Nuovo regolamento privacy  Piergiorgio Venuti

Il GDPR e Acronis Cloud Backup

Tempo di lettura: 8 min

Che cos’e’ il regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea (UE)?

♦ Il GDPR è un nuovo regolamento UE che non riguarda solo le aziende con sede nell’Unione Europea!

♦ Il GDPR riguarda i dati personali e in generale prevede norme più severe di gran parte delle altre leggi a tutela della privacy

♦ Il GDPR riguarda tutte le aziende che:

   ◊ Abbiano dipendenti nell’UE

   ◊ Offrano beni o servizi a cittadini dell’UE

   ◊ Monitorino il comportamento di cittadini dell’UE (ad es. pubblicità mirata)

♦ Il rispetto del GDPR non comporta solo la formulazione e l’attuazione di politiche e processi, ma anche un impegno permanente per tutelare la privacy

GDPR

 
 

Il GDPR è urgente e imminente

ENTRA IN VIGORE IL

25 MAGGIO 2018!

SANZIONI AMMINISTRATIVE:

10.000.000 di €

o il 2% del fatturato mondiale totale annuo, se superiore

Esempi: mancata tenuta di un registro scritto delle attività di trattamento; mancata adozione di misure tecniche/organizzative proporzionate al rischio o mancata nomina di un responsabile della protezione dei dati ove richiesto

20.000.000 di €

o il 4% del fatturato mondiale totale annuo, se superiore

Esempi: mancato rispetto dei requisiti per il trasferimento transfrontaliero dei dati, delle limitazioni speciali relative ai dati sensibili (minori, stato di salute, ecc.) o dei diritti dei singoli di controllare i loro dati personali

 

Concetti base del GDPR

Interessato (utente)

Chiunque sia identificabile (direttamente o indirettamente) in base ai suoi dati personalinell’UE.

Titolare del trattamento

“La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.”

Responsabile del trattamento

“La persona fisica o giuridica,l’autorità pubblica, il servizio o altroorganismo che tratta dati personali per conto del titolare del trattamento.”

Dato personale

“Qualsiasi informazione riguardante una persona fisica identificata o identificabile.” Si considerano

dati personali: nome, indirizzo e-mail, informazioni sullo stato di salute, ubicazione, dati bancari, indirizzo IP, cookie, identità culturale, ecc.

Trattamento dei dati

“Qualsiasi operazione o insieme di operazioni compiute su dati personali.” Sono considerate trattamento tutte le attività di raccolta, conservazione, archiviazione, riproduzione, uso, accesso, trasferimento, modifica, estrazione, comunicazione, cancellazione o distruzione dei dati.

 

 

Che cosa significa conformita’ al GDPR?

Il GDPR è un impegno permanente!

Come dimostrare la conformità al GDPR:

  • ♦ Trattare i dati secondo i principi del GDPR: in modo lecito, corretto, sicuro, limitato alle finalità, ecc.

  • ♦ Eseguire valutazioni periodiche del rischio per la sicurezza

  • ♦ Monitorare il trattamento dei dati per rilevare le violazioni

  • ♦ Mantenere aggiornate le politiche e le procedure aziendali

  • ♦ Adottare misure tecniche e organizzative adeguateper attenuare i rischi ai dati personali

 

Obblighi del titolare e del responsabile del trattamento

Titolari e responsabili del trattamento sono soggetti al GDPR e, ai sensi del regolamento, hanno i seguenti obblighi:

• Garantire la sicurezza del trattamento
• Garantire l’esercizio dei diritti dell’interessato
• Implementare una politica per le violazioni dei dati

Trasferire i dati all’estero in modo lecito

Il titolare del trattamento è tenuto a stipulare un contratto dettagliato per il trattamento con ogni responsabile del trattamento. Il contratto deve prevedere che il responsabile del trattamento agisca solo secondo le istruzioni del titolare e rispetti le disposizioni del GDPR (oltre ad altri obblighi).

 

Esempio: il ruolo del service provider (Secure Online Desktop)

Un soggetto residente nell’UE (interessato) ottiene un prestito dalla banca del suo paese. La banca raccoglie i dati personali dell’interessato e determina le finalità e le modalità per il loro trattamento.
La banca è il titolare del trattamento. La banca acquista dei servizi di backup su cloud da un provider di servizi gestiti (MSP) che esegue i backup per conto della banca. L’MSP usa i dati personali esclusivamente per le finalità indicate dalla banca. L’MSP è il responsabile del trattamento.

Responsabile del trattamento

[btnsx id=”2929″]

Sicurezza del trattamento

È necessario adottare controlli di sicurezza per garantire in modo permanente la riservatezza, l’integrità e la disponibilità dei sistemi e dei servizi per proteggere i dati personali da:

   ♦ Minacce esterne (ad es. pirati informatici).

   ♦ Minacce interne (ad es. dipendenti non adeguatamente formati).

   ♦ Elaborazione non autorizzata o illecita.

   ♦ Perdita, distruzione o danneggiamento accidentale.

I dati personali devono essere trattati secondo i principi del GDPR (Art. 5): sicurezza, liceità, trasparenza, limitazione delle finalità, esattezza, minimizzazione dei dati, integrità e riservatezza. I sistemi per il trattamento dei dati personali devono attuare la protezione dei dati fin dalla progettazione e per impostazione predefinita e prevedere garanzie quali la crittografia e la pseudonimizzazione.

Deve essere messo in atto un processo per valutare periodicamente l’efficacia delle misure tecniche e organizzative che garantiscono la sicurezza del trattamento su base permanente.

 

Diritto dell’interessato/dell’utente

Il GDPR conferisce ai cittadini UE nuovi e più ampi diritti sui loro dati personali:

   ♦ Accesso ai dati personali (descrizione delle finalità del trattamento, informazioni sul titolare/responsabile del trattamento, periodo di conservazione, registri delle attività, ecc.).

   ♦ Rettifica dei dati personali: correzione di errori e aggiornamento.

   ♦ Limitazione del trattamento / Opposizione al trattamento in attesa di una verifica.

   ♦ Cancellazione dei dati personali (nota anche come “diritto all’oblio”).

   ♦ Portabilità dei dati: possibilità di esportare i dati personali in formato leggibile da dispositivo automatico.

   ♦ Trasparenza: possibilità di sapere quali dati personali vengono raccolti, conservati e trattati, nonché di conoscere modalità e luogo del trattamento e della conservazione.

Gli utenti possono esercitare i loro diritti tramite un titolare, un responsabile del trattamento oppure, ove disponibile, un meccanismo automatizzato. È necessario ottemperare alla richiesta entro 30 giorni.

Diritti dell’interessato / dell’utente I diritti degli interessati non sono assoluti! Ad esempio, il diritto alla cancellazione è valido solo se:

   ♦ i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti (e non sussistono nuove finalità lecite);

   ♦ il fondamento giuridico per il trattamento è il consenso dell’interessato, l’interessato revoca il consenso e non sussiste altro fondamento giuridico;       

   ♦ l’interessato esercita il diritto all’opposizione, e il titolare non ha alcun motivo legittimo prevalente per continuare nel trattamento; • i dati personali sono stati trattati illecitamente; oppure

   ♦ la cancellazione dei dati personali è necessaria per adempiere a un obbligo legale previsto dal diritto dell’Unione o dello Stato membro.

 

Politica di notifica delle violazioni dei dati

Tutti i titolari del trattamento sono tenuti a informare l’autorità di controllo competente in caso di violazione dei dati personali entro 72 ore dal momento in cui abbiano avuto ragionevole certezza che la disponibilità, la riservatezza o l’integrità dei dati personali del cittadino EU sia stata compromessa. Se è probabile che la violazione presenti un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare deve informare anche i soggetti interessati. Politica di notifica delle violazioni dei dati I titolari del trattamento devono controllare che gli eventuali responsabili e subincaricati del trattamento abbiano a loro volta messo in atto adeguate politiche per la notifica delle violazioni dei dati. Il responsabile del trattamento deve informare il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione dei dati personali.

 

Trasferimento transfrontaliero dei dati

   ♦ Il trasferimento di dati personali di cittadini EU/SEE a destinatari al di fuori dell’UE/SEE è in genere vietato a meno che:

      ◊ la giurisdizione in cui si trova il destinatario sia ritenuta in grado di offrire un livello adeguato di protezione dei dati

      ◊ chi esporta i dati fornisca garanzie adeguate (ad es. norme vincolanti d’impresa, clausole tipo di protezione dei dati, uno strumento giuridicamente vincolante e avente efficacia esecutiva fra titolare o responsabile del trattamento nel paese terzo)

      ◊ valgano deroghe o esenzioni

   ♦ Titolari e responsabili del trattamento devono adottare meccanismi leciti di trasferimento dei dati personali che prevedano fra l’altro il consenso dell’interessato, clausole tipo, il rispetto del Privacy Shield in vigore tra UE e Stati Uniti e norme vincolanti d’impresa.

   ♦ I service provider che utilizzano i servizi Acronis Cloud (backup, disaster recovery, Files Cloud) possono specificare l’area geografica in cui saranno archiviati i dati dei clienti (ad es. in un data center situato nell’UE). I service provider devono sempre tenere presente che l’accesso remoto ai dati è considerato trasferimento.

 

In che modo Acronis Cloud Backup puo’ aiutare i service provider a rispettare quanto disposto dal GDPR

Sicurezza del trattamento

   ♦ Crittografia in transito (SSL/TLS) e a riposo (Acronis Storage con AES).

   ♦ Registri di audit per rilevare comportamenti sospetti e raccogliere registrazioni sul trattamento dei dati.

   ♦ Accesso basato sui ruoli per garantire la riservatezza e proteggere da trattamenti non autorizzati

   ♦ Dashboard con avvisi e report per migliorare controllo e monitoraggio.

   ♦ Regole di conservazione personalizzabili per il principio di minimizzazione dei dati.

Diritti dell’interessato / dell’utente

.   ♦ Accesso ai dati, navigazione negli archivi per trovare i dati richiesti.

   ♦ Configurazione dei dati di profilo dell’account per facilitare la rettifica dei dati personali.

   ♦ Esportazione dei dati personali.

   ♦ Eliminazione degli archivi.

Trasferimento transfrontaliero dei dati

   ♦ Controllo dell’ubicazione dell’archivio dati.

   ♦ Data center ubicati nella UE.

 

Corrispondenza tra i requisiti del GDPR e Acronis Backup Cloud

REQUISITOFUNZIONI CHE LO SUPPORTANO
Protezione dei dati personali

 Crittografia in transito e a riposo

 Accesso basato sui ruoli e gestione degli accessi in base ai privilegi

 Protezione attiva contro le minacce ransomware

Accesso / controllo agevole dei dati personali su richiesta degli interessati

 Consultazione degli archivi

 Rettifica agevole dei dati personali

 Esportazione dei dati personali (in formato zip)

 Regole di conservazione personalizzabili

Controllo dell’ubicazione dei dati

 Controllo dell’ubicazione dell’archivio dati

 Data center ubicati nella UE

Monitoraggio / notifica delle violazioni

 Registri di audit per rilevare comportamenti sospetti e prevenire le minacce

 Dashboard con avvisi e report per migliorare controllo e monitoraggio

 Link utili:

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS CSIRT

RSS Dark Reading:

RSS Full Disclosure

  • Backdoor.Win32.DarkKomet.irv / Insecure Permissions Febbraio 23, 2021
    Posted by malvuln on Feb 23Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/a229acff4e0605ad24eaf3d9c44fdb1b.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.DarkKomet.irv Vulnerability: Insecure Permissions Description: DarkKomet.irv creates an insecure dir named "Windupdt" under c:\ drive, granting change (C) permissions to authenticated user group. Standard users can rename...
  • Trojan.Win32.Pluder.o / Insecure Permissions Febbraio 23, 2021
    Posted by malvuln on Feb 23Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/ee22eea131c0e00162e4ba370f396a00.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Trojan.Win32.Pluder.o Vulnerability: Insecure Permissions Description: Creates an insecure dir named "z_Drivers" under c:\ drive, granting change (C) permissions to authenticated user group. Pluder.o also creates several registry key...
  • Trojan.Win32.Pincav.cmfl / Insecure Permissions Febbraio 23, 2021
    Posted by malvuln on Feb 23Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/9d296ebd6b4f79457fcc61e38dcce61e.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Trojan.Win32.Pincav.cmfl Vulnerability: Insecure Permissions Description: The trojan creates an insecure dir named "Windupdt" under c:\ drive, granting change (C) permissions to authenticated users group. Standard users can rename the...
  • Trojan-Proxy.Win32.Daemonize.i / Remote Denial of Service Febbraio 23, 2021
    Posted by malvuln on Feb 23Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/61bec9f22a5955e076e0d5ddf6232f3f.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Trojan-Proxy.Win32.Daemonize.i Vulnerability: Remote Denial of Service Description: Daemonize.i listens on TCP port 5823, sending some junk packets to the trojan results in invalid pointer read leading to an access violation and […]
  • Backdoor.Win32.Ketch.h / Remote Stack Buffer Overflow (SEH) Febbraio 23, 2021
    Posted by malvuln on Feb 23Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/63c55ad21e0771c7f9ca71ec3bfcea0f.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Ketch.h Vulnerability: Remote Stack Buffer Overflow (SEH) Description: Ketch makes HTTP request to port 80 for a file named script.dat, after process the server response of 1,612 bytes or more it […]
  • Backdoor.Win32.Inject.tyq / Insecure Permissions Febbraio 23, 2021
    Posted by malvuln on Feb 23Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/833868d3092bea833839a6b8ec196046.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Inject.tyq Vulnerability: Insecure Permissions Description: The backdoor creates an dir named "hotfix" under c:\ drive granting change (C) permissions to the authenticated user group. Type: PE32 MD5:...
  • IBM(R) Db2(R) Windows client DLL Hijacking Vulnerability(0day) Febbraio 23, 2021
    Posted by houjingyi on Feb 23A few months ago I disclosed Cisco Webex Teams Client for Windows DLL Hijacking Vulnerability I found : https://seclists.org/fulldisclosure/2020/Oct/16 In that post I mentioned "I will add more details 90 days after my report or a security bulletin available". Here it comes. NOTICE : This vulnerability seems did not get […]
  • CIRA Canadian Shield iOS Application - MITM SSL Certificate Vulnerability (CVE-2021-27189) Febbraio 23, 2021
    Posted by David Coomber on Feb 23CIRA Canadian Shield iOS Application - MITM SSL Certificate Vulnerability (CVE-2021-27189)
  • [KIS-2021-02] docsify <= 4.11.6 DOM-based Cross-Site Scripting Vulnerability Febbraio 20, 2021
    Posted by research on Feb 19-------------------------------------------------------------- docsify
  • Backdoor.Win32.Bionet.10 / Anonymous Logon Febbraio 19, 2021
    Posted by malvuln on Feb 19Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/be559307f5cd055f123a637b1135c8d3.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Bionet.10 Vulnerability: Anonymous Logon Description: The backdoor listens on TCP port 12348 and allows anonymous logon credentials to be used to access an infected host. Type: PE32 MD5: be559307f5cd055f123a637b1135c8d3 Vuln ID:...

Customers

Newsletter