Gestão de privacidade visão geral da solução
A solução Gestão de privacidade fornece uma estrutura para gerenciar suas bibliotecas específicas de privacidade, como citações, políticas, objetivos de controle, declarações de risco, avaliações de impacto de privacidade e avaliações de risco de privacidade. Ele também fornece registros de atividades de processamento para rastrear o risco de privacidade e a postura de conformidade de uma aplicação de negócios ou de um processo de negócios, aplicando e monitorando os riscos e controles relevantes.
Antes de planejar seu programa de privacidade, certifique-se de configurar as bibliotecas de privacidade de acordo com as regulamentações de privacidade que você planeja implementar. Para obter mais informações sobre a configuração da biblioteca, consulte Gerenciar a Gestão de privacidade biblioteca.
A solução Gestão de privacidade é descrita da seguinte forma.
Criar uma biblioteca
- Avaliações de impacto de privacidade
- Objetos de informações pessoais
- Regulamentos de privacidade, documentos de autoridade, citações e objetivos de controle.
- Políticas e procedimentos de privacidade
- Declarações de risco de privacidade
Avaliações de impacto de privacidade
- Descobrir inventário: como gerente de privacidade, com a função sn_privacy.manager, identifique ou descubra o inventário, como processos de negócios, aplicações de negócios, fornecedores e serviços de negócios que processam dados pessoais. Todo esse inventário é armazenado nas respectivas tabelas Configuration Management Database (CMDB). Os respectivos responsáveis pelo negócio gerenciam o inventário. Como gerente de privacidade, use o recurso Tipos de entidade e crie uma entidade para cada registro de inventário. Para obter mais informações sobre tipos de entidade, consulte Explorando as entidades. Nesta fase, com base no método de descoberta, você pode usar uma das seguintes abordagens para criar atividades de processamento.
- Pesquisar processos de negócios ou aplicações que processam dados pessoais: use essa abordagem quando processos de negócios, aplicações, serviços ou fornecedores estiverem associados a objetos de informações. Usando a funcionalidade de tipo de entidade, pesquise entidades que processam objetos de informação [PI]. Com base nos resultados da pesquisa, crie diretamente os registros de atividade de processamento. Essa abordagem é usada somente quando os responsáveis pelo negócio associam o inventário a objetos de informação. Para obter mais informações, consulte Escopo da entidade para planejar um programa de privacidade.
- Enviar avaliações de triagem de privacidade: use essa abordagem quando os objetos de informação não estiverem associados ao inventário, como aplicações e processos de negócios. Nesta abordagem, envie avaliações de triagem de privacidade para os respectivos responsáveis pelo negócio. Essas avaliações de triagem contêm perguntas básicas. Alguns exemplos das perguntas são os seguintes:
- Você está processando informações pessoais como parte do processo de negócios ou da aplicação que possui?
- Que tipo de informações pessoais você está processando? Por exemplo, e-mail, telefone e endereço.
- Os usuários comerciais podem enviar avaliações de impacto na privacidade de forma proativa para novas aplicações e processos do Central do funcionário.
Gerenciar e atualizar as atividades de processamento
- Criar ou atualizar uma atividade de processamento: como analista de privacidade, com a função sn_privacy.analyst, envie uma avaliação de impacto na privacidade (PIA) para a atividade de processamento ou para os responsáveis pelo negócio após a criação de uma atividade de processamento. A avaliação de impacto na privacidade ajuda a entender por que e como a atividade de processamento processa informações pessoais. A avaliação coleta informações como justificativa para armazenar dados de PI, troca de dados de PI com outros sistemas e a segurança dos dados de PI.
- Enviar ou iniciar automaticamente a PIA: como analista de privacidade, envie uma avaliação de impacto na privacidade (PIA) de uma atividade de processamento sempre que precisar coletar mais informações. Como alternativa, você também pode iniciar automaticamente as avaliações com base na frequência do programa de privacidade definida pelo gerente de privacidade e pelo administrador de privacidade. Uma programação de início automático pode ser criada usando os recursos Now Platform.
- Aplicar riscos e controles relacionados à atividade de processamento: como analista de privacidade, depois de entender como as informações pessoais estão sendo usadas na atividade de processamento, as declarações de risco, controles, políticas e documentos de autoridade necessários são aplicados automaticamente às atividades de processamento com base em as respostas da avaliação. Para obter mais informações sobre como configurar avaliações, consulte Criar um modelo de avaliação. Depois que os controles são adicionados, o analista de privacidade pode revisar os controles e adicionar ou remover os controles conforme necessário.
- Enviar certificações de controle: depois que o conjunto final de controles é associado à atividade de processamento, as certificações de controle são enviadas aos responsáveis pelo processo de negócios ou aos responsáveis pela aplicação para coletar as evidências de cada controle aplicado. Quando os responsáveis pelo negócio respondem às certificações de controle com evidências para cada controle, os controles em conformidade e fora de conformidade são identificados. Essa identificação determina a postura de conformidade da atividade de processamento.
- Relatar e monitorar problemas: os problemas são criados automaticamente para controles fora de conformidade e são atribuídos aos respectivos responsáveis pelo negócio. O analista de privacidade monitora os problemas.
- Gerenciar problemas: para gerenciar problemas, os responsáveis pelo negócio podem fazer o seguinte:
- Resolver o problema: resolver o problema torna o controle compatível.
- Gerar uma exceção à política: uma exceção é gerada para um problema que não pode ser resolvido imediatamente. Os analistas de privacidade podem revisar as exceções às políticas e aceitá-las ou rejeitá-las com base na criticidade do problema.
- Monitoramento de controle contínuo: os analistas de privacidade monitoram continuamente os controles em uma atividade de processamento usando a funcionalidade do indicador. Para obter mais informações sobre indicadores, consulte Indicadores de risco, indicadores de controle e modelos de indicador.
Avaliar a criticidade das atividades de processamento
A pontuação de criticalidade fornece a postura de risco no nível da atividade de processamento, avaliando os fatores no nível da atividade de processamento. Quando uma atividade de processamento é criada ou atualizada, uma avaliação de criticalidade é realizada na atividade de processamento para entender a pontuação de risco de alto nível ou a pontuação de criticalidade.
Realizar avaliações de risco de privacidade
As avaliações de risco de privacidade são avaliações detalhadas que são realizadas se a pontuação de criticalidade for alta. Avalie cada risco associado à atividade de processamento e saiba a pontuação de risco agregada na atividade de processamento. Depois de avaliar os riscos de privacidade, você pode exibir a postura de risco de privacidade no mapa térmico de risco na seção de visão geral. Os mapas térmicos fornecem informações detalhadas sobre seus riscos inerentes e residuais.