Lea y revise la documentación de Automation Anywhere

Cerrar contenidos

Contenidos

Abrir contenidos

Pautas para la regulación general de protección de datos

  • Actualizado: 5/10/2019
    • 11.3.x
    • Explorar
    • Enterprise

Pautas para la regulación general de protección de datos

El Reglamento general de protección de datos (GDPR, por sus siglas en inglés) es uno de los marcos de cumplimiento más estrictos con respecto al mantenimiento de la privacidad de los datos personales. El GDPR define los datos personales como cualquier dato que pueda utilizarse para identificar a una persona física.

Esa persona natural se define como el sujeto de los datos. Las entidades comerciales que definen y determinan el propósito y los medios del procesamiento de datos personales (proceso empresarial) se definen como Controladores de datos. Las entidades comerciales que realizan el procesamiento de datos personales se definen como Procesadores de datos. Los controladores y procesadores de datos deben estar listos para demostrar que sus actividades de procesamiento de datos y procesos de seguridad se adhieren al GDPR si los datos personales que procesan se refieren a cualquier sujeto de datos que sea ciudadano de cualquier país o territorio miembro de la Unión Europea (UE), incluso cuando dicho procesamiento se realiza fuera de la UE. El propósito del GDPR es asegurar que se mantengan los derechos de los sujetos de datos en lo que respecta a su información personal. Estos derechos están relacionados con la privacidad, el procesamiento con fines comerciales legítimos únicamente, el derecho de controlar, acceder y eliminar su información personal de los sistemas de los procesadores de datos.

Los clientes de Automation Anywhere que utilizan Automation Anywhere Enterprise (AAE) por lo general son controladores de datos y/o procesadores de datos en el contexto del GDPR. Al ser software comprado, implementado y administrado por el cliente, el cumplimiento con el GDPR depende de las políticas y los procedimientos de la entidad de implementación del cliente. El GDPR obliga a la entidad de implementación a implementar medidas técnicas y organizativas adecuadas para garantizar que los datos se procesen para los fines establecidos y que los datos estén protegidos por diseño y de forma predeterminada. Las pautas que se describen a continuación deben seguirse para garantizar que está siendo utilizado de una manera que es compatible con el GDPR.

Protección de datos

Automation Anywhere cuenta con un conjunto completo de características de seguridad que se proporcionan automáticamente o que son configurables por diseño para brindar protección de datos. Al igual que con cualquier aplicación empresarial, la utilización coherente y adecuada de los controles de seguridad depende de la organización. Varios aspectos de la seguridad dentro del entorno de una instancia de Client están fuera del alcance de ; por ejemplo, la postura de seguridad del sistema operativo sobre el que se implementa , o la seguridad de la red del entorno.

utiliza tecnologías de cifrado para datos en reposo, datos en tránsito y datos en la memoria. Las tecnologías de cifrado están documentadas en las Guías de arquitectura de seguridad de (para las versiones 10 y 11).

Todos los usuarios que acceden a pueden autenticarse utilizando métodos de autenticación centralizados estándar, como Active Directory. Además el acceso por credencial para se puede llevar a cabo mediante la bóveda de credenciales incorporada de seguridad de calidad bancaria o sistemas de almacenamiento de credenciales externas como CyberArk.

La autorización de los usuarios de está fuera del alcance del software , la entidad de implementación debe garantizar que solo el personal autorizado con una necesidad comercial pueda acceder a AAE. Los usuarios corporativos con acceso a pueden recibir permisos específicos a través de roles dentro de los controles de acceso basados en roles (RBAC) que admiten el producto. Los permisos y roles admiten modelos sofisticados de RBAC que aseguran controles duales y la separación de tareas dentro de las operaciones de . Los permisos pueden ser implementados en todos los aspectos de la operación de , lo cual incluye: credenciales, bots, instancias de Bot Runner, instancias de Bot Creator, programaciones de bots, acceso al registro de auditoría, listas de prioridad de administración de cargas de trabajo y grupos. Ya que permite la automatización de cualquier tipo de proceso empresarial, es responsabilidad de la entidad de implementación garantizar que solo el personal autorizado para acceder a las aplicaciones involucradas con cualquier automatización esté autorizado para hacerlo. Dentro de este lineamiento, proporciona todos los permisos necesarios para separar diferentes bots, instancias de Bot Runner y personal operativo a lo largo de cualquier línea de negocio o proceso empresarial, a fin de garantizar que haya dominios de procesamiento separados dentro del producto.

Todas las acciones del usuario son auditadas dentro de proporcionan registros de todos los accesos y acciones tomadas por el personal de operaciones. La generación de registros de auditoría de admite todos los principales marcos de cumplimiento.

admite una arquitectura redundante y de carga balanceada que se adapta a las necesidades empresariales y garantiza la disponibilidad de los recursos de procesamiento. admite la sincronización de estado en implementaciones geográficamente distintas que admiten la recuperación ante desastres y la resistencia en el procesamiento.

Los bots son programas de software desarrollados por expertos empresariales de clientes, y como con cualquier desarrollo de aplicaciones empresariales, la vanguardia tecnológica requiere que se implementen procesos de ciclo de vida de desarrollo seguro de software (SDLC). admite la separación de entornos de Desarrollo, Pruebas y Producción a través de una combinación de implementaciones separadas y RBAC como se describe anteriormente. Consulte los documentos de Arquitectura de seguridad para obtener más información (para las versiones 10 y 11).

Seudonimización

GDPR específicamente define a la seudonimización como una medida técnica adecuada para proteger los datos. Una discusión en profundidad de la seudonimización está fuera del alcance de AAE. La seudonimización transforma los datos en identificadores artificiales. Esto le da al controlador y al procesador una forma de procesar los datos de manera que ya no es posible usar los datos para identificar a una persona física. La tokenización es otro enfoque que transforma los datos de manera que se puede hacer referencia a ellos más adelante, pero en términos de los datos tokenizados de tal manera que no se pueden usar para identificar a una persona física. Automation Anywhere recomienda la adhesión al artículo 25 del GDPR en el uso de la seudonimización y la tokenización, en todos los casos en los que el bot esté procesando información personal. El uso de la seudonimización para datos personales elimina cualquier riesgo relacionado con la remanencia de datos dentro de la plataforma .

Remanencia de datos en Enterprise Control Room

Hay casos en los que los datos se retienen dentro de las bases de datos que admiten Enterprise Control Room. Específicamente cuando se utiliza la gestión de la carga de trabajo, Bot Insight e IQ Bot. En todos los casos de remanencia de datos en Enterprise Control Room, la seudonimización y la tokenización reducen el esfuerzo de la entidad controladora y procesadora para cumplir con el GDPR. Además, cuando se habilitan los registros para la información de depuración, como el nombre de usuario (usuarios de la plataforma), estos se mantendrán en los registros.

Gestión de la carga de trabajo y listas de prioridad

Al utilizar la gestión de la carga de trabajo para implementar varios bots en la misma automatización, los elementos de trabajo que se colocan en las listas de prioridad se almacenan en la base de datos. A través de la interfaz de usuario de Enterprise Control Room cualquier elemento de trabajo puede ser consultado, revisado y eliminado. Al procesar datos personales en elementos de trabajo, las listas de prioridad deben eliminarse periódicamente.

Bot Insight

Al usar Bot Insight, cualquier campo que esté etiquetado para análisis dentro de la tarea de automatización incorporada en la herramienta de desarrollo AAE se registrará y almacenará en la base de datos de análisis. En la versión 11 de Bot Insight, todas las variables se etiquetan automáticamente para capturar datos y, por lo tanto, se almacenarán en la base de datos. Para la versión 11 de Bot Insight, esta acción predeterminada de etiquetar todas las variables de datos debe estar desactivada para los campos que contienen datos personales.

IQ Bot

IQ Bot almacena imágenes cargadas por usuarios o tareas de RPA y extrae datos estructurados de esas imágenes. Estas imágenes y los datos extraídos se almacenan temporalmente en la base de datos mientras IQ Bot se está ejecutando o cuando se detiene con una excepción. Después de que todas las excepciones en una ejecución de IQ Bot se validen o se invaliden, los datos se eliminan de la base de datos. Las imágenes de entrenamiento para el IQ Bot se almacenan en la base de datos y no deben contener datos personales que puedan identificar a una persona física. Para IQ Bot versión 5.2.1 o anterior, el sistema moverá automáticamente las imágenes de producción al entorno de entrenamiento. El entorno de entrenamiento debe revisarse periódicamente para identificar las imágenes de producción y eliminarlas. En la versión 5.3, programada para su lanzamiento en junio de 2018, habrá una función para deshabilitar este movimiento automático de imágenes de producción al entorno de entrenamiento.

Credenciales de usuario

Las credenciales de usuario en las versiones 10 y 11 de pueden ser agregadas y eliminadas por cualquier administrador con los privilegios apropiados, establecidos por un rol. El Enterprise Control Room admite la consulta, revisión y eliminación de cualquier credencial en cualquier momento.

Bases de datos y eliminación de datos de

Si se ha realizado el procesamiento y no se ha aplicado la seudonimización, podría ser necesario eliminar los datos de las bases de datos de . utiliza una base de datos SQL estándar, ya sea co-residente en el servidor de Enterprise Control Room o un servidor de base de datos corporativo o clúster identificado durante la instalación y configuración del Enterprise Control Room. Consulte a los administradores de su base de datos para encontrar, informar y extraer datos de la base de datos de . Un bot está disponible en el Automation Anywhere - Bot Store que puede ser utilizado y adaptado para este fin.

Enviar comentarios