Lire et examiner la documentation Automation Anywhere

Fermer les contenus

Contenus

Ouvrir les contenus

Directives concernant le Règlement général sur la protection des données

  • Mis à jour le : 5/10/2019
    • 11.3.x
    • Exploration
    • Enterprise

Directives concernant le Règlement général sur la protection des données

Le Règlement général sur la protection des données (RGPD) est l’un des cadres de conformité les plus stricts en matière de protection de la confidentialité des données à caractère personnel. Le RGPD définit les données personnelles comme toute donnée pouvant être utilisée pour identifier une personne physique.

Cette personne physique est définie en tant que Personne concernée. Les entités commerciales qui définissent et déterminent l'objectif et les moyens du traitement des données à caractère personnel (processus métier) sont désignées comme Contrôleurs de données. Les entités commerciales qui effectuent le traitement de données à caractère personnel sont désignées comme Responsables du traitement des données. Les responsables du traitement de données et les contrôleurs de données doivent être prêts à démontrer que leurs activités de traitement de données et leurs processus de sécurité sont conformes au RGPD si les données à caractère personnel qu’ils traitent se rapportent à une personne concernée qui est un citoyen de tout pays ou territoire membre de l'Union européenne (UE), même si ce traitement est effectué en dehors de l'UE. Le but du RGPD est de s'assurer que les droits des personnes concernées par les informations personnelles sont respectés. Ces droits concernent la vie privée, le traitement à des fins commerciales légitimes uniquement, le droit de contrôler, de consulter et de supprimer ses informations personnelles des systèmes de traitement de données.

Les clients d'Automation Anywhere, qui utilisent Automation Anywhere Enterprise (AAE) sont généralement des contrôleurs de données et/ou des responsables du traitement de données dans le cadre du RGPD. En tant que logiciel acheté, déployé et géré par le client, la conformité au RGPD dépend des politiques et des procédures de l'entité client qui effectue le déploiement. Le RGPD oblige l'entité qui effectue le déploiement à mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir que les données sont traitées aux fins spécifiées et que les données sont protégées à dessein et par défaut. Les directives décrites ci-dessous doivent être respectées afin de garantir que est utilisé de manière conforme au RGPD.

Protection des données

Automation Anywhere propose un ensemble complet de fonctions de sécurité qui sont automatiquement fournies ou qui sont configurables dès la conception pour assurer la protection des données. Comme pour toute application d'entreprise, l'utilisation cohérente et appropriée des contrôles de sécurité est à la charge de l'entreprise. Plusieurs aspects de la sécurité d’un environnement client échappent à  ; par exemple, le positionnement de sécurité du système d’exploitation sur lequel est déployé, ou la sécurité réseau de l'environnement.

utilise des technologies de chiffrement pour les données au repos, en transit et en mémoire. Les technologies de chiffrement sont documentées dans les Guides d'architecture de sécurité d' (pour les versions 10 et 11).

Tous les utilisateurs accédant à peuvent être authentifiés à l'aide de méthodes d'authentification centralisées standard telles que Active Directory. En outre, l'accès aux informations d'identification par peut être effectué à l'aide du coffre d'accréditation intégré, doté d'une sécurité de niveau bancaire, ou à l'aide de systèmes de stockage d'informations d'identification externes tels que CyberArk.

L'autorisation des utilisateurs d' n'entre pas dans le champ d'application du logiciel . L'entité qui effectue le déploiement doit s'assurer que seul le personnel autorisé pour raisons professionnelles peut accéder à AAE. Les utilisateurs professionnels ayant accès à peuvent recevoir des autorisations précises via des rôles affectés dans le produit, lequel prend en charge les contrôles d’accès basés sur les rôles (RBAC). Les autorisations et les rôles prennent en charge des modèles RBAC sophistiqués assurant un double contrôle et une séparation des tâches au sein des opérations d'. Des autorisations peuvent être appliquées à tous les aspects de l'utilisation d', notamment : les informations d'identification, les robots, les exécuteurs de robots, les créateurs de robots, les planifications de robots, l'accès au journal d'audit, les files d'attente de gestion des charges de travail et les pools. Compte tenu du fait que permet l'automatisation de tout type de processus métier, il incombe à l'entité qui effectue le déploiement de s'assurer que seul le personnel autorisé à accéder aux applications concernées par une automatisation est autorisé à le faire. Dans le cadre de cette directive, fournit toutes les autorisations nécessaires pour séparer les différents robots, les exécuteurs de robots et le personnel exploitant, quel que soit le secteur d'activité ou le type de traitement. Cela permet de mettre en place des domaines de traitement distincts au sein du produit.

Toutes les actions des utilisateurs sont auditées dans , pour fournir des enregistrements de tous les accès et actions du personnel exploitant. La journalisation d'audit d' prend en charge tous les principaux cadres de conformité.

prend en charge une architecture redondante et équilibrée en charge qui s'adapte aux besoins de l'entreprise en assurant la disponibilité des ressources de traitement. permet la synchronisation d'état sur des déploiements géographiquement distincts prenant en charge la reprise après sinistre et la résilience du traitement.

Les robots sont des programmes logiciels développés par des experts clients. Comme dans tout développement d’applications d’entreprise, les processus les plus avancés exigent la mise en œuvre de processus de cycle de développement du logiciel sécurisé (SDLC). prend en charge la séparation des environnements de développement, de test et de production via une combinaison de déploiements séparés et du système RBAC, décrit ci-dessus. Consultez les documents relatifs à l'architecture de sécurité pour en savoir plus (pour les versions 10 et 11).

Pseudonymisation

Le RGPD désigne spécifiquement la pseudonymisation comme étant une mesure technique appropriée pour protéger les données. Une discussion approfondie sur la pseudonymisation sort de la compétence de AAE. La pseudonymisation transforme les données en identifiants artificiels. Cela fournit au contrôleur des données et au responsable du traitement un moyen de traiter les données de sorte qu'il n'est plus possible d'utiliser ces dernières pour identifier une personne physique. La création de jeton est une autre approche, qui transforme les données de manière à ce qu’elles puissent être référencées ultérieurement, mais en termes de données symbolisées, de telle sorte qu’elles ne puissent pas être utilisées pour identifier une personne physique. Automation Anywhere recommande de respecter les dispositions de l'article 25 du RGPD relatives à l'utilisation de la pseudonymisation et de la création de jetons, dans tous les cas où des informations personnelles sont traitées par un robot. L’utilisation de la pseudonymisation pour les données personnelles supprime tout risque lié à la rémanence des données sur la plateforme .

Rémanence des données dans la Enterprise Control Room

Il existe des cas où des données sont conservées dans les bases de données qui prennent en charge la Enterprise Control Room . Spécifiquement lorsque vous utilisez la gestion des charges de travail, Bot Insight et IQ Bot. Dans tous les cas de rémanence de données dans la Enterprise Control Room, la pseudonymisation et la création de jetons réduisent les efforts du contrôleur des données et du responsable de traitement pour assurer le respect du RGPD. En outre, lors de l'activation des journaux pour le débogage, des informations telles que le nom d'utilisateur (utilisateurs de la plateforme) seront conservées dans les journaux.

Gestion des charges de travail et des files d'attente

Lorsque vous utilisez la gestion des charges de travail pour déployer plusieurs robots sur la même automatisation, les éléments de travail placés dans les files d'attente sont stockés dans la base de données. À travers l'interface utilisateur de la Enterprise Control Room, tout élément de travail peut être interrogé, examiné et supprimé. Lors du traitement de données personnelles dans des éléments de travail, les files d'attente doivent être supprimées périodiquement.

Bot Insight

Lors de l'utilisation de Bot Insight, tout champ marqué pour analyse dans la tâche d'automatisation intégrée à l'outil de développement AAE sera consigné et stocké dans la base de données d'analyse. Dans la version 11 de Bot Insight, toutes les variables sont automatiquement marquées pour la capture de données et seront donc stockées dans la base de données. Pour la version 11 de Bot Insight, cette action par défaut de marquage de toutes les variables de données doit être désélectionnée pour les champs contenant des données personnelles.

IQ Bot

IQ Bot stocke les images chargées par les utilisateurs ou les tâches RPA et en extrait des données structurées. Ces images et les données extraites sont temporairement stockées dans la base de données lorsque IQ Bot est en cours d'exécution ou arrêté avec une exception. Une fois que toutes les exceptions d'une exécution IQ Bot sont validées ou invalidées, les données sont supprimées de la base de données. Les images de formation d'IQ Bot sont stockées dans la base de données et ne doivent pas contenir de données personnelles permettant d’identifier une personne physique. Pour IQ Bot version 5.2.1 ou antérieure, le système déplacera automatiquement les images de production dans l'environnement de formation. L'environnement de formation doit être examiné périodiquement pour identifier les images de production et les supprimer. La version 5.3, dont la parution est prévue en juin 2018, comportera une fonctionnalité permettant de désactiver ce transfert automatique des images de production vers l'environnement de formation.

Informations d'identification de l'utilisateur

Les informations d'identification de l'utilisateur dans les versions 10 et 11 d' peuvent être ajoutées et supprimées par tout administrateur disposant des privilèges appropriés, définis par un rôle. La Enterprise Control Room prend en charge la recherche, l'examen et la suppression de tout identifiant à tout moment.

Bases de données et suppression de données

Si le traitement a été effectué et que la pseudonymisation n’a pas été appliquée, il peut être nécessaire de supprimer les données des bases de données . utilise une base de données SQL standard, soit co-résidente sur le serveur de la Enterprise Control Room, soit un serveur de base de données d'entreprise ou un cluster identifié lors de l'installation et de la configuration de la Enterprise Control Room. Consultez les administrateurs de votre base de données pour rechercher, consigner et extraire des données de la base de données . Un robot : disponible dans le - Bot Store Automation Anywhere peut être utilisé et adapté à cette fin.

Envoyer le commentaire