個人資訊保護法 (PoPIA) 合規性報告

此報告顯示您的應用程式中的個人資訊保護法 (PoPIA) 合規性問題。許多 Web 應用程式漏洞可能會直接或間接導致個人資訊安全漏洞,並可能被視為違反法規。

摘要

《個人資訊保護法》(PoPIA) 是南非的資料保護和隱私法,由南非憲法於 2013 年 11 月 19 日制定。它與《資訊取得促進法》一起運作,並由負責確保公共和私營部門遵守 PoPIA 的獨立資訊監管機構監督。

適用範圍

PoPI 法案適用於南非境內的所有個人和組織,並延伸至遊客和非法移民。

合規處罰

違反該法案可能會受到處罰,包括罰款或監禁。對於違反第 100、103(1)、104(2)、105(1)、106(1)、(3) 或 (4) 條的行為,處罰可能包括最高 10 年監禁、罰款或兩者併罰。對於違反第 59、101、102、103(2) 或 104(1) 條的行為,處罰可能包括最高 12 個月的監禁、罰款或兩者併罰。

合規要求

《個人資訊保護法》(PoPIA) 於 2020 年 7 月 1 日生效,並為所有南非實體提供一年的寬限期以遵守其要求。寬限期於2021年6月30日結束,該法案於2021年7月1日全面生效。

AppScan 和 PoPI 法案

PoPI 法案第 3 章第 7 條第 19 條規定,需要採取適當的安全措施來保護個人資訊。責任方必須遵循業界認可的資訊安全實務和程序。

AppScan 使用 ISO27001 資料安全框架來確保資料安全控制的正確實作。AppScan 偵測現有的 Web 應用程式漏洞,這些漏洞可能表示 ISO27001 所需的控制措施實施不當。此方法有助於識別違反 PoPI 法案第 19 條和條件 7 的行為。

1. 該法規 28/31 部分發現的問題:
區段 說明
第 3 章,條件 7 - 秒。 19.1.a

責任方必須採取適當、合理的技術和組織措施,確保其擁有或控制的個人資訊的完整性和機密性,以防止個人資訊遺失、損壞或未經授權的銷毀。

第 3 章,條件 7 - 秒。 19.1.b

責任方必須採取適當、合理的技術和組織措施,防止非法存取或處理個人資訊,確保其擁有或控制的個人資訊的完整性和保密性。

第 3 章,條件 7 - 秒。 19.2.a

責任方必須採取合理措施,識別其擁有或控制的個人資訊的所有合理可預見的內部和外部風險。

第 3 章,條件 7 - 秒。 19.2.b

責任方必須採取合理措施,針對已識別的風險建立並維持適當的保障措施。

第 3 章,條件 7 - 秒。 19.2.c

責任方必須採取合理措施定期驗證保障措施是否有效執行。

第 3 章,條件 7 - 秒。 19.2.d

責任方必須採取合理措施,確保不斷更新保障措施,以應對新的風險或先前實施的保障措施中的缺陷。

第 3 章,條件 7 - 秒。 19.3

責任方必須適當考慮普遍適用的普遍接受的資訊安全實務和程序,或特定行業或專業規則和法規的要求。

ISO 控制 A.6.2.1

在授予存取權限之前,應識別涉及外部各方的業務流程對組織的資訊和資訊處理設施造成的風險,並實施適當的控制。

ISO 控制 A.6.2.2

在允許客戶存取組織的資訊或資產之前,應滿足所有已確定的安全要求。

ISO 控制 A.8.3.3

所有員工、承包商和第三方使用者對資訊和資訊處理設施的存取權限應在其僱用、合約或協議終止時取消,或在變更時進行調整。

ISO 控制 A.10.3.1

應監控、調整資源的使用並預測未來的容量需求,以確保所需的系統效能。

ISO 控制 A.10.8.1

應制定正式的交換政策、程序和控制措施,以保護透過使用所有類型的通訊設施進行的資訊交換。

ISO 控制 A.10.9.1

透過公共網路傳輸的電子商務資訊應受到保護,防止詐欺活動、合約糾紛以及未經授權的揭露和修改。

ISO 控制 A.10.9.2

線上交易中涉及的資訊應受到保護,以防止不完整傳輸、錯誤路由、未經授權的訊息篡改、未經授權的披露、未經授權的訊息複製或重播。

ISO 控制 A.10.9.3

應保護公共可用系統上提供的資訊的完整性,以防止未經授權的修改。

ISO 控制 A.11.2.2 特權的分配和使用應受到限制和控制。
ISO 控制 A.11.2.3 密碼的分配應透過正式的管理流程進行控制。
ISO 控制 A.11.2.4 管理階層應使用正式流程定期審查使用者的存取權限。
ISO 控制 A.11.4.2 應使用適當的身份驗證方法來控制遠端使用者的存取。
ISO 控制 A.11.5.2

所有使用者都應該有一個僅供個人使用的唯一標識符,並且應該選擇合適的身份驗證技術來證實使用者所聲稱的身份。

ISO 控制 A.11.5.5 非活動會話應在定義的不活動時間後關閉。
ISO 控制 A.11.5.6 應使用連接時間的限制來為高風險應用程式提供額外的安全性。
ISO 控制 A.11.6.1

應根據定義的存取控制策略限制使用者和支援人員對資訊和應用程式系統功能的存取。

ISO 控制 A.12.2.1 應驗證輸入到應用程式的數據,以確保該數據正確且適當。
ISO 控制 A.12.2.2

應將驗證檢查納入應用程式中,以檢測因處理錯誤或故意行為而造成的任何資訊損壞。

ISO 控制 A.12.2.3

應確定確保應用程式中的真實性和保護訊息完整性的要求,並確定和實施適當的控制措施。

ISO 控制 A.12.3.1

應制定並實施使用加密控制來保護資訊的政策。

ISO 控制 A.12.4.3 應限制對程式原始碼的存取。
ISO 控制 A.12.5.4 應防止資訊外洩的機會。
ISO 控制 A.15.1.3

應根據法律、法規、合約和業務要求,保護重要記錄免遭遺失、破壞和偽造。

ISO 控制 A.15.1.4

應依照相關法律、法規以及合約條款(如果適用)的要求確保資料保護和隱私。