Privacy Management visão geral da solução
A solução Privacy Management fornece uma estrutura para gerenciar suas bibliotecas específicas de privacidade, como citações, políticas, objetivos de controle, declarações de risco, avaliações de impacto de privacidade e avaliações de risco de privacidade. Ele também fornece registros de atividade de processamento para rastrear o risco de privacidade e a postura de conformidade de um aplicativo de negócios ou um processo de negócios aplicando e monitorando os riscos e controles relevantes.
Antes de planejar seu programa de privacidade, certifique-se de configurar as bibliotecas de privacidade de acordo com os regulamentos de privacidade que você planeja implementar. Para obter mais informações sobre a configuração da biblioteca, consulte Gerenciar a biblioteca Privacy Management.
A solução Privacy Management é descrita a seguir.
Criar uma biblioteca
- Avaliações de impacto de privacidade
- Objetos de informações pessoais
- Regulamentos de privacidade, documentos de autoridade, citações e objetivos de controle.
- Políticas e procedimentos de privacidade
- Declarações de risco de privacidade
Avaliações de impacto de privacidade
- Descobrir inventário: como gerente de privacidade, com a função sn_privacy.manager, identifique ou descubra o inventário, como processos de negócios, aplicações de negócios, fornecedores e serviços de negócios que processam dados pessoais. Todo esse inventário é armazenado nas respectivas tabelas Configuration Management Database (CMDB). Os respectivos proprietários da empresa gerenciam o inventário. Como gerente de privacidade, use o recurso de tipos de entidade e crie uma entidade para cada registro de inventário. Para obter mais informações sobre tipos de entidade, consulte Explorando as entidades. Nesta fase, com base no método de descoberta, você pode usar uma das seguintes aproximações para criar atividades de processamento.
- Pesquisar processos de negócios ou aplicações que processam dados pessoais: use esta abordagem quando processos de negócios, aplicações, serviços ou fornecedores estiverem associados a objetos de informação. Usando a funcionalidade de tipo de entidade, pesquise entidades que processam objetos de informação [PI]. Com base nos resultados da pesquisa, crie diretamente os registros de atividade de processamento. Esta abordagem é usada somente quando os proprietários da empresa associam o inventário a objetos de informação. Para obter mais informações, consulte Escopo de entidade para planejar um programa de privacidade.
- Enviar avaliações de triagem de privacidade: use esta abordagem quando os objetos de informação não estiverem associados ao inventário, como aplicações de negócios e processos. Nesta abordagem, envie avaliações de triagem de privacidade para os respectivos proprietários da empresa. Essas avaliações de triagem contêm perguntas básicas. Alguns exemplos das perguntas são os seguintes:
- Você está processando informações pessoais como parte do processo de negócios ou da aplicação que possui?
- Que tipo de informações pessoais você está processando? Por exemplo, e-mail, telefone e endereço.
- Os usuários comerciais podem enviar proativamente avaliações de impacto de privacidade para novas aplicações e processos do Central do funcionário.
Gerenciar e atualizar as atividades de processamento
- Criar ou atualizar uma atividade de processamento: como analista de privacidade, com a função sn_privacy.analyst, envie uma avaliação de impacto de privacidade (PIA) para a atividade de processamento ou para os proprietários da empresa depois que uma atividade de processamento for criada. A avaliação de impacto na privacidade ajuda a entender por que e como a atividade de processamento processa informações pessoais. A avaliação coleta informações como justificativa para armazenar dados de PI, troca de dados de PI com outros sistemas e a segurança dos dados de PI.
- Enviar ou iniciar automaticamente a PIA: como analista de privacidade, envie uma avaliação de impacto de privacidade (PIA) de uma atividade de processamento sempre que precisar coletar mais informações. Como alternativa, você também pode iniciar automaticamente as avaliações com base na frequência do programa de privacidade definida pelo gerenciador de privacidade e pelo administrador de privacidade. Uma programação de inicialização automática pode ser criada usando os recursos Now Platform.
- Aplicar riscos e controles relacionados à atividade de processamento: como analista de privacidade, depois de entender como as informações pessoais estão sendo usadas na atividade de processamento, as declarações de risco, controles, políticas e documentos de autoridade necessários são aplicados automaticamente às atividades de processamento com base em as respostas da avaliação. Para obter mais informações sobre como configurar avaliações, consulte Criar um modelo de avaliação. Depois que os controles são adicionados, o analista de privacidade pode revisar os controles e adicionar ou remover os controles conforme necessário.
- Enviar certificações de controle: depois que o conjunto final de controles é associado à atividade de processamento, as certificações de controle são enviadas aos responsáveis pelo processo de negócios ou aos responsáveis pela aplicação para coletar as evidências de cada controle aplicado. Quando os proprietários de negócios respondem às certificações de controle com evidências para cada controle, os controles em conformidade e fora de conformidade são identificados. Essa identificação determina a postura de conformidade da atividade de processamento.
- Relatar e monitorar problemas: os problemas são criados automaticamente para controles fora de conformidade e são atribuídos aos respectivos proprietários de negócios. O analista de privacidade monitora os problemas.
- Gerenciar problemas: para gerenciar problemas, os proprietários da empresa podem fazer o seguinte:
- Resolver o problema: resolver o problema torna o controle compatível.
- Gerar uma exceção de política: uma exceção é gerada para um problema que não pode ser resolvido imediatamente. Os analistas de privacidade podem revisar as exceções de política e aceitar ou rejeitar as exceções com base na criticidade do problema.
- Monitoramento de controle contínuo: os analistas de privacidade monitoram continuamente os controles em uma atividade de processamento usando a funcionalidade do indicador. Para obter mais informações sobre indicadores, consulte Indicadores de risco, indicadores de controle e modelos de indicador.
Avaliar a criticidade das atividades de processamento
A pontuação de criticalidade fornece a postura de risco no nível de atividade de processamento, avaliando os fatores no nível de atividade de processamento. Quando uma atividade de processamento é criada ou atualizada, uma avaliação de criticidade é realizada na atividade de processamento para entender a pontuação de risco de alto nível ou a pontuação de criticalidade.
Realizar avaliações de risco de privacidade
As avaliações de risco de privacidade são avaliações detalhadas que são realizadas se a pontuação de criticalidade for alta. Avalie cada risco associado à atividade de processamento e saiba a pontuação de risco agregada na atividade de processamento. Depois de avaliar os riscos de privacidade, você pode exibir a postura de risco de privacidade no mapa térmico de risco na seção de visão geral. Os mapas térmicos fornecem informações detalhadas sobre seus riscos inerentes e residuais.