个人信息保护法 (PoPIA) 合规报告

此报告显示您的应用程序中的个人信息保护法 (PoPIA) 合规性问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全漏洞,并可能被视为违反法规。

摘要

《个人信息保护法》(PoPIA) 是南非的数据保护和隐私法,由南非宪法于 2013 年 11 月 19 日制定。它与《信息获取促进法》一起运作,并由负责确保公共和私营部门遵守 PoPIA 的独立信息监管机构监督。

Jurisdiction

PoPI 法案适用于南非境内的所有个人和组织,并延伸至游客和非法移民。

合规处罚

违反该法案可能会受到处罚,包括罚款或监禁。对于违反第 100、103(1)、104(2)、105(1)、106(1)、(3) 或 (4) 条的行为,处罚可能包括最高 10 年监禁、罚款或两者并罚。对于违反第 59、101、102、103(2) 或 104(1) 条的行为,处罚可能包括最高 12 个月的监禁、罚款或两者并罚。

合规要求

《个人信息保护法》(PoPIA) 于 2020 年 7 月 1 日生效,并为所有南非实体提供一年的宽限期以遵守其要求。宽限期于2021年6月30日结束,该法案于2021年7月1日全面生效。

AppScan 和 PoPI 法案

PoPI 法案第 3 章第 7 条第 19 节规定,需要采取适当的安全措施来保护个人信息。责任方必须遵循行业认可的信息安全实践和程序。

AppScan 使用 ISO27001 数据安全框架来确保数据安全控制的正确实施。AppScan 检测现有的 Web 应用程序漏洞,这些漏洞可能表明 ISO27001 所需的控制措施实施不当。此方法有助于识别违反 PoPI 法案第 19 条和条件 7 的行为。

1. 该法规 28/31 部分中发现的问题:
区段 描述
第 3 章,条件 7 - 秒。 19.1.a

责任方必须采取适当、合理的技术和组织措施,确保其拥有或控制的个人信息的完整性和机密性,以防止个人信息丢失、损坏或未经授权的销毁。

第 3 章,条件 7 - 秒。 19.1.b

责任方必须采取适当、合理的技术和组织措施,防止非法访问或处理个人信息,确保其拥有或控制的个人信息的完整性和机密性。

第 3 章,条件 7 - 秒。 19.2.a

责任方必须采取合理措施,识别其拥有或控制的个人信息的所有合理可预见的内部和外部风险。

第 3 章,条件 7 - 秒。 19.2.b

责任方必须采取合理措施,针对已识别的风险建立并维持适当的保障措施。

第 3 章,条件 7 - 秒。 19.2.c

责任方必须采取合理措施定期验证保障措施是否得到有效实施。

第 3 章,条件 7 - 秒。 19.2.d

责任方必须采取合理措施,确保不断更新保障措施,以应对新的风险或先前实施的保障措施中的缺陷。

第 3 章,条件 7 - 秒。 19.3

责任方必须适当考虑普遍适用的普遍接受的信息安全实践和程序,或者特定行业或专业规则和法规的要求。

ISO 控制 A.6.2.1

在授予访问权限之前,应识别涉及外部各方的业务流程对组织的信息和信息处理设施造成的风险,并实施适当的控制。

ISO 控制 A.6.2.2

在允许客户访问组织的信息或资产之前,应满足所有已确定的安全要求。

ISO 控制 A.8.3.3

所有员工、承包商和第三方用户对信息和信息处理设施的访问权限应在其雇佣、合同或协议终止时取消,或在变更时进行调整。

ISO 控制 A.10.3.1

应监控、调整资源的使用并预测未来的容量需求,以确保所需的系统性能。

ISO 控制 A.10.8.1

应制定正式的交换政策、程序和控制措施,以保护通过使用所有类型的通信设施进行的信息交换。

ISO 控制 A.10.9.1

通过公共网络传输的电子商务信息应当受到保护,防止欺诈活动、合同纠纷以及未经授权的披露和修改。

ISO 控制 A.10.9.2

在线交易中涉及的信息应受到保护,以防止不完整传输、错误路由、未经授权的消息篡改、未经授权的披露、未经授权的消息复制或重播。

ISO 控制 A.10.9.3

应保护公共可用系统上提供的信息的完整性,以防止未经授权的修改。

ISO 控制 A.11.2.2 特权的分配和使用应当受到限制和控制。
ISO 控制 A.11.2.3 密码的分配应通过正式的管理流程进行控制。
ISO 控制 A.11.2.4 管理层应使用正式流程定期审查用户的访问权限。
ISO 控制 A.11.4.2 应使用适当的身份验证方法来控制远程用户的访问。
ISO 控制 A.11.5.2

所有用户都应该有一个仅供个人使用的唯一标识符,并且应该选择合适的身份验证技术来证实用户所声称的身份。

ISO 控制 A.11.5.5 非活动会话应在定义的不活动时间后关闭。
ISO 控制 A.11.5.6 应使用对连接时间的限制来为高风险应用程序提供额外的安全性。
ISO 控制 A.11.6.1

用户和支持人员对信息和应用系统功能的访问应根据定义的访问控制策略进行限制。

ISO 控制 A.12.2.1 应验证输入到应用程序的数据,以确保该数据正确且适当。
ISO 控制 A.12.2.2

应将验证检查纳入应用程序中,以检测由于处理错误或故意行为而造成的任何信息损坏。

ISO 控制 A.12.2.3

应确定确保应用程序中的真实性和保护消息完整性的要求,并确定和实施适当的控制措施。

ISO 控制 A.12.3.1

应制定并实施使用加密控制来保护信息的政策。

ISO 控制 A.12.4.3 应限制对程序源代码的访问。
ISO 控制 A.12.5.4 应防止信息泄露的机会。
ISO 控制 A.15.1.3

应根据法律、法规、合同和业务要求,保护重要记录免遭丢失、破坏和伪造。

ISO 控制 A.15.1.4

应按照相关法律、法规以及合同条款(如果适用)的要求确保数据保护和隐私。