Prisma Access 隐私

本文档的目的是通过详述此服务可能如何获取、处理1和存储个人信息，为Palo Alto Networks客户提供评估服务对其整体隐私状态的影响所需的信息。 产品摘要 Prisma Access为异地和分支机构提供网络安全，允许远程和移动用户安全地连接到互联网、云、SaaS和数据中心应用程序。使用基于云的安全基础设施作为在全球安装或管理防火墙的替代方案，无需将云流量回传到中央防火墙。始终检查所有端口上的所有流量，利用内置威胁防御、恶意软件防御、URL过滤、SSL解密和基于应用的策略功能提供相同级别的安全性，无论用户身在何处或访问什么资源都不受影响。 Prisma Access处理的信息 Prisma Access处理的个人信息类型仅限于实现我们为客户提供Prisma Access的业务目的所需的最低限度。Prisma Access处理的可能包含个人信息的信息类别包括： ●配置、客户安全策略和运营数据：这些策略和数据通过Panorama接口或中心上的Prisma Access应用接收、存储和处理。策略可能包括有关主机状态、用户ID和应用的信息，以及允许用户或用户组访问的内容。使用ADEM附加模块时，用于检测应用程序及其在网络上的使用情况的信息可能包括用户地理位置数据（城市和州/省级别）、用户设备和Wi- Fi详细信息，有关收集的数据的完整列表，请参阅ADEM管理员指南。当任何移动用户设备与配置的资产策略匹配时，例如当设备未安装防病毒程序时，还会收集主机信息配置文件数据。 ●网络流量：这可能包含源IP地址和目标IP地址。对于支持请求，客户控制数据包捕获的权限。SSL/ SSH解密可以检查加密的网络流量。客户建立和管理解密策略以执行安全策略、控制对应用的访问并阻止恶意内容。 ●用户标识：启用后，Prisma Access对远程网络和移动用户使用User- ID�技术，为客户的企业提供用户和用户组标识，例如，通过从Active Directory检索它以将安全策略映射到网络活动。它可能包括可能被视为个人的信息，包括单独或组合的形式，例如：用户ID、用户设备详细信息、Wi- Fi SSID名称和其他Wi- Fi详细信息、用户位置、ISP信息、IP地址和LAN详细信息。 ●恶意文件内容：检测到时，此内容可能包括可被视为个人的信息（单独或组合），例如：发件人、收件人和主题行、与未知文件关联的URL以及传输未知文件的应用/用户。 ●敏感文件内容：具有DLP服务的Prisma Access可检查动态文件内容，以检测和保护由数据模式和数据配置文件基于公司政策定义的敏感数据，包括文件中包含的任何类型的个人信息。 ●URL：用户与之交互的URL会根据客户的安全策略进行检查、阻止和记录，并且可能包含个人信息，例如用户ID。 Prisma Access和附加组件处理信息的目的 Palo Alto Networks通过Prisma Access处理信息，以保护网络流量并防止未经授权的访问。涉及的处理活动包括但不限于： ●检查通过防火墙的网络流量并生成流量、URL过滤、数据过滤和威胁日志，以及PCAP（用于处理实时网络数据包数据的API）。●根据策略阻止已知威胁、监控性能以及监控和防止敏感数据的传输。●对从移动设备或从不运行自有防火墙的分支机构连接到网络的用户进行身份验证。●将未知文件发送到WildFire云以进行进一步检查和分析。●将日志传输到Cortex Data Lake进行存储和分析。●进行安全研究和质量改进，包括使用预备站点。●为客户提供最佳用户体验、应用性能指标，并识别服务/应用的错误操作以修复用户体验问题。●将互联网浏览活动从员工设备和公司网络转移到Palo Alto Networks云以进行远程浏览器隔离，锁定和隔离潜在的恶意代码。 数据流图 Prisma Access与多个Palo Alto Networks产品和应用交互。与本文档中描述的信息处理活动相关的关键数据流如下所示。 我们的隐私政策 Palo Alto Networks根据我们的隐私政策和隐私产品说明捕获、处理、存储和保护个人信息。我们的信任中心提供大量隐私资源，包括对我们与加州消费者隐私法案(CCPA)、欧盟通用数据保护条例(GDPR)、我们的子处理方和美国 云法案常见问题(FAQ)相关的隐私政策的描述。有关我们的产品支持客户GDPR合规性的方式的更多信息，请访问：https: / / www.paloaltonetworks.com/ legal- notices/ gdpr。 Palo Alto Networks平台支持纵深防御安全模型，以在客户数据的生命周期的所有阶段，包括传输中、内存中和静止状态，以及通过密钥管理，帮助保护客户数据。请参阅Trust 360白皮书了解更多信息。 子处理方 安全计算位置可以托管在Amazon Web Services (AWS®)或Google Cloud Platform (GCP®)中。Prisma Access托管在AWS和GCP公有云数据中心。如果客户愿意，美国的Twilio Inc. (SendGrid)可用于向客户管理员发送电子邮件提醒。 客户隐私选项 Palo Alto Networks的产品可以支持我们的客户履行全球数据保护和合规义务。 用于远程网络的Prisma Access利用靠近分支机构或远程办公室的云位置，而用于移动用户的Prisma Access可以依赖于全球部署的云位置，这样客户就可以在任何地方从网络安全中受益，实现最低延迟。登录时，客户可以选择与安全计算位置关联的部署区域来处理流量。 客户可以通过Panorama应用业务须知的规则来控制对Prisma Access处理的数据的访问。客户控制和访问权限也适用于ADEM应用程序。在配置服务时，客户可以确定哪些信息被记录并发送到Cortex Data Lake。Palo AltoNetworks支持团队可以访问防火墙创建的日志，以调查客户发起的支持案例。 访问和披露 客户访问 客户可以通过Panorama界面、Prisma Access云管理界面或中心的Prisma Access应用访问与Prisma Access相关的信息。客户的系统管理员通过向授权用户授予适当的权限来控制对Panorama的访问。要在中心使用PrismaAccess应用，客户的系统管理员必须在Palo Alto Networks客户支持门户上拥有一个具有应用管理员角色的帐户。 Palo Alto Networks访问 Prisma Access的数据处理大部分是自动化的。访问权限仅限于(a)产品开发团队、(b)站点可靠性工程师(SRE)、(c)威胁研究分析团队和(d)客户支持团队。当需要对客户支持查询进行故障排除或解决与服务相关的问题时，PaloAlto Networks会进行选择性镜像访问。所有访问权限均由Palo Alto Networks客户支持和工程领导层管理，并针对权限访问违规进行审核。 Prisma Access能够收集联系信息，使我们能够在需要时直接联系我们的客户处理与服务相关的事宜。这些信息的存储符合我们的隐私政策，客户可以对其联系信息行使适用的隐私权。 Palo Alto Networks可能会根据我们的隐私政策和其他隐私披露，出于任何合法目的披露或使用汇总或去识别化的个人信息。 跨境数据传输 如果需要与Palo Alto Networks在上述“处理位置”部分确定的地区以外的地区中的人员共享个人信息，我们将按照个人数据传输的适用要求进行处理，包括欧盟委员会批准的欧盟标准合同条款和/或欧盟数据保护法认可的其他法律文书的要求。有关我们的国际数据传输的更详细评估，请参阅我们的GDPR数据传输影响评估。 保留 来自Prisma Access的日志在传输到Cortex Data Lake之前临时存储在云服务中。有关与日志保留相关的控制和流程的详细信息，请参阅Cortex Data Lake隐私产品说明。 Prisma Access Insights使用的数据会保留15个月，而ADEM附加组件收集的数据会保留30天。 通过Prisma Access Insights，客户的管理员将可以访问30天内的以下数据：服务和网络健康状况，包括PrismaAccess、Prisma Access位置和客户部署；客户网络配置/设置相关信息，包括隧道详细信息和状态、远程网络健康状况、带宽消耗、部署区域、安全处理节点数量、节点类型等；使用指标，包括许可证消耗、带宽消耗、移动用户连接（IP和位置）、行为和趋势；以及警报，包括所有上述指标和指标组合。当隧道或节点出现故障或问题得到解决时，管理员也会看到警报。启用后，Prisma Access采用User- ID�技术，该技术可能包括用户组信息，只要客户的订阅处于活动状态，云服务就可能保留这些信息。 安全产品 AWS和GCP为Prisma Access基础架构提供物理和环境安全控制。AWS和GCP的控制不在本隐私产品说明的范围内。有关Prisma Access数据所在数据中心的安全保护信息，请参阅https:/ / cloud.google.com/ security/compliance上的Google合规性资源中心和https: / / aws.amazon.com/ compliance/的AWS合规性资源中心。 Palo Alto Networks还获得了Prisma Access的SOC 2 II型Plus和ISO 27001认证，这足以证明其强大的安全政策和内部控制。有关详细信息，请访问paloaltonetworks.com/ legal- notices/ trust- center/ soc2。请访问Palo Alto Networks的技术认证页面，了解有关适用于Prisma Access的所有ISO和其他认证的更多信息：https: / / www.paloaltonetworks.com/ legal- notices/ trust- center/ tech- certs。 Trust 360计划详细说明了为保护客户最敏感数据而实施的安全性、合规性和隐私控制。有关Palo Alto Networks安全保护措施的更多信息，请点击此处。这些保护措施包括防火墙技术、入侵检测系统和网络分段。每个客户都有责任确保采取物理、技术和管理安全措施来保护数据，并且必须满足其企业要求的所有适用隐私和安全标准。 处理位置 Palo Alto Networks区域云提供解决客户数据位置偏好的选项。Prisma Access在全球100多个位置提供本地体验。2每个位置都根据优化的性能和延迟映射到安全计算位置。ADEM和Prisma Access Insights位置会自动映射到CDL位置，如下表1所示。 表2显示了发生安全处理的Prisma Access计算位置的列表。有关本地国家/地区位置与相关计算位置的映射，请访问Prisma Access位置。系统管理员可以在配置菜单中选择和取消选择国家/地区，以便选择列表中指示的关联计算 位置。请查看Prisma Access管理员指南了解更多信息。Palo Alto Networks保留不时更新这些国家/地区到计算映射的权利，此类更改将反映在上面的链接中，并在配置菜单中向管理员显示。 对于DNS Security、URL Filtering以及DLP和SaaS Security附加模块，Prisma Access使用动态位置映射而不是静态映射。这四项服务中每一项的数据都将在服务的数据中心进行处理，而数据中心与Prisma Access安全计算数据中心的延迟最低、性能最佳。当前每个服务的数据中心位置如下： DNS Security：日本、新加坡、澳大利亚、中国香港、印度、英国、德国、荷兰、法国、美国（西部、东部和