個人情報保護法 (PoPIA) 準拠レポート

このレポートには、アプリケーションにおける個人情報保護法 (PoPIA) への準拠の問題が表示されます。Web アプリケーションの脆弱性の多くは、直接的または間接的に個人情報のセキュリティ違反につながる可能性があり、規則違反と見なされる可能性があります。

サマリー

個人情報保護法 (PoPIA) は、南アフリカのデータ保護とプライバシーに関する法です。これは情報アクセス促進法と並行して機能し、官民両方の部門での PoPIA 準拠の保証を担当する独立情報規制機関によって監視されます。

取扱範囲

PoPI 法は、南アフリカ共和国にいるすべての個人と組織に適用されるだけでなく、訪問者と不法移民にも適用されます。

コンプライアンス違反(_I)

この法律に違反した場合、罰金や禁錮などの処分が下される可能性があります。100、103(1)、104(2)、105(1)、106(1)、(3)、または (4) の違反には、10 年以下の禁固、罰金、またはその両方が含まれる可能性があります。 .セクション 59、101、102、103(2)、または 104(1) の違反には、最大 12 カ月の禁固、罰金、またはその両方が課せられます。

要求文書

2020 年 7 月 1 日から有効となる個人情報保護法 (PoPIA) により、南アフリカのすべての組織がその要件を遵守するための 1 年間の猶予期間が導入されました。猶予期間は 2021 年 6 月 30 日に終了し、2021 年 7 月 1 日に完全に有効になります。

AppScan と PoPI act

PoPI 法第 3 章条件 7 のセクション 19 では、個人情報は適切なセキュリティ手段によって保護する必要があると記載されています。担当者は、業界で受け入れられている情報セキュリティの実施と手順に従う必要があります。

AppScan は ISO27001 データセキュリティフレームワークを使用して、データセキュリティ制御が正しく実装されていることを確認します。AppScan は、ISO27001 で必要な制御が正しく実装されていないことを示す可能性がある、Web アプリケーションの既存の脆弱性を検出します。この方法は、PoPI 法第 19 項と条件 7 の違反を特定するのに役立ちます。

1. 規則の 28/31 セクションで検出された問題:
セクション 説明
第 3 章、条件 7 - 秒。 19.1.a

責任者は、個人情報の紛失、損傷、または不正な破棄を防止するための適切かつ合理的な技術的および組織的対策を行うことにより、自身の所有または制御下にある個人情報の完全性と機密性を保証する必要があります。

第 3 章、条件 7 - 秒。 19.1.b

責任者は、個人情報への不正なアクセスや処理を防止するための適切かつ合理的な技術的および組織的対策を行うことにより、自身の所有または管理下にある個人情報の完全性と機密性を保証する必要があります。

第 3 章、条件 7 - 秒。 19.2.a

責任者は、その所有者またはその管理下にある個人情報に対して、合理的に予測可能なすべての内部および外部のリスクを特定するための合理的な手段をとらなければなりません。

第 3 章、条件 7 - 秒。 19.2.b

責任者は、識別されたリスクに対して適切な保護手段を確立し、維持するために、合理的な手段をとらなければなりません。

第 3 章、条件 7 - 秒。 19.2.c

担当者は、保護手段が効果的に実施されていることを定期的に確認するための合理的な手段をとらなければなりません。

第 3 章、条件 7 - 秒。 19.2.d

担当者は、新規のリスクまたは以前に実装された保護手段の不備に応じて、保護手段が継続的に更新されるようにするための合理的な手段を講じる必要があります。

第 3 章、条件 7 - 秒。 19.3

担当者は、一般に適用される可能性がある、または特定の業界または専門的なルールや規則の面で要求される、一般的に受け入れられている情報セキュリティの実施および手順を十分に考慮する必要があります。

ISO コントロール A.6.2.1

アクセスを許可する前に、外部の関係者が参加したビジネスプロセスから組織の情報と情報処理設備へのリスクを識別し、適切な制御を実装する必要があります。

ISO コントロール A.6.2.2

特定されたすべてのセキュリティ要求は、組織の情報または資産へのアクセスを顧客に許可する前に解決されるものとします。

ISO コントロール A.8.3.3

すべての従業員、下請け会社、サードパーティユーザーの情報および情報処理機能へのアクセス権は、彼らの雇用、契約、または合意の終了時に削除されるか、変更時に調整される必要があります。

ISO コントロール A.10.3.1

必要なシステムパフォーマンスを確保するには、リソースの使用をモニターおよび調整し、将来の容量要件を予測する必要があります。

ISO コントロール A.10.8.1

あらゆるタイプの通信機能の使用による情報交換を保護するために、公式の交換ポリシー、手順、制御を整備する必要があります。

ISO コントロール A.10.9.1

パブリックネットワークを経由する E コマースに関連する情報は、不正行為、契約上の問題、不正な開示と変更から保護されるものとします。

ISO コントロール A.10.9.2

オンライントランザクションに関連する情報は、不完全な送信、誤ったルーティング、不正なメッセージの変更、不正な開示、不正なメッセージの複製、再生を防止するために保護されるものとします。

ISO コントロール A.10.9.3

公開されているシステムで利用可能にされている情報の完全性は、不正な変更を防止するために保護される必要があります。

ISO コントロール A.11.2.2 権限の割り当てと使用を制限および制御する必要があります。
ISO コントロール A.11.2.3 パスワードの割り当ては、正式な管理プロセスを通じて制御する必要があります。
ISO コントロール A.11.2.4 管理者は、正規のプロセスを使用して、ユーザーのアクセス権を定期的にレビューする必要があります。
ISO コントロール A.11.4.2 リモートユーザーによるアクセスを制御するには、適切な認証方法を使用する必要があります。
ISO コントロール A.11.5.2

すべてのユーザーは、個人使用のみに限定して固有の識別子を持つ必要があります。また、適切な認証方法を選択して、ユーザーの要求した ID を証明する必要があります。

ISO コントロール A.11.5.5 非アクティブセッションは、定義された時間操作が行われなかった後にシャットダウンする必要があります。
ISO コントロール A.11.5.6 リスクの高いアプリケーションのセキュリティを追加するには、接続時間の制限を使用する必要があります。
ISO コントロール A.11.6.1

ユーザーとサポート担当者による情報とアプリケーションシステム機能へのアクセスは、定義されたアクセス制御ポリシーに従って制限してください。

ISO コントロール A.12.2.1 アプリケーションへのデータ入力を検証して、このデータが正しくて適切であることを確認する必要があります。
ISO コントロール A.12.2.2

処理エラーや意図的な動作による情報の破損を検出するには、アプリケーションに検証チェックを組み込む必要があります。

ISO コントロール A.12.2.3

信頼性を保証し、アプリケーションでメッセージの完全性を保護するための要求を識別し、適切なコントロールを識別し、実装する必要があります。

ISO コントロール A.12.3.1

情報を保護するための暗号制御の使用に関するポリシーを作成し、実装する必要があります。

ISO コントロール A.12.4.3 プログラムのソースコードへのアクセスは制限する必要があります。
ISO コントロール A.12.5.4 情報漏洩の機会を防止する必要があります。
ISO コントロール A.15.1.3

重要な記録は、法、規制、契約、およびビジネスの要件に従って、紛失、破壊、改竄から保護する必要があります。

ISO コントロール A.15.1.4

データ保護とプライバシーは、関連する法律、規則、および該当する場合は契約条項で要求されるとおりに保証する必要があります。