GDPR: dados pessoais transferidos para um país terceiro

O Regulamento Geral sobre a Proteção de Dados (GDPR) busca criar uma estrutura de lei de proteção de dados harmonizada na UE e tem como objetivo devolver aos titulares de dados o controle de seus dados pessoais, enquanto impõe regras rigorosas na hospedagem e processamento desses dados em qualquer lugar no mundo.

O IBM® QRadar® pode ajudá-lo com a conformidade com o GDPR detectando dados pessoalmente identificáveis em eventos e fluxos e, em seguida, criando uma ofensa quando os dados são transferidos

Para que o QRadar forneça o monitoramento máximo de conformidade do GDPR, deve-se instalar o IBM QRadar Content Extension for GDPR por meio do IBM Security App Exchange. Não é necessário instalar a extensão de conteúdo para executar esta simulação.

Simulando a ameaça

A simulação GDPR: dados pessoais transferidos para um país terceiro trata uma situação em que um funcionário transfere dados pessoalmente identificáveis (PII), se de forma intencional ou acidental, para um país terceiro que não é governado por regulamentações de GDPR. A empresa não colocou as proteções adequadas em vigor para manipular a transferência de dados PII para o país terceiro, rompendo a política da empresa e as regulamentações de GDPR.

Os dados PII podem ser endereços de e-mail, informações de passaporte, números de seguridade social ou o que quer que a empresa determine que sejam dados pessoalmente identificáveis.

Para ver como o QRadar detecta a ameaça, execute a simulação.
  1. Na guia Atividade de log, clique em Mostrar Experience Center.
  2. Clique em Simulador de ameaça.
  3. Localize a simulação GDPR: dados pessoais transferidos para um país terceiro e clique em Executar.

Na guia Log Activity (Atividade do log), você pode ver os eventos de tunelamento de pacotes de dados ( SSL ) que estão chegando QRadar. Esses eventos simulam um usuário de amostra, user1, que está transferindo dados pessoais para um país terceiro, conforme determinado pelo endereço IP de destino. Esse tipo de transferência de dados geralmente não é intencional. Ao revisar a carga útil do evento, é possível ver que o usuário compartilhou um endereço de e-mail, que é considerado dados pessoais.

Detectando a ameaça: QRadar em ação

Nesta simulação, o evento Tunelamento SSL indica que o usuário transferiu dados pessoais para um país terceiro. O Custom Rule Engine (CRE) processa o evento, que aciona uma regra que cria um novo evento chamado EC: dados pessoais transferidos para países/regiões terceiros.

Para avisar sobre a ameaça potencial, o CRE também cria um delito chamado Dados pessoais transferidos para países/regiões terceiros (Exp Center) e associa todos os eventos que contribuem com ele. O delito é indexado para que agrupe todos os eventos contribuintes com o mesmo endereço IP de destino em um único delito.

Para saber mais sobre as informações detalhadas que o QRadar usa para analisar o evento e priorizar a ofensa, reproduza o vídeo GDPR: dados pessoais transferidos para um país terceiro , que está disponível na página Simulador de ameaça no aplicativo QRadar Experience Center ..

Investigando a ameaça

O conteúdo do IBM QRadar a seguir é criado pelo GDPR: dados pessoais transferidos para uma simulação de ameaça de país terceiro. Depois de executar a simulação, é possível usar este conteúdo para rastrear e investigar a ameaça.

Tabela 1. QRadar conteúdo para o GDPR: dados pessoais transferidos para um país terceiro simulação
Conteúdo Nome
Pesquisa salva CE: GDPR
Evento recebido SSL Tunelamento

A origem de log para o evento recebido é Experience Center: Checkpoint.

Regra EC: dados pessoais transferidos para países/regiões terceiros
Evento Gerado EC: dados pessoais transferidos para países/regiões terceiros

A origem de log para eventos que são gerados pelo QRadar é o Custom Rule Engine (CRE).

Ofensa Dados pessoais transferidos para países/regiões terceiros (Exp Center)

Dependendo dos eventos e das regras existentes em seu ambiente antes de executar o caso de uso, o nome do delito pode incluir precedido por <offense name> ou contendo <offense name>.

O delito é indexado com base no Endereço IP de destino, significando que todos os eventos que acionam esta regra e que têm o mesmo endereço IP de destino fazem parte do mesmo delito.