Gestão de privacidade visão geral da solução
. Gestão de privacidade a solução fornece uma estrutura para gerenciar suas bibliotecas específicas de privacidade, como citações, políticas, objetivos de controle, declarações de risco, avaliações de impacto na privacidade, e avaliações de risco de privacidade. Ele também fornece registros de atividade de processamento para rastrear o risco de privacidade e a postura de conformidade.
Antes de planejar seu programa de privacidade, confirme se você configurou as bibliotecas de privacidade de acordo com os regulamentos de privacidade que planeja implementar. Para obter mais informações sobre a configuração da biblioteca, consulte Gerencie o. Gestão de privacidade biblioteca.
. Gestão de privacidade a solução é descrita a seguir.
Criar uma biblioteca
- Avaliações de impacto na privacidade
- Objetos de informações pessoais
- Regulamentos de privacidade, documentos de autoridade, citações e objetivos de controle.
- Políticas e procedimentos de privacidade
- Declarações de risco de privacidade
Avaliações de impacto na privacidade
Como parte do estabelecimento de um programa de privacidade robusto, os gerentes de privacidade devem primeiro identificar e documentar o inventário de ativos organizacionais que manipulam dados pessoais. Esta etapa fundamental envolve descobrir e classificar processos de negócios, aplicações, fornecedores e serviços que processam informações de identificação pessoal (PII). As abordagens a seguir descrevem como descobrir sistematicamente, validar e documentar esses inventários usando tipos de entidade, avaliações de triagem e informações orientadas pelo sistema.
- Descobrir inventário: Como gerente de privacidade, com a função
sn_privacy.manager, identifique ou descubra o inventário, como processos de negócios, aplicações de negócios, fornecedores e serviços de negócios que processam dados pessoais. Todo esse inventário é armazenado no respectivo Configuration Management Database (CMDB) tabelas. Os respectivos proprietários da empresa gerenciam o inventário. Como gerente de privacidade, use o recurso Tipos de entidade e crie uma entidade para cada registro de inventário. Para obter mais informações sobre tipos de entidade, consulte Explorando as entidades. Nesta fase, com base no método de descoberta, você pode usar uma das seguintes abordagens para criar atividades de processamento.- Pesquisar processos de negócios ou aplicações que processam dados pessoais: Use esta abordagem quando processos de negócios, aplicações, serviços ou fornecedores estiverem associados a objetos de informação. Usando a funcionalidade de tipo de entidade, pesquise entidades que processam objetos de informação [PI]. Com base nos resultados da pesquisa, crie diretamente os registros de atividade de processamento. Esta abordagem é usada somente quando os proprietários da empresa associam o inventário a objetos de informação. Para obter mais informações, consulte Escopo da entidade para planejar um programa de privacidade.
- Enviar avaliações de triagem de privacidade: Use esta abordagem quando os objetos de informação não estiverem associados ao inventário, como aplicações de negócios e processos. Nesta abordagem, envie avaliações de triagem de privacidade para os respectivos proprietários de negócios. Essas avaliações de triagem contêm perguntas básicas. Alguns exemplos das perguntas são os seguintes:
- Você está processando informações pessoais como parte do processo de negócios ou da aplicação que você possui?
- Que tipo de informações pessoais você está processando? Por exemplo, e-mail, telefone e endereço.
- Os usuários de negócios podem enviar proativamente avaliações de impacto na privacidade para novas aplicações e processos do Central do funcionário.
Gerencie e atualize as atividades de processamento
- Criar ou atualizar uma atividade de processamento: Como analista de privacidade, com a função sn_privacy.analyst, envie uma avaliação de impacto de privacidade (PIA) para a atividade de processamento ou responsáveis pela empresa após a criação de uma atividade de processamento. A avaliação de impacto na privacidade ajuda a entender por que e como a atividade de processamento processa informações pessoais. A avaliação coleta informações como justificativa para armazenar dados de PI, troca de dados de PI com outros sistemas e a segurança dos dados de PI.
- Enviar ou iniciar automaticamente a PIA: Como analista de privacidade, envie uma avaliação de impacto na privacidade (PIA) de uma atividade de processamento sempre que precisar coletar mais informações. Como alternativa, você também pode iniciar automaticamente as avaliações com base na frequência do programa de privacidade definida pelo gerente de privacidade e pelo administrador de privacidade. Uma programação de início automático pode ser criada usando ServiceNow AI Platform.
- Aplicar riscos e controles relacionados à atividade de processamento: Como analista de privacidade, depois de entender como as informações pessoais estão sendo usadas na atividade de processamento, as declarações de risco, controles, políticas e documentos de autoridade necessários são aplicados automaticamente às atividades de processamento com base nas respostas de avaliação. Para obter mais informações sobre como configurar avaliações, consulte Crie um modelo de avaliação . Depois que os controles são adicionados, o analista de privacidade pode revisar os controles e adicionar ou remover os controles conforme necessário.
- Enviar certificações de controle: Depois que o conjunto final de controles é associado à atividade de processamento, as certificações de controle são enviadas aos responsáveis pelo processo de negócios ou aos proprietários da aplicação para coletar as evidências de cada controle aplicado. Quando os proprietários da empresa respondem às certificações de controle com evidências para cada controle, controles em conformidade e fora de conformidade são identificados. Esta identificação determina a postura de conformidade da atividade de processamento.
- Relatar e monitorar problemas: Os problemas são criados automaticamente para controles fora de conformidade e são atribuídos aos respectivos proprietários de negócios. O analista de privacidade monitora os problemas.
- Gerenciar problemas: Para gerenciar problemas, os proprietários da empresa podem fazer um dos seguintes procedimentos:
- Resolver o problema: Resolver o problema torna o controle compatível.
- Gerar uma exceção de política: Uma exceção é gerada para um problema que não pode ser resolvido imediatamente. Os analistas de privacidade podem revisar as exceções da política e aceitar ou rejeitar as exceções com base na criticidade do problema.
- Monitoramento de controle contínuo: Os analistas de privacidade monitoram continuamente os controles em uma atividade de processamento usando a funcionalidade de indicador. Para obter mais informações sobre indicadores, consulte Indicadores de risco, indicadores de controle e modelos de indicador .
Avalie a criticidade das atividades de processamento
A pontuação de criticalidade fornece a postura de risco no nível da atividade de processamento, avaliando os fatores no nível da atividade de processamento. Quando uma atividade de processamento é criada ou atualizada, uma avaliação de criticidade é realizada na atividade de processamento para entender a pontuação de risco de alto nível ou a pontuação de criticidade.
Realizar avaliações de risco à privacidade
As avaliações de risco de privacidade são avaliações detalhadas que são realizadas se a pontuação de criticidade for alta. Avalie cada risco associado à atividade de processamento e conheça a pontuação de risco agregada na atividade de processamento. Depois de avaliar os riscos de privacidade, você pode exibir a postura de risco de privacidade no mapa térmico de risco na seção de visão geral. Os mapas térmicos fornecem informações detalhadas sobre seus riscos inerentes e residuais.