Conformité
Découvrez tout ce qu'il faut savoir sur la préparation au RGPD, la sécurité et la protection des données dès la conception ( SPbD ), ainsi que les obligations en matière de conformité.
Il vous incombe de vous assurer que vous êtes en conformité avec les lois et réglementations qui vous sont applicables.
Il vous incombe d'identifier et d'interpréter toutes les lois et réglementations pertinentes susceptibles d'avoir une incidence sur vos utilisateurs. Vous êtes également responsable de toutes les mesures que vos utilisateurs pourraient devoir prendre pour se conformer à ces lois et réglementations.
Vous devez vérifier si vos données contiennent des informations à caractère personnel. Instana stocke et traite des informations personnelles de base (par exemple, le nom et l'adresse) ainsi que des informations personnelles identifiables sur le plan technique (par exemple, les identifiants d'appareils et les identifiants d'actifs).
Instana est conforme aux évaluations suivantes en matière de sécurité et de confidentialité.
Sécurité et respect de la vie privée dès la conception
SPbD Disponible à l'adresse IBM, il s'agit d'un ensemble de pratiques agiles axées sur la sécurité et la confidentialité, comprenant notamment des modèles de menaces, des évaluations de la confidentialité, des tests de sécurité et la gestion des vulnérabilités.
IBM a mis au point un ensemble de processus et d'outils d' SPbD s utilisés par l'ensemble de ses divisions. Pour plus d'informations sur le cadre d'ingénierie sécurisée (SEF) de l' IBM et sur le document « SPbD, », consultez le site IBM Redbooks «Security in Development - The IBM Secure Engineering Framework» (disponible au format PDF ).
RGPD
Les informations suivantes relatives au RGPD ont pour but de vous aider à vous préparer à la mise en conformité avec le RGPD. Ce document fournit des informations sur les fonctionnalités d' Instana que vous pouvez configurer, ainsi que sur les aspects liés à l'utilisation du produit dont vous devez tenir compte pour aider votre organisation à se mettre en conformité avec le RGPD. Les informations fournies ici, ainsi que les différentes possibilités d'utilisation du produit, tant de manière autonome qu'avec des applications et des systèmes tiers, ne constituent pas une liste exhaustive.
Il vous incombe de veiller à ce que vous respectiez les différentes lois et réglementations, notamment le règlement général sur la protection des données de l'Union européenne. Il vous incombe exclusivement de solliciter l'avis d'un conseiller juridique compétent concernant l'identification et l'interprétation de toute loi ou réglementation susceptible d'avoir une incidence sur votre activité, ainsi que sur les mesures que vous pourriez être amené à prendre pour vous conformer à ces lois et réglementations.
Les produits, services et autres fonctionnalités décrits peuvent ne pas convenir à toutes les situations et leur disponibilité peut être limitée. IBM® ne fournit aucun conseil juridique, comptable ou d'audit, et ne déclare ni ne garantit que ses services ou produits vous permettront de vous conformer à une loi ou à une réglementation quelconque.
Pourquoi le règlement RGPD est-il important ?
Le RGPD établit un cadre réglementaire plus strict en matière de protection des données pour le traitement des données à caractère personnel des individus. Il apporte :
- Des droits nouveaux et renforcés pour les individus
- Une définition plus large des données personnelles
- De nouvelles obligations concernant les processeurs
- L'éventualité de pénalités financières significatives en cas de non-conformité
- Une notification obligatoire des atteintes à la protection des données
Pour plus d'informations sur le RGPD, consultez le site web ibm.com/GDPR.
Configuration du produit - Remarques relatives à la mise en conformité avec le RGPD
Les sections suivantes décrivent certains aspects de la gestion des données dans l' Instana et fournissent des informations sur les fonctionnalités qui vous aideront à respecter les exigences du RGPD.
Cycle de vie des données
Instana est conçu pour aider les équipes informatiques, les équipes de développement et les équipes d' DevOps s à fonctionner plus efficacement. Pour garantir le fonctionnement du logiciel qu'elles développent, les équipes modernes ont besoin de capacités avancées de surveillance et d'observabilité des performances des applications.
Instana concerne principalement des données techniques, dont certaines pourraient relever du RGPD. De plus, Instana contient des informations sur les utilisateurs chargés de la gestion du déploiement. Ce document vous présente ces données si vous êtes chargé de veiller au respect des exigences du RGPD. Ces données sont stockées sur des systèmes de fichiers locaux ou distants sous forme de fichiers de configuration ou dans des bases de données. Les applications intégrées à Instana peuvent traiter d'autres types de données à caractère personnel relevant du RGPD. Les mécanismes utilisés pour protéger et gérer les données sont également accessibles aux applications qui s'intègrent à Instana. Des mécanismes supplémentaires pourraient s'avérer nécessaires pour gérer et protéger les données à caractère personnel collectées par ces applications.
Pour bien comprendre Instana et ses flux de données, vous devez comprendre le fonctionnement de Kubernetes et de Docker. Ces composants open source sont essentiels à Instana.
Instana ajoute un catalogue de logiciels et de services en conteneurs provenant de Instana à la liste par défaut des dépôts d' Instana. Pour consulter la liste de tous les graphiques d' Instana, rendez-vous sur IBM /charts. Pour toute question relative au RGPD concernant les produits figurant dans le catalogue, veuillez vous reporter à la documentation de ces produits. Certaines applications disponibles dans le catalogue sont des logiciels open source. Il vous incombe de définir et de mettre en œuvre les mesures de contrôle appropriées au regard du RGPD pour les logiciels libres. Les informations relatives à ces offres figurent dans la fiche du catalogue.
Quels types de données transitent par la plateforme d' Instana
Instana traite de plusieurs catégories de données techniques pouvant être considérées comme des données à caractère personnel. Les catégories comprennent les identifiants et mots de passe des administrateurs, les identifiants et mots de passe des utilisateurs de services, les adresses IP et les noms de nœuds de l' Kubernetes. De plus, Instana contient des informations sur les utilisateurs chargés de la gestion du déploiement. Les applications intégrées peuvent introduire d'autres catégories de données à caractère personnel dont Instana n'a pas connaissance.
Les informations relatives à la manière dont ces données techniques sont collectées ou créées, stockées, consultées, sécurisées, enregistrées et supprimées sont décrites dans les sections suivantes du présent document.
Données personnelles utilisées pour le contact en ligne avec IBM
Vous pouvez envoyer des commentaires, des remarques ou des demandes de contact à l'adresse IBM concernant les sujets abordés sur Instana de différentes manières, notamment via :
- La communauté « Public Instana » Slack
- Section dédiée aux commentaires du public sur les pages de documentation des produits d' Instana, dans la documentation d' IBM
En règle générale, seuls votre nom et votre adresse e-mail sont utilisés pour permettre des réponses personnalisées à la personne concernée. L'utilisation des données à caractère personnel est conforme à la déclaration de confidentialité en ligne de l' IBM.
Collecte de données
Instana ne collecte aucune catégorie particulière de données à caractère personnel. Toutefois, il crée et gère des données techniques telles que les identifiants et mots de passe des administrateurs, les identifiants et mots de passe des utilisateurs des services, les adresses IP et les noms de nœuds du protocole de gestion de l'infrastructure ( Kubernetes ), qui pourraient être considérées comme des données à caractère personnel. Instana traite également des informations concernant les utilisateurs qui gèrent l'offre. Seul l'administrateur a accès à toutes les informations de ce type.
L'agent « Instana » prend en charge la définition de modèles pour les informations confidentielles, ce qui signifie que les données peuvent être masquées côté agent dans les données de traçage. Les données considérées comme confidentielles ne sont pas transmises à l' Instana SaaS pour y être traitées; elles ne sont donc pas disponibles pour analyse dans la console du produit ni pour extraction via les API. Pour plus d'informations, consultez la rubrique « Secrets ».
Les applications fonctionnant sur Instana peuvent collecter des données à caractère personnel.
Lorsque vous évaluez l'utilisation d' Instana -exécuter des applications conteneurisées et que vous devez vous conformer aux exigences du RGPD, vous devez tenir compte des types de données à caractère personnel collectées par l'application ainsi que des modalités de gestion de ces données, notamment :
- Comment ces données sont-elles protégées lorsqu'elles transitent par l'application ? Les données sont-elles chiffrées en transit ?
- Comment les données sont-elles stockées dans l'application ? Les données sont-elles chiffrées au repos ?
- Comment les identifiants utilisés pour accéder à l'application sont-ils collectés et stockés?
- Comment les identifiants, utilisés par l'application pour accéder aux sources de données, sont-ils collectés et stockés?
- Comment les données collectées par l'application sont-elles supprimées si nécessaire ?
Cette liste n'est pas exhaustive et ne recense pas tous les types de données collectées par Instana. Elle est fournie à titre d'exemple à prendre en compte. Si vous avez des questions sur les types de données concernées, contactez IBM.
Types de données à caractère personnel
Les types de données personnelles collectées par Instana comprennent :
Informations personnelles de base, telles que le nom, l'adresse, le numéro de téléphone et l'adresse e-mail.
Les informations personnelles techniquement identifiables, telles que les identifiants d'appareil, les identifiants liés à l'utilisation et les adresses IP statiques lorsqu'elles sont associées à une personne.
Données à caractère personnel liées à l'emploi et à la formation, telles que l'historique professionnel, le poste occupé, les informations relatives aux évaluations de performance, le contrat de travail, la formation professionnelle, le CV, les compétences linguistiques, le niveau d'études et l'appartenance à des associations professionnelles.
Les informations personnelles relatives à l'emploi et à la formation sont collectées uniquement dans l'environnement Instana SaaS, et non dans un environnement sur site.
Catégories spéciales de données à caractère personnel
Instana n'a pas été conçu pour traiter des catégories particulières de données à caractère personnel.
Stockage de données
Instana enregistre les données techniques dans des magasins de données avec état, sur des systèmes de fichiers locaux ou distants, sous forme de fichiers de configuration ou dans des bases de données. Il faut veiller à sécuriser l'ensemble des données au repos. Instana prend en charge le chiffrement des données au repos dans les bases de données avec gestion de l'état.
Accès aux données
Instana propose plusieurs groupes et rôles permettant de contrôler l'accès aux données. Les groupes et les rôles permettent de distinguer les utilisateurs standard des utilisateurs disposant de privilèges supplémentaires.
Traitement de données
En règle générale, les données utilisées pour l'authentification doivent se trouver dans un service d'annuaire ou une base de données de gestion des identités ( LDAP ). Les bases de données sont mises à disposition lors de l'installation. Veillez à les maintenir tout au long du cycle de vie des produits.
Recommandations de base
- Effectuez des sauvegardes régulières des données en fonction de vos besoins métier et du niveau de risque.
- Chiffrez les sauvegardes de données.
- Lorsque les données ne sont plus utilisées, supprimez les bases de données ou archivez-les en vue d'une utilisation ultérieure.
- En tant que contrôleur de données, fournissez les moyens de répondre aux demandes d'accès aux données concernant les renseignements personnels ou d'autres demandes de mise en conformité.
Autres considérations
- Assurez-vous que qu'un contrôle d'accès aux bases de données efficace est en place.
- Utilisez des données d'identification fortes.
- Protégez les API d'administration REST avec des données d'identification appropriées.
- Utilisez HTTPS ou des protocoles de communication sécurisés équivalents pour toutes les connexions.
- Supprimez ou modifiez tous les mots de passe par défaut.
Suppression des données
L'article 17 du RGPD stipule que les personnes concernées ont le droit de demander que leurs données à caractère personnel soient supprimées des systèmes des responsables du traitement et des sous-traitants, sans retard injustifié. Mettez en place les contrôles et les outils appropriés pour satisfaire ce droit.
Instana ne nécessite aucune méthode particulière pour la suppression des données.
Des données qui rendent compte d'informations identifiant la personne peuvent figurer à toutes les étapes du pipeline de traitement des données. La suppression des données doit inclure toutes ces étapes. Les administrateurs peuvent utiliser les fonctionnalités d' Instana pour supprimer les données des utilisateurs.
Surveillance des données
Testez, examinez et évaluez régulièrement l'efficacité de vos mesures techniques et organisationnelles afin de vous conformer au RGPD. Ces mesures devraient notamment inclure des évaluations continues de la protection de la vie privée, la modélisation des menaces, la centralisation de la journalisation des événements de sécurité et la surveillance, entre autres.
Capacité de restreindre l'utilisation des données personnelles
Grâce aux fonctionnalités décrites dans le présent document, Instana permet aux utilisateurs de restreindre l'accès à toute donnée technique considérée comme une donnée à caractère personnel.
Le règlement RGPD permet aux utilisateurs d'accéder, de modifier et de restreindre un traitement. Reportez-vous aux autres sections du présent document pour gérer les contrôles suivants :
- Droit d'accès
- Les administrateurs peuvent utiliser les fonctionnalités d' Instana s pour permettre aux utilisateurs d'accéder à leurs données.
- Les administrateurs peuvent utiliser les fonctionnalités d' Instana s pour fournir aux personnes concernées des informations sur les données les concernant que la plateforme Instana utilise.
- Droit de modification
- Les administrateurs peuvent utiliser les fonctionnalités d' Instana s pour permettre à un utilisateur de modifier ou de corriger ses données.
- Les administrateurs peuvent utiliser les fonctionnalités d' Instana s pour corriger les données d'un utilisateur à sa place.
- Droit de restreindre un traitement
- Les administrateurs peuvent utiliser les fonctionnalités d' Instana s pour mettre fin au traitement des données d'une personne.