Semplifica la conformità GDPR, riduci la superficie di attacco

Semplifica la conformità GDPR, riduci la superficie di attacco

Il GDPR presenta una sfida complessa, creando nuove regole per le società e nuovi diritti per gli individui i cui dati sono raccolti e trattati da tali società. Più dati ha un’organizzazione, più difficile sarà affrontare questa sfida.

Il GDPR è stato promulgato in risposta alla crescita esponenziale dei dati negli ultimi due decenni e alla crescente frequenza e gravità delle violazioni dei dati, quindi sarebbe ovvio che la legge imponga un onere maggiore alle organizzazioni che gestiscono enormi quantità di informazioni. Anche se può sembrare un passo nella direzione sbagliata, la riduzione della quantità di dati raccolti e memorizzati può ridurre le probabilità di dover affrontare le sanzioni pecuniarie e la perdita di fiducia dei consumatori che ne deriverebbe a seguito di una violazione della sicurezza.

Spostare i dati fuori dalla giurisdizione dell’UE, come ha fatto Facebook, è improbabile che sia una buona soluzione a lungo termine. Il GDPR è stato menzionato frequentemente durante le udienze del Congresso di aprile su Facebook e Cambridge Analytica, segnalando che una versione americana del GDPR potrebbe presto essere in lavorazione. La mossa migliore consiste nell’affrontare direttamente la minaccia, limitando la quantità di dati che vengono controllati, esponendo il minor numero di dati possibile al furto o all’abuso e proteggendo i dati sensibili con la massima sicurezza possibile.

Mantieni i dati sensibili al loro posto

I dati strutturati rappresenteranno una sfida relativamente minore per quanto riguarda la conformità GDPR. Un tipico database aziendale viene gestito attivamente da un team di amministratori, che utilizzano strumenti progettati esattamente per il tipo di attività necessarie ai sensi del GDPR – report sui tipi e quantità di dati che un’organizzazione mantiene ed eliminazione dei dati relativi a individui specifici. Finché un database è adeguatamente protetto (inclusa la crittografia a livello di campo per i dati sensibili), è improbabile che crei spiacevoli sorprese per l’organizzazione che lo possiede.

I dati non strutturati, dati  memorizzati nei file, sono una questione diversa. Una volta che i dati vengono estratti da un database e salvati in un file, diventano molto più difficili da gestire. I dipendenti spesso salvano i file in posizioni inappropriate, li condividono con utenti non autorizzati e non riescono a proteggerli da furti o abusi. Molte delle più imbarazzanti e costose violazioni dei dati negli ultimi anni hanno riguardato file compromessi da impiegati disattenti.

Il modo migliore per gestire il rischio di dati sensibili su computer dei dipendenti, file server e account cloud è in primo luogo quello di rimuovere i dati che non dovrebbero essere presenti e crittografare i dati che rimangono. Le organizzazioni possono farlo utilizzando Smartcrypt per scansionare desktop, laptop alla ricerca di file contenenti informazioni sensibili e proteggere (o eliminare) tali file in base a politiche predefinite.

Aggiorna la tua politica di conservazione dei dati

La conservazione dei dati è uno dei temi ricorrenti mentre le organizzazioni di tutto il mondo si preparano al GDPR.

Anche se le disposizioni del GDPR in materia di conservazione dei dati non sono significativamente diverse dall’attuale direttiva UE sulla protezione dei dati, le organizzazioni dovrebbero garantire che “il periodo di conservazione dei dati personali sia limitato allo stretto necessario” e stabilire un calendario per la cancellazione dei dati. La prospettiva di pesanti sanzioni per il GDPR sta cambiando il modo in cui molte aziende pensano alla conservazione.

Quando un’organizzazione continua a conservare informazioni obsolete, non solo aumenta il carico sulle risorse di archiviazione e di trasmissione, ma si pone anche come obiettivo più ampio per hacker, spie e malintenzionati. L’unica cosa peggiore del pagamento del 4% del fatturato annuale a un’autorità di vigilanza del GDPR sarebbe il pagamento del 4% per la gestione errata dei dati che non avevi nemmeno bisogno.

Il GDPR è un’opportunità ideale per le organizzazioni per riunire i propri team di legali, di sicurezza IT e altre parti interessate per rivedere e aggiornare le politiche di conservazione dei dati. Definendo criteri che determinano il periodo di conservazione dei diversi tipi di dati, le imprese possono garantire di conservare informazioni veramente critiche, liberandosi nel contempo dei dati non necessari che possono solo potenzialmente causare problemi.

Smartcrypt di PKWARE è l’unica piattaforma per la sicurezza dei dati che integra il rilevamento, la classificazione e la protezione dei dati in un unico flusso di lavoro. Con Smartcrypt è possibile trovare, proteggere e gestire dati sensibili in tutta l’organizzazione da un unico punto di controllo.

GUARDA COME SMARTCRYPT TI PUO’ AIUTARE A SODDISFARE GLI OBIETTIVI DI CONFORMITÀ DEL GDPR

Fonte: PKWare

Sei pronto per il GDPR?

Sei pronto per il GDPR?

Smartcrypt di PKWARE può aiutare la tua organizzazione a soddisfare i requisiti UE per la “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”.

(data protection by design and data protection by default)

Il nuovo regolamento generale europeo sulla protezione dei dati (GDPR) entrerà in vigore a maggio 2018, introducendo nuove tutele per gli individui e nuovi obblighi per le imprese che raccolgono, utilizzano o elaborano informazioni personali dei cittadini dell’Unione Europea. Date le pesanti multe che possono derivare dalle violazioni, la conformità al GDPR dovrebbe essere una priorità assoluta per ogni organizzazione che opera in Europa.

A differenza delle precedenti leggi europee sulla protezione dei dati, il  GDPR si applica a tutte le imprese che raccolgono o elaborano informazioni personali di cittadini dell’Unione Europea, anche se la sede centrale dell’impresa è al di fuori dell’UE.

La legge prevede nuovi mandati significativi per i data controller (società che raccolgono informazioni personali sui cittadini dell’UE) e per i data processor (società che memorizzano, trasmettono o trattano i dati per conto dei data controller):

  • Le aziende devono ottenere il consenso attivo prima di raccogliere o elaborare i dati personali.
  • Gli interessati possono chiedere che i loro dati personali siano cancellati dal data base di un’impresa e possono richiedere copie dei loro dati.
  • Le aziende devono notificare alle autorità e alle persone interessate entro 72 ore la violazione dei dati, a meno che i dati compromessi non siano protetti mediante crittografia o misure analoghe.
  • Ogni azienda deve nominare un Data Protection Officer per controllare la conformità al GDPR.
  • Le aziende devono integrare la protezione dei dati nei loro prodotti e servizi ” by design and by default” (fin dalla progettazione e per impostazione predefinita”)

Le autorità di vigilanza avranno il potere di multare le organizzazioni fino al 4% del loro fatturato annuale per violazioni e potranno imporre obblighi di auditing e reporting più severi dopo una violazione.

Soddisfare i requisiti GDPR con Smartcrypt
Smartcrypt di PKWARE può aiutare le aziende e gli enti governativi a proteggere i dati sensibili e a soddisfare i severi standard di protezione dei dati del GDPR. Smartcrypt unisce il rilevamento, la classificazione e la protezione dei dati in un unico flusso di lavoro, consentendo il controllo a livello aziendale delle informazioni personali e di altre forme di dati sensibili.

A differenza di altre soluzioni di crittografia, Smartcrypt crittografa i dati sensibili nel momento in cui vengono creati o salvati. Una volta che la crittografia di Smartcrypt viene applicata rimane con i dati anche quando vengono copiati o spostati su altri dispositivi, file server o sistemi esterni. Le organizzazioni possono anche utilizzare Smartcrypt per spostare, mettere in quarantena, mascherare o eliminare dati sensibili in base agli obblighi di conformità e ai criteri di sicurezza.

Protezione dei dati fin dalla progettazione
Smartcrypt fornisce una crittografia forte, insieme a innovative funzionalità di rilevamento dei dati che identificano e proteggono i dati sui dispositivi dell’utente e nel luogo dove vengono memorizzati nella rete. Le organizzazioni possono utilizzare Smartcrypt per proteggere i propri dati sensibili e dimostrare la conformità al GDPR.

Requisito GPDRStandard
Sicurezza del trattamento (articolo 32)Le organizzazioni devono essere in grado di dimostrare di aver adottato le “misure tecniche o organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, compresa la crittografia dei dati personali.
Comunicazione di una violazione dei dati personali all’interessato (articolo 34)Le organizzazioni devono informare le autorità di controllo e le persone interessate entro 72 ore dalla violazione dei dati. Tuttavia, le organizzazioni sono esentate dall’obbligo di informare gli individui se i dati rubati solo protetti da cifrature.
Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (articolo 25)Le organizzazioni devono “adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita”. Questi principi dovrebbero essere presi in considerazione in fase di “sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti”.
Diritto alla cancellazione (“diritto all’oblio”) (articolo 17)Su richiesta di un cittadino dell’unione, il data controller “ha l’obbligo di cancellare i dati personali senza ingiustificato ritardo” a meno che non si applichino determinate condizioni speciali. Le organizzazioni sono inoltre obbligate a richiedere la rimozione delle informazioni dell’interessato a tutti i partner commerciali con cui hanno condiviso i dati.

 

Implementazione di Smartcrypt
Smartcrypt è stato progettato per offrire la massima flessibilità, consentendo alle organizzazioni di implementare soluzioni che soddisfano i loro requisiti di protezione dei dati. L’agente di Smartcrypt viene installato su ogni dispositivo che verrà utilizzato per accedere o memorizzare informazioni sensibili. L’agente monitora l’attività dei file e rileva i dati sensibili non appena vengono creati o salvati. Dopo il rilevamento delle informazioni sensibili, Smartcrypt interviene (tramite tag, crittografia, cancellazione o altre opzioni) in base alle policy di sicurezza dell’organizzazione.

La console di gestione  web-based di Smartcrypt consente agli amministratori di creare e applicare policy di crittografia in tutta l’organizzazione. Inoltre, il development kit di  Smartcrypt consente alle organizzazioni di creare una crittografia forte nelle proprie applicazioni proprietarie con sole poche nuove linee di codice.

A differenza delle soluzioni che aumentano le dimensioni dei file dopo la crittografia, Smartcrypt utilizza la tecnologia di compressione PKWARE per ridurre i volumi dei dati prima della crittografia, con conseguente riduzione dei costi per l’archiviazione e la trasmissione dei dati.

Vantaggi

  • Smartcrypt mette in sicurezza  i dati, aiutando le organizzazioni a raggiungere i propri obiettivi di conformità e a proteggere le informazioni di importanza critica.
  • Soddisfa le norme GDPR per la protezione dei dati e semplifica gli obblighi di reporting.
  • Protegge le informazioni sensibili archiviate, in uso e in transito.
  • Elimina le conseguenze negative di una violazione dei dati.

Fonte: PKWARE

GDPR: la tua checklist per i prossimi 90 giorni

GDPR: la tua checklist per i prossimi 90 giorni

Dopo due anni di polemiche e confusione, l’era del GDPR sta per iniziare. A partire dal 25 maggio, l’innovativo regolamento europeo sulla protezione dei dati personali entrerà in vigore in tutti i 28 paesi membri dell’UE, cambiando radicalmente il modo in cui le aziende e le agenzie governative gestiscono i dati personali.

Da quando il regolamento è stato adottato dal Parlamento europeo all’inizio del 2016, le organizzazioni di tutto il mondo hanno lavorato per capire che cosa richiede la legge e in che modo verrà applicata. Sondaggi indicano che molte organizzazioni hanno ancora molto lavoro da fare. In un recente studio di Ernst e Young, ad esempio, il 40% delle aziende europee e l’87% delle aziende americane hanno risposto che non avevano ancora un piano di conformità GDPR.

Se la tua organizzazione si sta preparando per il GDPR, ora è il momento giusto per valutare in che modo la legge influirà sulla tua organizzazione e cosa dovrai fare per conformarti. I passaggi elencati qui possono aiutarti a stabilire la priorità delle tue attività GDPR e assicurarti che i tuoi dati siano una risorsa piuttosto che una responsabilità quando la legge diventerà effettiva.

Per ulteriori informazioni su specifiche disposizioni del GDPR e sui concetti fondamentali alla base dei regolamenti, leggi il white paper sul GDPR, Data Protection by Design.

Determina la tua posizione
Se lavori in Europa, dovrai essere conforme al GDPR. A differenza del patchwork delle leggi sulla privacy e sulla sicurezza dei dati che lo hanno preceduto, il GDPR si applicherà ugualmente a qualsiasi organizzazione che raccolga o elabori i dati personali dei cittadini dell’UE, indipendentemente dal fatto che l’organizzazione abbia sede nell’UE. Ciò include le società nel Regno Unito (che fa ancora parte dell’UE fino al completamento del processo Brexit), nonché nelle Americhe e altrove.

È anche importante sapere se la tua organizzazione è considerata un “Data Controller” (Titolare del trattamento) o un “Data Processor” (Responsabile del trattamento) ai sensi di legge. I Data Controller sono organizzazioni che prendono decisioni in merito a quali informazioni saranno raccolte dai cittadini dell’UE e in che modo verranno utilizzati i dati, mentre i Data Processor elaborano semplicemente i dati per conto dei Data Controller. Questa può essere un’analisi complicata per alcune organizzazioni, poiché una singola azienda può essere sia un data controller che data processor e può avere diverse relazioni tra controller e processor con diversi partner.

Nominare un DPO
Se la tua organizzazione è tenuta a nominare un Data Protection Officer e non l’ha ancora fatto, ora è il momento. Il DPO sarà responsabile di un’ampia gamma di attività correlate alla conformità GDPR, compresi audit interni, formazione dei dipendenti e comunicazioni con i soggetti interessati (i cittadini dell’UE i cui dati vengono raccolti o elaborati dalla propria organizzazione).

Il DPO sarà anche responsabile per il mantenimento del rapporto della vostra organizzazione con le autorità di vigilanza di GDPR che applicano la legge nei paesi in cui operate. Questo include report di routine e avvisi richiesti in caso di violazione dei dati.

Valuta le tue policy
Nel mondo post-GDPR, le organizzazioni dovranno procedere con attenzione durante la raccolta di dati su siti Web o attraverso altri canali. I Data Controller  sono tenuti ad ottenere il permesso che è “liberamente dato, specifico, informato e non ambiguo” al fine di raccogliere o utilizzare le informazioni personali di qualcuno. La legge impone requisiti di consenso ancora più stringenti per la raccolta di dati sui minori e per la raccolta di informazioni sulla salute e altre forme di dati altamente sensibili.

Le organizzazioni dovranno anche disporre di un processo per ricevere e soddisfare richieste di persone che desiderano una copia dei propri dati personali o che desiderano esercitare il proprio “diritto all’oblio”.

Valuta i tuoi dati
L’unico modo per assicurarsi che la tua organizzazione soddisfi gli obblighi di conformità alla protezione dei dati è capire esattamente quali tipi di dati hai, dove si trovano i dati e come sono protetti. La conformità GDPR richiede un approccio incentrato sui dati per la sicurezza informatica, incorporando ciascuna delle seguenti attività:

  • Discovery: le informazioni personali, come qualsiasi dato, vengono spostati oltre la posizione prevista. In molte organizzazioni, i dati sensibili vengono estratti regolarmente dai database e salvati su desktop, file server e altre posizioni in cui gli amministratori della sicurezza hanno una visibilità limitata. Strumenti intelligenti per l’individuazione dei dati possono eseguire la scansione di queste posizioni e trovare informazioni sensibili che richiedono protezione o altra gestione speciale sotto il GDPR.
  • Classificazione: i file contenenti dati personali o altre informazioni sensibili devono essere contrassegnati con metadati che indicano il tipo delle informazioni contenute in ciascun file e il modo in cui il file deve essere consultato e gestito. I tag di classificazione rendono anche la segnalazione dei dati più semplice e accurata.
  • Protezione: sebbene il GDPR non richieda specificamente la crittografia per i dati personali, lo raccomanda vivamente e fornisce anche esenzioni per le organizzazioni che lo utilizzano. Nel caso di una violazione della sicurezza, ad esempio, un’organizzazione non è tenuta a inviare notifiche di violazione se i dati rubati erano protetti da una crittografia forte. A seconda delle esigenze di conformità di un’organizzazione, alcuni dati potrebbero anche essere protetti inviandoli in quarantena, con il mascheramento o la cancellazione.

Smartcrypt di PKWARE è l’unica piattaforma di sicurezza dei dati che integra rilevamento dei dati, classificazione e protezione in un unico flusso di lavoro. Con Smartcrypt puoi trovare, proteggere e gestire i dati sensibili dell’intera organizzazione da un unico punto di controllo.
Guarda come Smartcrypt può aiutarti a raggiungere gli obiettivi di conformità GDPR.

Rimani informato
Forse l’unica cosa certa del GDPR è che nessuno sa esattamente cosa succederà dopo il 25 maggio. Quante società usciranno dal mercato europeo invece di gestire i requisiti GDPR? Quante persone vorranno esercitare il loro diritto all’oblio? Con quale frequenza le autorità di vigilanza impongono la sanzione massima per non conformità?
Mentre ci avviciniamo alla data in cui entrarà in vigore la legge, osserviamo nuove indicazioni dal gruppo di lavoro GDPR dell’UE e dalle autorità di vigilanza con cui collaborerà la vostra organizzazione. Assicurati di controllare regolarmente le best practices in materia di protezione dei dati e i suggerimenti su come aumentare la fiducia dei clienti rispettando i tuoi obblighi di conformità.

Fonte: PKWare

Le informazioni riservate della tua organizzazione sono protette?

Le informazioni riservate della tua organizzazione sono protette?

Smartcrypt di PKWARE può aiutarti a proteggere i dati della tua azienda e a rispettare gli obblighi di conformità del GDPR e di altre norme. Smartcrypt TDE applica la crittografia forte a dati strutturati e non strutturati su applicazioni e file server Windows. Nessun software è richiesto sugli endpoint degli utenti autorizzati ad accedere ai dati crittografati.

Revisori,  partner e i clienti chiedono sempre di più alle imprese che i propri dati vengano crittografati. Una volta che i dati sono crittografati, i danni finanziari o di reputazione di un’organizzzazione vengono evitati, e gli auditor che si occupano della conformità sanno che le informazioni riservate sono protette.

Smartcrypt Transparent Data Encryption (TDE) protegge le informazioni sensibili sui server aziendali e assicura la conformità a una vasta gamma di requisiti normativi e sulla privacy dei clienti. Elimina gli effetti negativi del furto o della condivisione accidentale delle informazioni su clienti, dei record dei dipendenti e della proprietà intellettuale.

Le normative di conformità affrontate da Smartcrypt TDE includono:

  • PCI DSS – Affronta le disposizioni di conformità 3, 7 e 8 di PCI DSS 3.0 che richiedono la protezione della privacy per tutte le informazioni relative ai titolari di carte di credito
  • HIPAA / HiTech – Copre le necessiatà di assicurare che immagini mediche non strutturate e informazioni strutturate dei database contenenti ePHI siano schermate.
  • GDPR – Risponde ai requisiti del  Regolamento Generale sulla protezione dei dati (GDPR – General Data Protection Regulation) che entrerà in vigore il 25 maggio 2018 in tutti i Paesi membri dell’Unione Europea. Il Regolamento impone obblighi stringenti sul trattamento e la gestione delle informazioni personali dei cittadini europei.

Smartcrypt TDE è economicamente vantaggioso e facile da gestire, protegge i file e i dati senza modifiche alle applicazioni, infrastrutture aggiuntive o servizi professionali.
Smartcrypt TDE viene installato su application, file e database server contenenti informazioni sensibili. I dati vengono crittografati a livello di blocco da un file system driver, tra il sistema operativo e il file system. Gli agent eseguono operazioni di crittografia / decodifica automatica in quanto i dati vengono letti / scritti in rete.

Con Smartcrypt TDE la crittografia dei dati memorizzati sui server aziendali costituisce una base fondamentale per una strategia di protezione dei dati completa.

Download “Smartcrypt TDE.pdf” Smartcrypt_-TDE.pdf – Scaricato 144 volte – 791 KB

Fonte: PKware

 

 

GDPR su IBM i – Scopri come Enforcive può aiutarti

GDPR su IBM i – Scopri come Enforcive può aiutarti

Il regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation- Regolamento UE 2016/679) è un Regolamento con il quale la Commissione europea intende rafforzare e unificare la protezione dei dati personali entro i confini dell’Unione Europea (UE). E’ stata adottato il 27 aprile 2016 ed entrerà in vigore il 25 maggio  2018.

La riforma è vista come un passo essenziale per rafforzare i diritti fondamentali dei cittadini nell’era digitale e facilitare il commercio semplificando le regole per le aziende nel “Mercato unico digitale”.

Una norma del parlamento  Europeo è un atto legislativo vincolante. Deve essere applicato in tutta la sua interezza in tutta l’UE e prevede un obiettivo che tutti paesi dell’UE devono raggiungere. Gli Stati membri hanno l’obbligo di aggiornare i loro quadri giuridici per conformarsi alla direttiva (UE) 2016/680 entro il 6 maggio 2018. Tuttavia, spetta ai singoli paesi  elaborare le proprie leggi su come raggiungere questi obiettivi.

Il mancato rispetto può portare a sanzioni che possono essere gravi. L’incapacità di proteggere i dati possono in taluni casi comportare multe fino a milioni di Euro o il 2% del fatturato della organizzazione coinvolta.

Il regolamento si applica a tutti i titolari (controller) e responsabili (processor) del trattamento stabiliti nel territorio dell’Unione, ma anche in generale a quelli che, offrendo beni e servizi a persone residenti nell’Unione, trattano dati di residenti nell’Unione europea.

Lo scopo di questo documento

I paragrafi del GDPR coprono una gamma di argomenti tra cui il tipo di dati che possono essere trattati, la procedura di accesso degli individui ai propri dati  e le altre procedure, e la protezione dei dati.
Lo scopo di questo documento è quello di individuare le appropriate sezioni del regolamento che si riferiscono alla protezione dei dati e di illustrare le funzioni di Enforcive / Enterprise Security che possono contribuire al raggiungimento di essa.
Questo documento, pertanto, non copre obblighi procedurali come la legittimità del trattamento, il tipo di dati trattati o accordi su come i dati vengono elabororati e simili.

Scarica la documentazione

Download “Supporting-GDPR-on-the-IBM-i.pdf” Supporting-GDPR-on-the-IBM-i.pdf – Scaricato 165 volte – 10 MB