Operacionalizando a Conformidade com a Regra do DOJ para Transferências em Massa de Dados Pessoais Sensíveis

Em 2024, o Presidente Biden emitiu uma Ordem Executiva orientando o Departamento de Justiça a regular a transferência de dados do governo dos EUA e dados pessoais sensíveis dos EUA em massa para "países de preocupação" - China, Cuba, Irã, Coreia do Norte, Rússia e Venezuela - bem como para pessoas ou empresas sob seu controle.

O objetivo da Ordem é impedir que adversários dos Estados Unidos adquiram dados que possam ser usados para espionagem, ou para treinar modelos de I.A. que possam representar uma ameaça à segurança nacional dos EUA, ou que de outra forma apresentem um risco significativo de dano aos interesses do governo dos EUA ou dos cidadãos americanos.

A Regra do Programa de Segurança de Dados do DOJ atinge os propósitos da Ordem ao proibir ou restringir certos tipos de "transações cobertas" - corretagens de dados, acordos de emprego, acordos com fornecedores e acordos de investimento - que envolvem quantidades em massa de dados pessoais sensíveis pertencentes a certas categorias definidas. De modo geral, quanto mais sensíveis os dados, como dados genômicos ou biométricos, menos instâncias são necessárias para serem consideradas "em massa".

Tanto a Ordem quanto a Regra deixam claro que seu propósito não é impor um requisito geral de localização de dados como vimos em países como China e Rússia. Embora algumas transferências sejam proibidas, transações restritas podem prosseguir desde que os controladores de dados tenham implementado controles adequados de segurança e governança de dados, e esclarecido os requisitos de privacidade e segurança subsequentes para processadores terceirizados por meio de salvaguardas como cláusulas contratuais específicas.

Tampouco é a intenção sobrecarregar o intercâmbio comercial ou científico legítimo. A maioria das transferências de PII ou dados financeiros provavelmente se enquadrará na exceção para transações comerciais normais, por exemplo. No entanto, o governo espera que as organizações envolvidas em transações cobertas "conheçam seus dados" e "tenham consciência do tipo e volume de seus dados". É aí que o DSPM se torna essencial.

Compreendendo os Recursos de Descoberta e Classificação de Dados da Cyera

A Plataforma de Segurança de Dados nativa de IA da Cyera descobre os dados da sua organização em datastores SaaS, PaaS, IaaS e DBaaS, bem como em recursos on-premises. Você verá quantos datastores você tem, quantos registros por datastore, onde residem os titulares dos dados desses registros e quem tem acesso. E a implantação sem agente da Cyera significa que você obterá essa visibilidade do seu ecossistema de dados em minutos, não em meses.

Além disso, o mecanismo de classificação da Cyera vem com classificadores pré-treinados alinhados à maioria dos principais frameworks regulatórios, permitindo que ele identifique informações de identificação pessoal (PII), informações de saúde pessoal (PHI) e várias categorias de informações financeiras pessoais, como números de cartão de crédito e contas bancárias. Os insights contextuais incluem a identificação de informações como a região onde um repositório de dados está localizado ou a residência dos titulares dos dados.

Além de seus classificadores prontos para uso, o DSPM da Cyera também pode aprender categorias de dados exclusivas da sua organização. Em média, de 20 a 40 por cento dos dados de nossos clientes pertencem a uma dessas classificações aprendidas, incluindo tudo, desde PII como "ID do Funcionário" até propriedade intelectual valiosa como "fórmulas de produtos" ou "receitas".

Embora a IA da Cyera possa provavelmente aprender as categorias de dados mais importantes para sua organização, nossos engenheiros de sucesso do cliente estão prontos para ajudá-lo a desenvolver regras personalizadas, se necessário, para garantir que você obtenha o máximo valor possível de sua implantação. Entre os métodos de classificação prontos para uso e aprendidos, e nosso mecanismo de políticas flexível, praticamente todos os casos de uso comerciais e regulatórios importantes são cobertos. Em comparação com esforços manuais, a Cyera oferece visibilidade e classificação precisa muito mais rapidamente e a um custo significativamente menor.

Além dos Insights: Remediação e Validação

Mas a Cyera também oferece controle. Ela monitora seu ecossistema de dados em busca de novos armazenamentos de dados e novos usuários. Identifica usuários de risco com permissões excessivas ou usuários inativos cujas contas deveriam ser desprovisionadas. Mantém o controle sobre o aumento gradual de permissões e o compartilhamento excessivo e, ao identificar a residência de seus usuários de "países de preocupação", pode ajudá-lo a cumprir a Ordem e Regra do DOJ.

Você não apenas pode explorar e ver quem tem acesso aos seus dados dentro da plataforma Cyera, mas também pode definir políticas para alertar quando um número crítico de registros de uma determinada categoria de dados ("Dados Financeiros Pessoais", por exemplo) for descoberto em um armazenamento de dados acessível por usuários localizados em uma região ou país específico. Mais importante ainda, a Cyera permite que você transforme esses alertas em ação, integrando-se com suas ferramentas de fluxo de trabalho e facilitando a remediação automatizada. Ela também pode enviar notificações diretamente para as partes interessadas relevantes (por exemplo, privacidade, segurança, conformidade) por e-mail ou Slack, com instruções para remediação manual.

A Cyera pode gerar logs de auditoria e relatórios, facilitando a documentação do escopo das transações que motivaram uma análise e as ações de remediação tomadas para fins de conformidade com o DOJ. Se solicitado por reguladores federais, você pode aproveitar os recursos de auditoria e relatórios da Cyera para atestar a quantidade e a localização de dados pessoais sensíveis em seu ecossistema de dados, bem como seus esforços para limitar ou remover o acesso aos seus dados por usuários localizados em países de preocupação.

A conformidade pode muitas vezes parecer uma tarefa assustadora, mas atender às exigências da Regra do Programa de Segurança de Dados não precisa exigir um esforço hercúleo. O DOJ quer que as organizações conheçam seus dados e os mantenham seguros. Na Cyera, isso é literalmente nosso mantra. E com a visibilidade e o controle proporcionados pela Cyera, nunca foi tão fácil. Para saber mais, solicite uma demonstração hoje em Cyera.com.