Il GDPR (General Data Protection Regulation) è il nuovo regolamento generale sulla protezione dei dati da attuare a partire dal 25 maggio 2018. Si parla spesso delle regole progettate per dare ai cittadini un maggiore controllo sui propri dati personali e sulle norme per le aziende sulle modalità di trattamento dei dati, di utilizzo e di comunicazione consapevole dell’utente.
Abbiamo visto in alcuni articoli sul GDPR le principali linee guida e in questo articolo ci soffermeremo in particolare su come i dati debbano essere ‘fisicamente’ tenuti dalle aziende.
GDPR e storage dei dati
I dati degli utenti ottenuti online verranno infatti salvati in database (mysql, access, sql server, etc) o anche esportati in file (testo, csv, excel) o spostati di supporto (database, hard disk, chiavette usb, etc). I dati degli utenti devono essere protetti e l’unico modo per farlo è rendere il dato veramente privato e leggibile solo agli interessati.
Cosa dice il regolamento a proposito? Il GDPR non specifica mezzi tecnici ma afferma dei principi e delle linee guida:
E’ necessario mettere in atto misure tecniche per garantire un livello di sicurezza adeguato al rischio tra le quali la cifratura e la pseudonimizzazione dei dati.
Cifratura dei dispositivi
Il primo livello di sicurezza che possiamo adottare è la cifratura del disco in cui risiede il dato: proteggiamo così il contenitore dei dati per evitare di renderli accessibili a malintenzionati una volta rubato il supporto, manomesso, perso o smaltito in maniera non adeguata (buona norma sarebbe distruggere il supporto).
Nonostante la password di sistema (ad es. di Windows) se un malintenzionato avesse accesso all’hard disk del computer potrebbe facilmente avere accesso ai file in esso contenuti, mentre se cifrato sarebbe illeggibile. Su Windows, a partire dalla versione 7, la cifratura dell’hard disk è facilitata nelle versioni Enterprise, attraverso BitLocker, un software di cifratura preinstallato sul sistema.
Cifratura dei files
Non basta però proteggere il supporto, è necessario anche proteggere i singoli documenti. Questo perché un file può essere condiviso in maniera non sicura: via mail, con copia su un supporto non sicuro (chiave usb non cifrata ad esempio) o su cloud (dropbox, drive,etc). Bisogna cifrare quindi anche i singoli file, cosi da rendere non leggibile il contenuto a chi non ha ricevuto la chiave d’accesso.
La perdita dei dati è uno degli aspetti fondamentali trattati dal GDPR. Infatti entro 72 ore dalla scoperta della perdita/furto del dato dobbiamo andare a fare un rapporto all’autorità garante, ma anche informare gli utenti che i loro dati sono stati rubati. Esiste però un’importante deroga: se i dati sottratti erano cifrati e quindi di fatto sono illeggibili possiamo evitare la notifica agli utenti, salvando l’immagine della nostra azienda.
GDPR e database
La protezione dei dati nel web, parte innanzitutto dalla cifratura dei canali comunicazione, che fortunatamente sta diventando ormai un must, in particolare grazie all’azione di Google che, attraverso Chrome, segnala come non sicuri i siti che non utilizzano https.
Ormai tutti i dati delle web application, e-commerce, siti web, finiscono su database, risulta quindi necessario proteggere questi dati nella maniera più appropriata. Attenzione particolare dovrà essere tenuta anche per i backup del database, poiché a poco servirà proteggere il database se poi i backup risultano facilmente accessibili.
Si può pensare non solo alla classica cifratura delle password, ma anche la cifratura di alcune colonne. In particolare alcune aziende, come ad esempio assicurazioni, che possono salvare dati sensibili di malattie, o e-commerce che possono salvare dati di carte di credito, necessitano maggiore accortezza nel salvataggio dei dati e nella cifratura di alcuni dati.
La GDPR parla di pseudonimizzazione dei dati, che in questi casi può risultare molto utile. Si tratta in particolare di non rendere associabili in modo semplice i dati personali e quelli sensibili. Non rendere quindi associabili ad esempio le patologie con il nome e cognome dividendo i dati in tabelle differenti e con chiavi di corrispondenza non associabili senza la conoscenza della giusta chiave d’accesso.
Controllo degli accessi
Anche il controllo degli accessi è fondamentale. Una piattaforma web dovrebbe permettere livelli di accesso differenti, con diverso accesso ai dati dell’utente. Inoltre si dovrebbe monitorare, tramite log ad esempio, tutte le attività svolte da ogni utenza, così da poter verificare gli account manomessi o che svolgono azioni improprie.
Tutte queste misure sono complementari ed è l’ecosistema che deve funzionare in modo corretto per assicurare la giusta protezione dei dati.
La tua azienda è in linea con la nuova normativa? Per ogni dubbio contattaci.
Commenti recenti