Architecture de référence : considérations architecturales pour le règlement général sur la protection des données - GDPR

Vue d’ensemble du Règlement général sur la protection des données (RGPR)

Le RGDP est un ensemble de règles de confidentialité des données qui s’appliquent largement aux deux sociétés de l’Union européenne (UE), en plus de toute entreprise mondiale qui recueille et utilise des données relatives aux résidents de l’UE. Le RGDP est entré en vigueur le 25 mai 2018 et comprend plusieurs chapitres qui sont subdivisés en « articles » ou sous-sections numérotés auxquels nous ferons référence dans ce document. Ces articles décrivent les exigences spécifiques applicables au traitement des données personnelles.

Le GDPR cherche à

  • Unifier les différentes réglementations en matière de protection des données adoptées par les États membres de l’UE
  • Protéger la confidentialité des données des résidents de l’UE
  • Veiller à ce que les organisations traitent les données personnelles de manière responsable et responsable, de la collecte jusqu’au retour ou à la destruction.

Le RGDP s’applique aux

  • Organisations opérant au sein de l’UE
  • Organisations opérant en dehors de l’UE qui offrent des biens et des services aux résidents de l’UE

Remarque : Les considérations de confidentialité pour le RGDP couvrent le cycle de vie des données, depuis la collecte, l’utilisation, le stockage et la destruction sécurisée et le retrait des données. Il couvre toutes les données personnelles relatives à vos clients, employés, chaîne logistique, partenaires et toute autre personne au sujet de laquelle vous collectez des informations personnelles résidant dans l’UE. Les données personnelles sont des informations relatives à une personne identifiable, par conséquent elles sont souvent appelées informations personnelles identifiables (PII). Cela peut inclure des informations telles que des noms, des photographies, des adresses IP ou de courriel, et des informations médicales. Pour plus de détails sur les processus et les pratiques de cycle de vie des données de Citrix, consultez le Citrix Trust Center.

Deux articles clés du RGDP sont au centre de ce document

  • Contrôle d’accès (inclus à l’article 25) - prévoit des mesures qui garantissent que par défaut les données à caractère personnel ne soient pas rendues accessibles à un nombre indéterminé de personnes.
  • Cryptage et protection des données (inclus à l’article 32) - demande :
    • Pseudonymisation et cryptage des données personnelles
    • Assurer la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et des services de traitement
    • La capacité de restaurer la disponibilité et l’accès aux données personnelles en temps opportun en cas d’incident physique ou technique
    • Protection contre la destruction accidentelle et illégale, la perte, l’altération, la divulgation non autorisée ou l’accès aux données personnelles transmises, stockées ou autrement traitées

Comment Citrix peut vous aider dans vos initiatives de conformité au RGPR

Citrix Workspace simplifie la gestion de vos systèmes et de vos données en centralisant les services dans le datacenter ou le cloud en tant qu’espace de travail numérique. L’objectif de ce document est de décrire comment il unifie les applications, les données et les postes de travail dans un espace de travail numérique pour vos équipes. Une solution qui vous permet de mieux vous aligner sur les exigences du RGDP en matière de gestion des données, de surveillance des données et d’audit des informations.

Citrix prend en charge les clients dans leur cheminement vers la conformité au RGPR de 4 façons clés

  • En centralisant et enclavant des applications et des données
  • En aidant à garantir la protection des données lorsqu’elles sont partagées ou distribuées
  • En contrôlant qui a accès aux données et aux ressources
  • En rassemblant les TI pour la sécurité des applications et des données

Citrix Workspace - aider à activer la conformité au RGPR

Citrix Workspace contribue à la conformité au RGPD

Approche orientée données aux exigences du RGDP

Le suivi des directives du RGDP pourrait être beaucoup plus facile pour les entreprises de cloud modernes que pour les entreprises traditionnelles. Alors que la plupart des entreprises de cloud ne disposent que de quelques sources de données centralisées où les données personnelles sont stockées, les entreprises traditionnelles en ont potentiellement des centaines ou des milliers. Ces différentes sources de données doivent être évaluées, examinées et mises à jour afin de respecter les normes les plus récentes en matière de confidentialité des données.

Ces sources de données peuvent aller des bases de données SQL traditionnelles aux e-mails, aux documents numériques ou même aux documents physiques. Avec des échéances souvent rigoureuses d’aujourd’hui, de nombreuses entreprises sont confrontées à un défi pour préparer et mettre à jour correctement leurs systèmes au besoin. Il est important de comprendre que le RGDP n’affecte pas seulement les sources de données actives, mais aussi toutes les sauvegardes, sites de reprise après sinistre et impressions physiques.

Le RGDP implique deux rôles clés pour les données : le responsable du traitement des données et le sous-traitant. Le responsable du traitement des données est l’entité qui détermine la finalité des données et la manière dont elles doivent être traitées. Le responsable du traitement traite ou traite les données réelles conformément aux directives du responsable du traitement.

Le RGDP vise à augmenter la maturité de l’entreprise dans le traitement des données et des informations personnelles. Citrix a toujours été une entreprise axée sur les données et les applications, avec un dossier éprouvé de gestion de projets complexes, souvent internationaux qui traitent de milliers d’applications.

L’approche traditionnelle de conseil est axée sur les processus métiers, l’identification des besoins des personnes et de l’entreprise, les méthodes d’accès et la mise en cascade lente vers l’infrastructure et les sources de données. Cependant, le RGDP exige une approche plus centrée sur les données. Nous vous recommandons de commencer par identifier et évaluer différents emplacements où les données personnelles sont stockées. Ensuite, déplacez vers le haut de la pile pour vous assurer que les sources de données sont correctement sécurisées. Vous pouvez penser à cela comme une approche à l’envers de la sécurité.

Diagramme de flux RGDP

Définir - Commencez par définir les critères des données personnelles qui sont dans le champ d’application de l’évaluation. Cette phase vous aide à définir ce qu’il faut rechercher et comment hiérarchiser les sources de données du point de vue de la confidentialité. Cela peut inclure les employés, les clients, les fournisseurs et toute autre entité pertinente.

Évaluer - Analysez tous les emplacements existants où les données sont stockées. Identifiez les exigences métiers, la rétention des données et les défis potentiels liés à la sécurisation des données. Identifiez non seulement où les données sont stockées, mais aussi comment elles sont collectées. La segmentation des données est l’une des phases les plus longues et critiques des projets de consolidation des données. Cette phase exige une approche globale, une pensée critique et une méthodologie bien définie. Les organisations doivent tenir compte des données conservées dans les systèmes existants. Cela est vrai même s’il existe un programme de modernisation ou si les données sont utilisées uniquement comme sauvegarde. Il est important de comprendre que tous ces systèmes hérités sont également couverts par les exigences du RGDP et que les entreprises doivent adopter une approche holistique.

Réduire - L’objectif de cette phase est de déterminer s’il est possible de réduire le nombre de sources de données à sécuriser. Par exemple, il est possible de consolider les sources de données utilisées par les unités opérationnelles. Au lieu de stocker les données client dans plusieurs emplacements, un emplacement centralisé peut être utilisé pour maximiser l’efficacité des mesures de sécurité. Peut-être que les données ne sont même pas nécessaires du tout — le plus grand délinquant à la protection de la vie privée pourrait même ne pas être considéré comme critique pour les unités opérationnelles. Il est également possible que les applications collectent simplement trop de données (« juste au cas où »). Les applications peuvent être modifiées pour cesser de collecter des informations excessives et les données existantes peuvent être effacées. Au lieu d’essayer de sécuriser tous les emplacements possibles des données personnelles, les entreprises peuvent adopter une approche différente. Au lieu de cela, demandez quand et où ont-ils réellement besoin de stocker des données sur les clients et d’autres parties. Comme la conformité au RGDP est un processus continu avec des examens périodiques, la réduction du nombre de sources de données incluses peut s’avérer une stratégie efficace à long terme.

Correction - Identifiez si les sources de données existantes et les applications utilisées pour y accéder suivent les instructions du RGDP ou si des modifications sont nécessaires. Si la source de données inclut des données personnelles et n’est pas sécurisée, identifiez les approches possibles pour résoudre la situation. Une équipe interministérielle du RGDP peut également identifier, évaluer et examiner non seulement les données elles-mêmes, mais aussi accéder aux méthodes, aux applications utilisées et à d’autres facteurs. Cela inclut des éléments tels que la limitation de l’accès des utilisateurs et des tiers, la révision des exigences et la définition plus spécifique des mesures de sécurité des données.

Examen - La conformité au RGDP est un processus continu et des évaluations des données doivent être effectuées régulièrement. Il est donc important de mettre en œuvre un processus robuste, stable et reproductible qui puisse être défendu si jamais il doit être présenté aux auditeurs. L’évaluation de la sécurité des sources de données doit être effectuée et examinée régulièrement.

Avec le grand nombre de sources de données qui sont en portée, l’objectif de la plupart des entreprises est de choisir quelques architectures robustes et éprouvées. Cette approche peut aider à sécuriser les sources de données qui ne répondent pas initialement aux exigences du RGDP. Essayer de créer une solution sur mesure pour chacune des sources de données problématiques est irréaliste, à moins qu’une entreprise ne dispose de sources de données limitées. Il en résulte souvent un environnement où seules quelques applications sont correctement sécurisées, tandis que la majorité n’est pas sécurisée, le projet de mise en œuvre étant bloqué de mois, voire d’années et dépassant largement le budget. Le RGDP offre également l’occasion de mettre à jour les architectures de confidentialité des applications et de l’utilisation des données afin de soutenir les initiatives mondiales et régionales en évolution en matière de protection de la vie privée.

La complexité est considérée comme l’un des plus grands ennemis de la sécurité. Vous souhaitez identifier le nombre minimal d’architectures différentes afin de sécuriser la plupart des sources de données identifiées comme critiques et de stocker les données incluses dans la portée du RGDP.

Le principe de Pareto (également connu sous le nom de règle 80/20) est important lors de cette évaluation des données. Les entreprises doivent essayer de minimiser les efforts nécessaires pour sécuriser la plupart des sources de données. La plupart des entreprises disposent de centaines ou de milliers d’applications et de sources de données différentes qui sont utilisées. Ils doivent identifier rapidement les applications qui contiennent des données critiques et qui ne répondent pas aux exigences du RGDP. Les solutions automatisées d’évaluation des applications peuvent réduire le temps nécessaire à l’analyse des applications.

Dans les sections suivantes, nous présentons quelques architectures sélectionnées qui peuvent fournir une solution universelle, sécurisée et éprouvée pour sécuriser tout type de données. Cela va des applications Web, aux applications client/serveur héritées hébergées sous Windows ou Linux aux données stockées dans divers documents ou échangées par courrier électronique.

Flux de décision pour les types de données Citrix Workspace contribue à la conformité au RGPD

Sécurisation des applications Windows et Linux

Essayer de sécuriser les applications client/serveur traditionnelles, qu’elles soient exécutées sur des systèmes d’exploitation Windows ou Linux, peut s’avérer difficile pour diverses raisons.

L’approche traditionnelle consistait à sécuriser chaque point de terminaison où ces applications sont installées. Cela implique des défis de gestion, tels que la mise à jour de tous les terminaux, le chiffrement du trafic réseau, le chiffrement des données et des charges de travail, la mise en œuvre de l’authentification multifacteur (MFA) et le chiffrement des données stockées localement ou mises en cache. Dans l’architecture informatique traditionnelle, les défenses doivent être mises en place autour de tous les terminaux, applications et réseaux et l’environnement entier est aussi sûr que le point le plus faible. Cette approche traditionnelle de la sécurité a souvent échoué en raison de l’introduction de nouveaux concepts, y compris la main-d’œuvre mobile, l’extension du périmètre de sécurité avec le cloud computing et les initiatives BYOD.

Un autre défi commun pour les applications installées sur des ordinateurs traditionnels consiste à fournir les mêmes fonctionnalités de sécurité sur l’ensemble de la gamme. Il est courant d’avoir un portefeuille informatique multigénérationnel résidant sur un seul poste de travail. Des applications basées sur Office (à l’aide de bases de données Microsoft Access ou de plug-ins personnalisés) en passant par Visual Basic hérité aux dernières applications créées par des professionnels. Il a toujours été difficile de s’assurer que les applications ayant accès à des données sensibles prennent en charge le chiffrement, l’authentification multifacteur et fournissent suffisamment d’informations aux auditeurs.

Livraison d’applications client/serveur traditionnelle Schéma de mise à disposition d'applications client/serveurtraditionnelles

Citrix a une longue tradition de fournir une plate-forme pour la livraison sécurisée de ces applications client/serveur. Cette livraison sécurisée repose sur le déchargement de l’application cliente sur un ensemble de serveurs dédiés (Citrix Virtual Apps and Desktops), spécialement conçus, optimisés et sécurisés pour la livraison des applications. En découplant l’application du point de terminaison, il est possible d’activer des fonctionnalités de sécurité supplémentaires. L’avantage de cette approche est que les fonctionnalités de sécurité sont appliquées de manière cohérente. Il n’y a pas non plus d’exigence d’accès au code source et même les applications qui ne sont plus prises en charge sur les plates-formes plus récentes peuvent être incluses.

Sécurisation des applications selon les normes RGPR

Article 25 - Accès aux Données Personnelles

Il existe plusieurs façons de limiter ou d’empêcher les utilisateurs d’accéder aux ressources publiées. La méthode la plus basique consiste simplement à masquer les applications ou les postes de travail des utilisateurs en imposant l’appartenance à un groupe Active Directory. Lors de la publication de ressources via la console de gestion Citrix, l’accès est appliqué sur les machines Citrix Virtual Delivery Agent (VDA) hébergeant les charges de travail. L’accès et les fonctionnalités disponibles sont encore améliorés grâce au moteur de stratégie complet de Citrix.

L’utilisation de l’authentification traditionnelle par nom d’utilisateur/mot de passe diminue avec l’authentification multifacteur (MFA) plus sécurisée. Même pour les réseaux internes, de plus en plus d’entreprises appliquent les exigences MFA pour améliorer la sécurité. Avec Citrix Virtual Apps and Desktops et Citrix Application Delivery Controller (ADC), MFA peut être appliqué à n’importe quelle application client/serveur, y compris les applications héritées difficiles à entretenir. L’appliance ADC offre une approche extensible et flexible de la configuration MFA, depuis les jetons ponctuels basés sur le temps, les cartes à puce, les certificats utilisateur ou machine jusqu’à l’authentification biométrique (en passant par l’intégration de tiers).

Cet accès peut également être configuré en fonction de divers autres facteurs. Par exemple, le point de terminaison à partir duquel un utilisateur se connecte, l’état de sécurité des terminaux tels que les exigences en matière d’antivirus ou de pare-feu, ou le réseau à partir duquel l’utilisateur se connecte. Des stratégies contextuelles peuvent être appliquées, même en appliquant une géolocalisation spécifique ou en utilisant des mesures de sécurité plus avancées, telles que la configuration requise pour les certificats utilisateur ou machine pour accéder à certaines ressources. Vous pouvez en savoir plus sur la sécurité contextuelle grâce au modèle de confiance zéro dans le billet de blogsuivant.

Encore plus de flexibilité est disponible grâce à l’authentification NFactor de la fonctionnalité MFA améliorée de NetScaler ADC. Pour en savoir plus sur les différentes fonctionnalités de l’authentification nFactor, consultez l’article de la base de connaissances suivant et l’un des nombreux guides de déploiement : https://support.citrix.com/article/CTX201949

La capacité de fournir un accès et une authentification centralisés est essentielle pour fournir des informations sur les utilisateurs qui se connectent aux applications. Avec Citrix Virtual Apps and Desktops, tous les accès aux ressources sont négociés via un contrôleur avec des données historiques enregistrées dans une base de données centralisée. Ces données sont accessibles à partir d’une API ODATA pour assurer l’intégration avec les systèmes SIEM ou fournir des copies aux auditeurs si nécessaire. Pour en savoir plus sur la surveillance et les rapports, consultez la documentation sur la façon de surveiller les tendances historiques sur un site.

Outre la surveillance et le reporting de l’accès des utilisateurs, toutes les modifications et activités administratives peuvent être consignées dans une base de données distincte. Il est recommandé d’activer la journalisation obligatoire, lorsque les activités administratives ne sont pas autorisées, sauf si elles sont enregistrées en premier dans la base de données de journalisation de la configuration. Pour en savoir plus, consultez la documentation relative à la journalisation de la configuration

Enfin, pour les environnements les plus soucieux de la sécurité, il est possible de créer un ensemble distinct d’identités utilisateur et d’y basculer automatiquement. Ceci est fait à l’aide du service d’authentification fédérée. L’approche peut être utilisée pour minimiser davantage l’impact des mouvements latéraux et contenir toute atteinte à la sécurité.

Article 32 - Cryptage des données en transit

Avec Citrix Virtual Apps and Desktops, seuls les pixels d’écran sont transférés entre le serveur d’hébergement et le point de terminaison. Les paramètres de connexion sont établis lors du lancement ou de la reconnexion de session. CVAD peut s’assurer que le trafic entrant et en provenance du terminal est toujours chiffré, même si l’application elle-même ne prend pas en charge le chiffrement. Ce chiffrement peut être activé pour n’importe quelle application ou bureau publié. Pour plus de détails sur le chiffrement de bout en bout, consultez ce document

Article 32 - Chiffrement des données au repos

Même si Citrix Virtual Apps and Desktops peut vous aider avec le chiffrement entre l’utilisateur et l’application, le back-end lui-même reste hors de portée pour cette solution. Cependant, CVAD peut être utilisé pour isoler le trafic et les données non chiffrés pendant la période de transition en utilisant des zones sécurisées. Cela garantit que toutes les données sont cryptées à l’aide d’un processus à long terme. L’encapsulation de ces données dans une enclave isolée peut fournir la sécurité requise pendant que le projet de migration est en cours. Vous pouvez en savoir plus sur les zones sécurisées dans cet article de blog : « Insubmersible » : le mythe de la sécurité informatique infaillible.

En ce qui concerne le chiffrement sur le terminal, il est important de minimiser l’exposition des données au point de terminaison et de contrôler la rémanence des données. Les données résidant sur le point de terminaison doivent être restreintes, fournissant uniquement le minimum de données nécessaire. La virtualisation de tous les accès aux données personnelles, puis la gestion et la protection des données résiduelles, des frappes de touches et des données d’écran sont l’approche Citrix. Pour en savoir plus, lisez cet article de blog sur l’ empreinte client Citrix ICA.

Article 32 - Isolation et protection des données

Contrairement aux postes de travail traditionnels sur les terminaux physiques, les images du serveur et du système d’exploitation de bureau dans Citrix Virtual Apps and Desktops ont généralement une portée beaucoup plus restreinte. Ils sont utilisés pour héberger un groupe d’applications et de postes de travail bien définis et gérés de manière centralisée avec un comportement prévisible et des options de configuration centralisées.

Il existe différentes façons de protéger et d’isoler les données et les applications les unes des autres. Avec l’agrégation des ressources de plusieurs serveurs, il est possible de créer des groupes de serveurs séparés pour héberger différentes applications avec différents niveaux de confiance.

Même si les applications sont hébergées sur le même serveur, il est courant de les isoler et de les sécuriser. Les serveurs CVAD sont utilisés pour héberger des ensembles d’applications bien définis et gérés de manière centralisée. Cela signifie que ces serveurs peuvent prendre en charge un renforcement de la sécurité plus restrictif que les stations de travail traditionnelles. Les solutions de liste blanche des applications telles que la fonctionnalité WEM (Workspace Environment Management) de Citrix sont beaucoup plus utiles avec les serveurs conçus pour des applications spécifiques plutôt que pour les charges de travail générales. Autoriser uniquement des exécutables spécifiques en liste blanche est beaucoup plus simple sur ces serveurs spécialement conçus que les stations de travail générales.

La sécurité est encore plus renforcée par l’application de stratégies Citrix granulaires. Ces stratégies permettent de contrôler de nombreux aspects de l’espace de travail : imprimantes disponibles, possibilité d’accéder aux lecteurs réseau et locaux, ou mappage du presse-papiers parmi beaucoup d’autres. Un modèle spécial pour « Sécurité & Contrôle » est inclus avec toutes les meilleures pratiques et paramètres recommandés.

Pour en savoir plus sur le durcissement, consultez le guide de durcissement du VDA.

Étant donné que les utilisateurs se connectent souvent à partir d’appareils et d’emplacements non fiables, des couches de sécurité supplémentaires sont souvent les bienvenues. Les stratégies de protection des applications Citrix fournissent une protection contre l’enregistrement de frappe et la capture d’écran lorsque les utilisateurs sont connectés dans des sessions d’application et de bureau virtuelles. Les données sensibles, telles que les numéros de carte de crédit, sont cachées des programmes malveillants qui tentent d’intercepter. Le filigrane de session permet aux administrateurs de placer des superpositions de texte personnalisables dans les sessions. L’enregistrement de session enregistre l’intégralité du flux vidéo d’une session dans un fichier pour une lecture ultérieure. Ces fonctionnalités aident à décourager et à corriger d’éventuels événements d’exfiltration des données.

Agrégation d’applications avec différents niveaux de confiance Citrix Workspace contribue à la conformité au RGPD

Sécurisation des applications Web et SaaS

Les applications Web sont architecturalement différentes des applications client/serveur, mais elles sont également similaires à bien des égards, notamment en raison de problèmes de sécurité. Avec les applications Web, un client spécifique est remplacé par un simple standard d’entreprise ou plusieurs navigateurs Web à usage général, avec des capacités et des dépendances variables. Bien que simplifié, les mêmes défis de gestion s’appliquent : maintenir le navigateur à jour contre les vulnérabilités, chiffrer le trafic et mettre en œuvre l’authentification multifactorielle.

Les exigences en matière de prise en charge des applications héritées et de capacités modernes pour le SaaS ont entraîné des exigences conflictuelles. Il existe deux types d’applications Web : les applications créées sur Internet et les applications web personnalisées et héritées des applications web personnalisées et héritées qui prennent en charge l’entreprise. Les applications non-the-internet répondent aux exigences en matière de sécurité et d’architecture : équilibrage de charge, évolutivité, basculement et performances. Les applications Webified définissent les exigences en matière de prise en charge : les plug-ins de navigateur, les extensions et la validation des mises à jour du navigateur peuvent rompre les fonctionnalités.

L’objectif est que l’utilisateur final interagisse avec les applications Web et manipule les données. Cela inclut les données personnelles et sensibles, qu’elles soient exécutées dans des environnements hérités ou sur des applications SaaS repoussant les limites du HTML5. Gartner recommande une stratégie à deux volets. C’est lorsqu’une organisation utilise un navigateur hérité pour exécuter des applications héritées, mais utilise également des navigateurs modernes pour toutes les autres applications. C’est là que Citrix aide en associant l’expérience utilisateur et les exigences de sécurité pour les environnements Web hybrides ou bimodaux.

Pour l’entreprise, la gestion de plusieurs versions de différents navigateurs, plug-ins et applets tout en simplifiant l’authentification et l’accès constitue un problème. Il est adressable avec les offres Citrix Virtual Apps and Desktops ou Citrix Secure Browser . Ces solutions permettent aux entreprises de créer une infrastructure de navigation à distance qui sépare le trafic Web Internet et intranet les uns des autres et du terminal.

Architecture desapplications Web traditionnelles Architecture des applications Web traditionnelles

Le deuxième défi consiste à fournir des fonctionnalités de sécurité unifiées dans la large gamme d’applications SaaS et cloud utilisées par les entreprises typiques. Cela contribue efficacement à redonner un certain contrôle informatique, en particulier dans les environnements BYOD et mobiles. Un exemple est la fourniture d’une solution d’authentification multifactorielle unifiée pour toutes les applications au lieu d’une expérience utilisateur fragmentée.

Citrix a une longue tradition de fournir une plate-forme pour la fourniture sécurisée d’applications Web. Cette livraison sécurisée est basée sur Citrix Application Delivery Controller (ADC). NetScaler ADC sécurise la session entre le navigateur et l’application Web, en chiffrant les données en transit, en conservant un contrôle d’accès strict et en protégeant les données. Ceci est largement basé sur sa conception comme un proxy inverse qui courtage les connexions provenant du navigateur aux serveurs d’applications Web. De plus, avec sa position entre le client et le serveur, des fonctionnalités de sécurité supplémentaires peuvent être activées.

Nous allons vous expliquer comment cette architecture peut vous aider à sécuriser les applications en respectant les normes RGPR. Ces mesures techniques relèvent en grande partie des exigences ou des articles 25 et 32 lorsque les contrôleurs sont tenus de « mettre en œuvre des mesures techniques et organisationnelles appropriées ».

Schéma**Applications Web avec NetScaler ADC**
Applications Web avec NetScaler ADC

Article 25 - Accès aux Données Personnelles

L’authentification, l’autorisation et l’audit sont des éléments essentiels du contrôle de l’accès aux données personnelles. Avec NetScaler ADC AAA proxy, il consolide, étend et améliore les schémas d’authentification traditionnels, même dans les scénarios où les applications Web ne prennent pas en charge MFA de manière native. NetScaler ADC prend en charge l’authentification à l’aide du nom d’utilisateur/mot de passe, multifacteur (MFA), des jetons temporels et uniques (NetScaler ADC prend en charge le code PIN unique natif), les cartes à puce, les certificats utilisateur ou machine et la biométrie. Bien que cela soit particulièrement important pour les applications Web faisant face à Internet, certaines organisations qui adoptent une approche de mise en réseau zéro confiance se déplacent pour exiger une MFA pour un accès « interne ».

Le MFA amélioré de NetScaler ADC, appelé authentification nFactor, prend en compte des fonctionnalités telles que SAML, certificats clients, extraction de groupe et plusieurs mots de passe. Federation et SSO offrent également un niveau de sécurité supplémentaire et une facilité d’utilisation.

Pour en savoir plus sur les différentes fonctionnalités de l’authentification nFactor, consultez l’article de la base de connaissances suivant et l’un des nombreux guides de déploiement : https://support.citrix.com/article/CTX201949. Sur une note connexe, la MFA basée sur les SMS n’est pas recommandée car elle a été jugée non sécurisée par le NIST.

Pour comprendre comment Citrix protège les données personnelles, consultez le Citrix Trust Center/Privacy Policy.

La journalisation, la visibilité, l’automatisation et d’autres fonctionnalités sont fournies par NetScaler Application Delivery Management (ADM). Reportez-vous à la page de lancement du produit pour plus de détails sur NetScaler ADM.

Article 32 - Isolation et protection des données

NetScaler ADC est un proxy inverse et, en tant que tel, il bénéficie de son emplacement dans l’architecture réseau. Généralement, il se trouve dans une zone démilitarisée ou de sécurité. De là, il accepte la connexion utilisateur frontale, crée une connexion sécurisée au serveur back-end et dispose d’une visibilité complète sur les demandes et les réponses. En outre, NetScaler ADC peut modifier la logique du trafic Web à la volée sans nécessiter de mises à jour de l’application back-end. Cela inclut le cryptage non seulement de l’en-tête du paquet, mais aussi du corps car il effectue l’inspection et la réécriture des paquets en profondeur.

NetScaler ADC peut s’assurer que le trafic entrant vers et en provenance du navigateur est toujours chiffré, même si le serveur Web lui-même ne prend pas en charge le chiffrement. Ce chiffrement peut être activé pour n’importe quel site mandaté par l’intermédiaire de l’ADC. Le déchargement SSL utilise l’ADC pour effectuer les manipulations de main SSL/TLS exigeantes en ressources, les déchargeant ainsi des serveurs back-end. Pour les scénarios nécessitant un chiffrement de bout en bout, NetScaler ADC peut re-chiffrer la connexion au back-end. Cela permet à l’ADC d’inspecter et d’appliquer des stratégies de sécurité au trafic. Le pontage SSL est disponible lorsque les exigences exigent que l’ADC ne participe pas à la fin de la connexion. L’utilisation de NetScaler ADC avec NetScaler ADM permet aux administrateurs de conserver la configuration et la visibilité centralisées des suites de chiffrement en cours d’utilisation, empêchant ainsi la négociation de chiffrements obsolètes.

Options dechiffrement NetScaler ADC Options dechiffrement NetScaler ADC

En tant que proxy entre le navigateur et l’application Web, NetScaler ADC protège les données qui y circulent. Cela inclut la protection contre les attaques contre les bases de données, les attaques contre l’application Web et d’autres utilisateurs à l’aide de son pare-feu d’application intégré. NetScaler ADC protège contre les attaques Web courantes, y compris SQL Injection et les scripts inter-sites. Vous pouvez en savoir plus sur le Web App Firewall dans notre documentation produit.

La protection des données inclut également l’optimisation de la disponibilité grâce à des protections contre les attaques par déni de service (DOS/DDoS). Les attaques combinées frappent toutes les couches. NetScaler ADC fournit donc une défense de couche Application (couche 7), une défense de couche de transport (couche 4) et une défense de couche réseau (couche 3). NetScaler ADC fournit non seulement une approche multicouche de la protection DDoS, mais il est couplé à un service de réputation IP intégré. Il s’agit d’un outil efficace pour identifier l’adresse IP qui envoie des demandes indésirables. Étant donné que la plupart des logiciels malveillants proviennent de sites compromis, vous pouvez utiliser la liste de réputation IP pour rejeter de façon préventive les demandes provenant de l’IP avec la mauvaise réputation. Le proxy de transfert de NetScaler ADC, Secure Web Gateway, peut filtrer les connexions vers Internet en fonction du risque de réputation. Cela applique des stratégies de sécurité sur le trafic Web sortant, tout en bloquant l’accès aux sites inappropriés par utilisateur/groupe.

Tokenisation NetScaler ADC Tokenisation NetScaler ADC

Pseudonymisation NetScaler ADC PseudonymisationNetScaler ADC

La pseudonymisation est un autre contrôle mentionné à l’article 32. Conceptuellement, il s’agit d’une procédure par laquelle les champs d’identification d’un enregistrement de données sont remplacés par un ou plusieurs identificateurs artificiels, ou pseudonymes. Cela rend le stockage des données personnelles plus sécurisé en cas de violation, grâce à la segmentation des données. Un exemple est la création de jetons ou le hachage des données sensibles que NetScaler ADC analyse pour le trafic des applications Web. Cela signifie hacher des données d’identification personnelle lors de leur transmission entre un responsable du traitement et un sous-traitant. Cela se fait dans les environnements réglementés PCI-DSS. Par exemple, pour les données des titulaires de carte, les directives de jeton sont spécifiques au numéro de compte principal (PAN). L’utilisation de jetons (Tokenization) remplace le PAN par une valeur de substitution appelée jeton. La détokenisation est le processus inverse d’utilisation d’un jeton pour sa valeur PAN associée. La sécurité d’un jeton individuel repose principalement sur l’impossibilité de déterminer le PAN d’origine en ne connaissant que la valeur de remplacement. Les applications peuvent ne pas avoir besoin d’autant de protection de sécurité que celles associées à l’utilisation du PAN. Pour le RGPR, le stockage de jetons au lieu de données personnelles est une alternative qui peut aider à réduire la quantité de données personnelles dans l’environnement, réduisant potentiellement les efforts requis pour respecter les exigences du RGDP.

Protection des données NetScaler ADC Protection des données NetScaler ADC

Sécurisation des applications mobiles

Les appareils mobiles, en particulier avec la propriété BYOD, présentent de nombreux défis pour les entreprises qui tentent de sécuriser leurs données. Leur utilisation au sein de l’entreprise a conduit à la mise en place de technologies permettant de gérer en toute sécurité les terminaux mobiles. Utilisés au-delà des frontières des zones DMZ d’entreprise sur n’importe quel réseau, avec des applications provenant de sources diverses, les appareils mobiles présentent des risques particuliers pour les entreprises et leurs données.

  • Le responsable du traitement des données RGDP doit sécuriser les données personnelles utilisées par les applications mobiles d’entreprise malgré le fait qu’elles sont hébergées sur un appareil mobile appartenant à l’utilisateur.

  • Le responsable du traitement des données GDPR doit garantir la confidentialité, l’intégrité et la disponibilité des données personnelles lors de leur utilisation. Il doit également veiller à ce que lorsqu’un utilisateur exerce son droit d’effacer ses données personnelles qu’aucun artefact ne soit laissé et exposé à d’autres applications, utilisateurs, etc.

  • Les contrôleurs de données doivent prendre en charge le partage de fichiers et la collaboration en toute sécurité entre les applications mobiles d’entreprise et être en mesure d’effacer les fichiers de l’appareil en un instant de préavis.

  • Ils doivent aider à protéger le système d’exploitation de la plate-forme, à atténuer les risques de logiciels malveillants et à appliquer la sécurité des appareils et les stratégies pertinentes pour contrôler les fonctions des appareils qui rendent les données vulnérables à la perte.

  • Les contrôleurs de données doivent fournir Unified Endpoint Management sur plusieurs plates-formes, y compris le contrôle des correctifs logiciels critiques qui incluent des mises à jour pour corriger les vulnérabilités.

Architecture d’application mobile traditionnelle Architecture d'application mobile traditionnelle

Citrix Endpoint Management (CEM) est un composant UEM (Unified Endpoint Management) leader du marché de Citrix Workspace. Il peut vous aider à sécuriser et à gérer diverses plates-formes de terminaux mobiles allant d’iOS, Android, Windows et Mac aux appareils mobiles robustes et aux appareils IoT. CEM gère également diverses applications mobiles sur les terminaux et prend en charge divers mécanismes de distribution, notamment virtualisés, Web et SaaS, App Store public, applications mobiles d’entreprise natives et applications mobiles conteneurisées.

Dans les sections suivantes, nous expliquons comment cette architecture peut vous aider à sécuriser les données personnelles sur les terminaux mobiles.

Le Citrix MDX Toolkit, la technologie de conteneur MAM de Citrix Endpoint Management, est un élément clé de la solution Citrix Endpoint Management pour protéger les données. Il fournit une sécurité de bout en bout maximisant la protection des données personnelles, en atténuant le risque de perte, en chiffrant les applications et les données et en gérant le transfert de données via plus de 70 stratégies MDX. Ceux-ci incluent des domaines fonctionnels tels que l’authentification, la sécurité des appareils, la mise en réseau, le chiffrement, les seuils d’accès, l’interaction avec les applications, les restrictions d’application et d’autres stratégies spécifiques à l’application. Tous ces éléments sont appliqués sur une base par application conçue pour atténuer le risque de perte de données personnelles.

Les technologies MDX offrent une protection de bout en bout en gérant les transferts de données chiffrées entre les magasins de données d’appareils et intranet, en plus d’entre les applications gérées. Une fois ces applications installées, Secure Hub, une application mobile qui donne accès aux postes de travail, aux applications et aux données, aide à appliquer en permanence les stratégies souhaitées. L’informatique contrôle toujours le contenu de l’entreprise sur les appareils des utilisateurs. MDX inclut également un micro VPN, un VPN par application qui s’intègre à NetScaler Gateway. Il est utilisé de manière transparente par les applications gérées pour chiffrer le trafic de données vers et en provenance de l’intranet de l’entreprise.

Article 25 - Accès aux Données Personnelles

Citrix Endpoint Management fournit diverses méthodes d’inscription pour valider l’identité de l’utilisateur avant de lancer la gestion des périphériques mobiles ou la gestion des applications mobiles, puis d’accéder aux données sécurisées. Par exemple, une solution d’authentification à deux facteurs peut inclure des invitations d’inscription d’un code PIN (OTP) à usage unique ainsi que des informations d’identification de domaine Active Directory. Pour les environnements présentant les exigences de sécurité les plus élevées, les invitations d’inscription peuvent être liées à un périphérique par SN, UDID, EMEI afin d’identifier de manière unique le matériel.

Citrix Endpoint Management fournit également une variété d’options d’authentification multifacteur pour valider l’identité des machines utilisateur inscrites. Il s’agit notamment de combinaisons de nom d’utilisateur et mot de passe de domaine, RADIUS, Azure Active Directory, certificat ou informations d’identification dérivées (norme fédérale de haute sécurité basée sur les cartes de vérification d’identité personnelles émises par le gouvernement). L’authentification de certificat et de domaine utilisée avec une broche CEM est une combinaison sécurisée populaire qui offre une expérience utilisateur exceptionnelle.

Article 32 - Cryptage des données en transit

Citrix Endpoint Management prend en charge le chiffrement des données en transit via plusieurs méthodes telles que :

  • Containerisé avec VPN intégré lorsque les applications utilisent le SDK CEM
  • Plateforme utilisant un client VPN NetScaler ADC
  • Grâce à des stratégies permettant d’utiliser la fonctionnalité VPN du système d’exploitation natif

Le SDK Citrix Endpoint Management, ou technologie MDX, avec micro VPN fournit une fonctionnalité VPN sécurisée par application pour chiffrer les données en transit entre le terminal mobile et le back-end intranet. Il fonctionne avec Secure Hub et NetScaler ADC pour s’assurer que le trafic des applications MDX est dirigé sur un VPN crypté dédié. Il s’agit de la technologie Citrix unique qui fournit un chiffrement transparent des données en transit.

Pour plus d’informations, consultez cette FAQ sur les micro VPN ; la configuration des VPN par application de la plate-forme Android à l’aide de Citrix VPN pour Android ou iOS ; ou la configuration des VPN par application de plate-forme à l’aide de fonctionnalités natives.

Article 32 - Chiffrement des données au repos

Citrix Endpoint Management (CEM) prend en charge le chiffrement des données au repos via CEM MDX avec les bibliothèques de chiffrement fournies par Citrix, ou via le chiffrement au niveau de la plate-forme directement ou indirectement avec les solutions de conteneurisation partenaires.

CEM peut fournir un chiffrement au repos sur n’importe quel appareil mobile pris en charge, indépendamment du chiffrement de la plate-forme. La technologie de conteneur d’applications sécurisées de CEM, MDX, utilise son propre chiffrement des données appliqué par logiciel à l’aide d’algorithmes conformes à la norme FIPS, minimisant le risque de perte de données.

Le chiffrement au niveau de l’appareil varie selon la plate-forme. iOS d’Apple dispose d’un système de fichiers avec les informations du système d’exploitation et les données utilisateur écrites sur la mémoire flash. Il utilise également un ID d’appareil et un ID de groupe attribués en usine avec le code d’accès de l’utilisateur de l’appareil afin que seul le code d’accès puisse déchiffrer les données sur le téléphone ou la tablette. Android fournit également le cryptage, bien que tous les fabricants d’appareils ne créent pas du matériel qui le prend en charge et les utilisateurs peuvent désactiver le chiffrement accidentellement ou délibérément avec une réinitialisation d’usine sur les appareils Android. Pour plus d’informations sur le MDX Toolkit, les stratégies MDXet l’ intégration avec MDX, consultez la documentation Citrix.

Article 32 - Isolation et protection des données

La conteneurisation permet aux programmes BYOD mobiles dans les environnements d’entreprise, ce qui permet aux utilisateurs d’utiliser les terminaux mobiles en tant qu’appareil d’entreprise et appareil personnel simultanément en séparant les applications et les données. Il aide les entreprises à empêcher les logiciels malveillants, les intrus, les ressources système ou d’autres applications d’interagir avec l’application et toutes ses informations sensibles. Citrix Endpoint Management permet d’utiliser des applications mobiles natives conteneurisées via la technologie MDX, et s’intègre également à plusieurs solutions de conteneur partenaires offrant une valeur ajoutée en intégrant de nombreuses fonctionnalités étendues de gestion d’applications et d’appareils.

Sécurisation des fichiers avec des workflows

La plupart de nos workflows quotidiens consistent en la création de fichiers et la collaboration sur ces fichiers avec d’autres. Souvent, ces fichiers contiennent des données personnelles, telles que le nom et l’adresse, les numéros de sécurité sociale ou les données de carte de crédit. Malheureusement, il existe de nombreux exemples de fuites de données, allant de la perte de clés USB remplies de fichiers contenant des informations personnelles aux tentatives d’hameçonnage pour accéder aux fichiers sur des systèmes sécurisés avec les autorisations des employés. En vertu du RGDP, il est nécessaire de sécuriser et de contrôler ces informations à chaque étape du processus. Cela inclut le stockage de ces fichiers dans un référentiel pour une collaboration interne et externe et la fourniture d’un accès contextuel aux fichiers. Il s’agit également de surveiller les activités irrégulières et de signaler qui a les autorisations à quels fichiers.

Citrix Content Collaboration (ShareFile) fournit une gamme de contrôles pour aider les entreprises à devenir et à rester conformes au RGDP. Cela commence par avoir un choix sur l’emplacement où les fichiers sont stockés. Les options incluent l’une des StorageZones gérées par Citrix dans différentes régions du monde ou dans une StorageZone gérée par le client dans ses propres datacenters ou cloud privé. Plusieurs emplacements peuvent être utilisés, ce qui permet un emplacement optimal pour stocker chaque fichier individuel. En utilisant la technologie StorageZone Connector pour accéder aux référentiels existants, tels que les partages de fichiers réseau ou les bibliothèques de documents SharePoint, toutes les activités liées aux fichiers sont effectuées via une seule plate-forme. Cela facilite l’audit des activités, en plus de s’assurer que les autorisations correctes sont en place.

OptionsStorageZones Options StorageZones

Pour plus d’informations sur StorageZones, y compris les détails de l’architecture et les options de déploiement, voir Architectures de référence de Content Collaboration

La collaboration sur les dossiers n’a pas beaucoup changé au fil des ans. La plupart de ces workflows utilisent le courrier électronique pour envoyer des fichiers à un groupe de destinataires. Les commentaires sont recueillis auprès de chacun de ces destinataires sous forme d’e-mails séparés vers le fil de discussion et mettent à jour les fichiers avant de recommencer le cycle. En tant que tel, plusieurs messages et copies d’un même document sont stockés dans la plateforme de messagerie, ce qui rend plus difficile le respect des règles du RGDP. En utilisant le flux de travail Commentaires et approbations ShareFile pour collaborer sur des documents, toutes les rétroactions et les révisions de documents sont stockées dans un seul endroit, facilitant ainsi le respect de ces réglementations.

De nombreux workflows papier d’une organisation contiennent des données personnelles sous une forme ou une autre. Par exemple, le flux de travail pour embaucher des personnes implique plusieurs étapes où les informations personnelles doivent être enregistrées et partagées. Toutes ces informations doivent être conformes à la réglementation RGDP, la centralisation et la numérisation de ces flux de travail ont un impact positif. ShareFile Custom Workflows est donc conçu pour permettre à ces données personnelles d’être capturées en toute sécurité, stockées en toute sécurité dans ShareFile et, le cas échéant, complétées par une signature électronique. Toutes les informations sont stockées ensemble dans un seul endroit et font l’objet d’un audit pour savoir qui accède à ces informations et les modifie, ce qui fournit une pratique conforme au RGPR.

Article 32 - Cryptage des données en transit

Toutes les connexions entre les clients ShareFile et le plan de contrôle SaaS Content Collaboration, entre les clients ShareFile et ShareFile StorageZones, en plus du plan de contrôle SaaS et ShareFile StorageZones, sont entièrement chiffrées. Consultez CTX208317 et la FAQ sur la sécurité et la conformité de Citrix ShareFile pour plus de détails.

Les clients Citrix Files (ShareFile) pour iOS et Android, qui peuvent être gérés par Citrix Endpoint Management, utilisent également les fonctionnalités VPN intégrées fournies par le SDK CEM. Pour plus de détails, reportez-vous à la section « Cryptage des données en transit » dans la section Sécurisation des applications mobiles de ce document.

Article 32 - Chiffrement des données au repos

Citrix Content Collaboration offre une architecture flexible qui permet aux clients de choisir l’endroit où les fichiers sont stockés au repos. Ces référentiels sont appelés StorageZones et sont gérés par Citrix ou par le client.

Pour les StorageZones gérées par Citrix, hébergées dans Amazon Web Services ou Microsoft Azure, les fichiers sont stockés au repos avec un chiffrement AES 256 bits. La clé de chiffrement est une clé partagée pour tous les fichiers stockés sur chaque client ShareFile. Il peut également s’agir d’une clé de chiffrement gérée par le client, configurée dans Amazon Key Management Service. Lorsque StorageZone est géré par le client, le chiffrement par fichier peut être activé dans la configuration StorageZone. Lorsque cette option est activée, les fichiers sont chiffrés avec un chiffrement AES 256 bits.

Les fichiers ne sont pas seulement stockés au repos dans le référentiel dans le datacenter ou le cloud, mais aussi sur les appareils utilisés par les employés. Comme une bonne pratique, il est recommandé de toujours utiliser le chiffrement complet du lecteur sur les appareils Windows et macOS. En plus de cela, Content Collaboration permet de contrôler les appareils appartenant à l’entreprise et les périphériques BYOD. Il permet un effacement à distance des fichiers utilisateur, en supprimant uniquement les fichiers de l’entreprise et en ne touchant pas les fichiers personnels de l’employé. Lorsqu’un effacement à distance est lancé, le client Citrix Files renvoie toute l’activité de fichier qui s’est produite hors connexion entre la commande d’effacement et l’effacement réel du référentiel de données utilisateur. Cela se produit lorsque ShareFile ouvre une session au niveau d’application SaaS ShareFile.

Des garanties similaires sont en place avec l’application Citrix Files pour iOS et Android. Tous les fichiers au repos sont chiffrés à l’aide du trousseau de l’appareil et des capacités de chiffrement. Lors de l’utilisation d’une version gérée par Citrix Endpoint Management de Citrix Files, la clé de chiffrement est stockée dans Secure Hub. Et comme ShareFile fournit un moteur de rendu et d’édition robuste pour les fichiers Office et les documents PDF, il y a de nombreux avantages. Avec les clients Citrix Files mobiles, les fichiers n’ont pas besoin de laisser les applications pour la révision ou la modification. ShareFile offre plusieurs options de gestion des périphériques mobiles pour sécuriser les fichiers, par exemple en bloquant l’accès à partir de périphériques jailbreakés et en bloquant l’ouverture de fichiers dans d’autres applications. Lors de l’utilisation de Citrix Endpoint Management, d’autres stratégies avancées pour un contrôle plus granulaire sont disponibles.

Article 25 - Accès aux Données Personnelles

L’authentification à ShareFile est contrôlée par un nom d’utilisateur et un mot de passe (informations d’identification ShareFile) ou à l’aide d’informations d’identification d’entreprise via un fournisseur d’identité SAML. Lors de l’utilisation des informations d’identification ShareFile, le mot de passe de l’utilisateur est soumis à la stratégie de mot de passe configurée. Cette stratégie de mot de passe contrôle les exigences relatives au mot de passe en termes de complexité, d’historique et de fréquence à laquelle il doit être modifié. Le mot de passe est stocké haché et salé dans le niveau d’application SaaS ShareFile pour une sécurité accrue.

L’authentification basée sur SAML est couramment utilisée pour l’authentification aux services cloud. Au lieu de s’authentifier directement dans l’annuaire d’entreprise, tel qu’Active Directory, l’authentification est effectuée sur un fournisseur d’identité. Cela supprime le besoin d’exposer le répertoire d’entreprise directement à ShareFile, tout en permettant aux utilisateurs de s’authentifier avec leurs informations d’identification d’entreprise. Le fournisseur d’identité contrôle la façon dont l’utilisateur doit s’identifier et s’authentifier, en fonction du contexte de cette tentative d’authentification. Cela permet des mesures de sécurité supplémentaires telles que l’authentification multifacteur pour les tentatives d’authentification provenant de l’extérieur du réseau d’entreprise et l’authentification unique basée sur le jeton d’authentification Windows pour les périphériques joints à un domaine.

Article 32 - Isolation et protection des données

ShareFile s’intègre aux produits de prévention contre la perte de données leader du marché pour StorageZones gérés par le client et Cloud Access Security Broker Services pour tout type de ShareFile StorageZone, ce qui permet de limiter le contenu. Les documents stockés dans un ShareFile StorageZone sont examinés par les mêmes stratégies que celles déjà configurées pour d’autres référentiels. Sur la base de ces résultats d’analyse, les fichiers peuvent être bloqués pour téléchargement ou partagés avec d’autres personnes.

Le partage de fichiers est un élément clé des workflows modernes. Cela fait du contrôle de l’accès et des autorisations aux documents contenant des informations relatives à la confidentialité une priorité, en particulier lorsque les fichiers sont hors du contrôle direct de vos propres stratégies de sécurité. Avec le filigrane de gestion des droits relatifs à l’information ShareFile (IRM), les documents sont protégés par un filigrane avec une option d’affichage en ligne uniquement qui aide à traiter les accès non autorisés, y compris diverses techniques de capture d’images. Il facilite également les enquêtes médico-légales si nécessaire pour se conformer au RGPR.

ShareFile utilise le contrôle de version pour stocker différentes versions du même fichier. Ceci est non seulement pratique pour examiner les modifications apportées aux documents, mais cela peut aider lors de la récupération d’une attaque de logiciels malveillants ou de ransomware. En rétablissant les fichiers à l’état avant l’attaque, la perte de données est minimisée. Le temps de récupération est réduit en automatisant la restauration vers les versions précédentes à l’aide des applets de commande ShareFile PowerShell.

Pour les clients nécessitant l’archivage de tous les fichiers à des fins de conformité, ShareFile offre cette fonctionnalité. Lorsqu’un utilisateur supprime un fichier, ou lorsque le fichier est automatiquement supprimé par une stratégie de rétention, le fichier est stocké dans une archive au lieu d’être complètement supprimé de ShareFile. Les auditeurs dédiés peuvent examiner le contenu des fichiers archivés, y compris les autorisations d’accès, au cours d’une enquête.

Résumé

Citrix Workspace simplifie la gestion de vos systèmes et de vos données en centralisant les services dans le centre de données ou le cloud en tant qu’espace de travail numérique. Il aide les clients Citrix à respecter de nombreuses exigences du RGPR en veillant à ce que les applications soient centralisées et enclavées, que les données sont protégées lorsqu’elles sont partagées ou distribuées, que l’accès aux données et aux ressources est contrôlé et que les services informatiques sont réunis pour assurer une sécurité spécifique aux applications et aux données.

Pour en savoir plus sur la sécurité et la conformité avec les solutions d’espace de travail numérique sécurisé Citrix, rendez-vous sur https://www.citrix.com/it-security/.

Pour en savoir plus sur l’approche de Citrix en matière de gestion des données, y compris la documentation de sécurité, la conformité en matière de confidentialité et de sécurité et la gestion des vulnérabilités ,rendez-vous sur https://www.citrix.com/about/trust-center/

Liens supplémentaires

Citrix Trust Center et stratégie de confidentialité

Les 10 principaux résultats des évaluations de la sécurité de l’environnement Citrix

Solutions de sécurité Citrix Ready

Partenaires mondiaux Citrix

Architecture de référence : considérations architecturales pour le règlement général sur la protection des données - GDPR