Prisma Access 隐私

PrismaAccess隐私产品说明 本文档的目的是通过详述此服务可能如何获取、处理1和存储个人信息，为PaloAltoNetworks客户提供评估服务对其整体隐私状态的影响所需的信息。 产品摘要 PrismaAccess为异地和分支机构提供网络安全，允许远程和移动用户安全地连接到互联网、云、SaaS和数据中心应用程序。使用基于云的安全基础设施作为在全球安装或管理防火墙的替代方案，无需将云流量回传到中央防火墙。始终检查所有端口上的所有流量，利用内置威胁防御、恶意软件防御、URL过滤、SSL解密和基于应用的策略功能提供相同级别的安全性，无论用户身在何处或访问什么资源都不受影响。 PrismaAccess处理的信息 PrismaAccess处理的个人信息类型仅限于实现我们为客户提供PrismaAccess的业务目的所需的最低限度。 PrismaAccess处理的可能包含个人信息的信息类别包括： ●配置、客户安全策略和运营数据：这些策略和数据通过Panorama接口或中心上的PrismaAccess应用接收、存储和处理。策略可能包括有关主机状态、用户ID和应用的信息，以及允许用户或用户组访问的内容。使用ADEM附加模块时，用于检测应用程序及其在网络上的使用情况的信息可能包括用户地理位置数据（城市和州/省级别）、用户设备和Wi-Fi详细信息，有关收集的数据的完整列表，请参阅ADEM管理员指南。当任何移动用户设备与配置的资产策略匹配时，例如当设备未安装防病毒程序时，还会收集主机信息配置文件数据。 ●网络流量：这可能包含源IP地址和目标IP地址。对于支持请求，客户控制数据包捕获的权限。SSL/SSH解密可以检查加密的网络流量。客户建立和管理解密策略以执行安全策略、控制对应用的访问并阻止恶意内容。 ●用户标识：启用后，PrismaAccess对远程网络和移动用户使用User-ID�技术，为客户的企业提供用户和用户组标识，例如，通过从ActiveDirectory检索它以将安全策略映射到网络活动。它可能包括可能被视为个人的信息，包括单独或组合的形式，例如：用户ID、用户设备详细信息、Wi-FiSSID名称和其他Wi-Fi详细信息、用户位置、ISP信息、IP地址和LAN详细信息。 ●恶意文件内容：检测到时，此内容可能包括可被视为个人的信息（单独或组合），例如：发件人、收件人和主题行、与未知文件关联的URL以及传输未知文件的应用/用户。 ●敏感文件内容：具有DLP服务的PrismaAccess可检查动态文件内容，以检测和保护由数据模式和数据配置文件基于公司政策定义的敏感数据，包括文件中包含的任何类型的个人信息。 ●URL：用户与之交互的URL会根据客户的安全策略进行检查、阻止和记录，并且可能包含个人信息，例如用户ID。 1在本文档中，我们采用了GDPR第4(2)条中出现的“处理”的广义定义：“‘处理’是指对个人数据或个人数据集执行的任何操作或一组操作，无论是否通过自动方式...”，包-括但不限于以下非详尽的一系列示例：“收集、记录、组织、结构化、存储、改编或更改、检索、咨询、使用、通过传输、传播或其他方式提供的披露、协调或组合、限制、删除或破坏。” PrismabyPaloAltoNetworks|PrismaAccess隐私产品说明|1上次更新时间：2023年12月12日 PrismaAccess和附加组件处理信息的目的 PaloAltoNetworks通过PrismaAccess处理信息，以保护网络流量并防止未经授权的访问。涉及的处理活动包括但不限于： ●检查通过防火墙的网络流量并生成流量、URL过滤、数据过滤和威胁日志，以及PCAP（用于处理实时网络数据包数据的API）。 ●根据策略阻止已知威胁、监控性能以及监控和防止敏感数据的传输。 ●对从移动设备或从不运行自有防火墙的分支机构连接到网络的用户进行身份验证。 ●将未知文件发送到WildFire云以进行进一步检查和分析。 ●将日志传输到CortexDataLake进行存储和分析。 ●进行安全研究和质量改进，包括使用预备站点。 ●为客户提供最佳用户体验、应用性能指标，并识别服务/应用的错误操作以修复用户体验问题。 ●将互联网浏览活动从员工设备和公司网络转移到PaloAltoNetworks云以进行远程浏览器隔离，锁定和隔离潜在的恶意代码。 数据流图 PrismaAccess与多个PaloAltoNetworks产品和应用交互。与本文档中描述的信息处理活动相关的关键数据流如下所示。 我们的隐私政策 PaloAltoNetworks根据我们的隐私政策和隐私产品说明捕获、处理、存储和保护个人信息。我们的信任中心提供大量隐私资源，包括对我们与加州消费者隐私法案(CCPA)、欧盟通用数据保护条例(GDPR)、我们的子处理方和美国 云法案常见问题(FAQ)相关的隐私政策的描述。有关我们的产品支持客户GDPR合规性的方式的更多信息，请访问： https://www.paloaltonetworks.com/legal-notices/gdpr。 PaloAltoNetworks平台支持纵深防御安全模型，以在客户数据的生命周期的所有阶段，包括传输中、内存中和静止状态，以及通过密钥管理，帮助保护客户数据。请参阅Trust360白皮书了解更多信息。 子处理方 安全计算位置可以托管在AmazonWebServices(AWS®)或GoogleCloudPlatform(GCP®)中。PrismaAccess托管在AWS和GCP公有云数据中心。如果客户愿意，美国的TwilioInc.(SendGrid)可用于向客户管理员发送电子邮件提醒。 客户隐私选项 PaloAltoNetworks的产品可以支持我们的客户履行全球数据保护和合规义务。 用于远程网络的PrismaAccess利用靠近分支机构或远程办公室的云位置，而用于移动用户的PrismaAccess可以依赖于全球部署的云位置，这样客户就可以在任何地方从网络安全中受益，实现最低延迟。登录时，客户可以选择与安全计算位置关联的部署区域来处理流量。 客户可以通过Panorama应用业务须知的规则来控制对PrismaAccess处理的数据的访问。客户控制和访问权限也适用于ADEM应用程序。在配置服务时，客户可以确定哪些信息被记录并发送到CortexDataLake。PaloAltoNetworks支持团队可以访问防火墙创建的日志，以调查客户发起的支持案例。 访问和披露 客户访问 客户可以通过Panorama界面、PrismaAccess云管理界面或中心的PrismaAccess应用访问与PrismaAccess相关的信息。客户的系统管理员通过向授权用户授予适当的权限来控制对Panorama的访问。要在中心使用PrismaAccess应用，客户的系统管理员必须在PaloAltoNetworks客户支持门户上拥有一个具有应用管理员角色的帐户。 PaloAltoNetworks访问 PrismaAccess的数据处理大部分是自动化的。访问权限仅限于(a)产品开发团队、(b)站点可靠性工程师(SRE)、 (c)威胁研究分析团队和(d)客户支持团队。当需要对客户支持查询进行故障排除或解决与服务相关的问题时，PaloAltoNetworks会进行选择性镜像访问。所有访问权限均由PaloAltoNetworks客户支持和工程领导层管理，并针对权限访问违规进行审核。 PrismaAccess能够收集联系信息，使我们能够在需要时直接联系我们的客户处理与服务相关的事宜。这些信息的存储符合我们的隐私政策，客户可以对其联系信息行使适用的隐私权。 PaloAltoNetworks可能会根据我们的隐私政策和其他隐私披露，出于任何合法目的披露或使用汇总或去识别化的个人信息。 跨境数据传输 如果需要与PaloAltoNetworks在上述“处理位置”部分确定的地区以外的地区中的人员共享个人信息，我们将按照个人数据传输的适用要求进行处理，包括欧盟委员会批准的欧盟标准合同条款和/或欧盟数据保护法认可的其他法律文书的要求。有关我们的国际数据传输的更详细评估，请参阅我们的GDPR数据传输影响评估。 保留 来自PrismaAccess的日志在传输到CortexDataLake之前临时存储在云服务中。有关与日志保留相关的控制和流程的详细信息，请参阅CortexDataLake隐私产品说明。 PrismaAccessInsights使用的数据会保留15个月，而ADEM附加组件收集的数据会保留30天。 通过PrismaAccessInsights，客户的管理员将可以访问30天内的以下数据：服务和网络健康状况，包括PrismaAccess、PrismaAccess位置和客户部署；客户网络配置/设置相关信息，包括隧道详细信息和状态、远程网络健康状况、带宽消耗、部署区域、安全处理节点数量、节点类型等；使用指标，包括许可证消耗、带宽消耗、移动用户连接（IP和位置）、行为和趋势；以及警报，包括所有上述指标和指标组合。当隧道或节点出现故障或问题得到解决时，管理员也会看到警报。启用后，PrismaAccess采用User-ID�技术，该技术可能包括用户组信息，只要客户的订阅处于活动状态，云服务就可能保留这些信息。 安全产品 AWS和GCP为PrismaAccess基础架构提供物理和环境安全控制。AWS和GCP的控制不在本隐私产品说明的范围内。有关PrismaAccess数据所在数据中心的安全保护信息，请参阅https://cloud.google.com/security/compliance上的Google合规性资源中心和https://aws.amazon.com/compliance/的AWS合规性资源中心。 PaloAltoNetworks还获得了PrismaAccess的SOC2II型Plus和ISO27001认证，这足以证明其强大的安全政策和内部控制。有关详细信息，请访问paloaltonetworks.com/legal-notices/trust-center/soc2。请访问PaloAltoNetworks的技术认证页面，了解有关适用于PrismaAccess的所有ISO和其他认证的更多信息：https://www.paloaltonetworks.com/legal-notices/trust-center/tech-certs。 Trust360计划详细说明了为保护客户最敏感数据而实施的安全性、合规性和隐私控制。有关PaloAltoNetworks安全保护措施的更多信息，请点击此处。这些保护措施包括防火墙技术、入侵检测系统和网络分段。每个客户都有责任确保采取物理、技术和管理安全措施来保护数据，并且必须满足其企业要求的所有适用隐私和安全标准。 处理位置 PaloAltoNetworks区域云提供解决客户数据位置偏好的选项。PrismaAccess在全球100多个位置提供本地体验。2每个位置都根据优化的性能和延迟映射到安全计算位置。ADEM和PrismaAccessInsights位置会自动映射到CDL位置，如下表1所示。 表2显示了发生安全处理的PrismaAccess计算位置的列表。有关本地国家/地区位置与相关计算位置的映射，请访问PrismaAccess位置。系统管理员可以在配置菜单中选择和取消选择国家/地区，以便选择列表中指示的关联计算 2显式代理目前在25个位置可用。 位置。请查看PrismaAccess管理员指南了解更多信息。PaloAltoNetworks保留不时更新这些国家/地区到计算映射的权利，此类更改将反映在上面的链接中，并在配置菜单中向管理员显示。 表1：管理、洞察、ADEM和IoTSecurity位置映射到CDL CDL