Backup Piergiorgio Venuti

Considerazioni sulla conformita’ al regolamento generale sulla protezione dei dati (GDPR) per l’infrastruttura di backup e archiviazione

Le aziende e gli enti pubblici con sede nell’Unione Europea (UE) hanno ormai sentito certamente parlare del nuovo regolamento generale UE sulla protezione dei dati (GDPR), una serie di norme in materia di privacy che entrera’ in vigore il 25 maggio 2018. Ciò che forse non è immediatamente evidente per chi ha la sede al di fuori della UE è che questo nuovo regime normativo si applica a tutte le aziende globali che hanno relazioni commerciali con la UE e con i clienti UE online.

Se hai clienti o partner che operano all’interno dei confini della UE, è bene che inizi subito ad informarti sul GDPR e ad adottare in fretta provvedimenti che consentano alla tua azienda di garantire la conformita’ al regolamento, o viceversa prepararti a sostenere pesanti sanzioni pecuniarie che potrebbero avere un impatto negativo sulla capacita’ della tua azienda di svolgere la sua attività nella UE in modo redditizio.

Immagina di essere multato con una sanzione pecuniaria di 10 milioni di euro o del 2% del tuo fatturato globale annuo, a seconda di quale sia il maggiore, per la mancata conformità al GDPR.

L’obiettivo principale del GDPR è proteggere i diritti di proprietà individuale dei cittadini UE e, rispetto alla precedente legislazione UE sulla privacy, la nuova legislazione amplia sensibilmente la definizione di cio’ che costituisce i dati personali e privati fino a includere non solo la documentazione finanziaria, della pubblica amministrazione e medica ma anche le informazioni di natura genetica, culturale e sociale. Con il GDPR le aziende devono ottenere il consenso esplicito di una persona prima di poter utilizzarne i dati personali e devono altresì onorare il loro “diritto all’oblio”, inteso come il diritto ad avere i propri dati personali eliminati dall’azienda che li detiene, su richiesta.

Le aziende sono anche tenute a soddisfare diversi altri requisiti per dimostrare la propria conformita’ continua al GDPR, nominando una persona responsabile delle questioni GDPR per l’azienda (il cosiddetto “responsabile della protezione dei dati”), segnalando qualsiasi incidente di violazione della sicurezza e archiviando i dati personali all’interno dei confini fisici della UE. Quest’ultima prescrizione rispecchia la preoccupazione della UE per il fatto che gli altri paesi al di fuori della UE possano non disporre di standard altrettanto elevati per la privacy dei dati dei cittadini e che i dati archiviati al di fuori della UE siano maggiormente a rischio di vigilanza da parte di agenzie governative di spionaggio e criminali.

 

Comprensione del GDPR attraverso la lente della Sarbanes-Oxley (SOX)

Per i professionisti IT di una certa generazione, le sfide presentate dalla conformità al GDPR potrebbero riportare alla memoria la Sarbanes-Oxley Act (SOX) degli Stati Uniti dei primi anni 2000. Come il GDPR, la SOX era un nuovo rigido regime normativo imposto sulle aziende di ogni tipo e dimensione. Benché fosse stato imposto unilateralmente dagli Stati Uniti per le aziende attive all’interno dei confini federali, riguardava un mercato talmente esteso che anche le aziende di tutto il mondo ne sono state interessate. Come ha fatto la UE con il GDPR, gli Stati Uniti avevano ideato una tabella di marcia aggressiva per la conformità e ne hanno assicurato l’applicazione con consistenti sanzioni pecuniarie. E proprio come sta succedendo per il GDPR, la SOX ha generato molta confusione e ansia tra le aziende sotto la sua lente d’ingrandimento, specie per quanto riguarda i costi della conformità.

Per altri versi invece, i professionisti IT nel 2017 e 2018 hanno vita assai più facile rispetto ai loro omologhi degli inizi del XXI secolo. Ad esempio, oggi le aziende hanno a disposizione una tecnologia più efficace per supportare i requisiti di segnalazione e per dimostrare alle autorità di avere messo in atto le politiche, i controlli e le procedure richiesti a supporto della conformità GDPR. I quadri di controllo di governance, gestione del rischio e conformità si sono sensibilmente evoluti negli ultimi 10 anni, come pure la disciplina della gestione del ciclo di vita delle politiche. Grazie, in parte, a normative come la SOX e la Direttiva UE 1995 sulla protezione dei dati, le aziende hanno una maggiore padronanza della valutazione dell’impatto sulla privacy e della governance dell’accesso ai dati. Oggi sono disponibili strumenti sensibilmente migliorati e maggiormente automatizzati per il monitoraggio, la segnalazione e la mitigazione della violazione dei dati.

Ma anche il mondo ha subito un’evoluzione dai tempi della SOX e in modi che complicano la conformità GDPR L’archiviazione dei dati ha subito un’accelerazione straordinaria in termini di velocità, volume, diversità dei media (compreso lo storage cloud) e complessità.

L’universo delle minacce alla sicurezza IT dei dati da parte di criminali e aggressori istituzionali è a sua volta diventato infinitamente più sofisticato e minaccioso.

Le implicazioni della conformità GDPR interessano la valutazione dell’impatto sulla privacy, la governance dell’accesso ai dati e le notifiche e la risoluzione delle violazioni dei dati, tutti argomenti che non verranno trattati in questa sede. Questo documento si concentra invece alla conformità GDPR intesa specificamente nel suo legame con lo storage sicuro e con la protezione dei dati attivi, comprese archiviazione ed eliminazione dei dati.

 

Terminologia generale del GDPR

Per comprendere in che modo il GDPR si lega all’archiviazione e alla protezione dei dati, è utile assimilare la seguente terminologia di base:

  • ♦ Soggetto interessato Un cittadino della UE identificabile tramite i propri dati personali. L’interessato può essere un consumatore che effettua un acquisto online, il paziente di un sistema sanitario, un cittadino che accede ai sevizi della pubblica amministrazione online, un utente delle applicazioni di social media e in generale qualsiasi persona fisica che fornisca informazioni personali per poter utilizzare dei servizi.
  • ♦ Titolare del trattamento Un’azienda che opera entro i confini della UE, o al di fuori della UE ma che ha relazioni commerciali con i cittadini UE, e che acquisisce dati sensibili sui cittadini UE nel corso della propria attività. Alcune esempi sono le aziende che riceve informazioni su ordini online, indirizzi e carte di pagamento dai clienti o i fornitori di servizi sanitari che conservano la documentazione dei pazienti. (Vedere di seguito per assistenza nel determinare se la propria attività si possa configurare come responsabile del trattamento o come titolare del trattamento.)
  • ♦ Responsabile del trattamento Un’attività commerciale come un fornitore di servizi cloud che si configura come contraente per un titolare del trattamento, ad esempio un’altra azienda che offre servizi ai cittadini UE e che acquisisce dati sensibili sulle persone. Gli esempi includono aziende che offrono servizi di hosting delle applicazioni, fornitori di storage e fornitori di servizi cloud come il backup.
  • ♦ Dati personali “Qualsiasi informazione riguardante una persona fisica identificata o identificabile.” La definizione fornita dalla UE è più ampia di quella di altri governi e include nome, indirizzo email, post dei social media, informazioni fisiche, fisiologiche o genetiche, informazioni mediche, ubicazione, dati bancari, indirizzo IP, cookie, identità culturale ecc. del cittadino UE.
  • ♦ Diritto alla cancellazione Il diritto di ogni cittadino UE “di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali”. Le persone possono richiedere la cancellazione di tutti i loro dati personali archiviati sui server del titolare del trattamento. Su questo punto in particolare, permane una certa ambiguità. La richiesta di cancellazione richiede anche la rimozione dei dati dal backup (cosa che può essere problematica in un supporto di backup seriale come il nastro)? Cosa succede quando una richiesta di cancellazione dei dati va in conflitto con le politiche di conservazione dei dati di un’azienda a fini di archiviazione o legali?
  • ♦ Violazione dei dati personali “La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.” Le aziende sono tenute a segnalare ogni incidente di violazione della sicurezza dei dati all’“autorità di controllo” entro 72 ore dal momento in cui ne sono venute a conoscenza.

 

Individuare la propria collocazione nella gerarchia GDPR

Al fine di comprendere i propri obblighi ai sensi del GDPR, occorre innanzi tutto determinare se la propria attività possa essere inquadrata come titolare del trattamento o come responsabile del trattamento, tenendo conto delle seguenti tre domande:

  1. Nella tua azienda vengono conservati o elaborati i dati personali dei cittadini UE?
  2. Nella tua azienda si decide quali elementi specifici dei dati personali debbano essere archiviati?
  3. Nella tua azienda si decide come utilizzare i dati personali che vengono archiviati sotto il tuo controllo?

Se la risposta è Sì soltanto alla domanda 1, allora la tua azienda è inquadrata come responsabile del trattamento nel quadro del GDPR. Se la risposta è Sì alle domande 1, 2 e 3, allora la tua azienda è un titolare del trattamento.

In qualità di titolare o di responsabile del trattamento che deve garantire la conformità al GDPR dell’archiviazione e della protezione dei dati personali, dovrai anche tenere conto delle seguenti domande:

  1. 1) Sapresti individuare con precisione, specificare e controllare l’ubicazione fisica dell’archiviazione degli eventuali dati personali sotto il tuo controllo? Ciò è particolarmente importante se si utilizzano o si fornisce protezione dei dati e/o storage basato su cloud, dove i dati personali hanno il potenziale per essere diffusi in più ubicazioni fisiche in data center di tutto il mondo, compreso fuori dalla UE.
  2. 2) I dati personali che vengono archiviati vengono anche strutturati? Le scelte relative al formato dei dati hanno delle implicazioni per la tua capacità di leggere, modificare ed eliminare elementi specifici dei dati personali su richiesta degli utenti. Le strutture dati che supportano ricerche rapide ed efficienti avranno un valore particolare nel supporto di queste richieste dimensionate.

 

Comprensione dei guasti della protezione della privacy

La tua capacità di asserire privacy, integrità, accessibilità e cancellazione dei dati personali si affida in parte alla tua capacità di garantire protezione e recupero dai guasti di archiviazione, backup e ripristino. Questi guasti rientrano nelle tre diverse categorie seguenti:

  • ♦ Errori dei dispositivi: il guasto fisico di qualsiasi componente hardware di storage, tra cui unità disco, storage controller e data center. Alcuni esempi sono l’esposizione accidentale di un’unità disco a un campo magnetico che ne cancella parzialmente il contenuto.
  • ♦ Guasti logici o soft: guasti dovuti a errori umani. Tra gli esempi, la cancellazione o la sovrascrittura accidentale di file nel corso dell’esecuzione di una procedura di backup la corruzione accidentale dei dati dei file a causa di un bug o da un errore in uno script o applicazione aziendale o la cancellazione accidentale del master boot record di un’unità disco.
  • ♦ Violazioni della sicurezza: guasti dovuti ad attacchi violenti e dannosi all’infrastruttura IT, tra cui reti, server, applicazioni ed endpoint, compresi quelli perpetrati da insider malintenzionati, criminali online e attori istituzionali ostili. Gli esempi includono un attacco di ransomware che applica crittografia impenetrabile ai contenuti di un’unità disco e richiede un pagamento online in cambio della chiave di decrittazione.

 

Supporto dei requisiti dei soggetti interessati per il controllo dei loro dati personali

Oltre alla protezione contro vari tipi di guasti della protezione dei dati, e alla segnalazione alle autorità della UE quando si verificano violazioni della sicurezza, i titolari del trattamento hanno una serie di obblighi nei confronti degli utenti di cui archiviano i dati personali. I titolari del trattamento devono supportare la capacità degli utenti di:

  • accedere, leggere e modificare i propri dati personali;
  • eliminare facilmente i propri dati personali, sia direttamente sia tramite una richiesta a te diretta;
  • esportare i propri dati personali in un formato facilmente leggibile.

La conformità alle richieste dell’utente non è sempre semplice. Ad esempio, è facile rispondere a richieste precise come “Elimina la mia posta in arrivo e tutto il suo contenuto” ma non è altrettanto immediato garantire la conformità a richieste più complesse o ambigue, come “Elimina tutti i miei commenti in questo forum online”.

 

Requisiti GDPR più estesi per protezione dei dati e archiviazione

Le aziende che si inquadrano come responsabili del trattamento devono adempiere anche ad altri obblighi. Tra cui:

  • Offrire sufficienti garanzie che i loro servizi soddisfino i requisiti tecnici e organizzativi del GDPR.
  • Evitare l’uso di fornitori esterni per supportare i contratti di servizio tra il responsabile del trattamento e i relativi clienti (i titolari del trattamento) senza il consenso esplicito del titolare del trattamento.
  • Alla risoluzione di un contratto di servizio, rimuovere tutti i dati dal cloud del cliente e/o dall’infrastruttura del data center e fornire una dimostrazione sufficiente che ciò è stato fatto.
  • Segnalare incidenti di violazioni dei dati all’ente normativo ove previsto dalla normativa.

La UE prende estremamente sul serio il rispetto della conformità, tanto che è pronta ad applicare sanzioni pecuniarie alle aziende che non riescono a dimostrare la propria conformità o che vengono colte in flagrante violazione delle regole del GDPR a tutela della privacy degli utenti. Ad esempio, la mancata conservazione della documentazione scritta, la mancata implementazione di diverse misure tecniche e organizzative e/o la mancata designazione di un responsabile della protezione dei dati, può costare all’azienda in violazione una sanzione di 10 milioni di euro o del 2% del fatturato globale annuo (a seconda di quale dei due è maggiore). Subire una violazione dei dati o commettere un’infrazione dei diritti del soggetto interessato, ad esempio perdere o eliminare i suoi dati senza autorizzazione, può comportare sanzioni pecuniarie anche più salate pari a 20 milioni di euro o il 4% del fatturato globale annuo (a seconda di quale dei due è maggiore).

In senso lato, per conseguire la conformità GDPR in queste aree di archiviazione e protezione dei dati (backup), responsabili e titolari del trattamento dovrebbero cercare soluzioni infrastrutturali o di servizi che soddisfino i seguenti requisiti tecnici:

  • ♦ Controllo da parte del soggetto interessato dell’ubicazione dell’archivio dati personali. Occorre essere in grado di rispettare i desideri delle persone dei cui dati ci si occupa in termini di controllo ed elaborazione rispetto a dove vengono archiviati tali dati: in sede e/o in un data center specifico ubicato nella UE.
  • ♦ Crittografia dei dati. Occorre fornire una solida crittografia dei dati personali situati sugli endpoint e a quelli in transito sulle reti LAN e WAN e sul cloud. Il processo di crittografia deve essere interamente automatizzato e il soggetto interessato deve essere l’unico titolare della chiave di decrittografia.
  • ♦ Ricerca dati all’interno dei backup. Deve poter essere possibile compiere ricerche all’interno dei backup a livello granulare, facilitando così enormemente l’individuazione delle informazioni necessarie per conto dei soggetti interessati.
  • ♦ Capacità di modificare i dati personali. Dovrebbe essere possibile copiare, modificare ed eliminare facilmente i dati personali alla richiesta dei soggetti interessati.
  • ♦ Esportazione dati in un formato comune. Dovrebbe essere possibile esportare i dati personali in un formato comune e facilmente utilizzabile (ad es. archivi ZIP).
  • ♦ Ripristino dati rapido. Occorre poter ripristinare rapidamente i dati personali dai backup in caso di guasto al dispositivo di archiviazione, di problemi software, di errore dell’operatore o di violazione della sicurezza (ad es. un attacco ransomware).

Analogamente, responsabili e titolari del trattamento devono tenere conto delle seguenti regole GDPR nella scelta dell’infrastruttura e dei servizi di archiviazione e di protezione dei dati:

  • ♦ Trasferimenti transfrontalieri di dati. Qualsiasi trasferimento al di fuori dei confini della UE deve avvenire in modo trasparente e sicuro. I fornitori di servizi devono essere in grado di specificare le ubicazioni in cui sono archiviati i dati personali alla richiesta specifica dei soggetti interessati.
  • ♦ Notifica delle violazioni. In caso di violazione dei dati, un responsabile del trattamento deve essere in grado di notificare gli eventuali rischi a tutti i titolari del trattamento e ai clienti interessati entro 72 ore.
  • ♦ Diritto di accessoBackup e archiviazione devono supportare i diritti dei soggetti interessati di ottenere informazioni dai titolari del trattamento sul fatto che i loro dati personali vengano elaborati o meno. Il titolare del trattamento deve essere in grado di fornire una copia dei dati a titolo gratuito. I file di backup devono essere continuamente disponibili per i soggetti interessati. I dati personali in un account di backup o di archiviazione devono poter essere eliminati al momento della richiesta del soggetto interessato.
  • Diritto alla cancellazione. Quando i dati personali non rivestono più la funzione originaria, i soggetti interessati devono poter richiederne la cancellazione da parte di un titolare del trattamento.
  • ♦ Portabilità dei dati. I soggetti interessati devono essere in grado di ottenere e riutilizzare i propri dati personali per le proprie finalità trasferendoli in ambienti IT diversi. Per questo occorre essere in grado di scaricare i dati personali in un formato di facile portabilità.
  • ♦ Responsabili della protezione dei dati. In ogni ente di pubblica amministrazione o grande azienda (almeno 250 dipendenti) deve essere designato un dipendente a cui viene assegnata la responsabilità definitiva della conformità GDPR, noto come responsabile della protezione dei dati.
  • ♦ Privacy by design. Titolari e responsabili del trattamento devono adottare adeguati provvedimenti tecnici e organizzativi, tra cui la pseudonimizzazione, progettati per implementare i principi di protezione dei dati.

 

Conclusioni

La scadenza del 25 maggio 2018 per la conformità GDPR è imminente e le sanzioni pecuniarie per la mancata conformità sono consistenti; tuttavia ogni azienda, istituto e fornitore di servizi che offra i propri prodotti o servizi ai cittadini della UE può adottare oggi le misure che garantiscono di poter essere preparati. Inizia riconoscendo in che modo il GDPR rafforza e amplia la definizione dei diritti di proprietà individuale rispetto ai regimi di privacy precedenti, come la Direttiva UE 1995 sulla protezione dei dati. Acquisisci familiarità con la nuova terminologia creata dal GDPR per comprendere la tua collocazione in questo quadro. E comincia attaccando la sfida della conformità con metodi pertinenti alla protezione della privacy dei dati personali e ampiamente nel tuo ambito di controllo, agendo per migliorare la tua infrastruttura e i servizi di protezione dati e archiviazione e accoglierne i nuovi requisiti.

[btnsx id=”2929″]

Link utili:

7 motivi per NON rinnovare un backup tradizionale

Il GDPR e Acronis Cloud Backup

 

 

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS CSIRT

RSS darkreading

RSS Full Disclosure

  • SEC Consult SA-20241112-0 :: Multiple vulnerabilities in Siemens Energy Omnivise T3000 (CVE-2024-38876, CVE-2024-38877, CVE-2024-38878, CVE-2024-38879) Novembre 13, 2024
    Posted by SEC Consult Vulnerability Lab via Fulldisclosure on Nov 12SEC Consult Vulnerability Lab Security Advisory < 20241112-0 > ======================================================================= title: Multiple vulnerabilities product: Siemens Energy Omnivise T3000 vulnerable version: >=8.2 SP3 fixed version: see solution section CVE number: CVE-2024-38876, CVE-2024-38877, CVE-2024-38878, CVE-2024-38879 impact: High...
  • Security issue in the TX Text Control .NET Server for ASP.NET. Novembre 13, 2024
    Posted by Filip Palian on Nov 12Hej, Let&apos;s keep it short ... ===== Intro ===== A "sudo make me a sandwich" security issue has been identified in the TX Text Control .NET Server for ASP.NET[1]. According to the vendor[2], "the most powerful, MS Word compatible document editor that runs in all browsers". Likely all versions […]
  • SEC Consult SA-20241107-0 :: Multiple Vulnerabilities in HASOMED Elefant and Elefant Software Updater Novembre 10, 2024
    Posted by SEC Consult Vulnerability Lab via Fulldisclosure on Nov 09SEC Consult Vulnerability Lab Security Advisory < 20241107-0 > ======================================================================= title: Multiple Vulnerabilities product: HASOMED Elefant and Elefant Software Updater vulnerable version:
  • Unsafe eval() in TestRail CLI Novembre 7, 2024
    Posted by Devin Cook on Nov 06This is not a very exciting vulnerability, but I had already publicly disclosed it on GitHub at the request of the vendor. Since that report has disappeared, the link I had provided to MITRE was invalid, so here it is again. -Devin --- # Unsafe `eval()` in TestRail CLI […]
  • 4 vulnerabilities in ibmsecurity Novembre 3, 2024
    Posted by Pierre Kim on Nov 03## Advisory Information Title: 4 vulnerabilities in ibmsecurity Advisory URL: https://pierrekim.github.io/advisories/2024-ibmsecurity.txt Blog URL: https://pierrekim.github.io/blog/2024-11-01-ibmsecurity-4-vulnerabilities.html Date published: 2024-11-01 Vendors contacted: IBM Release mode: Released CVE: CVE-2024-31871, CVE-2024-31872, CVE-2024-31873, CVE-2024-31874 ## Product description ## Vulnerability Summary Vulnerable versions:...
  • 32 vulnerabilities in IBM Security Verify Access Novembre 3, 2024
    Posted by Pierre Kim on Nov 03## Advisory Information Title: 32 vulnerabilities in IBM Security Verify Access Advisory URL: https://pierrekim.github.io/advisories/2024-ibm-security-verify-access.txt Blog URL: https://pierrekim.github.io/blog/2024-11-01-ibm-security-verify-access-32-vulnerabilities.html Date published: 2024-11-01 Vendors contacted: IBM Release mode: Released CVE: CVE-2022-2068, CVE-2023-30997, CVE-2023-30998, CVE-2023-31001, CVE-2023-31004, CVE-2023-31005,...
  • xlibre Xnest security advisory & bugfix releases Ottobre 31, 2024
    Posted by Enrico Weigelt, metux IT consult on Oct 31XLibre project security advisory --------------------------------- As Xlibre Xnest is based on Xorg, it is affected by some security issues which recently became known in Xorg: CVE-2024-9632: can be triggered by providing a modified bitmap to the X.Org server. CVE-2024-9632: Heap-based buffer overflow privilege escalation in _XkbSetCompatMap […]
  • APPLE-SA-10-29-2024-1 Safari 18.1 Ottobre 31, 2024
    Posted by Apple Product Security via Fulldisclosure on Oct 31APPLE-SA-10-29-2024-1 Safari 18.1 Safari 18.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/121571. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. Safari Downloads Available for: macOS Ventura and macOS Sonoma Impact: An […]
  • SEC Consult SA-20241030-0 :: Query Filter Injection in Ping Identity PingIDM (formerly known as ForgeRock Identity Management) (CVE-2024-23600) Ottobre 31, 2024
    Posted by SEC Consult Vulnerability Lab via Fulldisclosure on Oct 31SEC Consult Vulnerability Lab Security Advisory < 20241030-0 > ======================================================================= title: Query Filter Injection product: Ping Identity PingIDM (formerly known as ForgeRock Identity Management) vulnerable version: v7.0.0 - v7.5.0 (and older unsupported versions) fixed version: various patches; v8.0 CVE number:...
  • SEC Consult SA-20241023-0 :: Authenticated Remote Code Execution in Multiple Xerox printers (CVE-2024-6333) Ottobre 29, 2024
    Posted by SEC Consult Vulnerability Lab via Fulldisclosure on Oct 28SEC Consult Vulnerability Lab Security Advisory < 20241023-0 > ======================================================================= title: Authenticated Remote Code Execution product: Multiple Xerox printers (EC80xx, AltaLink, VersaLink, WorkCentre)  vulnerable version: see vulnerable versions below fixed version: see solution section below CVE number: CVE-2024-6333...

Customers

Newsletter

{subscription_form_2}