Piergiorgio Venuti
Il GDPR e Acronis Cloud Backup
Tempo di lettura: 8 min
Che cos’e’ il regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea (UE)?
♦ Il GDPR è un nuovo regolamento UE che non riguarda solo le aziende con sede nell’Unione Europea! | ♦ Il GDPR riguarda i dati personali e in generale prevede norme più severe di gran parte delle altre leggi a tutela della privacy |
♦ Il GDPR riguarda tutte le aziende che: ◊ Abbiano dipendenti nell’UE ◊ Offrano beni o servizi a cittadini dell’UE ◊ Monitorino il comportamento di cittadini dell’UE (ad es. pubblicità mirata) | ♦ Il rispetto del GDPR non comporta solo la formulazione e l’attuazione di politiche e processi, ma anche un impegno permanente per tutelare la privacy |
Il GDPR è urgente e imminente
ENTRA IN VIGORE IL 25 MAGGIO 2018! | SANZIONI AMMINISTRATIVE:10.000.000 di € o il 2% del fatturato mondiale totale annuo, se superiore Esempi: mancata tenuta di un registro scritto delle attività di trattamento; mancata adozione di misure tecniche/organizzative proporzionate al rischio o mancata nomina di un responsabile della protezione dei dati ove richiesto 20.000.000 di € o il 4% del fatturato mondiale totale annuo, se superiore Esempi: mancato rispetto dei requisiti per il trasferimento transfrontaliero dei dati, delle limitazioni speciali relative ai dati sensibili (minori, stato di salute, ecc.) o dei diritti dei singoli di controllare i loro dati personali |
Concetti base del GDPR
Interessato (utente)Chiunque sia identificabile (direttamente o indirettamente) in base ai suoi dati personalinell’UE. | Titolare del trattamento“La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.” | Responsabile del trattamento“La persona fisica o giuridica,l’autorità pubblica, il servizio o altroorganismo che tratta dati personali per conto del titolare del trattamento.” |
Dato personale“Qualsiasi informazione riguardante una persona fisica identificata o identificabile.” Si considerano dati personali: nome, indirizzo e-mail, informazioni sullo stato di salute, ubicazione, dati bancari, indirizzo IP, cookie, identità culturale, ecc. | Trattamento dei dati“Qualsiasi operazione o insieme di operazioni compiute su dati personali.” Sono considerate trattamento tutte le attività di raccolta, conservazione, archiviazione, riproduzione, uso, accesso, trasferimento, modifica, estrazione, comunicazione, cancellazione o distruzione dei dati. |
Che cosa significa conformita’ al GDPR?
Il GDPR è un impegno permanente!
Come dimostrare la conformità al GDPR:
♦ Trattare i dati secondo i principi del GDPR: in modo lecito, corretto, sicuro, limitato alle finalità, ecc.
♦ Eseguire valutazioni periodiche del rischio per la sicurezza
♦ Monitorare il trattamento dei dati per rilevare le violazioni
♦ Mantenere aggiornate le politiche e le procedure aziendali
♦ Adottare misure tecniche e organizzative adeguateper attenuare i rischi ai dati personali
Obblighi del titolare e del responsabile del trattamento
Titolari e responsabili del trattamento sono soggetti al GDPR e, ai sensi del regolamento, hanno i seguenti obblighi: • Garantire la sicurezza del trattamento • Trasferire i dati all’estero in modo lecito |
Il titolare del trattamento è tenuto a stipulare un contratto dettagliato per il trattamento con ogni responsabile del trattamento. Il contratto deve prevedere che il responsabile del trattamento agisca solo secondo le istruzioni del titolare e rispetti le disposizioni del GDPR (oltre ad altri obblighi). |
Esempio: il ruolo del service provider (Secure Online Desktop)
Un soggetto residente nell’UE (interessato) ottiene un prestito dalla banca del suo paese. La banca raccoglie i dati personali dell’interessato e determina le finalità e le modalità per il loro trattamento.
La banca è il titolare del trattamento. La banca acquista dei servizi di backup su cloud da un provider di servizi gestiti (MSP) che esegue i backup per conto della banca. L’MSP usa i dati personali esclusivamente per le finalità indicate dalla banca. L’MSP è il responsabile del trattamento.
[btnsx id=”2929″]
Sicurezza del trattamento
È necessario adottare controlli di sicurezza per garantire in modo permanente la riservatezza, l’integrità e la disponibilità dei sistemi e dei servizi per proteggere i dati personali da:
♦ Minacce esterne (ad es. pirati informatici).
♦ Minacce interne (ad es. dipendenti non adeguatamente formati).
♦ Elaborazione non autorizzata o illecita.
♦ Perdita, distruzione o danneggiamento accidentale.
I dati personali devono essere trattati secondo i principi del GDPR (Art. 5): sicurezza, liceità, trasparenza, limitazione delle finalità, esattezza, minimizzazione dei dati, integrità e riservatezza. I sistemi per il trattamento dei dati personali devono attuare la protezione dei dati fin dalla progettazione e per impostazione predefinita e prevedere garanzie quali la crittografia e la pseudonimizzazione.
Deve essere messo in atto un processo per valutare periodicamente l’efficacia delle misure tecniche e organizzative che garantiscono la sicurezza del trattamento su base permanente.
Diritto dell’interessato/dell’utente
Il GDPR conferisce ai cittadini UE nuovi e più ampi diritti sui loro dati personali:
♦ Accesso ai dati personali (descrizione delle finalità del trattamento, informazioni sul titolare/responsabile del trattamento, periodo di conservazione, registri delle attività, ecc.).
♦ Rettifica dei dati personali: correzione di errori e aggiornamento.
♦ Limitazione del trattamento / Opposizione al trattamento in attesa di una verifica.
♦ Cancellazione dei dati personali (nota anche come “diritto all’oblio”).
♦ Portabilità dei dati: possibilità di esportare i dati personali in formato leggibile da dispositivo automatico.
♦ Trasparenza: possibilità di sapere quali dati personali vengono raccolti, conservati e trattati, nonché di conoscere modalità e luogo del trattamento e della conservazione.
Gli utenti possono esercitare i loro diritti tramite un titolare, un responsabile del trattamento oppure, ove disponibile, un meccanismo automatizzato. È necessario ottemperare alla richiesta entro 30 giorni.
Diritti dell’interessato / dell’utente I diritti degli interessati non sono assoluti! Ad esempio, il diritto alla cancellazione è valido solo se:
♦ i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti (e non sussistono nuove finalità lecite);
♦ il fondamento giuridico per il trattamento è il consenso dell’interessato, l’interessato revoca il consenso e non sussiste altro fondamento giuridico;
♦ l’interessato esercita il diritto all’opposizione, e il titolare non ha alcun motivo legittimo prevalente per continuare nel trattamento; • i dati personali sono stati trattati illecitamente; oppure
♦ la cancellazione dei dati personali è necessaria per adempiere a un obbligo legale previsto dal diritto dell’Unione o dello Stato membro.
Politica di notifica delle violazioni dei dati
Tutti i titolari del trattamento sono tenuti a informare l’autorità di controllo competente in caso di violazione dei dati personali entro 72 ore dal momento in cui abbiano avuto ragionevole certezza che la disponibilità, la riservatezza o l’integrità dei dati personali del cittadino EU sia stata compromessa. Se è probabile che la violazione presenti un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare deve informare anche i soggetti interessati. Politica di notifica delle violazioni dei dati I titolari del trattamento devono controllare che gli eventuali responsabili e subincaricati del trattamento abbiano a loro volta messo in atto adeguate politiche per la notifica delle violazioni dei dati. Il responsabile del trattamento deve informare il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione dei dati personali.
Trasferimento transfrontaliero dei dati
♦ Il trasferimento di dati personali di cittadini EU/SEE a destinatari al di fuori dell’UE/SEE è in genere vietato a meno che:
◊ la giurisdizione in cui si trova il destinatario sia ritenuta in grado di offrire un livello adeguato di protezione dei dati
◊ chi esporta i dati fornisca garanzie adeguate (ad es. norme vincolanti d’impresa, clausole tipo di protezione dei dati, uno strumento giuridicamente vincolante e avente efficacia esecutiva fra titolare o responsabile del trattamento nel paese terzo)
◊ valgano deroghe o esenzioni
♦ Titolari e responsabili del trattamento devono adottare meccanismi leciti di trasferimento dei dati personali che prevedano fra l’altro il consenso dell’interessato, clausole tipo, il rispetto del Privacy Shield in vigore tra UE e Stati Uniti e norme vincolanti d’impresa.
♦ I service provider che utilizzano i servizi Acronis Cloud (backup, disaster recovery, Files Cloud) possono specificare l’area geografica in cui saranno archiviati i dati dei clienti (ad es. in un data center situato nell’UE). I service provider devono sempre tenere presente che l’accesso remoto ai dati è considerato trasferimento.
In che modo Acronis Cloud Backup puo’ aiutare i service provider a rispettare quanto disposto dal GDPR
Sicurezza del trattamento
♦ Crittografia in transito (SSL/TLS) e a riposo (Acronis Storage con AES).
♦ Registri di audit per rilevare comportamenti sospetti e raccogliere registrazioni sul trattamento dei dati.
♦ Accesso basato sui ruoli per garantire la riservatezza e proteggere da trattamenti non autorizzati
♦ Dashboard con avvisi e report per migliorare controllo e monitoraggio.
♦ Regole di conservazione personalizzabili per il principio di minimizzazione dei dati.
Diritti dell’interessato / dell’utente
. ♦ Accesso ai dati, navigazione negli archivi per trovare i dati richiesti.
♦ Configurazione dei dati di profilo dell’account per facilitare la rettifica dei dati personali.
♦ Esportazione dei dati personali.
♦ Eliminazione degli archivi.
Trasferimento transfrontaliero dei dati
♦ Controllo dell’ubicazione dell’archivio dati.
♦ Data center ubicati nella UE.
Corrispondenza tra i requisiti del GDPR e Acronis Backup Cloud
| REQUISITO | FUNZIONI CHE LO SUPPORTANO |
| Protezione dei dati personali | Crittografia in transito e a riposo Accesso basato sui ruoli e gestione degli accessi in base ai privilegi Protezione attiva contro le minacce ransomware |
| Accesso / controllo agevole dei dati personali su richiesta degli interessati | Consultazione degli archivi Rettifica agevole dei dati personali Esportazione dei dati personali (in formato zip) Regole di conservazione personalizzabili |
| Controllo dell’ubicazione dei dati | Controllo dell’ubicazione dell’archivio dati Data center ubicati nella UE |
| Monitoraggio / notifica delle violazioni | Registri di audit per rilevare comportamenti sospetti e prevenire le minacce Dashboard con avvisi e report per migliorare controllo e monitoraggio |
Share
RSS
More Articles…
- Examples of phishing: the latest campaigns mentioned by the CSIRT
- Event Overload? Our SOCaaS can help!
- Business email compromise (BEC) schemes
- XDR as an approach to security
- What is threat intelligence?
- Data Loss Prevention: definition and uses
- Prevent shoulder surfing and theft of corporate credentials
- HTTP / 3, everything you need to know about the latest version protocol
Categories …
- Backup as a Service (2)
- Acronis Cloud Backup (11)
- Veeam Cloud Connect (4)
- Cloud Conference (3)
- Cloud CRM (1)
- Cloud Server/VPS (20)
- Conferenza Cloud (4)
- ICT Monitoring (4)
- Log Management (2)
- News (17)
- ownCloud (4)
- Privacy (6)
- Secure Online Desktop (14)
- Security (10)
- Ethical Phishing (6)
- SOCaaS (17)
- Vulnerabilities (83)
- Web Hosting (15)
Tags
Dark Reading:
- Latest Security News From RSAC 2021 May 17, 2021Check out Dark Reading's updated, exclusive coverage of the news and security themes that are dominating RSA Conference 2021.
- DarkSide Ransomware Variant Targets Disk Partitions May 17, 2021A newly discovered DarkSide ransomware variant can detect and compromise partitioned hard drives, researchers report.
- 47% of Criminals Buying Exploits Target Microsoft Products May 17, 2021Researchers examine English- and Russian-language underground exploits to track how exploits are advertised and sold.
- DDoS Attacks Up 31% in Q1 2021: Report May 17, 2021If pace continues, DDoS attack activity could surpass last year's 10-million attack threshold.
- Rapid7 Is the Latest Victim of a Software Supply Chain Breach May 17, 2021Security vendor says attackers accessed some of its source code using a previously compromised Bash Uploader script from Codecov.
- RSAC 2021: What Will SolarWinds' CEO Reveal? May 17, 2021In a keynote conversation with Forrester analyst Laura Koetzle, Sudhakar Ramakrishna will get candid about the historic breach.
- Agility Broke AppSec. Now It's Going to Fix It. May 17, 2021Outnumbered 100 to 1 by developers, AppSec needs a new model of agility to catch up and protect everything that needs to be secured.
- Name That Toon: Road Trip May 17, 2021Feeling creative? Submit your caption in the comments, and our panel of experts will reward the winner with a $25 Amazon gift card.
- Rapid7 Source Code Accessed in Supply Chain Attack May 14, 2021An investigation of the Codecov attack revealed intruders accessed Rapid7 source code repositories containing internal credentials and alert-related data.
- How Faster COVID-19 Research Is Being Made Possible by Secure Silicon May 14, 2021When Intel and Leidos set up a "trusted execution environment" to enable a widespread group of researchers to securely share and confidentially compute real-world data, it was no small achievement.
Full Disclosure
- Backdoor.Win32.Delf.zho / Authentication Bypass RCE May 14, 2021Posted by malvuln on May 13Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/6b9f5a0512af3ab33c26eaa4bdf94f1f.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Delf.zho Vulnerability: Authentication Bypass RCE Description: The malware listens on TCP port 21 and TCP ports 14920 to 14923. Third-party attackers who can reach the system can logon using any username/password […]
- [CFP]: 2nd Joint Workshop on CPS&IoT Security and Privacy (CPSIoTSec 2021) May 14, 2021Posted by Call For Papers CPSIOTSEC21 on May 13--------------------------------------------------------------------------------------------------------------- C a l l F o r P a p e r s 2nd Joint Workshop on CPS&IoT Security and Privacy (CPSIoTSec 2021) Seoul, South Korea, November 15 (Monday), 2021 URL: https://cpsiotsec.github.io co-located with the ACM Conference on Computer and Communications Security (ACM CCS 2021)...
- Trovent Security Advisory 2103-02 / Multiple XSS vulnerabilities in ERPNext 13.0.0/12.18.0 May 11, 2021Posted by Stefan Pietsch on May 11# Trovent Security Advisory 2103-02 # ##################################### Multiple XSS vulnerabilities in ERPNext 13.0.0/12.18.0 ###################################################### Overview ######## Advisory ID: TRSA-2103-02 Advisory version: 1.0 Advisory status: Public Advisory URL: https://trovent.io/security-advisory-2103-02 Affected product: ERPNext Tested versions: 12.18.0 and 13.0.0 beta Vendor: Frappé Technologies...
- Trovent Security Advisory 2103-01 / Authenticated SQL injection in ERPNext 13.0.0/12.18.0 May 11, 2021Posted by Stefan Pietsch on May 11# Trovent Security Advisory 2103-01 # ##################################### Authenticated SQL injection in ERPNext 13.0.0/12.18.0 ##################################################### Overview ######## Advisory ID: TRSA-2103-01 Advisory version: 1.0 Advisory status: Public Advisory URL: https://trovent.io/security-advisory-2103-01 Affected product: ERPNext Tested versions: 12.18.0 and 13.0.0 beta Vendor: Frappé Technologies https://frappe.io...
- CVE-2021-32051 Hexagon G!nius Auskunftsportal before 5.0.0.0 allows SQL injection via the GiPWorkflow/Service/DownloadPublicFile id parameter. May 11, 2021Posted by Marcel Keiffenheim on May 11
- Backdoor.Win32.Antilam.13.a / Unauthenticated Remote Command Execution May 11, 2021Posted by malvuln on May 11Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/1ef711b34cc278449f1997e4ed06334a.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Antilam.13.a Vulnerability: Unauthenticated Remote Command Execution Description: The malware drops an executable named "scandisk.exe" that listens on TCP ports 47891 and 29559. Third party attackers who can reach infected...
- Backdoor.Win32.MotivFTP.12 / Authentication Bypass RCE May 11, 2021Posted by malvuln on May 11Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/88785a093b8fa00893214dd220ac255d.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.MotivFTP.12 Vulnerability: Authentication Bypass RCE Description: The malware listens on TCP port 21. Third-party attackers who can reach the system can logon using any username/password combination. Attackers may then upload...
- Re: Three vulnerabilities found in MikroTik's RouterOS May 11, 2021Posted by Gynvael Coldwind on May 11Got it! Thank you for the explanation!
- Four vulnerabilities found in MikroTik's RouterOS May 11, 2021Posted by Q C on May 11Advisory: four vulnerabilities found in MikroTik's RouterOS Details ======= Product: MikroTik's RouterOS Vendor URL: https://mikrotik.com/ Vendor Status: only CVE-2020-20227 is fixed CVE: CVE-2020-20220, CVE-2020-20227, CVE-2020-20245, CVE-2020-20246 Credit: Qian Chen(@cq674350529) of Qihoo 360 Nirvan Team Product Description ================== RouterOS is the operating system used on the MikroTik's devices, such as […]
- Re: Three vulnerabilities found in MikroTik's RouterOS May 11, 2021Posted by Q C on May 11Hi, In Mikrotik RouterOs, each user is assigned to a user group, which denotes the rights of this user. A group policy is a combination of individual policy items, and provides a convenient way to assign different permissions and access rights to different user classes. (Reference: https://help.mikrotik.com/docs/display/ROS/User) Some common […]
Customers
Twitter FEED
Recent activity
-
SecureOnlineDesktop
Tempo di lettura: 4 minIntroduzioneAlla luce del crescente numero di attacchi ransomware in cui i cryptolocker inte… https://t.co/ubv6OcMrVW
-
SecureOnlineDesktop
Estimated reading time: 5 minutes Cyber Threat Hunting is a proactive security search across networks, endpoin… https://t.co/afEZYKrnAK
-
SecureOnlineDesktop
Estimated reading time: 5 minutes A Zero-Day attack (also known as 0-day) exploits a software vulnerability unkno… https://t.co/tdRF7a7zOa
-
SecureOnlineDesktop
Tempo di lettura: 4 minAttraverso il servizio di cloud storage ownCloud puoi collaborare con i tuoi colleghi ai con… https://t.co/gLk003kzxV
-
SecureOnlineDesktop
A common definition of data exfiltration is the theft, removal, or unauthorized movement of any data from a device.… https://t.co/cuUyQtUoah
Newsletter
Products and Solutions
Partners
Cloud Models
News
- Examples of phishing: the latest campaigns mentioned by the CSIRT May 10, 2021
- Event Overload? Our SOCaaS can help! May 3, 2021
- Business email compromise (BEC) schemes April 28, 2021
- XDR as an approach to security April 26, 2021
- What is threat intelligence? April 21, 2021
Google Reviews
About
Copyright © 2011 Secure Online Desktop s.r.l. All Rights Reserved.
VAT: 07485920966 “Cloud Computing services - Software cloud - Cloud server - VPS” Terms of ServicePrivacy Policy
ISO Certifications