Der Countdown läuft für die Keyfactor Tech Days | Sichern Sie sich noch heute Ihren Platz!

GDPR: Digitale Zertifikate und PII

Die Allgemeine Datenschutzverordnung (GDPR) ist da. Sie tritt am 25. Mai 2018 in Kraft und zielt darauf ab, die Rechte der Bürgerinnen und Bürger der Europäischen Union auf Datenschutz und Privatsphäre zu verbessern. Die DSGVO betrifft zwei Hauptbereiche, die für die meisten Organisationen von Bedeutung sind:

  • Wie man alle Daten identifiziert, die personenbezogene Daten (PII) enthalten
  • Wie man herausfindet, welche Daten bei einer Sicherheitsverletzung möglicherweise preisgegeben wurden

Die Datenschutz-Grundverordnung unterscheidet außerdem zwei Arten von PII. Direkte PII, d. h. Datenelemente, die typischerweise als PII identifiziert werden, wie Name, Adresse usw., und indirekte PII, d. h. Dinge, die zur indirekten Identifizierung eines Nutzers verwendet werden können, wie Rechnernamen, IP-Adresse usw.

Viele Organisationen stellen digitale Zertifikate aus, um Benutzer für Authentifizierungs- und Autorisierungszwecke zu identifizieren. Diese Zertifikate enthalten Informationen, die von der Datenschutz-Grundverordnung als direkte PII bezeichnet werden. Organisationen stellen auch oft Zertifikate für Geräte für den Zugang zu Netzwerken oder die Fernverwaltung aus, und diese Zertifikate enthalten indirekte PII, die normalerweise einen Benutzer an ein Gerät binden.

Infolgedessen unterliegen digitale Zertifikate, die für Nutzer und Geräte ausgestellt wurden, der DSGVO und erfordern daher die gleiche Sorgfalt, Aufmerksamkeit und Einsicht wie andere über Nutzer und Kunden gespeicherte Informationen.

Ein digitales Benutzerzertifikat enthält personenbezogene Daten und kann für eine Vielzahl von Zwecken verwendet werden, zu denen die sensibelsten gehören:

  • rechtsverbindliche Unterzeichnung von Dokumenten
  • Verschlüsselung von vertraulichen Daten
  • Authentifizierung gegenüber gesicherten Systemen

Neben dem offensichtlichen Bedarf an gut kontrollierten Bereitstellungsprozessen für digitale Benutzerzertifikate müssen Unternehmen in der Lage sein, diese eindeutig zu identifizieren, darüber zu berichten und sie auf Wunsch zu widerrufen und zu löschen.

Die Möglichkeit, digitale Benutzerzertifikate während ihres gesamten Lebenszyklus zentral zu verwalten, ist mit der CMS Digital Certificate and PKI Operations Management Platform von CSS möglich. In diesem Beispiel arbeiten wir mit Zertifikaten, die für eine bestimmte Untergruppe von Benutzern in einem Verzeichnis ausgestellt wurden, deren Konten sich in einer Organisationseinheit mit länderspezifischen Attributen befinden; in diesem Fall Frankreich. Mit einer EU-spezifischen Zertifikatsammlung, die in der CMS-Konsole definiert ist, können die Benutzer einen sofortigen Überblick über die Zertifikate in ihrer Umgebung erhalten, die in den Geltungsbereich der Datenschutzgrundverordnung fallen.

GDPR_PKI1

Das Hinzufügen dieser Sammlung zum CMS-Dashboard in der definierten Zertifikatsuche (siehe oben) bietet den Nutzern der CMS-Konsole eine unmittelbare Sichtbarkeit der GDPR-konformen Zertifikate.

GDPR_PKI2

Wie oben dargestellt, werden in der Sammelansicht "EU-Benutzerzertifikate" die Zertifikate, die den angegebenen Suchkriterien entsprechen, mit Optionen für Aktualisierungen, Widerrufe und Löschungen angezeigt, entweder für einzelne Zertifikate, mehrere Zertifikate oder alle Zertifikate. Es besteht auch die Möglichkeit, den resultierenden Datensatz zur Analyse in anderen Tools herunterzuladen.

In diesem Blog wurde nur ein Beispiel für die GDPR-Governance in Bezug auf Ihre Public-Key-Infrastruktur (PKI) im Unternehmen behandelt. CSS kann mit Ihnen im Rahmen eines CMS Enterprise™- (vor Ort oder in der Cloud) oder eines CMS Sapphire™-Modells (PKI Managed Service für Unternehmen) zusammenarbeiten, um sicherzustellen, dass die Abonnenten digitaler Zertifikate in den Schutz eingeweiht sind, der ihnen durch die DSGVO gewährt wird, und um die Einhaltung der Vorschriften für Ihr Unternehmen nachzuweisen.