Cependant, il est essentiel de s'assurer que l'hébergeur que vous choisissez a un dossier conforme et s'y spécialise. Chez Atlantic.Net, notre hébergement de conformité est certifié et audité par des auditeurs indépendants tiers. Nous avons plus de 25 ans d'expérience dans l'industrie; contactez-nous pour savoir comment nous pouvons vous aider.


Linux

  1. Qu'est-ce qu'une commande Chown sous Linux et comment l'utiliser

  2. Qu'est-ce que le DNS et comment ça marche ?

  3. Comment ça marche ? Que fait rm ?

  4. Qu'est-ce que `S_ISREG()` et à quoi sert-il ?

  5. Qu'est-ce que le courrier et comment est-il navigué ?

Qu'est-ce que la prison chroot et comment l'utiliser ?

Qu'est-ce que la VDI et comment ça marche ?

Commande de fichier Linux :que fait-elle et comment l'utiliser

Commande Linux Tail :qu'est-ce que c'est et comment l'utiliser

Qu'est-ce que la commande source sous Linux et comment ça marche ?

Qu'est-ce que la commande Grep sous Linux ? Pourquoi est-il utilisé et comment fonctionne-t-il ?