Perché iniziare a prendere sul serio la protezione dei dati e come può aiutarvi ESET

SCARICA LA GUIDA GRATUITA
Cos'è il GDPR?

Siete in regola con il GDPR?

A Maggio 2018 entrerà in vigore in tutta l’Unione Europea un nuovo regolamento in materia di protezione dei dati.

Se siete interessati, dovrete iniziare a pensare ora a come adeguarvi. Questo sito è stato progettato per aiutarvi a comprendere il GDPR, valutare i requisiti e offrirvi delle soluzioni. Il Regolamento Generale sulla Protezione dei Dati (GDPR) interesserà tutte le aziende che in Europa gestiscono in vari modi i dati personali. Inoltre interesserà qualsiasi azienda che opera in EU. Le regole sono complesse e le sanzioni per chi non le rispetterà sono onerose (fino a 20 milioni di euro).

Ma siete nel posto giusto per avere informazioni!

calendar due date GDPR

Guida gratuita sul GDPR

ESET e i suoi consulenti legali hanno creato questa guida che esamina in maniera approfondita il nuovo regolamento dell’Unione Europea.

guide general data protection regulation

Controllo di conformità online

Il sito è stato realizzato per aiutarti a capire il GDPR, illustrare i requisiti necessari e offrire soluzioni.

Conformità con il GDPR, passo dopo passo

Le implicazioni del GDPR sono complesse, così abbiamo deciso di dividere il processo di adeguamento in tre gruppi di misure da considerare, suddivisi in varie aree così da potervi fornire spiegazioni più dettagliate. Basterà un click sulle barre del seguente diagramma per esaminare queste aree a vostro piacimento.

+In sintesi

Alcuni dei principi enunciati nel GDPR sono una continuazione di quelli proposti nell’attuale Direttiva sulla Protezione dei Dati, vale a dire: correttezza, liceità e trasparenza, limitazione a seconda dello scopo, minimizzazione dei dati, qualità dei dati, sicurezza, integrità e riservatezza.

Il GDPR stabilisce un nuovo principio di responsabilità rendendo i titolari del trattamento dei dati obbligati a dimostrare la conformità con questi principi. Inoltre, il GDPR aggiunge nuovi aspetti ai principi di protezione dei dati già esistenti, come di seguito riportato:

Liceità, correttezza e trasparenza – I dati ora devono essere elaborati in modo trasparente in relazione alla persona interessata.

Limitazione dello scopo – Con alcune distinzioni, l’archiviazione dei dati personali, considerati di pubblico interesse, non sarà considerata incompatibile con i propositi originali dell’elaborazione.

Memorizzazione – I dati personali devono essere conservati in una forma che permetta l’identificazione delle persone interessate per non più di quanto sia necessario ad adempiere ai propositi per i quali i dati personali sono stati elaborati.

Responsabilità – Il titolare del trattamento diventa responsabile, e deve essere in grado di dimostrare, il rispetto dei principi.

+Requisiti della struttura dell’azienda

Per adeguarsi al GDPR, occorre implementare una vasta gamma di misure per ridurre il rischio di violare il GDPR e consentire di dimostrare che si sta prendendo sul serio la governance sui dati. Tra le misure di responsabilità da adottare figurano: valutazioni dell’impatto sulla privacy, verifiche, revisione dei criteri, registrazioni delle attività e (potenzialmente) la nomina di un incaricato alla protezione dei dati (DPO).

Il GDPR introduce l’obbligo per una determinata tipologia di aziende di nominare un incaricato alla protezione dei dati (DPO). Le aziende devono nominare un dipendente o un consulente esterno come loro DPO.

Se siete un operatore di mercato con un vasto database di clienti, probabilmente avrete bisogno di un DPO; le autorità nazionali per la protezione dei dati sono tenute a fornire una guida a chi si deve qualificare.

Il vostro DPO sarà responsabile del controllo sulla conformità con il GDPR, informandovi sui vostri obblighi, avvertendovi su quando e come deve essere effettuata una valutazione dell’impatto sulla privacy, e sarà il punto di contatto per le richieste da parte delle autorità nazionali per la protezione dei dati e le persone.

Il concetto di sportello unico permette a un’azienda che opera in diversi paesi dell’Unione Europea di confrontarsi con un’unica autorità nazionale per la protezione dei dati , anche se le regole per determinare quale DPA debba assumere questo ruolo, e come verranno gestiti i reclami, sono in molti casi complesse.

+Elaborazioni, procedure e criteri

Il GDPR ridefinisce la violazione dei dati come “una violazione di sicurezza che comporta la distruzione accidentale o illecita, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati altrimenti elaborati”.

Questa definizione è più ampia rispetto alla precedente e non prende in considerazione il caso in cui la violazione determini un danno per l’individuo. Se subite una violazione della sicurezza dei dati, dovete informare immediatamente la vostra autorità nazionale per la protezione dei dati, o comunque non più tardi di 72 ore dopo aver scoperto la violazione..

Tuttavia, siete esentati dal segnalarla agli individui in questione se avete implementato appropriate misure tecniche e organizzative per proteggere i dati personali, come ad esempio la crittografia.

Una parte importante della conformità con il GDPR è la privacy by design, es. Progettare ogni nuovo processo o prodotto ponendo i requisiti di privacy Avanti e al Centro. Questo approccio che prima era solo una buona prassi ora è un requisito specifico.

Una valutazione sull’impatto della protezione dei dati, conosciuta anche come una valutazione sull’impatto della privacy (PIA), ha lo scopo di identificare e ridurre i rischi di non conformità.

Il GDPR rende i PIA un requisito formale; nello specifico, i titolari del processo di elaborazione devono assicurare che sia in funzione un PIA prima di iniziare qualsiasi attività di elaborazione ad “alto rischio”.

Se si opera a livello internazionale, dovranno essere presi seriamente in considerazione i ruoli e i processi per il trasferimento dei dati verso giurisdizioni esterne a quella dell’Unione Europea, come anche le sanzioni per la non conformità o per il trasferimento dei dati verso giurisdizioni non riconosciute (dalla Commissione Europea) ed aventi un regolamento non adeguato sulla protezione dei dati diventeranno molto più severe sotto il GDPR.

+Consapevolezza della sicurezza dei dati

Adesso è il momento di iniziare a spiegare la necessità di conformità al GDPR ai vostri dipendenti. Potrebbe già esserci bisogno di iniziare a pianificare delle procedure rivedute per adeguarsi alle nuove disposizioni in termini di trasparenza e diritti personali stabiliti dal GDPR. Ciò potrebbe avere delle significative implicazioni finanziarie, IT e di formazione.

+Responsabilità – misure tecniche

l GDPR fa sì che  i titolari del processo di elaborazione siano obbligati a dimostrare la conformità con i suoi principi sulla protezione dei dati, così bisognerà assicurare che si stiano attuando delle politiche chiare per dimostrare di rispettare gli standard richiesti attraverso regolari attività di controllo, revisione e valutazione delle procedure di elaborazione dei dati, assicurandosi che il personale sia istruito per comprendere i propri obblighi – ed essere pronti a dimostrarlo in qualsiasi momento le vostre autorità nazionali per la protezione dei dati lo richiedano.

+Violazione dei dati – misure tecniche

Occorre essere preparati per la violazione dei dati (definita come “una violazione di sicurezza che comporta la distruzione accidentale o illecita, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati altrimenti elaborati”) adottando politiche chiare e procedure collaudate che assicurino la possibilità di reagire e segnalare qualsiasi violazione dei dati quando richiesto.

La mancata segnalazione di una violazione quando questa si verifichi potrebbe tradursi in una multa, come anche una sanzione per la violazione stessa.

+Garantire il rispetto dei diritti della persona interessata - tecnicamente

Il GDPR rafforza i diritti delle persone interessate , per esempio aggiungendo il diritto a richiedere informazioni sui dati processati che li riguardano, l’accesso ai dati in determinate circostanze e la correzione dei dati quando questi non sono corretti.

Uno degli scopi principali del GDPR è quello di rafforzare i diritti degli individui. Di conseguenza, le regole per trattare le richieste di accesso da parte dell’individuo cambieranno, e sarà necessario aggiornare le vostre procedure per adeguarsi a questa nuova esigenza.

Nella maggior parte dei casi non sarà possibile rispettare questo tipo di richiesta e normalmente si avrà solo un mese per rispettarla, invece degli attuali 30 giorni.

Il diritto all’oblio (‘cancellazione’ nella terminologia del GDPR) consente alle persone in determinate situazioni di richiedere ai titolari del processo di elaborazione dei loro dati di cancellare i propri dati personali senza indebito ritardo, per esempio quando c’è un problema con la legalità alla base del processo di elaborazione o quando viene ritirato il consenso.

Anche i terzi con cui si condividono i dati delle persone interessate sono soggetti a queste regole.

Il GDPR definisce profilazione come “qualsiasi forma di elaborazione automatizzata dei dati personali consistente nell’uso dei dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere gli aspetti relativi alle prestazioni lavorative della persona fisica, le situazioni economiche, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, la posizione o gli spostamenti”; comunque ci sono alcune ambiguità su come verrà applicato il diritto delle persone interessate a non essere oggetto di decisioni basate sulla profilazione.

Il GDPR introduce un nuovo diritto sulla portabilità dei dati, che va oltre il diritto degli individui di richiedere che gli vengano forniti i loto dati in una forma elettronica di uso comune e richiede ai titolari del processo di elaborazione di fornire le informazioni in una forma strutturata, di uso comune e leggibile da computer.

Ci sono alcuni limiti a questa regola, per esempio si applica solo ai dati processati con mezzi automatizzati.

Come parte del suo obiettivo di rafforzare i diritti degli individui, la Commissione Europea garantirà anche un diritto per limitare determinate elaborazioni e un diritto a opporsi nel caso i dati personali vengano elaborati a scopi di marketing diretto, incluse le attività di profilazione a scopo di marketing diretto.

Ogni volta che un individuo si oppone, i sui dati non dovranno essere ulteriormente elaborati per il marketing diretto e i dettagli sui contatti della persona dovranno essere aggiunti a un file di soppressione conservato in loco.

Le aziende devono informare le persone sul loro diritto di opporsi all’elaborazione dei propri dati in una maniera che sia esplicita e separata dalle altre informazioni che devono essere fornite alle persone.

+Comunicare le informazioni sulla privacy (i consensi, le corrette comunicazioni sull’elaborazione)

Potrebbe essere necessario rivedere come si richiede, ottiene e registra il consenso; un consenso dell’interessato a elaborare i suoi dati personali deve essere facile da ritirare quanto da concedere, e deve anche essere ottenuto da un’indicazione positiva nell’accordo per l’elaborazione dei dati personali – non si può considerare ottenuto tacitamente, attraverso caselle preselezionate o inattività.

Come parte del suo obiettivo di rafforzare i diritti degli individui, la Commissione Europea garantirà anche un diritto per limitare determinate elaborazioni e un diritto a opporsi nel caso i dati personali vengano elaborati a scopi di marketing diretto, incluse le attività di profilazione a scopo di marketing diretto.

Ogni volta che un individuo si oppone, i sui dati non dovranno essere ulteriormente elaborati per il marketing diretto e i dettagli sui contatti della persona dovranno essere aggiunti a un file di soppressione conservato in loco. Le aziende devono informare le persone sul loro diritto di opporsi all’elaborazione dei propri dati in una maniera che sia esplicita e separata dalle altre informazioni che devono essere fornite alle persone.

Il GDPR probabilmente aumenterà la gamma di informazioni da fornire alle persone interessate , per esempio la vostra base giuridica per l’elaborazione dei loro dati, i periodi di conservazione dei dati e il loro diritto a effettuare dei reclami alla loro autorità nazionale per la protezione dei dati se pensano ci sia un problema nel modo in cui i loro dati vengono gestiti; da notare che il GDPR richiede che queste informazioni vengano fornite in modo sintetico e con un linguaggio chiaro.

+Sicurezza dei dati (integrità e riservatezza)

Il GDPR traccia dei principi sulla sicurezza dei dati simili a quelli presenti nell’attuale direttiva, inclusi: correttezza, liceità e trasparenza, limitazione a seconda dello scopo, minimizzazione dei dati, qualità dei dati, sicurezza, integrità e riservatezza.

Si deve garantire che i dati personali siano processati in una maniera che ne assicuri la sicurezza, inclusa la protezione dalle elaborazioni non autorizzate o illegittime, dalla perdita accidentale, danni e distruzione: “L’azienda e qualsiasi altro fornitore di servizi esternalizzati dovranno adottare appropriate misure tecniche e organizzative per garantire un livello di sicurezza appropriato al rischio”.

Il regolamento suggerisce un numero di misure di sicurezza che possono essere usate per raggiungere la protezione dei dati, incluso: l’uso di pseudonimi e la crittografia dei dati personali; la capacità di garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione; la capacità di ripristinare la disponibilità e l’accesso ai dati personali in maniera tempestiva in caso di incidenti fisici o tecnici; un processo di controllo periodico e la valutazione dell’efficienza dei mezzi tecnici per verificare la sicurezza dell’elaborazione.

Il GDPR specifica come la crittografia sia uno degli approcci che può aiutare a garantire la conformità con alcuni dei suoi obblighi. Citando il regolamento:

Article 32 – Sicurezza degli stati di elaborazione

“1.   Considerando lo stato dell’arte, i costi di implementazione e la natura, la portata, il contesto e le finalità dell’elaborazione come anche le variabili legate ai rischi per i diritti e la libertà delle persone fisiche, il titolare del trattamento e l’ incaricato del trattamento dovranno implementare appropriate misure tecniche e organizzative per assicurare un appropriato livello di sicurezza dai rischi, oltretutto tenendo in considerazione: (a) l’utilizzo di pseudonimi e la crittografia dei dati personali […]”

Article 34 – Comunicazione di una violazione dei dati personali alla persona

“3. La comunicazione alla persona riferita al paragrafo 1 non sarà richiesta se viene rispettata almeno una delle seguenti condizioni: (a) Il titolare del trattamento ha implementato appropriate misure di protezione tecniche e organizzative, e queste misure sono state applicate ai dati personali oggetto della violazione di dati personali in particolare quelle che rendono i dati personali illeggibili per qualsiasi persona non sia autorizzata ad accedervi, come ad esempio la crittografia […]”.

+Documentazione sui dati, basi legali e revisione

Si dovrebbe documentare quali dati personali vengono ospitati, da dove provengono e con chi vengono condivisi.

Se si hanno dati personali inesatti e questi sono stati condivisi con altre aziende, il GDPR richiede che si informi l’altra azienda sull’inesattezza dei dati così che possa correggere i propri record. Tutto ciò potrebbe richiedere la verifica di un’informazione in tutta l’azienda o in particolari aree aziendali. Ciò permetterà anche di rispettare il principio di responsabilità previsto nel GDPR.

In base al GDPR, si dovrebbe esaminare come elaborare i dati personali e identificare le basi legali su cui si realizzano e si documentano questi processi.

Questo è necessario perché alcuni diritti delle persone saranno modificati dal GDPR a seconda della base giuridica per l’elaborazione dei loro dati personali. Un esempio è che le persone potranno beneficiare di un diritto più forte sulla possibilità che i loro dati vengano eliminati dove si utilizza il consenso come base legale per l’elaborazione. Comunque, il consenso è solo uno di diversi modi di legittimare l’attività di elaborazione e potrebbe non essere il migliore (visto che può essere ritirato).

Le informazioni fornite in questa pagina web non costituiscono un parere legale, e gli utenti non dovrebbero fare affidamento esclusivamente su queste nel prendere decisioni finanziarie o commerciali. ESET non sarà responsabile dei risultati di tali azioni. È sempre importante chiedere un parere legale indipendente.

Partecipa al webinar sul GDPR

Parla con i nostri esperti di come il nuovo regolamento europeo sulla protezione dei dati personali cambierà la tua attività. ESET ospita webinar per spiegare le problematiche legate al GDPR. La partecipazione ai webinar è gratuita: iscriviti e riceverai l’invito al nostro prossimo evento.

La crittografia come soluzione

Cos’è la crittografia?

La crittografia è il processo di codifica delle informazioni tale da impedire a parti non autorizzate di leggerle.

Lunghezza della chiave e livello di complessità della crittografia

Il livello di complessità della crittografia viene comunemente identificato con la lunghezza della chiave (bit) e con l’algoritmo di codifica utilizzato. Il modo più semplice per battere la crittografia è tentare tutte le chiavi possibili. Questa pratica è comunemente nota come attacco brute force, ma l’introduzione di chiavi più lunghe ha reso questo approccio inefficace.

Per effettuare un attacco brute force su una chiave AES a 128-bit, ogni abitante della Terra, circa 7 miliardi, dovrebbe verificare 1 miliardo di chiavi al secondo per circa 1.5 miliardi di anni per ogni chiave.

Quindi di solito i criminali non tentano di decodificare l’algoritmo o di effettuare un attacco brute force sulla chiave. Invece, controllano le vulnerabilità presenti nel software di codifica o tentano di infettare il sistema con dei malware in grado di recuperare le password o le chiavi quando queste vengono elaborate.

Per ridurre questi rischi, si dovrebbe usare un valido prodotto indipendente per la crittografia e utilizzare una avanzata soluzione anti-malware che venga costantemente aggiornata.

Come funziona?

La crittografia, di solito, viene applicata in due modi diversi:

Archiviazione crittografata – spesso indicata come ‘dati a riposo’ – è comunemente usata per codificare un intero disco o dispositivo.

Questo tipo di crittografia diventa effettiva solo quando il sistema viene spento, il disco estratto dal computer o quando la chiave crittografica viene bloccata.

Contenuto crittografato noto anche come crittografia granulare – si intende, di norma, la crittografia dei file o del testo a livello applicazione.

L’esempio più comune è la crittografia delle email, dove il formato del messaggio deve rimanere intatto per l’applicazione di posta, ma il testo del messaggio e ogni allegato vengono crittografati.

eset data encryption example

Cosa deve darvi la crittografia?

Anche se la lunghezza della chiave e le diverse funzionalità del software sono importanti, spesso non si parla di quanto sia importante come funzioni il prodotto dal punto di vista dell’utente – o dell’amministratore di sistema.

Validazione FIPS - 140

Il sistema di validazione indipendente più accettato al mondo è lo standard FIPS-140. Se un prodotto è validato come FIPS-140 allora è già sicuro per la maggior parte delle situazioni e sarà conforme con il GDPR e altri regolamenti.

Semplice da usare per utenti non esperti

Ci saranno sempre situazioni in cui i dipendenti dovranno decidere se criptare o meno un documento, una email, ecc. È fondamentale che siano in grado di usare il software fornito e devono essere certi che la codifica dei dati non blocchi loro – o chi fosse autorizzato a leggerli.

Gestione remota delle chiavi, delle impostazioni e dei criteri di sicurezza

Per evitare che il personale debba prendere delle decisioni sulla sicurezza, la crittografia può essere applicata ovunque, ma questa scelta può limitare i legittimi processi aziendali e rallentare la produttività. L’inserimento di una funzionalità di gestione remota – che permetta da remoto di cambiare le chiavi crittografiche, le funzionalità o le impostazioni dei criteri di sicurezza per gli utenti, che solitamente rappresentano il più grande problema di sicurezza – significa che le impostazioni predefinite relative alla crittografia e ai criteri di sicurezza possono essere configurati a un livello superiore senza inficiare i normali processi aziendali.

Gestione delle chiavi crittografiche

Una delle sfide più grandi in termini di usabilità è come gli utenti possono condividere le informazioni codificate. Due sono i metodi convenzionali:

Password condivise, che però presentano due problemi essendo o facili da ricordare ma non sicure o sicure ma impossibili da ricordare, tanto che se non vengono scritte verranno dimenticate;

Crittografia a chiave pubblica, che funziona perfettamente in piccoli gruppi di lavoro in cui il personale non cambia praticamente mai, ma diventa più complesso e problematico in realtà più grandi e più dinamiche.

Utilizzare chiavi crittografiche condivise e gestite in maniera centralizzata evita questo tipo di problemi, con il valore aggiunto di rispecchiare il modo in cui sono usate le chiavi fisiche per chiudere le case gli appartamenti, le auto, ecc. Il personale riuscirà facilmente a comprendere questo concetto e non sarà necessario spiegarlo di nuovo. Affiancato a un eccellente sistema di gestione remota, l’uso delle chiavi crittografiche condivise permetterà di trovare il perfetto bilanciamento tra sicurezza e praticità.

Provate Gratuitamente DESlock Encryption

Vi basterà compilare le informazioni richieste e vi forniremo una versione di prova, così che possiate sperimentare i vantaggi della crittografia di ESET.
A seguito di questa prova, il partner ESET potrebbe contattarvi telefonicamente o via email.

Come può aiutarvi ESET

La nostra soluzione:
DESlock Encryption di ESET

Crittografare i dati personali contenuti nei sistemi può aiutare a soddisfare i requisiti del GDPR. La soluzione ESET è potente, semplice da installare e può codificare in maniera sicura dischi fissi, dischi rimovibili, file ed email.

DESlock Encryption permette di rispettare gli obblighi in materia di sicurezza dei dati applicando i criteri di crittografia e mantenendo elevata la produttività. Grazie alle ridotte richieste in termini di assistenza e ai brevi cicli di distribuzione, nessun altro prodotto può confrontarsi con DESlock in termini di flessibilità e semplicità d’uso. Il lato client richiede solo un minimo di interazione da parte dell’utente, garantendo la conformità e la sicurezza dei dati dell’azienda da un singolo pacchetto MSI. Il lato server semplifica la gestione degli utenti e delle workstation e estende la protezione dell’azienda al di fuori dei confine della rete aziendale.

Cosa offre DESlock Encryption

Crittografia semplice e potente per le aziende di tutte le dimensioni codifica in maniera sicura dischi fissi, dischi rimovibili, dispositivi portatili e le email inviate

Certificazione: crittografia AES 256 bit validata FPS 140-2 per una sicurezza certificata

Server di gestione basata su Hybrid-cloud per una gestione completa da remoto delle chiavi crittografiche e dei criteri di sicurezza delle postazioni

Supporto per Microsoft® Windows® 10, 8, 8.1 incluso UEFI e GPT, 7, Vista, XP SP 3, Microsoft Windows Server 2003-2012, Apple iOS

Algoritmi e standard: AES 256 bit, AES 128 bit, SHA 256 bit, SHA1 160 bit, RSA 1024 bit, Triple DES 112 bit, Blowfish 128 bit

DESlock+ Pro – i vantaggi nel dettaglio

Crittografia completa del disco
Sicurezza veloce e trasparente nella fase di pre-avvio

Crittografia dei dischi rimovibili
Crittografia dei dischi rimovibili basata sui criteri adatta a qualsiasi policy di sicurezza aziendale

Plugin Outlook per email e allegati
Inviare e ricevere facilmente email e allegati crittografati attraverso Outlook

Dischi virtuali e archivi codificati
Creare uno spazio sicuro e codificato nel PC o in un altro percorso o una copia codificata di un intero albero di directory e dei file che vi sono contenuti

Crittografia di file e cartelle
Veloce e trasparente, fornisce un ulteriore livello di sicurezza

Crittografia del testo e degli appunti
Codifica tutto il contenuto o una parte di una finestra di testo – browser web, campi memo dei database o web-mail

Compatibile con la gestione centralizzata
Pieno controllo delle licenze e delle funzionalità del software, criteri di sicurezza e chiavi crittografiche.

DESlock+ Go crittografia portatile
Software facile da usare che si installa sul dispositivo per i sistemi senza licenza

Prova gratis ESET DESlock+

Compilate il form con i vostri dati e vi forniremo una versione di prova in modo che possiate sperimentare i vantaggi della crittografia di ESET.

Utilizziamo i cookie per essere sicuri che tu possa avere la migliore esperienza sul nostro sito. Per maggiori informazioni.

OK