PDPA et gestion des risques pour les tiers Prevalent

L'APPD et la gestion des risques liés aux tiers

Le Singapore Personal Data Protection Act (PDPA) est une loi qui régit la collecte, l'utilisation et la divulgation des données personnelles d'un individu. Adoptée pour la première fois en 2012 et révisée en 2020, la PDPA reconnaît à la fois le droit des personnes à protéger leurs données personnelles et la nécessité pour les organisations de collecter, d'utiliser et de divulguer ces données à des fins raisonnables.

La LPDP comprend dix obligations, dont l'une - l'obligation de protection (article 24) - s'applique le plus directement à l'externalisation du traitement des données par des tiers. Il est donc essentiel de veiller à ce que les tiers utilisent les contrôles de sécurité les plus stricts lorsqu'ils stockent, gèrent ou conservent les données des clients de votre organisation.

Conditions applicables

avoir des objectifs raisonnables pour notifier et obtenir le consentement à la collecte, à l'utilisation ou à la divulgation de données à caractère personnel
Permettre aux individus d'accéder à leurs données personnelles et de les corriger
Prendre soin des données à caractère personnel (ce qui implique d'en garantir l'exactitude), les protéger (y compris dans le cas de transferts internationaux) et ne pas les conserver si elles ne sont plus nécessaires.
Notifier les violations de données à la Commission de protection des données de Singapour et aux personnes concernées.
Disposer de politiques et de pratiques conformes à la LPDP

Liste de contrôle de la conformité des tiers à la LPDP

Téléchargez la liste de contrôle de la conformité des tiers à la PDPA pour connaître les considérations de la loi relatives aux tiers et identifier les principales capacités de gestion des risques des tiers qui peuvent vous aider à répondre à ses exigences.

Ressource en vedette Liste de contrôle du pdpa

Répondre aux exigences du PDPA TPRM en matière de protection des données

Le tableau récapitulatif ci-dessous met en correspondance les fonctionnalités de la plate-forme de gestion des risques pour les tiers (Prevalent ) avec certains articles de la section 24 de la LPDP - l'obligation de protection.

REMARQUE : Il s'agit uniquement d'un résumé des articles les plus pertinents, qui ne doit pas être considéré comme un guide complet et définitif. Pour une liste complète des articles, veuillez examiner le document complet en détail et consulter votre auditeur.

Section PDPA	Quelle aide nous apportons
Protection des données personnelles, section 24 : "Une organisation doit protéger les données à caractère personnel en sa possession ou sous son contrôle en prenant des dispositions raisonnables en matière de sécurité afin d'empêcher (a) l'accès, la collecte, l'utilisation, la divulgation, la copie, la modification ou l'élimination non autorisés, ou des risques similaires ; et (b) la perte de tout support de stockage ou appareil sur lequel des données à caractère personnel sont stockées."
Lignes directrices consultatives sur les concepts clés de la LPDP L'obligation de protection des données, 17.3 c) "Mettre en œuvre des politiques et des procédures solides pour garantir des niveaux de sécurité appropriés pour les données à caractère personnel plus ou moins sensibles.	Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques des tiers (TPRM) qui s'inscrit dans le cadre plus large de vos programmes de sécurité et de gouvernance de l'information, de protection des données, de risque et de conformité, sur la base de meilleures pratiques éprouvées et d'une vaste expérience du monde réel. Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions TPRM, sélectionner des questionnaires et des cadres d'évaluation des risques et optimiser votre programme afin de couvrir l'ensemble du cycle de vie des risques liés aux tiers - de la recherche de sources d'approvisionnement et de la diligence raisonnable à la résiliation et à l'intégration - en fonction de l'appétit pour le risque de votre organisation. Prevalent permet aux organisations d'évaluer et de surveiller leurs tiers en fonction de l'ampleur des menaces qui pèsent sur leurs actifs informationnels, en saisissant, en suivant et en quantifiant les risques inhérents à tous les tiers. Le résultat est une liste de fournisseurs classés par niveaux et par catégories, avec un score de risque inhérent, qui permet de procéder à des vérifications préalables plus approfondies.
Lignes directrices consultatives sur les concepts clés de la LPDP L'obligation de protection des données, 17.3 d) "Être préparé et capable de répondre rapidement et efficacement aux violations de la sécurité de l'information".	Prevalent permet à votre équipe d'identifier rapidement les incidents impliquant des fournisseurs tiers, d'y répondre, d'en rendre compte et d'en atténuer l'impact en centralisant la gestion des fournisseurs, en procédant à des évaluations d'événements, en notant les risques identifiés, en établissant une corrélation avec la surveillance continue de cyber et en accédant à des conseils de remédiation. Les principales fonctionnalités comprennent : Questionnaires de gestion des événements et des incidents continuellement mis à jour et personnalisables Suivi en temps réel de la progression du remplissage du questionnaire Des propriétaires de risques définis avec des rappels de poursuite automatisés pour maintenir les enquêtes dans les délais prévus Rapports proactifs sur les fournisseurs Vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur. Règles de flux de travail permettant de déclencher des scénarios automatisés pour agir sur les risques en fonction de leur impact potentiel sur l'entreprise. Recommandations de remédiation intégrées pour réduire les risques Modèles de rapports intégrés Cartographie des données et des relations pour identifier les relations entre votre organisation et les tierces, 4èmes ou Nièmes parties afin de visualiser les chemins de l'information et de déterminer les données à risque.
Lignes directrices consultatives sur les concepts clés de la LPDP L'obligation de protection des données, 17.4 En outre, il pourrait être utile pour les organisations d'entreprendre un exercice d'évaluation des risques afin de vérifier si leurs dispositions en matière de sécurité de l'information sont adéquates. Pour ce faire, les facteurs suivants peuvent être pris en considération : a) la taille de l'organisation et la quantité et le type de données à caractère personnel qu'elle détient ; b) les personnes qui, au sein de l'organisation, ont accès aux données à caractère personnel ; et c) si les données à caractère personnel sont ou seront détenues ou utilisées par un tiers pour le compte de l'organisation.	Prevalent propose un programme complet d'évaluation des risques liés à la protection des données par des tiers, qui comprend les fonctionnalités suivantes : Découverte et cartographie des données de tiers, de quatrième et de troisième partie Prevalent offre des évaluations planifiées et une capacité unique de cartographie des relations pour retracer les transferts de données entre les relations commerciales, en identifiant où les données existent, où elles circulent et avec qui elles sont partagées à l'extérieur de l'organisation. Les résultats génèrent automatiquement un registre des risques qui met en évidence les principaux domaines de risque. Auto-évaluation Avec Prevalent, les organisations peuvent mener une évaluation interne de l'impact sur la vie privée (PIA) en ciblant les données les plus sensibles liées à la vie privée et les processus d'entreprise présentant le risque le plus élevé. L'évaluation de l'impact sur la vie privée évalue l'origine, la nature et la gravité du risque potentiel. Elle fournit également des recommandations pour atténuer les risques identifiés, garantissant ainsi la conformité future avec les réglementations en matière de protection de la vie privée. Évaluations des risques pour les fournisseurs Prevalent évalue les contrôles de confidentialité des données des fournisseurs par rapport à la PDPA en utilisant le cadre de conformité Prevalent (PCF) et une enquête dédiée à la PDPA. Le contenu spécifique du questionnaire permet d'identifier les risques et de les mettre en correspondance avec les contrôles pour obtenir une vision claire des points chauds potentiels. Réponse aux risques Prevalent automatise l'identification des risques en fonction de seuils définis dans la plateforme. Cette capacité permet d'accélérer la réponse grâce à des règles de flux de travail prédéfinies qui transmettent les risques identifiés à la partie prenante appropriée pour qu'elle les examine et les prenne en compte immédiatement. Suivi de la conformité et rapports Prevalent Les rapports de la PDPA sont établis à l'aide du cadre de conformité Prevalent (PCF). Le PCF met automatiquement en correspondance les risques et les réponses avec les contrôles, fournit un taux de conformité et des rapports spécifiques aux parties prenantes afin d'assurer la visibilité de la sécurité des données. Surveillance continue de la notification des violations de données Prevalent permet d'accéder à une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde. Elle comprend les types et les quantités de données volées, les questions de conformité et de réglementation, ainsi que les notifications de violation de données des fournisseurs en temps réel.

Section PDPA

Quelle aide nous apportons

Protection des données personnelles, section 24 :

"Une organisation doit protéger les données à caractère personnel en sa possession ou sous son contrôle en prenant des dispositions raisonnables en matière de sécurité afin d'empêcher
(a) l'accès, la collecte, l'utilisation, la divulgation, la copie, la modification ou l'élimination non autorisés, ou des risques similaires ; et
(b) la perte de tout support de stockage ou appareil sur lequel des données à caractère personnel sont stockées."

Lignes directrices consultatives sur les concepts clés de la LPDP

L'obligation de protection des données, 17.3 c)

"Mettre en œuvre des politiques et des procédures solides pour garantir des niveaux de sécurité appropriés pour les données à caractère personnel plus ou moins sensibles.

Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques des tiers (TPRM) qui s'inscrit dans le cadre plus large de vos programmes de sécurité et de gouvernance de l'information, de protection des données, de risque et de conformité, sur la base de meilleures pratiques éprouvées et d'une vaste expérience du monde réel.

Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions TPRM, sélectionner des questionnaires et des cadres d'évaluation des risques et optimiser votre programme afin de couvrir l'ensemble du cycle de vie des risques liés aux tiers - de la recherche de sources d'approvisionnement et de la diligence raisonnable à la résiliation et à l'intégration - en fonction de l'appétit pour le risque de votre organisation.

Prevalent permet aux organisations d'évaluer et de surveiller leurs tiers en fonction de l'ampleur des menaces qui pèsent sur leurs actifs informationnels, en saisissant, en suivant et en quantifiant les risques inhérents à tous les tiers. Le résultat est une liste de fournisseurs classés par niveaux et par catégories, avec un score de risque inhérent, qui permet de procéder à des vérifications préalables plus approfondies.

Lignes directrices consultatives sur les concepts clés de la LPDP

L'obligation de protection des données, 17.3 d)

"Être préparé et capable de répondre rapidement et efficacement aux violations de la sécurité de l'information".

Prevalent permet à votre équipe d'identifier rapidement les incidents impliquant des fournisseurs tiers, d'y répondre, d'en rendre compte et d'en atténuer l'impact en centralisant la gestion des fournisseurs, en procédant à des évaluations d'événements, en notant les risques identifiés, en établissant une corrélation avec la surveillance continue de cyber et en accédant à des conseils de remédiation. Les principales fonctionnalités comprennent :

Questionnaires de gestion des événements et des incidents continuellement mis à jour et personnalisables
Suivi en temps réel de la progression du remplissage du questionnaire
Des propriétaires de risques définis avec des rappels de poursuite automatisés pour maintenir les enquêtes dans les délais prévus
Rapports proactifs sur les fournisseurs
Vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur.
Règles de flux de travail permettant de déclencher des scénarios automatisés pour agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
Recommandations de remédiation intégrées pour réduire les risques
Modèles de rapports intégrés
Cartographie des données et des relations pour identifier les relations entre votre organisation et les tierces, 4èmes ou Nièmes parties afin de visualiser les chemins de l'information et de déterminer les données à risque.

Lignes directrices consultatives sur les concepts clés de la LPDP

L'obligation de protection des données, 17.4

En outre, il pourrait être utile pour les organisations d'entreprendre un exercice d'évaluation des risques afin de vérifier si leurs dispositions en matière de sécurité de l'information sont adéquates.

Pour ce faire, les facteurs suivants peuvent être pris en considération :

a) la taille de l'organisation et la quantité et le type de données à caractère personnel qu'elle détient ;
b) les personnes qui, au sein de l'organisation, ont accès aux données à caractère personnel ; et
c) si les données à caractère personnel sont ou seront détenues ou utilisées par un tiers pour le compte de l'organisation.

Prevalent propose un programme complet d'évaluation des risques liés à la protection des données par des tiers, qui comprend les fonctionnalités suivantes :

Découverte et cartographie des données de tiers, de quatrième et de troisième partie
Prevalent offre des évaluations planifiées et une capacité unique de cartographie des relations pour retracer les transferts de données entre les relations commerciales, en identifiant où les données existent, où elles circulent et avec qui elles sont partagées à l'extérieur de l'organisation. Les résultats génèrent automatiquement un registre des risques qui met en évidence les principaux domaines de risque.

Auto-évaluation
Avec Prevalent, les organisations peuvent mener une évaluation interne de l'impact sur la vie privée (PIA) en ciblant les données les plus sensibles liées à la vie privée et les processus d'entreprise présentant le risque le plus élevé. L'évaluation de l'impact sur la vie privée évalue l'origine, la nature et la gravité du risque potentiel. Elle fournit également des recommandations pour atténuer les risques identifiés, garantissant ainsi la conformité future avec les réglementations en matière de protection de la vie privée.

Évaluations des risques pour les fournisseurs
Prevalent évalue les contrôles de confidentialité des données des fournisseurs par rapport à la PDPA en utilisant le cadre de conformité Prevalent (PCF) et une enquête dédiée à la PDPA. Le contenu spécifique du questionnaire permet d'identifier les risques et de les mettre en correspondance avec les contrôles pour obtenir une vision claire des points chauds potentiels.

Réponse aux risques
Prevalent automatise l'identification des risques en fonction de seuils définis dans la plateforme. Cette capacité permet d'accélérer la réponse grâce à des règles de flux de travail prédéfinies qui transmettent les risques identifiés à la partie prenante appropriée pour qu'elle les examine et les prenne en compte immédiatement.

Suivi de la conformité et rapports
Prevalent Les rapports de la PDPA sont établis à l'aide du cadre de conformité Prevalent (PCF). Le PCF met automatiquement en correspondance les risques et les réponses avec les contrôles, fournit un taux de conformité et des rapports spécifiques aux parties prenantes afin d'assurer la visibilité de la sécurité des données.

Surveillance continue de la notification des violations de données
Prevalent permet d'accéder à une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde. Elle comprend les types et les quantités de données volées, les questions de conformité et de réglementation, ainsi que les notifications de violation de données des fournisseurs en temps réel.

Alignez votre programme TPRM sur CCPA, GDPR, HIPAA et autres

Téléchargez ce guide pour passer en revue les exigences spécifiques de 6 autorités de protection de la vie privée, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.

Ressources présentées manuel de conformité vie privée

Ressources disponibles

Article de blog
La LPDP et la gestion du risque pour les tiers

Examiner les principales exigences de la PDPA et partager les meilleures pratiques pour simplifier le processus de conformité.
Article de blog
Liste de contrôle de la conformité au GDPR pour la gestion des risques liés aux tiers

Atténuer les risques de confidentialité et se conformer aux exigences du GDPR en évaluant les contrôles de protection des données des tiers avec ces...
Article de blog
Liste de contrôle de la conformité à CCPA et à l'ACPR pour la gestion des risques liés aux tiers

Si vos fournisseurs traitent des données sur les résidents de Californie, vous devez vous concentrer sur 4...

Prêt pour une démonstration ?
Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
Demander une démo

Conformité à la loi sur la protection des données personnelles (PDPA) de Singapour

L'APPD et la gestion des risques liés aux tiers

Conditions applicables

La LPDP et la gestion du risque pour les tiers

Liste de contrôle de la conformité au GDPR pour la gestion des risques liés aux tiers

Liste de contrôle de la conformité à CCPA et à l'ACPR pour la gestion des risques liés aux tiers