Garantire la conformità al GDPR: Strategie essenziali per il backup dei dati

Che cos’è il GDPR?

Il Regolamento Generale sulla Protezione dei Dati, o GDPR, è una complessa legge sulla protezione dei dati che è operativa dal 25 maggio 2018. Rappresenta uno degli elementi più noti della legislazione sulla privacy a livello mondiale, nonostante sia applicabile solo alle informazioni dei clienti dell’Unione Europea e dei residenti nello Spazio Economico Europeo.

Il GDPR stabilisce standard rigorosi su come le aziende devono gestire ogni informazione sensibile dei residenti nell’UE, anche se l’azienda in questione non ha sede nell’UE. Le aziende che offrono beni o servizi ai residenti dell’UE, che monitorano il comportamento dei residenti dell’UE o che elaborano dati personali per conto di organizzazioni con sede nell’UE, devono tutte conformarsi al GDPR in un modo o nell’altro.

Per quanto riguarda le attività di backup e ripristino, il GDPR prevede una serie di requisiti cruciali che tutte le organizzazioni devono affrontare in un modo o nell’altro, tra cui i requisiti organizzativi, i diritti individuali e i principi di protezione dei dati.

I requisiti organizzativi includono i seguenti:

• Procedure di notifica delle violazioni;
• Nomina di un responsabile della protezione dei dati in determinate situazioni;
• L’implementazione di specifiche misure organizzative e tecniche;
• Valutazioni d’impatto sulla protezione dei dati per i trattamenti ad alto rischio;
• La tenuta di registri per tutte le attività di trattamento.

I diritti individuali di qualsiasi cittadino dell’UE in questo contesto includono i seguenti:

• Diritto alla cancellazione, noto anche come diritto all’oblio;
• Diritto alla portabilità dei dati;
• Diritto di accesso ai propri dati personali;
• Diritto di opporsi al trattamento;
• Diritto di rettificare informazioni inesatte;
• Diritto di limitare il trattamento.

Per quanto riguarda i principi di protezione dei dati che vengono applicati in questo caso, dobbiamo menzionare i seguenti:

• I dati devono essere accurati e aggiornati;
• La protezione dei dati deve essere garantita mediante misure di sicurezza adeguate;
• Le informazioni personali devono essere trattate con trasparenza, equità e secondo la legge;
• Il periodo di conservazione dei dati deve essere limitato al tempo necessario per raggiungere lo scopo prefissato;
• La raccolta dei dati deve essere limitata alle sole informazioni necessarie (talvolta definita “minimizzazione dei dati”).

Una chiara comprensione di tutti gli aspetti fondamentali del GDPR è essenziale per poter implementare soluzioni di backup con livelli sufficienti di conformità, con un impatto diretto sul modo in cui le organizzazioni affrontano le loro strategie di protezione/conservazione dei dati.

Quali sono i requisiti del GDPR per il backup dei dati?

I backup dei dati hanno un ruolo molto importante nel garantire sia la continuità aziendale che la conformità ai requisiti di protezione dei dati previsti dal GDPR. L’equilibrio tra le due cose è piuttosto delicato, ma le aziende devono comunque trovarlo per rimanere aderenti a tutti i principi di protezione dei dati necessari senza perdere la capacità di mantenere un ambiente di backup completo.

Comprendere la conformità GDPR nel backup dei dati

La conformità al GDPR negli ambienti di backup va oltre l’atto di base di copiare le informazioni. La strategia di backup in questione deve essere in grado di incorporare le regole sulla privacy in fase di progettazione, al fine di garantire che le informazioni personali dei clienti rimangano al sicuro durante il loro intero ciclo di vita, senza limitarne l’accesso per le esigenze aziendali.

Le misure più comuni che il GDPR richiede ai sistemi di backup includono:

• Procedure chiare e concise per il ripristino dei dati e la verifica delle informazioni.
• Controlli di accesso e meccanismi di autenticazione.
• Crittografia per le informazioni sensibili a riposo e durante il transito.
• Un registro dettagliato dei tentativi di accesso e delle operazioni di backup.

Requisiti chiave del GDPR per la protezione dei dati

Per quanto riguarda le attività di backup, il GDPR esercita una forte pressione sul principio della protezione dei dati da parte della progettazione – il che implica che le misure di sicurezza devono essere integrate nei processi di backup esistenti fin dall’inizio, invece di essere aggiunte come un ripensamento. Un approccio di questo tipo può solitamente fornire un maggior grado di controllo e sicurezza sulle informazioni, ma può essere più difficile da implementare rispetto alle opzioni di terze parti.

Qualsiasi azienda che rientra nella copertura del GDPR deve supportare i diritti degli interessati, mantenendo al contempo l’integrità dei dati. I diritti dell’interessato includono abilità quali la fornitura di dati in forma portatile su richiesta, l’individuazione di dati personali specifici all’interno dei backup e la modifica o la cancellazione dei record quando richiesto o necessario. Il mantenimento dell’integrità dei dati si ottiene con test di backup regolari, audit trail dettagliati e procedure di verifica approfondite del checksum.

Periodi e politiche di conservazione dei backup GDPR

Anche le politiche di conservazione sono soggette a cambiamenti in base al GDPR, considerando che il regolamento richiede la giustificazione dei periodi di conservazione esistenti in base ai requisiti legali e alle esigenze aziendali, invece di conservare le informazioni a tempo indeterminato, come fa la maggior parte delle aziende.

Quando si stabiliscono le politiche di conservazione per i requisiti del GDPR, occorre tenere presente una serie di fattori importanti. I requisiti legali e normativi sono un ovvio partecipante a questa discussione. Oltre a questo, dobbiamo anche menzionare il rischio di conservare informazioni personali non necessarie, che di solito è importante quanto le esigenze generali di continuità aziendale in questo contesto. Inoltre, il costo dell’archiviazione calcolato correttamente rispetto al potenziale valore futuro dei dati mostra se è addirittura vantaggioso per l’azienda archiviare le informazioni al di fuori delle tempistiche obbligatorie.

Requisiti di minimizzazione dei dati nei backup

La minimizzazione dei dati è un argomento insolito nel contesto degli ambienti di backup. Nella maggior parte dei casi, l’esecuzione di backup completi è l’opzione più semplice, ma il GDPR richiede alle organizzazioni di essere molto più selettive con i loro processi di backup. Tenendo presente questo, possiamo fornire almeno alcune regole per le strategie di backup selettivo da seguire per diventare più conformi ai requisiti del GDPR, tra cui:

• Applicare periodi di conservazione diversi a categorie di dati separate.
• Identificare e classificare le informazioni in base alla loro sensibilità.
• Esaminare ed eliminare regolarmente i backup obsoleti/inutili.
• Escludere le informazioni personali non necessarie dai backup eseguiti regolarmente.

Per garantire la conformità al GDPR senza perdere l’efficacia dell’ambiente di backup, la protezione dei dati deve essere vista come un’opportunità per migliorare l’ambiente esistente, anziché lavorare con il GDPR come un ostacolo. Un’attenta pianificazione e implementazione sono essenziali per poter raggiungere questo delicato equilibrio tra conformità e prestazioni di backup.

Come fare per implementare le misure di protezione dei dati personali?

Le migliori pratiche per il backup e la sicurezza dei dati

Per implementare solide misure di protezione dei dati per motivi di conformità, è necessario un approccio completo. Solo una perfetta integrazione tra procedure organizzative e controlli tecnici può soddisfare tutti i requisiti senza danneggiare i flussi di lavoro delle operazioni di backup esistenti o futuri.

L’implementazione stessa è solitamente composta da due fasi principali: la scoperta dei dati e la protezione dei dati. L’individuazione dei dati comprende un processo di mappatura approfondita dei dati che identifica tutti i dati personali all’interno dell’ambiente, nonché un processo di categorizzazione dei dati in base alla sensibilità e ai requisiti di protezione e una documentazione approfondita di tutte le attività di elaborazione e dei flussi di dati.

Il processo di protezione dei dati, d’altra parte, consiste nell’implementare forti controlli di accesso e crittografia end-to-end, oltre a sforzi di segmentazione della rete e patch di sicurezza regolari, quando possibile.

Ruolo del responsabile della protezione dei dati nella conformità al GDPR

Un responsabile della protezione dei dati (DPO) è una posizione importante con l’obiettivo di supervisionare varie misure di sicurezza di backup. La conformità è solo una delle diverse aree di competenza in cui un DPO deve essere esperto, con altre categorie che includono:

• Formazione del personale sul tema delle best practice di protezione dei dati.
• Consulenza sull’implementazione appropriata delle misure di sicurezza nei flussi di lavoro di backup.
• Svolgere il ruolo di collegamento quando si tratta di contattare le autorità di vigilanza
• Monitoraggio della completezza della conformità al GDPR e ad altri requisiti, quando applicabile.
• Esecuzione di audit regolari delle procedure di backup

Classificazione dei dati e requisiti di archiviazione

Un adeguato processo di classificazione dei dati è la base di qualsiasi misura efficace di protezione dei dati. Un approccio di archiviazione a livelli è l’opzione più consigliata nella maggior parte dei casi, stabilendo diversi livelli di archiviazione in base all’importanza dei dati. Quattro dei livelli di archiviazione più comunemente accettati sono critico (informazioni personali altamente sensibili), standard (informazioni personali di routine), archivio (informazioni a cui si accede raramente) e temporaneo (dati transitori).

Ogni singolo livello nel quadro di classificazione deve avere una serie definita di raccomandazioni e flussi di lavoro descritti al riguardo. Ciò include controlli di sicurezza dettagliati, frequenza di backup definita, periodi di conservazione dei dati specifici e procedure di accesso accuratamente spiegate.

Considerazioni sul trasferimento transfrontaliero dei dati

Il trasferimento transfrontaliero di dati è un argomento molto popolare nel campo della compliance, a causa dell’enorme numero di aziende moderne che operano in più giurisdizioni in tutto il pianeta. Si tratta di un argomento molto importante quando si tratta di GDPR e di altre normative specifiche di una regione, che richiedono l’adozione di una serie di misure aggiuntive per garantirne la conformità:

• Valutare la base legale per ogni regione di destinazione del trasferimento dei dati.
• Analizzare le decisioni di adeguatezza per i Paesi di destinazione
• Documentare le clausole contrattuali standard, se applicabili
• Individuare le garanzie tecniche da applicare ai dati in transito.
• Aggiungere restrizioni geografiche sull’archiviazione dei dati, se applicabile
• Eseguire controlli di conformità sulla residenza dei dati dopo i trasferimenti
• Monitorare i flussi di dati internazionali

Requisiti di documentazione e audit trail

La documentazione e i tracciati di audit sono entrambi elementi essenziali di praticamente qualsiasi normativa di conformità, non solo del GDPR. Una documentazione completa di solito copre molti aspetti ed elementi diversi dei processi e delle misure interne di un’organizzazione, tra cui:

1. Capacità di configurazione del sistema – controlli di sicurezza, standard di crittografia, procedure di gestione delle chiavi, architetture di backup, matrici di controllo degli accessi, flussi di dati, configurazioni di sicurezza.
2. Procedure operative – risposte agli incidenti di sicurezza, procedure di pianificazione dei backup, fasi di verifica della conformità, deteminazione della pianificazione dei backup.

Anche i percorsi di audit dovrebbero essere mantenuti allo stesso modo, con ogni audit in grado di verificare l’accuratezza e l’efficienza delle misure di sicurezza, nonché l’adesione del personale a tali misure, la conformità alle procedure documentate e così via.

Che cos’è il diritto alla cancellazione nell’ambito della conformità al GDPR?

Il diritto alla cancellazione, comunemente noto anche come diritto all’oblio, è un diritto diretto di un cittadino dell’UE a richiedere la rimozione delle proprie informazioni private dai risultati di ricerca su Internet e da altre fonti, quando possibile. Potrebbe sembrare una richiesta piuttosto semplice, ma diventa sorprendentemente difficile quando viene applicata nel contesto dei sistemi di archiviazione distribuiti e degli archivi di backup.

Il diritto alla cancellazione può essere richiesto dagli interessati in determinate circostanze, tra cui:

• Dati trattati illegalmente
• Ritiro del consenso al trattamento
• I dati non sono più necessari per lo scopo originario
• Obiezione al trattamento (senza motivi legittimi prevalenti)
• Obbligo legale di cancellare i dati

Detto questo, il diritto alla cancellazione non è assoluto. Ci sono alcune situazioni in cui le organizzazioni possono ancora conservare i dati, ad esempio quando sono necessari per scopi scientifici, storici o statistici. Inoltre, anche i dati necessari per adempiere agli obblighi legali e per lavorare con le richieste legali sono immuni dal diritto alla cancellazione, e lo stesso si può dire per i compiti svolti nell’interesse pubblico o per esercitare la libertà di espressione.

Attuazione del diritto alla cancellazione nel backup dei dati

L’effettivo processo di implementazione del diritto alla cancellazione richiede un buon equilibrio tra questioni di conformità e limitazioni pratiche. Creare processi sofisticati in grado di elaborare le richieste di cancellazione senza compromettere l’integrità e le prestazioni dei backup non è un compito facile.

Per quanto riguarda il processo di implementazione, possiamo presentare una serie di piccole strategie che potrebbero aiutare gli utenti a creare un quadro migliore per la conformità al diritto alla cancellazione. Decidere di scegliere un sistema di backup che supporti la cancellazione granulare dei dati sarebbe un buon inizio, e anche le funzionalità di crittografia con gestione separata delle chiavi sono benvenute.

Altri elementi del lato tecnico dell’implementazione sono l’etichettatura dei metadati per una migliore tracciabilità delle richieste di cancellazione e la creazione di indici delle posizioni dei dati personali all’interno dei backup. Tuttavia, si tratta solo dell’aspetto tecnico dell’argomento, mentre vorremmo anche esaminare l’approccio procedurale all’implementazione che si potrebbe utilizzare. Questo approccio può essere suddiviso in quattro fasi principali:

• Documentare tutte le richieste di cancellazione e le azioni intraprese
• Stabilire un chiaro flusso di lavoro per la gestione delle future richieste di cancellazione.
• Definire i criteri per stabilire se la richiesta di cancellazione è tecnicamente fattibile.
• Creare processi che offrano un ripristino parziale con l’esclusione dei dati cancellati.

Come abbiamo detto prima, ci sono anche molte situazioni in cui la cancellazione completa non è immediatamente fattibile per un motivo o per l’altro. In questo contesto, ci possono essere diversi modi per affrontare il problema:

• Mantenere un registro di cancellazione per assicurarsi che le informazioni cancellate rimangano tali anche dopo le sequenze di ripristino.
• Capire come fare per creare nuovi backup senza informazioni già cancellate.
• Sperimentare la cancellazione virtuale che utilizza i controlli di accesso e la crittografia.
• Stabilire le tempistiche per la cancellazione completa dei dati dai backup.

Non è raro che le aziende debbano trovare un equilibrio tra il diritto alla cancellazione e altri requisiti dello stesso quadro normativo, come la sicurezza dei dati, il disaster recovery, ecc. L’obiettivo di aderire al diritto alla cancellazione dal punto di vista del GDPR è quello di fornire un approccio chiaro e definito per lavorare con le richieste di cancellazione senza interrompere l’integrità generale del sistema.

Quali soluzioni di backup garantiscono la conformità al GDPR?

Valutazione delle soluzioni di backup per la privacy dei dati

La semplice capacità di una soluzione di backup di supportare il GDPR non è di per sé sufficiente, poiché molto più importante è il modo in cui viene implementata e utilizzata. Le aziende devono anche valutare le caratteristiche di governance e di gestione di tale software, oltre alle sue capacità tecniche. In una situazione ideale, una soluzione di backup con supporto per il GDPR avrebbe tutti i requisiti di privacy integrati nel suo nucleo, rendendo il tutto perfetto ed efficiente.

Per quanto riguarda le caratteristiche che le aziende dovrebbero ricercare nelle loro soluzioni di backup ai fini della conformità, possiamo fornire una serie di esempi chiave:

• Vaste capacità di crittografia dei dati
• Strumenti flessibili di ricerca e individuazione che possono cercare i dati personali
• Registrazione completa degli audit
• Controllo granulare degli accessi e relativa gestione
• Automazione dei rapporti di conformità

Caratteristiche delle soluzioni di backup dei dati conformi al GDPR

Quando si tratta di caratteristiche più specifiche, legate al GDPR, che si dovrebbero cercare in una soluzione di backup, ci sono almeno altre due categorie da coprire: le funzionalità di gestione dei dati e le funzionalità di miglioramento della privacy.

Le funzionalità di gestione dei dati più utili per la conformità sono le funzionalità di classificazione dei dati, la capacità di automatizzare le politiche di conservazione, una varietà di opzioni di backup e ripristino selettivo e un metodo sicuro di cancellazione dei dati.

Per quanto riguarda le funzionalità di miglioramento della privacy, raccomandiamo di investire in strumenti di mascheramento dei dati, gestione delle richieste di accesso ai soggetti, funzionalità di pseudonimizzazione e supporto nella valutazione dell’impatto sulla privacy, quando possibile.

Soluzioni di backup cloud vs. on-premises

I software di backup sono generalmente disponibili in due forme quando si tratta di implementazione: cloud e on-premises. Alcuni software offrono solo un approccio singolo, mentre altri possono offrire entrambi. È importante sapere che entrambi gli approcci hanno i loro vantaggi da tenere in considerazione.

In questo modo, le soluzioni di backup in cloud possono offrire:

• Opzioni di distribuzione geografica
• Automazione degli aggiornamenti di sicurezza
• Certificazioni di conformità
• Capacità di archiviazione scalabile
• Opzioni di ridondanza integrate

In alternativa, le opzioni di backup on-premise offrono:

• Un certo grado di indipendenza dalla connessione a Internet
• Controlli di sicurezza personalizzabili
• Controllo diretto sull’infrastruttura della soluzione
• Sovranità completa dei dati
• Tempi di ripristino potenzialmente più rapidi rispetto alle opzioni cloud

L’approccio ibrido è anche un’opzione in alcune situazioni, che offre un equilibrio tra le due opzioni e la massima flessibilità. Include scalabilità economica, backup nel cloud per il ripristino di emergenza, copie locali per un ripristino rapido, flessibilità nella resilienza dei dati e così via.

Requisiti di crittografia per i dati di backup

La crittografia è uno degli elementi più fondamentali dei moderni framework di sicurezza dei dati, e la conformità al GDPR rafforza ulteriormente questa affermazione, fornendo alcuni requisiti sia per la crittografia a riposo che per la sicurezza a metà del transito.

La crittografia a riposo deve utilizzare algoritmi forti (AES-256 o superiore), sistemi sicuri di gestione delle chiavi, rotazione regolare delle chiavi e integrazione con moduli di sicurezza hardware.

La crittografia mid-transit dovrebbe essere almeno TLS 1.3 per i trasferimenti di dati, fornendo anche configurazioni di tunnel sicure, gestione dei certificati e protezione del percorso di rete.

Come conclusione di questa sezione, possiamo dedurre che una versione perfetta di una soluzione di backup per la conformità al GDPR dovrebbe avere funzionalità di crittografia end-to-end, conformità agli standard di settore, gestione integrata delle chiavi e opzioni di crittografia alla fonte. Le funzionalità di sicurezza complete dovrebbero essere la priorità assoluta per le organizzazioni, anche se è comunque nell’interesse dell’azienda stessa trovare una soluzione che riesca a trovare un equilibrio tra efficienza operativa e protezione dei dati efficace.

Come fare per gestire il recupero dei dati nella conformità al GDPR?

Il recupero dei dati nel GDPR è altrettanto rigoroso e sfaccettato dei processi di backup dei dati, e richiede un equilibrio tra conformità, velocità e precisione. Nessuno dei processi di recupero deve intrinsecamente violare i diritti degli interessati o ripristinare in qualche modo informazioni precedentemente cancellate.

Una strategia di recupero competente, che tenga conto della conformità al GDPR, dovrebbe eseguire regolarmente sequenze di verifica pre-recupero, utilizzando anche un quadro di prioritizzazione del recupero come mezzo per comprendere il valore e l’importanza di informazioni specifiche.

Il processo di verifica pre-recupero conferma la portata dei dati che stanno per essere recuperati e verifica lo stato attuale del consenso degli interessati. Se non ci sono reclami in questo caso, le organizzazioni devono anche convalidare i livelli di autorizzazione al recupero e verificare i registri delle richieste di cancellazione per assicurarsi che nessuna delle richieste di cancellazione sia andata persa.

Il Recovery Prioritization Framework utilizza quattro categorie principali di dati nella maggior parte dei casi:

• Informazioni storiche o di archivio
• Dati operativi standard
• Dati personali sensibili al tempo
• Dati critici per le operazioni aziendali

Affrontare le violazioni di dati e la conformità al GDPR

Ogni azienda che rientra nel GDPR ha la responsabilità di segnalare le violazioni dei dati come parte del suo set di regole di conformità. La mancata segnalazione è considerata una violazione della conformità e viene trattata di conseguenza. Quando si prende in considerazione il recupero dei dati a causa di una violazione dei dati, l’organizzazione ha la responsabilità di:

• Isolare i sistemi interessati
• Valutare la portata e l’impatto della violazione
• Avviare il processo di recupero utilizzando backup puliti come base di riferimento
• Documentare ogni singola azione relativa al processo di recupero

Il GDPR stabilisce anche dei limiti temporali sui requisiti di notifica, fornendo un lasso di tempo specifico in cui le autorità e gli utenti devono essere informati di una violazione, insieme alla comunicazione dello stato di recupero e ad altre necessità.

Test e convalida delle procedure di ripristino

La verifica regolare dei backup è fondamentale per garantire che un’azienda disponga di backup funzionanti e adeguati su cui lavorare nel caso in cui si verifichi un evento di violazione dei dati. Un tipico processo di test include la verifica dell’integrità dei dati, la stima dell’accuratezza per il ripristino point-in-time e i processi di test completi per le procedure di ripristino completo e parziale.

I requisiti di convalida dei dati, invece, sono leggermente diversi: devono confermare l’integrità dei metadati e testare la conservazione del controllo degli accessi, verificando anche la completezza dei dati dopo il ripristino e controllando le inclusioni di dati non autorizzati nei backup.

Se possibile, i processi di test di ripristino dovrebbero simulare diversi scenari, tra cui la correzione di un errore umano, il ripristino dopo un guasto hardware, il ripristino da ransomware e persino il ripristino da disastro. Questi processi di test dovrebbero anche produrre una certa documentazione, compresi i risultati dei test per i processi di ripristino, le metriche generali delle prestazioni di ripristino, i miglioramenti identificati e le fasi di verifica della conformità definite che sono state seguite.

È altamente raccomandato che un’organizzazione mantenga una sorta di playbook di ripristino – un documento che copra i punti di controllo della conformità, i processi di convalida, le istruzioni passo-passo per i processi di ripristino e i requisiti di autorizzazione, se applicabili.

Il successo del ripristino dei dati per i backup conformi al GDPR dipende dalla preparazione e dai test, oltre che da un processo di documentazione approfondito. Le revisioni periodiche di tutti gli elementi della sequenza e gli aggiornamenti regolari dovrebbero mantenere l’efficacia del processo, assicurando al contempo che l’azienda rimanga conforme al GDPR o ad altri quadri normativi.

Come fare per garantire la sicurezza dei dati personali nei backup?

Misure di protezione contro gli attacchi Ransomware

La minaccia del ransomware è qualcosa che la moderna sicurezza dei backup deve affrontare separatamente dal resto delle funzionalità di protezione dei dati, considerando quanto siano diventati popolari gli attacchi ransomware negli ultimi anni. Le aziende devono implementare una serie di strategie di protezione in un’unica rete di sicurezza per salvaguardare i loro ambienti e i loro backup dagli attacchi basati sulle tecnologie di crittografia.

Alcuni degli elementi più importanti della protezione ransomware per le informazioni sensibili includono:

• Implementazione dell’archiviazione Write-Once-Read-Many (Scrivi una volta, leggi tante).
• Controllo della versione con diversi punti di ripristino
• Copie di backup con opzioni di air gapping
• Opzioni di sola lettura per gli snapshot.
• Avvisi automatici per attività sospette
• Monitoraggio in tempo reale dei modelli di backup
• Quadri di rilevamento delle anomalie
• Procedure predefinite per specifici tipi di attacco per garantire tempi di risposta rapidi

Controllo degli accessi per i dati di backup

Le robuste misure di controllo degli accessi sono una misura di sicurezza dei dati ben nota, comunemente utilizzata come funzione di protezione in molte situazioni. La versione più popolare è il controllo degli accessi basato sui ruoli, o RBAC. Utilizza il principio del minimo privilegio per cercare di evitare di estendere eccessivamente le autorizzazioni di ciascun utente al di fuori di quanto necessario per svolgere il proprio lavoro. Inoltre, di solito può fornire permessi di accesso limitati nel tempo e offre un quadro semplice per eseguire revisioni regolari degli accessi.

Per quanto riguarda i metodi di autenticazione utilizzati per verificare l’identità di ciascun utente, non include solo politiche di password forti e controlli di gestione delle sessioni, ma anche l’uso dell’autenticazione a più fattori per qualsiasi accesso di backup, insieme a una registrazione e a un monitoraggio dettagliati di qualsiasi attività di autenticazione per un audit trail verificabile.

Strategie per prevenire la corruzione dei dati

La corruzione dei dati è un altro problema sostanziale per qualsiasi informazione digitale, ed è per questo che la conservazione dell’integrità dei dati è una caratteristica importante di praticamente qualsiasi struttura moderna di sicurezza dei dati, anche al di fuori dei requisiti di conformità al GDPR.

La verifica del backup è il primo elemento importante di questo processo, che introduce la convalida del checksum e il controllo automatico dell’integrità per i backup e le informazioni archiviate. Anche le procedure di verifica del ripristino e i meccanismi di rilevamento della corruzione sono inclusi in questa sezione, sebbene siano un po’ meno comuni in confronto.

La convalida dei dati ha spesso un framework dedicato che viene utilizzato non solo per rilevare gli errori, ma anche per risolverli in modo automatizzato. La sequenza di azioni segue uno schema relativamente semplice:

1. Convalida dei dati end-to-end
2. Rilevamento degli errori in tempo reale
3. Procedure di riparazione automatizzate
4. Audit di integrità eseguiti regolarmente.

Esistono anche caratteristiche che possono aiutare ulteriormente a garantire la conformità: ridondanza hardware, restrizioni di accesso fisico, protezioni firewall, ecc. Tutte queste misure sono praticamente necessarie per creare una sorta di sistema difensivo che sia in grado di soddisfare tutti i requisiti di conformità, offrendo al contempo un livello sufficiente di sicurezza dei dati ai suoi utenti.

Conclusione

L’implementazione di una soluzione di backup che tenga conto della conformità al GDPR può essere una sfida difficile per la maggior parte delle organizzazioni moderne. Spesso è necessario un approccio multiforme, con una selezione ampia e variegata di strumenti e funzionalità. In questo articolo abbiamo esplorato numerosi aspetti per garantire la conformità del backup al GDPR e ad altre normative, comprese le basi del GDPR stesso e l’implementazione di misure di sicurezza specifiche.

La maggior parte delle aziende ha già capito che la conformità non è più solo una casella di controllo: è un processo continuo che deve essere rivisto e aggiornato regolarmente per rimanere rilevante ed efficace. Investire in ambienti di backup ad alte prestazioni non solo garantisce la conformità a quadri normativi come il GDPR, ma offre anche una serie di vantaggi tangibili all’organizzazione stessa in termini di gestione del rischio, continuità aziendale, protezione dei dati e così via.

C’è anche molto valore nel mantenere un equilibrio tra efficienza operativa e protezione dei dati. Inoltre, non è raro che le aziende che hanno implementato con successo le funzioni di conformità al GDPR nei loro ambienti abbiano una gestione molto più semplice di altri requisiti regionali, rendendole molto più preparate all’espansione internazionale rispetto ad alcuni concorrenti.

I principi della privacy by design continueranno a plasmare il modo in cui le organizzazioni affrontano la protezione dei dati. L’impegno costante da parte di ogni singolo livello dell’organizzazione è un requisito per raggiungere il successo in questa impresa, e seguendo le linee guida delineate in questo articolo dovrebbe rendere più facile per le organizzazioni creare e mantenere sistemi di backup che possano essere conformi al GDPR, offrendo anche un solido set di strumenti di protezione dei dati.

Bacula Enterprise e la conformità al GDPR

Anche se ci sono molte soluzioni di backup di terze parti che possono aiutare i clienti a rispettare il GDPR in una certa misura, ci sono anche alcune opzioni che sono molto più avanzate e dettagliate in confronto. Bacula Enterprise è una di queste soluzioni, che offre una soluzione particolarmente sicura combinata con un set di funzionalità completo, particolarmente adatto ad affrontare temi di sicurezza dei dati come la conformità al GDPR. È stato creato con la protezione dei dati incorporata per design, il che lo rende un’ottima opzione per le aziende che cercano solide capacità di conformità al GDPR.

L’ampia gamma di funzionalità che Bacula può offrire in questo settore è notevole, tra cui:

• Funzionalità integrate di scoperta e classificazione dei dati
• Meccanismi completi di audit trail e di registrazione
• Una selezione di opzioni di immutabilità come misura di sicurezza contro le modifiche non autorizzate
• Un set avanzato di funzioni di crittografia sia a riposo che in transito
• Funzionalità di reporting dettagliate per scopi di conformità
• Funzionalità complesse di cancellazione dei dati per supportare il diritto all’oblio
• Capacità integrata di valutazione dell’impatto sulla privacy
• Controlli sul trasferimento transfrontaliero dei dati
• Robusti strumenti di verifica dei dati
• Controllo granulare degli accessi con supporto per RBAC

L’architettura della piattaforma è nota per la sua flessibilità e adattabilità, il che la rende un’ottima scelta per l’implementazione della conformità GDPR. C’è molta libertà quando si tratta di configurare le politiche di backup per allinearsi ai requisiti specifici, senza perdere l’efficienza operativa. L’approccio modulare di Bacula Enterprise consente di implementare una gamma molto specifica di funzionalità di cui le aziende hanno bisogno per i requisiti di conformità.

Oltre al GDPR, Bacula può anche aiutare a essere conforme a una serie di altri quadri normativi, come ISO 27001, SOX, HIPAA, NIST e così via. Si tratta di una soluzione preziosa per le aziende che operano in più giurisdizioni normative.

Il motivo per cui Bacula è un modo potente per garantire la piena conformità al GDPR può essere illustrato in un caso d’uso in cui un’organizzazione di medie o grandi dimensioni ha un reparto IT diversificato e/o siliconato, con molte applicazioni diverse, tipi di file, strategie di archiviazione, software legacy. Inoltre, questi tipi di ambienti tipicamente continuano ad evolversi in base alle esigenze attuali e future. Se la soluzione di backup e ripristino non è in grado di integrarsi con un ambiente IT così impegnativo e in evoluzione, l’organizzazione avrà difficoltà a soddisfare i requisiti del GDPR. Questo per ragioni quali la possibilità che altri sistemi di backup inadeguati non siano in grado di gestire il backup e il ripristino da un’interfaccia utente “single pane of glass”, e/o l’impossibilità di cercare, localizzare e monitorare i dati in modo efficiente e conveniente.

Può scoprire di più sulle funzionalità di Bacula qui.

Domande frequenti

Per quanto tempo dobbiamo conservare i dati di backup ai sensi del GDPR?

Sebbene il GDPR non preveda periodi di conservazione precisi per i dati di backup, questi periodi di conservazione dovranno essere definiti da ogni azienda su base individuale, fornendo una giustificazione legale per tali periodi. Inoltre, il principio di limitazione dell’archiviazione del GDPR può essere violato conservando i dati personali più a lungo del necessario, il che rende ancora più importante il tema della definizione dei limiti di archiviazione dei dati della sua azienda. Nella maggior parte dei casi, i backup vengono conservati per 30-90 giorni e le copie di archivio per 1-7 anni, anche se questi numeri possono variare a seconda del settore e di altri fattori.

Possiamo archiviare i backup nel cloud e rimanere conformi al GDPR?

Tecnicamente parlando, le soluzioni di backup nel cloud possono essere conformi al GDPR, il che le rende una valida opzione di archiviazione. Tuttavia, queste soluzioni devono superare una serie di requisiti propri:

• Centri dati situati nell’UE con un’adeguata protezione della privacy
• Controllo delle chiavi di crittografia
• Crittografia forte sia a riposo che durante il transito
• Audit regolari
• Accordi chiari sull’elaborazione dei dati con i clienti

Quale documentazione dobbiamo conservare per le nostre procedure di backup?

L’elenco esatto dei documenti può cambiare a seconda delle circostanze, ma alcuni degli esempi più essenziali rimangono gli stessi nella maggior parte dei casi, tra cui:

• Registri di elaborazione dei dati
• Registri di formazione del personale
• Procedure e politiche di backup
• SLA di terze parti
• Programmi di conservazione dei dati
• Piani di risposta alle violazioni
• Valutazioni d’impatto sulla protezione dei dati
• Misure e controlli di sicurezza
• Risultati dei test di ripristino

Come fare per segnalare rapidamente una violazione di dati legata al backup?

Le organizzazioni hanno diversi requisiti quando si tratta di segnalare le violazioni di dati legate al backup. Le violazioni sostanziali devono essere segnalate alle autorità di vigilanza entro 72 ore dalla scoperta iniziale, e le persone interessate devono essere informate della violazione senza indugio (se rappresenta un rischio per le loro informazioni personali in qualche modo). Tutte le violazioni devono essere documentate, comprese quelle che non hanno richiesto la notifica agli utenti finali.

Ogni singolo rapporto sulla violazione deve contenere almeno le seguenti informazioni:

• Natura e portata della violazione
• Le sue conseguenze
• Misure adottate (o proposte)
• Informazioni di contatto per acquisire ulteriori dettagli.