phishing con pdf cover

Tempo di lettura stimato: 9 minuti

Ormai, lavoro agile e smart working sono una realtà quotidiana per molti lavoratori. Che si tratti di una prassi all’interno della propria azienda o un evento saltuario, capita quasi a tutti di doversi apporggiare a reti pubbliche per lavorare o navigare in rete. In questa situazione sociale, non si può prendere alla leggera la protezione dei propri dati in rete. Per questo luso di una VPN dovrebbe essere pratica molto diffusa.

Una VPN è un servizio che cripta i tuoi dati e nasconde il tuo indirizzo IP facendo rimbalzare la tua attività di rete attraverso una catena di connessioni sicura verso un altro server a chilometri di distanza. Questo oscura la tua identità online, anche sulle reti Wi-Fi pubbliche, così puoi navigare in internet in modo sicuro e anonimo, senza il rischio che i tuoi dati possano essere intercettati, modificati o sfruttati.

uso di una vpn

L’uso di una VPN

I vantaggi nell’uso di una VPN sono molteplici e valgono moltissimo, in termini di sicurezza e funzionalità. Possiamo identificare due tipi di VPN, che sono in realtà la stessa cosa, ma declinata in maniera diversa.

Le VPN più famose e orientate all’utente finale, quelle che permettono di simulare la propria localizzazione in un altro paese per usufruire di un catalogo online differente su servizi come Netflix, per esempio, offrono gli stessi vantaggi e funzionamento delle VPN aziendali.

Abbiamo già visto in un altro articolo come le VPN fuzionano e con questo di oggi voglio elencare ben 9 motivi per cui l’uso di una VPN dovrebbe essere oggi la norma, sia essa aziendale o un servizio per utenti privati. Vedremo anche alcune limitazioni delle VPN, proprio per fare un quadro completo della situazione.

1. Sicurezza nelle reti pubbliche

Il Wi-Fi pubblico è molto comodo, ma lo è a scapito della sicurezza. Quando rispondi alle e-mail in un bar o scorri distrattamente i social media in aeroporto, qualcuno potrebbe tracciare la tua attività online. Se questo ti potrebbe sembrare innocuo, tieni a mente che oggi qualunque dato personale, se finisce nelle mani sbagliate, potrebbe essere un’arma. Lo abbiamo visto più volte in articoli dedicati all’ingegneria sociale e al phishing.

Immagina se un malintenzionato intercettasse il tuo nome, cognome, email e la data di nascita. Con questi dati potrebbe iniziare a cercare account collegati alla tua email e tentare di indovinare la password basandosi sulla data di nascita. Se a questo scenario ci aggiungi un’intelligenza artificiale che automatizza i tentativi e genera password basandosi sui tuoi dati, il rischio di trovarsi account compromessi si alza e non di poco.

L’uso di una VPN protegge i tuoi dati mentre sei su altre reti, nascondendo la tua cronologia di navigazione (da cui si potrebbe capire quale sia la tua banca), le informazioni sensibili (numeri di conto corrente o di carte di credito), le password degli account e altro ancora da estranei malintenzionati.

uso di una vpn aeroporto

2. La privacy rispetto al tuo ISP

Mentre sei connesso al tuo Wi-Fi di casa, hai meno probabilità di essere attaccato da estranei che su una connessione pubblica. Tuttavia, i tuoi dati sono ancora vulnerabili in quanto visibili. Il tuo ISP o internet service provider, ovvero l’azienda che paghi per usare la linea WI-Fi, può accedere a tutti i tuoi dati di navigazione. Il tuo ISP può vedere quando, dove e come navighi.

Questi dati possono essere raccolti e venduti agli inserzionisti anche se stai usando la funzione di navigazione “privata”, e possono essere pericolosi nelle mani sbagliate in caso di violazione dei dati. L’uso di una VPN può aiutarti a nascondere il tuo indirizzo IP al tuo ISP.

3. La privacy rispetto alle app e servzi che utilizzi

Il tuo ISP non è l’unico potenziale spione che hai portato in casa tua. Sfortunatamente, molte delle nostre app e servizi internet preferiti, in particolare Facebook, sono stati denunciati per il modo in cui hanno utilizzato i dati dei loro utenti.

Una VPN impedisce alle app e ai siti web di attribuire il tuo comportamento all’indirizzo IP del tuo computer. Può anche limitare la raccolta della tua posizione e della cronologia del browser.

4. La privacy rispetto al governo

Mentre molti ISP, app e hub di dati internet suggeriscono di non vendere i dati di navigazione ai governi, le informazioni finiscono comunque nelle loro mani, soprattutto in alcune nazioni, tra le quali anche gli USA.

Dal 2013, quando Edward Snowden ha rivelato per la prima volta che Verizon ha venduto i dati internet e telefonici degli utenti alla NSA, gli utenti sono diventati più consapevoli dei diversi modi in cui il governo sorveglia e raccoglie i loro dati. In seguito alle fughe di notizie di Snowden e al conseguente sdegno, sono state promulgate diverse leggi per limitare la sorveglianza del governo.

Tuttavia, nel gennaio di quest’anno, la Defense Intelligence Agency ha aggirato una legge che richiede che le agenzie governative producano mandati prima di costringere le compagnie telefoniche per i loro dati utente, pagando broker di dati di terzi per quegli stessi dati, secondo il New York Times.

Se hai scrupoli circa l’eccesso di potere governativo, una VPN è un buon investimento per proteggere i tuoi dati.

5. Accesso ad ogni contenuto da ogni posto

Tramite l’uso di una VPN, un utente privato, può sceglire a quale server collegarsi per simulare nella rete la sua localizzazione. Questo è molto utile per accedere a servizi di streaming con librerie non disponibili nel paese in cui ci si trova. Se la tua serie preferita non è disponibile su Netflix Italia, con una VPN puoi fare in modo che il servizio di streaming pensi che tu sia nel paese in cui la serie è disponibile, aggirando il problema e godendoti le puntate.

6. Sicurezza lavorando da remoto

Uno dei vantaggi di una VPN sono le sue caratteristiche di crittografia dei dati. La crittografia, ossia mandare i dati in un formato codificato in modo che il suo significato sia oscurato, consente di mantenere al sicuro le informazioni riservate.

Se sei un individuo che sta pensando di investire in una VPN per la tua azienda, un vantaggio è che i lavoratori possono connettersi alla rete dell’ufficio e guardare i materiali sensibili sui propri dispositivi mentre sono lontani dall’ufficio. Poiché il lavoro a distanza sembra una possibilità anche dopo la fine della pandemia, una VPN è un investimento estremamente utile per mantenere il materiale riservato al sicuro fuori sede.

7. Facilità d’uso della VPN

Mentre a tutti noi piacerebbe aggiungere più sicurezza alle nostre vite, alcuni dispositivi e processi di sicurezza sembrano più impegnativi di quanto valga la pena per coloro che sono avversi alla tecnologia. Le VPN, tuttavia, sono facili da usare. Diversi fornitori hanno creato interfacce intuitive e facili da usare che rendono l’installazione e l’uso disponibili ai non tecnici.

8. Adattabile a più dispositivi

Mentre molti di noi possono provare per la prima volta una VPN su un laptop dato in prestito dall’azienda, molti servizi VPN proteggono anche altri dispositivi smart come telefoni, tablet e computer desktop. Ogni azienda VPN può offrire piani di protezione leggermente diversi e avere diverse capacità di proteggere diversi dispositivi, ma molti fornitori offrono piani che aiutano a tenerti al sicuro su più dispositivi.

La VPN che offriamo noi di SOD è installabile su tutti i disositivi: cellulari Android, Apple, laptop e desktop pc.

9. Sconti localizzati

Se sei disposto a fare un po’ di ricerca, una VPN può aiutarti a risparmiare denaro grazie alle sue capacità di spoofing della posizione (fingere di trovarsi altrove). Molti tipi di aziende, come i servizi di abbonamento e le compagnie aeree, offrono gli stessi servizi o prodotti a prezzi diversi in base alla posizione geografica. Se cambi l’aspetto della tua posizione in un luogo in cui i servizi sono offerti a prezzi più bassi, puoi finire per risparmiare un po’.

uso di una vpn aeroporto 2

I limiti dell’uso di una VPN

Mentre una VPN è un ottimo strumento per aiutare a separare la tua posizione (e in molti modi, te) dai tuoi dati, non oscura ogni cosa che riguarda. Se fai un quiz su Facebook o metti “mi piace” a un post su Instagram, l’app che stai usando mentre sei connesso alla VPN è ancora in grado di usare il tuo comportamento per adattare annunci e contenuti in-app. Potrebbero non sapere da dove stai navigando, ma sapranno comunque cosa stai facendo sulle loro app.

Allo stesso modo, se i cookie sono abilitati sul tuo computer, le aziende possono seguirti mentre sei sul loro sito e dopo. I tuoi dati completi non vengono oscurati solo con una VPN. Combinando la protezione di una VPN con Tor, uno browser open-source che ti permette di navigare sul web in modo anonimo, la navigazione risulterà ancora più privata.

Le VPN non sono strumenti perfetti. Come qualsiasi programma per computer, sono suscettibili di malware e attacchi online. Se infettati, i benefici di sicurezza di una VPN sono annullati.

La probabilità di attacchi e violazioni della sicurezza aumenta se si usa un servizio VPN gratuito, che noi sconsigliamo vivamente. Per recuperare i loro costi aziendali, i servizi VPN “gratuiti” possono vendere i dati degli utenti o eseguire annunci che potrebbero essere infettati da malware. Se l’obiettivo è quello di aumentare la privacy dei tuoi dati, allora investire in una VPN a pagamento è la scelta migliore.

Problematiche legali nel mondo

Oltre alle questioni di sicurezza ci sono quelle di legalità. Se ti capita di avere base o di visitare un ampio elenco di paesi tra cui Russia e Cina, le VPN sono vietate o altamente regolamentate.

È importante conoscere le leggi del tuo paese e di qualsiasi paese che stai visitando prima di usare una VPN, così come capire se il tuo utilizzo della VPN è monitorato da un governo, annullando così i suoi benefici sulla privacy.

Conclusioni

Se sei preoccupato per la privacy dei tuoi dati, le VPN sono una misura di sicurezza facile da usare e dal prezzo ragionevole che ti dà un livello base di protezione su internet. Anche se può sembrare sciocco proteggere i tuoi dati quando non stai facendo nulla di “sbagliato” su Internet, anche i più innocenti tra noi hanno dei dati segreti online, come password sensibili e informazioni finanziarie.

I servizi di crittografia e protezione dell’identità di una VPN sono come una serratura su una porta, o in altre parole, una misura di sicurezza di base che tutti dovrebbero avere.

Se sei un’azienda con documenti riservati o un’azienda che vuole permettere ai dipendenti di accedere alla sua rete in remoto, allora dovresti usare una VPN.

Per saperne di più riguardo al servizio di VPN aziendale che offre SOD, non esitare a contattarci, saremo lieti di rispondere a ogni tua domanda.

Useful links:

Backup

Le aziende e gli enti pubblici con sede nell’Unione Europea (UE) hanno ormai sentito certamente parlare del nuovo regolamento generale UE sulla protezione dei dati (GDPR), una serie di norme in materia di privacy che entrera’ in vigore il 25 maggio 2018. Ciò che forse non è immediatamente evidente per chi ha la sede al di fuori della UE è che questo nuovo regime normativo si applica a tutte le aziende globali che hanno relazioni commerciali con la UE e con i clienti UE online.

Se hai clienti o partner che operano all’interno dei confini della UE, è bene che inizi subito ad informarti sul GDPR e ad adottare in fretta provvedimenti che consentano alla tua azienda di garantire la conformita’ al regolamento, o viceversa prepararti a sostenere pesanti sanzioni pecuniarie che potrebbero avere un impatto negativo sulla capacita’ della tua azienda di svolgere la sua attività nella UE in modo redditizio.

Immagina di essere multato con una sanzione pecuniaria di 10 milioni di euro o del 2% del tuo fatturato globale annuo, a seconda di quale sia il maggiore, per la mancata conformità al GDPR.

L’obiettivo principale del GDPR è proteggere i diritti di proprietà individuale dei cittadini UE e, rispetto alla precedente legislazione UE sulla privacy, la nuova legislazione amplia sensibilmente la definizione di cio’ che costituisce i dati personali e privati fino a includere non solo la documentazione finanziaria, della pubblica amministrazione e medica ma anche le informazioni di natura genetica, culturale e sociale. Con il GDPR le aziende devono ottenere il consenso esplicito di una persona prima di poter utilizzarne i dati personali e devono altresì onorare il loro “diritto all’oblio”, inteso come il diritto ad avere i propri dati personali eliminati dall’azienda che li detiene, su richiesta.

Le aziende sono anche tenute a soddisfare diversi altri requisiti per dimostrare la propria conformita’ continua al GDPR, nominando una persona responsabile delle questioni GDPR per l’azienda (il cosiddetto “responsabile della protezione dei dati”), segnalando qualsiasi incidente di violazione della sicurezza e archiviando i dati personali all’interno dei confini fisici della UE. Quest’ultima prescrizione rispecchia la preoccupazione della UE per il fatto che gli altri paesi al di fuori della UE possano non disporre di standard altrettanto elevati per la privacy dei dati dei cittadini e che i dati archiviati al di fuori della UE siano maggiormente a rischio di vigilanza da parte di agenzie governative di spionaggio e criminali.

 

Comprensione del GDPR attraverso la lente della Sarbanes-Oxley (SOX)

Per i professionisti IT di una certa generazione, le sfide presentate dalla conformità al GDPR potrebbero riportare alla memoria la Sarbanes-Oxley Act (SOX) degli Stati Uniti dei primi anni 2000. Come il GDPR, la SOX era un nuovo rigido regime normativo imposto sulle aziende di ogni tipo e dimensione. Benché fosse stato imposto unilateralmente dagli Stati Uniti per le aziende attive all’interno dei confini federali, riguardava un mercato talmente esteso che anche le aziende di tutto il mondo ne sono state interessate. Come ha fatto la UE con il GDPR, gli Stati Uniti avevano ideato una tabella di marcia aggressiva per la conformità e ne hanno assicurato l’applicazione con consistenti sanzioni pecuniarie. E proprio come sta succedendo per il GDPR, la SOX ha generato molta confusione e ansia tra le aziende sotto la sua lente d’ingrandimento, specie per quanto riguarda i costi della conformità.

Per altri versi invece, i professionisti IT nel 2017 e 2018 hanno vita assai più facile rispetto ai loro omologhi degli inizi del XXI secolo. Ad esempio, oggi le aziende hanno a disposizione una tecnologia più efficace per supportare i requisiti di segnalazione e per dimostrare alle autorità di avere messo in atto le politiche, i controlli e le procedure richiesti a supporto della conformità GDPR. I quadri di controllo di governance, gestione del rischio e conformità si sono sensibilmente evoluti negli ultimi 10 anni, come pure la disciplina della gestione del ciclo di vita delle politiche. Grazie, in parte, a normative come la SOX e la Direttiva UE 1995 sulla protezione dei dati, le aziende hanno una maggiore padronanza della valutazione dell’impatto sulla privacy e della governance dell’accesso ai dati. Oggi sono disponibili strumenti sensibilmente migliorati e maggiormente automatizzati per il monitoraggio, la segnalazione e la mitigazione della violazione dei dati.

Ma anche il mondo ha subito un’evoluzione dai tempi della SOX e in modi che complicano la conformità GDPR L’archiviazione dei dati ha subito un’accelerazione straordinaria in termini di velocità, volume, diversità dei media (compreso lo storage cloud) e complessità.

L’universo delle minacce alla sicurezza IT dei dati da parte di criminali e aggressori istituzionali è a sua volta diventato infinitamente più sofisticato e minaccioso.

Le implicazioni della conformità GDPR interessano la valutazione dell’impatto sulla privacy, la governance dell’accesso ai dati e le notifiche e la risoluzione delle violazioni dei dati, tutti argomenti che non verranno trattati in questa sede. Questo documento si concentra invece alla conformità GDPR intesa specificamente nel suo legame con lo storage sicuro e con la protezione dei dati attivi, comprese archiviazione ed eliminazione dei dati.

 

Terminologia generale del GDPR

Per comprendere in che modo il GDPR si lega all’archiviazione e alla protezione dei dati, è utile assimilare la seguente terminologia di base:

  • ♦ Soggetto interessato Un cittadino della UE identificabile tramite i propri dati personali. L’interessato può essere un consumatore che effettua un acquisto online, il paziente di un sistema sanitario, un cittadino che accede ai sevizi della pubblica amministrazione online, un utente delle applicazioni di social media e in generale qualsiasi persona fisica che fornisca informazioni personali per poter utilizzare dei servizi.
  • ♦ Titolare del trattamento Un’azienda che opera entro i confini della UE, o al di fuori della UE ma che ha relazioni commerciali con i cittadini UE, e che acquisisce dati sensibili sui cittadini UE nel corso della propria attività. Alcune esempi sono le aziende che riceve informazioni su ordini online, indirizzi e carte di pagamento dai clienti o i fornitori di servizi sanitari che conservano la documentazione dei pazienti. (Vedere di seguito per assistenza nel determinare se la propria attività si possa configurare come responsabile del trattamento o come titolare del trattamento.)
  • ♦ Responsabile del trattamento Un’attività commerciale come un fornitore di servizi cloud che si configura come contraente per un titolare del trattamento, ad esempio un’altra azienda che offre servizi ai cittadini UE e che acquisisce dati sensibili sulle persone. Gli esempi includono aziende che offrono servizi di hosting delle applicazioni, fornitori di storage e fornitori di servizi cloud come il backup.
  • ♦ Dati personali “Qualsiasi informazione riguardante una persona fisica identificata o identificabile.” La definizione fornita dalla UE è più ampia di quella di altri governi e include nome, indirizzo email, post dei social media, informazioni fisiche, fisiologiche o genetiche, informazioni mediche, ubicazione, dati bancari, indirizzo IP, cookie, identità culturale ecc. del cittadino UE.
  • ♦ Diritto alla cancellazione Il diritto di ogni cittadino UE “di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali”. Le persone possono richiedere la cancellazione di tutti i loro dati personali archiviati sui server del titolare del trattamento. Su questo punto in particolare, permane una certa ambiguità. La richiesta di cancellazione richiede anche la rimozione dei dati dal backup (cosa che può essere problematica in un supporto di backup seriale come il nastro)? Cosa succede quando una richiesta di cancellazione dei dati va in conflitto con le politiche di conservazione dei dati di un’azienda a fini di archiviazione o legali?
  • ♦ Violazione dei dati personali “La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.” Le aziende sono tenute a segnalare ogni incidente di violazione della sicurezza dei dati all’“autorità di controllo” entro 72 ore dal momento in cui ne sono venute a conoscenza.

 

Individuare la propria collocazione nella gerarchia GDPR

Al fine di comprendere i propri obblighi ai sensi del GDPR, occorre innanzi tutto determinare se la propria attività possa essere inquadrata come titolare del trattamento o come responsabile del trattamento, tenendo conto delle seguenti tre domande:

  1. Nella tua azienda vengono conservati o elaborati i dati personali dei cittadini UE?
  2. Nella tua azienda si decide quali elementi specifici dei dati personali debbano essere archiviati?
  3. Nella tua azienda si decide come utilizzare i dati personali che vengono archiviati sotto il tuo controllo?

Se la risposta è Sì soltanto alla domanda 1, allora la tua azienda è inquadrata come responsabile del trattamento nel quadro del GDPR. Se la risposta è Sì alle domande 1, 2 e 3, allora la tua azienda è un titolare del trattamento.

In qualità di titolare o di responsabile del trattamento che deve garantire la conformità al GDPR dell’archiviazione e della protezione dei dati personali, dovrai anche tenere conto delle seguenti domande:

  1. 1) Sapresti individuare con precisione, specificare e controllare l’ubicazione fisica dell’archiviazione degli eventuali dati personali sotto il tuo controllo? Ciò è particolarmente importante se si utilizzano o si fornisce protezione dei dati e/o storage basato su cloud, dove i dati personali hanno il potenziale per essere diffusi in più ubicazioni fisiche in data center di tutto il mondo, compreso fuori dalla UE.
  2. 2) I dati personali che vengono archiviati vengono anche strutturati? Le scelte relative al formato dei dati hanno delle implicazioni per la tua capacità di leggere, modificare ed eliminare elementi specifici dei dati personali su richiesta degli utenti. Le strutture dati che supportano ricerche rapide ed efficienti avranno un valore particolare nel supporto di queste richieste dimensionate.

 

Comprensione dei guasti della protezione della privacy

La tua capacità di asserire privacy, integrità, accessibilità e cancellazione dei dati personali si affida in parte alla tua capacità di garantire protezione e recupero dai guasti di archiviazione, backup e ripristino. Questi guasti rientrano nelle tre diverse categorie seguenti:

  • ♦ Errori dei dispositivi: il guasto fisico di qualsiasi componente hardware di storage, tra cui unità disco, storage controller e data center. Alcuni esempi sono l’esposizione accidentale di un’unità disco a un campo magnetico che ne cancella parzialmente il contenuto.
  • ♦ Guasti logici o soft: guasti dovuti a errori umani. Tra gli esempi, la cancellazione o la sovrascrittura accidentale di file nel corso dell’esecuzione di una procedura di backup la corruzione accidentale dei dati dei file a causa di un bug o da un errore in uno script o applicazione aziendale o la cancellazione accidentale del master boot record di un’unità disco.
  • ♦ Violazioni della sicurezza: guasti dovuti ad attacchi violenti e dannosi all’infrastruttura IT, tra cui reti, server, applicazioni ed endpoint, compresi quelli perpetrati da insider malintenzionati, criminali online e attori istituzionali ostili. Gli esempi includono un attacco di ransomware che applica crittografia impenetrabile ai contenuti di un’unità disco e richiede un pagamento online in cambio della chiave di decrittazione.

 

Supporto dei requisiti dei soggetti interessati per il controllo dei loro dati personali

Oltre alla protezione contro vari tipi di guasti della protezione dei dati, e alla segnalazione alle autorità della UE quando si verificano violazioni della sicurezza, i titolari del trattamento hanno una serie di obblighi nei confronti degli utenti di cui archiviano i dati personali. I titolari del trattamento devono supportare la capacità degli utenti di:

  • accedere, leggere e modificare i propri dati personali;
  • eliminare facilmente i propri dati personali, sia direttamente sia tramite una richiesta a te diretta;
  • esportare i propri dati personali in un formato facilmente leggibile.

La conformità alle richieste dell’utente non è sempre semplice. Ad esempio, è facile rispondere a richieste precise come “Elimina la mia posta in arrivo e tutto il suo contenuto” ma non è altrettanto immediato garantire la conformità a richieste più complesse o ambigue, come “Elimina tutti i miei commenti in questo forum online”.

 

Requisiti GDPR più estesi per protezione dei dati e archiviazione

Le aziende che si inquadrano come responsabili del trattamento devono adempiere anche ad altri obblighi. Tra cui:

  • Offrire sufficienti garanzie che i loro servizi soddisfino i requisiti tecnici e organizzativi del GDPR.
  • Evitare l’uso di fornitori esterni per supportare i contratti di servizio tra il responsabile del trattamento e i relativi clienti (i titolari del trattamento) senza il consenso esplicito del titolare del trattamento.
  • Alla risoluzione di un contratto di servizio, rimuovere tutti i dati dal cloud del cliente e/o dall’infrastruttura del data center e fornire una dimostrazione sufficiente che ciò è stato fatto.
  • Segnalare incidenti di violazioni dei dati all’ente normativo ove previsto dalla normativa.

La UE prende estremamente sul serio il rispetto della conformità, tanto che è pronta ad applicare sanzioni pecuniarie alle aziende che non riescono a dimostrare la propria conformità o che vengono colte in flagrante violazione delle regole del GDPR a tutela della privacy degli utenti. Ad esempio, la mancata conservazione della documentazione scritta, la mancata implementazione di diverse misure tecniche e organizzative e/o la mancata designazione di un responsabile della protezione dei dati, può costare all’azienda in violazione una sanzione di 10 milioni di euro o del 2% del fatturato globale annuo (a seconda di quale dei due è maggiore). Subire una violazione dei dati o commettere un’infrazione dei diritti del soggetto interessato, ad esempio perdere o eliminare i suoi dati senza autorizzazione, può comportare sanzioni pecuniarie anche più salate pari a 20 milioni di euro o il 4% del fatturato globale annuo (a seconda di quale dei due è maggiore).

In senso lato, per conseguire la conformità GDPR in queste aree di archiviazione e protezione dei dati (backup), responsabili e titolari del trattamento dovrebbero cercare soluzioni infrastrutturali o di servizi che soddisfino i seguenti requisiti tecnici:

  • ♦ Controllo da parte del soggetto interessato dell’ubicazione dell’archivio dati personali. Occorre essere in grado di rispettare i desideri delle persone dei cui dati ci si occupa in termini di controllo ed elaborazione rispetto a dove vengono archiviati tali dati: in sede e/o in un data center specifico ubicato nella UE.
  • ♦ Crittografia dei dati. Occorre fornire una solida crittografia dei dati personali situati sugli endpoint e a quelli in transito sulle reti LAN e WAN e sul cloud. Il processo di crittografia deve essere interamente automatizzato e il soggetto interessato deve essere l’unico titolare della chiave di decrittografia.
  • ♦ Ricerca dati all’interno dei backup. Deve poter essere possibile compiere ricerche all’interno dei backup a livello granulare, facilitando così enormemente l’individuazione delle informazioni necessarie per conto dei soggetti interessati.
  • ♦ Capacità di modificare i dati personali. Dovrebbe essere possibile copiare, modificare ed eliminare facilmente i dati personali alla richiesta dei soggetti interessati.
  • ♦ Esportazione dati in un formato comune. Dovrebbe essere possibile esportare i dati personali in un formato comune e facilmente utilizzabile (ad es. archivi ZIP).
  • ♦ Ripristino dati rapido. Occorre poter ripristinare rapidamente i dati personali dai backup in caso di guasto al dispositivo di archiviazione, di problemi software, di errore dell’operatore o di violazione della sicurezza (ad es. un attacco ransomware).

Analogamente, responsabili e titolari del trattamento devono tenere conto delle seguenti regole GDPR nella scelta dell’infrastruttura e dei servizi di archiviazione e di protezione dei dati:

  • ♦ Trasferimenti transfrontalieri di dati. Qualsiasi trasferimento al di fuori dei confini della UE deve avvenire in modo trasparente e sicuro. I fornitori di servizi devono essere in grado di specificare le ubicazioni in cui sono archiviati i dati personali alla richiesta specifica dei soggetti interessati.
  • ♦ Notifica delle violazioni. In caso di violazione dei dati, un responsabile del trattamento deve essere in grado di notificare gli eventuali rischi a tutti i titolari del trattamento e ai clienti interessati entro 72 ore.
  • ♦ Diritto di accessoBackup e archiviazione devono supportare i diritti dei soggetti interessati di ottenere informazioni dai titolari del trattamento sul fatto che i loro dati personali vengano elaborati o meno. Il titolare del trattamento deve essere in grado di fornire una copia dei dati a titolo gratuito. I file di backup devono essere continuamente disponibili per i soggetti interessati. I dati personali in un account di backup o di archiviazione devono poter essere eliminati al momento della richiesta del soggetto interessato.
  • Diritto alla cancellazione. Quando i dati personali non rivestono più la funzione originaria, i soggetti interessati devono poter richiederne la cancellazione da parte di un titolare del trattamento.
  • ♦ Portabilità dei dati. I soggetti interessati devono essere in grado di ottenere e riutilizzare i propri dati personali per le proprie finalità trasferendoli in ambienti IT diversi. Per questo occorre essere in grado di scaricare i dati personali in un formato di facile portabilità.
  • ♦ Responsabili della protezione dei dati. In ogni ente di pubblica amministrazione o grande azienda (almeno 250 dipendenti) deve essere designato un dipendente a cui viene assegnata la responsabilità definitiva della conformità GDPR, noto come responsabile della protezione dei dati.
  • ♦ Privacy by design. Titolari e responsabili del trattamento devono adottare adeguati provvedimenti tecnici e organizzativi, tra cui la pseudonimizzazione, progettati per implementare i principi di protezione dei dati.

 

Conclusioni

La scadenza del 25 maggio 2018 per la conformità GDPR è imminente e le sanzioni pecuniarie per la mancata conformità sono consistenti; tuttavia ogni azienda, istituto e fornitore di servizi che offra i propri prodotti o servizi ai cittadini della UE può adottare oggi le misure che garantiscono di poter essere preparati. Inizia riconoscendo in che modo il GDPR rafforza e amplia la definizione dei diritti di proprietà individuale rispetto ai regimi di privacy precedenti, come la Direttiva UE 1995 sulla protezione dei dati. Acquisisci familiarità con la nuova terminologia creata dal GDPR per comprendere la tua collocazione in questo quadro. E comincia attaccando la sfida della conformità con metodi pertinenti alla protezione della privacy dei dati personali e ampiamente nel tuo ambito di controllo, agendo per migliorare la tua infrastruttura e i servizi di protezione dati e archiviazione e accoglierne i nuovi requisiti.

[btnsx id=”2929″]

Link utili:

7 motivi per NON rinnovare un backup tradizionale

Il GDPR e Acronis Cloud Backup

 

 

GDPR Tools
Tempo di lettura: 5 min

GDPR strumenti

 

Il GDPR, il regolamento dell’Unione europea volto a rafforzare e unificare la protezione dei dati per tutti gli individui all’interno dell’Unione europea, entrerà in vigore il 25 maggio. Il regolamento apporta un enorme cambiamento alla sicurezza dei dati europei, ma ha anche un impatto su molte attività non basate sull’UE. Se vuoi saperne di più su GDPR puoi leggere il nostro precedente post.

Abbiamo introdotto numerose modifiche all’interno del nostro portale per garantire che la protezione dei dati sia conforme al GDPR

GDPR strumenti

Moduli compatibili con il GDPR

Il GDPR stabilisce uno standard elevato per il consenso alla raccolta e all’elaborazione dei dati personali. Il consenso richiede un opt-in positivo, il che significa che non è possibile utilizzare caselle pre-selezionate o qualsiasi altro metodo di consenso predefinito. Il consenso esplicito richiede una dichiarazione di consenso molto chiara e specifica motivo per cui le richieste di consenso devono essere separate da altri termini e condizioni.

Oltre a quanto fatto per gli ordini, abbiamo aggiunto la casella di controllo esplicita anche nel nostro modulo di registrazione.

I più alti standard professionali di gestione dei dati.

Secure Online Desktop offre ora una serie di funzionalità mirate a fornire ai clienti i migliori standard per l’elaborazione dei dati.

   ♦ Conservazione dei dati

      ◊ Rimuove automaticamente i profili cliente vuoti dopo 6 mesi dall’iscrizione. [bg_collapse view=”button-blue” color=”#ffffff” expand_text=”Mostra ancora” collapse_text=”Mostra meno” ]Profili cliente che non hanno nessuno dei seguenti:

1) Fatture pagate

2) Hosting account attivi

3) Domini

4) Ticket di supporto aperti/bg_collapse] 

      ◊ Rimuove automaticamente i profili cliente inattivi dopo 120 mesi dall’ultimo pagamento. [bg_collapse view=”button-blue” color=”#ffffff” expand_text=”Mostra ancora” collapse_text=”Mostra meno” ]Profilo cliente che hanno fatture pagate, ma non hanno alcun account / dominio attivo o ticket di supporto aperti.[/bg_collapse]

   ♦ Gestione della cancellazione: Quando un cliente richiede la cancellazione, lo stato del suo account verrà modificato in “Rimozione in sospeso”, verrà rimosso dopo il periodo di ritardo di cancellazione.

   ♦ Ritardo nella cancellazione: Rimuove definitivamente i dati del cliente dopo 30 giorni (dall’ultimo accesso).

   ♦ Impostazioni di Export/report: 

      ◊ Contatti

      ◊ Account/Servizi

      ◊ Domini

      ◊ Change log

      ◊ Transazioni

      ◊ Fatture

      ◊ Ticket

Il diritto di essere informati

Secondo il GDPR, gli individui hanno il diritto di ricevere informazioni su come vengono elaborati i loro dati e perché. Abbiamo creato più link di policy (per termini separati) che il cliente deve accettare nel portale cliente, spuntando la relativa casella di controllo. Accettando i termini indicati sarà richiesto di procedere al pagamento.

GDPR tools

Il diritto di accesso

Le persone hanno il diritto di ottenere la conferma dell’esistenza o meno di dati personali che li riguardano, il luogo e lo scopo. Nel portale cliente ogni cliente registrato ha accesso alla panoramica delle proprie informazioni personali. Sotto il mio account → Panoramica ogni cliente può visualizzare i propri dettagli insieme al motivo della conservazione di ogni dato che viene raccolto (fatturazione o non fatturazione, definisce se i dati sono necessari per la fatturazione e quindi potrebbe essere richiesto di mantenere tali dati per un dato periodo di tempo).

GDPR strumenti

L’area di amministrazione della Secure Online Desktop ti offre anche la possibilità di generare report PDF con i dati cliente, il file json contiene altre informazioni (come contatti, account, servizi, domini, registro modifiche, transazioni, fatture, ticket).

 

Il diretto di essere dimenticati

Il GDPR offre alle persone il diritto di cancellare i propri dati personali. Con Secure Online Desktop, i clienti possono richiedere l’eliminazione del proprio account e la cancellazione dei dati con un semplice clic del mouse. Ci siamo assicurati che il cliente sia in grado di avviare la procedura di rimozione dell’account solo se non ci sono fatture non pagate collegate al proprio account e non ci sono servizi attivi che non possono essere cancellati. La richiesta di eliminazione dell’account assegnerà all’account lo stato di ‘rimozione in sospeso’ e lo cancellerà dopo un certo periodo di tempo (30 giorni).

Se un cliente richiede che i propri dati vengano dimenticati, ma è tenuto a conservare i propri dati per un determinato periodo di tempo (per scopi legali o fiscali, ecc.). abbiamo la possibilità di rimuovere quante più informazioni possibili del cliente, senza rimuovere i dati richiesti per scopi di fatturazione / contratto. Pertanto la funzione di anonimizzazione dei client di Secure Online Desktop ci consente di chiudere il profilo del cliente, terminare i servizi client, cancellare il log delle modifiche del cliente, email e ticket e rimuovere TUTTI i dati di non fatturazione.

Il diritto di obiettare

 

Gli individui hanno il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che li riguardano. Pertanto, con Secure Online Desktop i nostri clienti possono rivedere tutti i termini e i servizi a cui hanno dato il loro consenso e revocare tale consenso in qualsiasi momento. Tutte le modifiche apportate al profilo del cliente vengono registrate, quindi se necessario possiamo provare che il cliente ci ha dato il consenso a raccogliere / elaborare i dati (e quando) e se il cliente ritira il consenso possiamo determinare quando è successo.

Infine, il modulo Newsletter della Secure Online Desktop per l’e-commerce e il marketing elettronico offre anche un’opzione di annullamento dell’iscrizione semplice e rapida in ogni e-mail inviata al cliente.

Il diritto alla portabilità dei dati

In conclusione, in base al GDPR, le persone hanno il diritto di ricevere una copia dei dati personali, gratuitamente, in formato elettronico. Pertanto Secure Online Desktop consente di scaricare facilmente nel file json tutte le informazioni personali raccolte nel profilo del cliente con un singolo clic del mouse dalla sezione Account personale → Panoramica nell’area cliente.

Link utili:

Almost ready for the GDPR

Cloud Provider Reggio Emilia

IaaS | Cloud | Infrastructure as a Service

Public Cloud

Partner


Contattaci

Privacy

Privacy

Ad oggi i temi relativi alla Privacy e alla protezione dei dati personali sono più sentiti che mai, basti pensare allo scandalo Facebook e Cambridge Analytica, non a caso il Garante della Privacy e l’Unione Europea hanno introdotto il Regolamento (UE) 2016/679 del 27 aprile 2016 (GDPR) che mette in campo una serie di linea guida che le aziende della comunità europea devono osservare per garantire la protezione e la riservatezza del dato utente conservato.

 

PRIVACY E GDPR

Il GDPR racchiude in se non solo gli aspetti strettamente legati alla Privacy ma un insieme più complesso di tematiche, da quelle legali a quelle più tecnologiche. Il nuovo regolamento EU 2016/679 del 28 aprile 2016 infatti ruota intorno ai concetti della protezione del dato, della suo ciclo di vita e della corretta informazioni che l’utente deve ricevere in merito ai suoi dati.

Backup

 

PRIVACYHUB

Dall’esigenza di affrontare nella sua complessità il tema del GDPR grazie all’apporto di competenze specifiche e provenienti principalmente dai settori della Privacy, Legale e Tecnologico, nel dicembre del 2017 nasce PrivacyHub. PrivacyHub è un network di aziende costituito con l’intento comune di costituire un centro di competenza per rispondere in maniera professionale e mirata al nuovo regolamento Europeo e a tutti i temi legati alla protezione dei dati. 

PrivacyHub si compone dei seguenti attori:

   ♦ Secure Online Desktop | Servizi tecnologici e Cloud: Si occupa di tutti gli aspetti tecnologici in tema di Data Protection (Backup in Cloud, Vulnerability Assessment & Penetration Test, Audit Management, Log Management) offrendo il servizio mirato in base alla realtà del cliente e ai risultati ottenuti dalla Gap Analysis.

   ♦ ATS – Consulenti Associati | Consulenza e certificazioni;

   ♦ Studio legale Miari Preite | Aspetti legali;

   ♦ Studio legale Paolo Mega | Aspetti legali.

che, accentrando le esigenze del cliente e mettendo a fattor comune le rispettive conoscenze, sono in grado di proporre soluzioni complete e mirate per l’adeguamento al regolamento EU 2017/679 del 28 aprile 2016.

[btnsx id=”6595″]

 

COSA OFFRIAMO

Offriamo servizi di consulenza privacy. Dopo una raccolta informazioni (privacy assessment) siamo in grado di effettuare tutte le attività necessarie per ottenere l’adeguamento al nuovo regolamento europeo.

[btnsx id=”6589″]

Link Utili:

Quasi pronti per il GDPR

GDPR: cosa c’è di nuovo e cosa c’è di vecchio

Nuovo regolamento europeo (GDPR)

[btnsx id=”2929″]

 

 

Regolamento 2016-679 del 27 aprile 2016

Il Regolamento 2016-679 del 27 aprile 2016 si applicherà in tutti gli Stati Membri a partire dal 25 maggio 2018, termine entro il quale le aziende dovranno adeguarsi alla nuova legge sulla Privacy.

Come attività affini alla consulenza privacy e nello specifico in relazione alle misure minime di sicurezza che è necessario predisporre a seguito della Gap Analysis e del Privacy Assessment la Secure Online Desktop propone i seguenti servizi.

 

I nostri servizi per il Regolamento 2016-679 del 27 aprile 2016

   ♦ CONSULENZA GDPR

      E’ l’attività di consulenza per l’adeguamento al nuovo regolamento privacy 2016-679. Scopri di più.

 

   ♦ PRIVACY ASSESSMENT

      E’ una delle prime attività all’interno dei progetti di consulenza GDPR volta a “fotografare” lo stato attuale dell’azienda sul tema Privacy. Scopri di più.

 

   ♦ VULNERABIITY ASSESSMENT & PENETRATION TEST

      Le attività di Vulnerability Assessment e Penetration Test  hanno lo scopo di valutare il livello di sicurezza informatica di un’infrastruttura informatica. Scopri di più.

 

   ♦ FORMAZIONE PRIVACY

     La formazione degli incaricati del trattamento dei dati personali, oltre a costituire un obbligo di legge, rappresenta una delle misure di sicurezza più efficaci a tutela dei medesimi dati. La formazione è infatti indispensabile affinché le misure di sicurezza logiche e fisiche, nonché le politiche e le procedure adottate dalle aziende, trovino l’applicazione concreta e consapevole nella pratica quotidiana.

I corsi vengono erogati in aula direttamente presso il cliente, e sono progettati e tenuti da Privacy Officer e docenti esperti di sicurezza dei dati personali e di organizzazione.

Tutti i nostri corsi hanno carattere fortemente pratico e vengono svolti attraverso una costante interazione fra docente e partecipanti, con l’obiettivo non solo di far conoscere i principi fondamentali della legge, ma anche e soprattutto di accrescere la consapevolezza dei partecipanti sulle misure di sicurezza da adottare e sulle linee guida comportamentali per il corretto utilizzo degli strumenti aziendali. Scopri di più.

 

   ♦ LOG MANAGEMENT

      La raccolta, l’aggregazione e la conservazione sicura dei log sono alcune delle attività da prendere in considerazione nel processo di adeguamento al GDPR . Scopri di più.

 

   ♦ AUDIT MANAGEMENT

Il nostro sistema di Audit Management verifica gli accessi di utenti “privilegiati” verso server remoti, previene comportamenti non autorizzati, registra le attività in sessioni video ricercabili e genera report di compliance e supporto.

 

   ♦ STRONG AUTHENTICATION

 

   ♦ CIFRATURA

 

   ♦ BACKUP ON CLOUD

      La resilienza dei dati, il loro backup e la protezione da minacce sono aspetti fondamentali all’interno del nuovo Regolamento  2016-679 del 27 aprile 2016. Scopri di più.

 

La Secure Online Desktop in primis ha messo in campo le misure idonee per essere conforme all’adeguamento al fine di proteggere la privacy dei propri utenti. 

[btnsx id=”2929″]

Link utili:

Business Continuity Audit

Vulnerability Assessment & Penetration Test

Adeguamento al nuovo regolamento privacy (UE) 2016/679

GDPR: che cosa c’e’ di nuovo e cosa c’e’ di vecchio

Webinar

Evento gratuito – Nuovo regolamento europeo Privacy (GDPR): quali impatti su enti e aziende?

Soluzioni ICT

Customers

Newsletter

{subscription_form_2}