Perché è utile?Garantisce una gestione sicura e strutturata dei dati sensibili e permette, alle le aziende soggette alle leggi sulla privacy, di essere in regola.
Il problemaLe leggi che regolano la conservazione dei dati sensibili sono molto complesse, soprattutto per quelle aziende come ISP (Internet Service Provider), banche o enti governativi che devono rendere disponibili le informazioni alle forze dell’ordine in caso di accertamenti o in sede giudiziaria.
Le misure da adottare sono molte, e differenti a seconda delle tipologie di dati da trattare. Per esempio, per quanto riguarda i dati relativi al traffico telefonico ed internet bisognerà seguire il provvedimento generale del Garante sulla “Sicurezza dei dati di traffico telefonico e telematico” (Gazzetta Ufficiale n. 30 del 5 febbraio 2008) che prevede, in sintesi:
- I dati devono essere accessibili solamente agli incaricati di gestione del sistema, attraverso due diversi sistemi di strong authentication tra cui uno biometrico.
- Le credenziali dei gestori del Database devono essere distinte da quelle dei gestori del sistema, e devono essere distinte temporalmente tra coloro che possono accedere ai dati nel periodo di conservazione dei dati per la fatturazione e quelli per il periodo in cui i dati sono conservati per finalità di accertamento e repressione dei reati.
- I dati conservati per finalità di accertamento e repressione dei reati devono essere gestiti, trattati e conservati su sistemi informatici distinti rispetto a quelli utilizzati per altre funzioni aziendali.
- E’ necessario conservare i dati per periodi predeterminati (per il traffico telefonico e internet esso è per lo più pari a un anno e mezzo). Allo scadere di tale data la legge prescrive l’immediata cancellazione di tali dati.
- I dati devono essere cifrati e protetti attraverso adeguati sistemi. I flussi di dati devono inoltre avvenire su protocolli di comunicazione sicuri.
- E’ necessario che tutti i sistemi informatici atti alla conservazione di tali dati siano adeguatamente documentati secondo standard. Tale documentazione deve essere messa a disposizione dell’Autorità.
- Le attività sui dati sensibili devono essere registrate e monitorate continuamente (Audit Log). I log di tali monitoraggi devono essere conservati su dispositivi non alterabili di memorizzazione.
- Devono essere svolte attività di controllo interno sulla gestione dei dati di traffico (Audit interno)
- Formazione continua degli incaricati al trattamento dei dati sensibili.
Queste procedure sono necessarie per le aziende che devono sottostare ai dettami della legge: tuttavia tutte le aziende che devono trattare dati sensibili dovrebbero utilizzare queste procedure come best practices per ottenere un migliore livello del servizio.
Tuttavia l’implementazione, l’integrazione dei diversi sistemi e la loro gestione implica un know how relativo alle tecnologie di sicurezza informatica che non tutte le aziende posseggono al loro interno.
La nostra soluzioneDopo aver analizzato la situazione aziendale esistente, proponiamo al cliente le soluzioni più corrette per rientrare nella legalità o per una migliore gestione dei dati sensibili. Insieme al cliente quindi definiamo le policy di Data Retention che meglio si adattano alla struttura aziendale, e proponiamo, dove possibile, tecnologie integrabili con i preesistenti sistemi al fine di ridurre i costi di implementazione.
Cosa forniamo in concreto- Analisi dell’architettura di rete e della sala macchine (C.E.D.).
- Analisi ambientale (ovvero l’analisi delle modalità di gestione e utilizzo dei sistemi informativi).
- Identificazione degli store di dati.
- Definizioni delle politiche di Data Retention.
- Implementazioni:
- Realizzazione di soluzioni di Strong Authentication.
- Creazione e delivery di security policy.
- Implementazione di progettazione sicura e segmentazioni dei dati in base a politiche di RBAC (Role Base Access Control).
- Soluzioni cifratura dati/canali di comunicazione.
- Assessment sistemi sicurezza e di Data Retention.
- Test.
|
