Rapport de conformité à la Loi sur la protection des renseignements personnels (PoPIA)
Ce rapport affiche les problèmes de conformité à la Loi sur la protection des informations personnelles (PoPIA) dans votre application. De nombreuses vulnérabilités des applications Web peuvent entraîner des violations de sécurité des informations personnelles, directement ou indirectement, et peuvent être considérées comme une violation de la réglementation.
Résumé
La Loi sur la protection des informations personnelles (PoPIA) est la loi sud-africaine sur la protection des données et la vie privée, établie par la Constitution de l'Afrique du Sud le 19 novembre 2013. Il travaille parallèlement à la loi sur la promotion de l'accès à l'information et est supervisé par le régulateur de l'information indépendant chargé de garantir la conformité au PoPIA dans les secteurs public et privé.
Juridiction
La loi PoPI s'applique à toutes les personnes et organisations situées à l'intérieur des frontières de l'Afrique du Sud et s'étend aux visiteurs et aux immigrants illégaux.
Pénalités de conformité
Les violations de cette loi peuvent entraîner des sanctions, notamment des amendes ou des peines d'emprisonnement. Pour les violations des articles 100, 103(1), 104(2), 105(1), 106(1), (3) ou (4), les sanctions peuvent inclure jusqu'à 10 ans d'emprisonnement, une amende ou les deux. . En cas de violation des articles 59, 101, 102, 103(2) ou 104(1), les sanctions peuvent inclure jusqu'à 12 mois d'emprisonnement, une amende ou les deux.
Conformité exigée par
La loi sur la protection des informations personnelles (PoPIA) est entrée en vigueur le 1er juillet 2020 et a introduit un délai de grâce d'un an pour que toutes les entités sud-africaines se conforment à ses exigences. Le délai de grâce a pris fin le 30 juin 2021, la loi prenant pleinement effet le 1er juillet 2021.
AppScan et la loi PoPI
L'article 19 de la condition 7, chapitre 3 de la loi PoPI stipule que les informations personnelles doivent être protégées par des mesures de sécurité appropriées. La partie responsable doit suivre les pratiques et procédures de sécurité des informations acceptées par l’industrie.
AppScan utilise le cadre de sécurité des données ISO27001 pour garantir la mise en œuvre correcte des contrôles de sécurité des données. AppScan détecte les vulnérabilités des applications Web existantes qui peuvent indiquer une mise en œuvre incorrecte des contrôles requis par la norme ISO27001. Cette approche permet d'identifier les violations de l'article 19 et de la condition 7 de la loi PoPI.
Sections | Description |
---|---|
Chapitre 3, condition 7 - Sec. 19.1.a |
Une partie responsable doit garantir l'intégrité et la confidentialité des informations personnelles en sa possession ou sous son contrôle en prenant des mesures techniques et organisationnelles appropriées et raisonnables pour empêcher la perte, l'endommagement ou la destruction non autorisée des informations personnelles. |
Chapitre 3, condition 7 - Sec. 19.1.b |
Une partie responsable doit garantir l'intégrité et la confidentialité des informations personnelles en sa possession ou sous son contrôle en prenant des mesures techniques et organisationnelles appropriées et raisonnables pour empêcher l'accès ou le traitement illégal des informations personnelles. |
Chapitre 3, condition 7 - Sec. 19.2.a |
La partie responsable doit prendre des mesures raisonnables pour identifier tous les risques internes et externes raisonnablement prévisibles liés aux informations personnelles en sa possession ou sous son contrôle. |
Chapitre 3, condition 7 - Sec. 19.2.b |
La partie responsable doit prendre des mesures raisonnables pour établir et maintenir des garanties appropriées contre les risques identifiés. |
Chapitre 3, condition 7 - Sec. 19.2.c |
La partie responsable doit prendre des mesures raisonnables pour vérifier régulièrement que les garanties sont effectivement mises en œuvre. |
Chapitre 3, condition 7 - Sec. 19.2.d |
La partie responsable doit prendre des mesures raisonnables pour garantir que les garanties sont continuellement mises à jour en réponse à de nouveaux risques ou à des lacunes dans les garanties précédemment mises en œuvre. |
Chapitre 3, condition 7 - Sec. 19.3 |
La partie responsable doit tenir dûment compte des pratiques et procédures généralement acceptées en matière de sécurité de l'information qui peuvent s'appliquer à elle de manière générale ou être requises en termes de règles et réglementations spécifiques au secteur ou à la profession. |
Contrôle ISO A.6.2.1 |
Les risques pour les informations et les installations de traitement de l'information de l'organisation résultant de processus commerciaux impliquant des parties externes doivent être identifiés et des contrôles appropriés mis en œuvre avant d'accorder l'accès. |
Contrôle ISO A.6.2.2 |
Toutes les exigences de sécurité identifiées doivent être satisfaites avant de donner aux clients l'accès aux informations ou aux actifs de l'organisation. |
Contrôle ISO A.8.3.3 |
Les droits d'accès de tous les employés, sous-traitants et utilisateurs tiers aux informations et aux installations de traitement de l'information doivent être supprimés en cas de cessation d'emploi, de contrat ou d'accord ou ajustés en cas de changement. |
Contrôle ISO A.10.3.1 |
L'utilisation des ressources doit être surveillée, ajustée et des projections faites des besoins futurs en capacité pour garantir les performances requises du système. |
Contrôle ISO A.10.8.1 |
Des politiques, procédures et contrôles formels en matière d'échange doivent être mis en place pour protéger l'échange d'informations grâce à l'utilisation de tous les types de moyens de communication. |
Contrôle ISO A.10.9.1 |
Les informations impliquées dans le commerce électronique transitant sur les réseaux publics doivent être protégées contre les activités frauduleuses, les litiges contractuels et la divulgation et la modification non autorisées. |
Contrôle ISO A.10.9.2 |
Les informations impliquées dans les transactions en ligne doivent être protégées pour empêcher une transmission incomplète, un mauvais acheminement, une modification non autorisée des messages, une divulgation non autorisée, une duplication non autorisée de messages ou une relecture. |
Contrôle ISO A.10.9.3 |
L'intégrité des informations mises à disposition sur un système accessible au public doit être protégée pour empêcher toute modification non autorisée. |
Contrôle ISO A.11.2.2 | L'attribution et l'utilisation des privilèges doivent être restreintes et contrôlées. |
Contrôle ISO A.11.2.3 | L'attribution des mots de passe doit être contrôlée par un processus de gestion formel. |
Contrôle ISO A.11.2.4 | La direction doit examiner les droits d'accès des utilisateurs à intervalles réguliers en utilisant un processus formel. |
Contrôle ISO A.11.4.2 | Des méthodes d'authentification appropriées doivent être utilisées pour contrôler l'accès des utilisateurs distants. |
Contrôle ISO A.11.5.2 |
Tous les utilisateurs doivent disposer d'un identifiant unique pour leur usage personnel uniquement, et une technique d'authentification appropriée doit être choisie pour justifier l'identité revendiquée d'un utilisateur. |
Contrôle ISO A.11.5.5 | Les sessions inactives doivent s'arrêter après une période d'inactivité définie. |
Contrôle ISO A.11.5.6 | La restriction des temps de connexion doit être utilisée pour fournir une sécurité supplémentaire aux applications à haut risque. |
Contrôle ISO A.11.6.1 |
L'accès aux informations et aux fonctions du système d'application par les utilisateurs et le personnel d'assistance doit être restreint conformément à la politique de contrôle d'accès définie. |
Contrôle ISO A.12.2.1 | Les données saisies dans les applications doivent être validées pour garantir que ces données sont correctes et appropriées. |
Contrôle ISO A.12.2.2 |
Des contrôles de validation doivent être intégrés aux applications pour détecter toute corruption d'informations due à des erreurs de traitement ou à des actes délibérés. |
Contrôle ISO A.12.2.3 |
Les exigences visant à garantir l'authenticité et à protéger l'intégrité des messages dans les applications doivent être identifiées et des contrôles appropriés doivent être identifiés et mis en œuvre. |
Contrôle ISO A.12.3.1 |
Une politique sur l’utilisation de contrôles cryptographiques pour la protection des informations devrait être élaborée et mise en œuvre. |
Contrôle ISO A.12.4.3 | L'accès au code source du programme doit être restreint. |
Contrôle ISO A.12.5.4 | Les opportunités de fuite d’informations doivent être évitées. |
Contrôle ISO A.15.1.3 |
Les documents importants doivent être protégés contre la perte, la destruction et la falsification, conformément aux exigences légales, réglementaires, contractuelles et commerciales. |
Contrôle ISO A.15.1.4 |
La protection des données et la confidentialité doivent être garanties comme l'exigent la législation, la réglementation et, le cas échéant, les clauses contractuelles. |