Cos’è la GDPR
Il 25 maggio 2018 entra in vigore la General Data Protection Regulation (GDPR) dell’Unione Europea, una articolata normativa che aggiunge nuove tutele per tutti i cittadini residenti nella UE. La normativa riconosce il diritto degli individui alla portabilità dei dati, all’oblio, a essere informati in modo trasparente sui trattamenti effettuati alle loro informazioni e di essere avvisati tempestivamente su eventuali violazioni della sicurezza.
GDPR e Backup, come adeguarsi alla normativa
Tra i numerosi punti toccati dalla regolamentazione GDPR, uno di quelli sicuramente più importanti riguarda la protezione dei dati e il backup degli stessi. Per questo motivo, l’argomento tocca da vicino tutte le aziende che immagazzinano e gestiscono dati sensibili degli utenti, e tutti quei produttori software che offrono strumenti di backup e cifratura dei dati, oltreché gli apparati necessari per proteggere reti e sistemi operativi, come antivirus e firewall.
Andiamo subito nel dettaglio della normativa che riguarda il backup e la protezione dei dati, evidenziandone i seguenti punti:
Articolo 32 – Sicurezza del trattamento
1) Tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il responsabile del trattamento e l’incaricato del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono tra l’altro, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
d) una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Dei suddetti punti, due sono certamente e strettamente connessi alle procedure di backup. Il responsabile del trattamento dei dati, ovvero il soggetto che immagazzina dati sensibili di cittadini UE, deve assicurarsi di avere delle procedure di cifratura dei dati e la capacità di ripristinare l’accesso agli stessi in caso di attacchi hacker o guasti tecnici. In parole povere, questo significa avere delle procedure di backup dei dati sempre attive, e che consentano inoltre di cifrare il contenuto del backup stesso, in modo tale da renderlo inaccessibile a chi non conosca le necessarie password. Infine, il backup deve essere rapidamente ripristinabile.
Per adempiere a questi due specifici punti, qualsiasi azienda interessata dalla normativa deve dotarsi di un software di backup e configurarlo in base alle proprie strategie di conservazione dei dati. Iperius Backup è un software che può fornire tutte le funzionalità necessarie per essere perfettamente in regola.
Vediamo quali sono i punti essenziali che mappano le caratteristiche di Iperius Backup alle necessità richieste dalla normativa:
- Drive image e restore bare-metal: il modo più rapido per eseguire il backup di un intero sistema e ripristinarlo rapidamente
Iperius integra una funzionalità di backup immagine sia per sistemi operativi desktop che server. Questa caratteristica consente di creare con pochi click un backup completo di un server, con incluse quindi tutte le configurazioni, tutti i programmi, le macchine virtuali, i database e i server di posta. Il formato di backup immagine di Iperius è quello standard Microsoft (VHD/VHDX), consentendo quindi un ripristino rapido (disaster recovery) mediante il semplice disco di installazione di Windows, indipendente dall’hardware e dal software che ha creato il backup. Con la stessa rapidità è possibile ripristinare applicazioni o singoli file, eseguendo il mount dei file immagine. - Cifratura AES 256 bit client-side e protocolli sicuri
Iperius consente di cifrare i file e i backup di database, server di posta o macchine virtuali mediante algoritmo AES 256 bit, l’attuale standard di sicurezza militare per la crittazione dei dati. Iperius crea archivi zip standard (anche in questo caso quindi un formato del tutto indipendente dal software) e ne protegge il contenuto da qualsiasi accesso. La cifratura dei dati avviene lato client, ovvero prima che il backup compresso venga trasferito ad esempio verso destinazioni offsite. Questo assicura una elevata sicurezza nella trasmissione dei dati, oltretutto rafforzata anche dall’utilizzo di protocolli sicuri com FTPS/SFTP o HTTPS. - Backup di database e server di posta
Iperius consente di proteggere quelli che sono i principali strumenti di immagazzinamento e traffico di dati, ovvero i database e i server di posta. Con poche semplici configurazioni è possibile eseguire il backup di database SQL Server, MySQL, MariaDB, PostgreSQL e Oracle. Il backup può essere poi cifrato AES 256 bit e trasferito in molteplici destinazioni sicure. La stessa cosa vale per server di posta Microsof Exchange. - Iperius Storage: il servizio di backup online su datacenter italiani e certificazioni ISO/IEC 27001
Grazie alla partnership di Iperius con i migliori fornitori di servizi per lo storage online, i nostri piani di storage possono vantare i massimi livelli di sicurezza sul mercato. Se da un lato i trasferimenti dei dati avvengono mediante protocolli sicuri com FTPS, dal lato della infrastruttura server abbiamo la più importante certificazione per progettazione, sviluppo ed erogazione di servizi di: data center e infrastruttura; soluzioni cloud oriented in modalità IaaS, SaaS, PaaS; backup e disaster recovery; soluzioni email. Lo standard ISO/IEC 27001 (Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti) è una norma internazionale che definisce i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni (SGSI o ISMS, dall’inglese Information Security Management System), ed include aspetti relativi alla sicurezza logica, fisica ed organizzativa. Iperius Storage è un servizio completamente ospitato su datacenter italiani, e quindi su territorio UE. - Replica di macchine virtuali VMware ESXi, che consente di avviare la macchina dalla sua copia di backup in pochi secondi
Iperius consente diverse modalità di backup e replica di macchine virtuali ESXi. Con la replica standard su datastore, la macchina replicata è subito avviabile, rendendo praticamente nulli i tempi di recovery in caso di malfunzionamento della macchina principale. - Backup incrementale e differenziale di VM ESXi e restore granulare ad una determinata data
Mediante le modalità di backup incrementale e differenziale, è possibile in poco tempo recuperare una macchina virtuale ad un preciso giorno/backup, - Backup di Hyper-V mantenendo i formati standard delle macchine virtuali, quindi rapidamente importabili e avviabili dal backup
Il backup di macchine virtuali Hyper-V produce in output l’esatta struttura di una macchina virtuale con i suoi file disco e i suoi file di configurazione nel formato originale Microsoft. Ripristinarla è quindi questione di pochissimo tempo, dato che è possibile semplicemente importare e registrare la macchina nella console Hyper-V direttamente dal suo backup. - Rilevazione automatica di possibili corruzioni di file da parte di virus ransomware
Per rendere ancora più sicura l’integrità dei backup, Iperius dispone di una opzione avanzata che consente di interrompere le procedure di salvataggio dei dati in caso di rilevazione di possibili file corrotti/criptati da virus ransomware (come Cryptolocker, Wannacry, ecc…). In questo modo, si evita che i backup possano essere a loro volta corrotti, mentre una notifica via email può essere inviata all’utente per renderlo subito consapevole del problema. - Pianificazione di backup automatici, notifiche email e monitoring centralizzato con Iperius Console
Con Iperius puoi pianificare in modo semplicissimo diverse procedure di backup, da eseguire in sequenza o in parallelo e su destinazioni eterogenee. Inoltre, puoi essere costantemente notificato del buon esito delle procedure di backup, grazie alla possibilità di ricevere rapporti via email con eventuali errori o avvisi. Infine, adottando il potente strumento Iperius Console, potrai tenere monitorati da un unico pannello centralizzato tutte le procedure di backup di macchine fisiche e virtuali, potendo inoltre fornire in questo modo un vero e proprio servizio di tipo MSP per tutte le macchine gestite. - Impersonamento di account riservati al backup e autenticazione automatica in percorsi di rete protetti
Per ottenere la massima sicurezza e il massimo livello di isolamento nelle procedure di backup, Iperius può essere installato come servizio di Windows ed impersonare account utente riservati per il backup. Questo fa sì che le destinazioni dove sono salvati i backup possano essere rese accessibili solo dal software stesso, proteggendole in tal modo da qualsiasi altro accesso non autorizzato. Allo stesso modo Iperius può autenticarsi automaticamente in qualsiasi destinazione di rete protetta. Tutte le password di accesso sono memorizzate dal software in forma criptata e quindi non accessibile in alcun modo. La configurazione stessa di Iperius può essere protetta da una password o da policy specifiche nelle cartelle dove sono contenuti i file di configurazione.
Clicca sul pulsante qui sotto per scaricare e provare Iperius Backup, la soluzione più semplice e sicura per adeguare la tua azienda ai nuovi standard di protezione dati.
Ecco alcuni link utili per documentarsi sulla normativa:
https://ec.europa.eu/info/law/law-topic/data-protection_en
http://eur-lex.europa.eu/legal-content/EN/LSU/?uri=celex:31995L0046
—
Tutte le aziende che trattano i dati sensibili degli utenti dovranno quindi adeguarsi alla normativa, prevedendo l’implementazione di diversi punti importanti, tra cui citiamo:
«Il primo adempimento che è opportuno porre in essere è senza dubbio è l’adozione del Registro dei trattamenti di dati personali. È possibile definirlo come un “documento” ma solo se lo si intende nel senso ampio del termine, come mezzo/strumento che provi l’esistenza di qualcosa. Il Registro dei trattamenti ha dei contenuti obbligatori previsti specificamente dal RGPD ma ciò non toglie che possa che comprendere anche altre informazioni non obbligatorie, per garantire il perfetto allineamento con i principali «oggetti» aziendali (mappa dei processi, organigramma aziendale, portafoglio fornitori, mappa degli applicativi).»
«Definizione, formalizzazione e implementazione della struttura organizzativa della data protection, sia a livello di macro-struttura sia a livello di micro-struttura (ruoli e responsabilità);»
«Individuazione e nomina di un Data Protection Officer (DPO): figura la cui responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.»
«Definizione e implementazione di un sistema di controlli interni per la protezione dei dati personali (es. sistema di deleghe), ivi compresa la realizzazione di internal audit volti a evidenziare eventuali non conformità. A valle dell’intero processo di adeguamento deve essere quindi effettuato un controllo periodico in merito alla corretta adozione del modello di funzionamento della data protection ed elaborazione di eventuali azioni correttive, con conseguente aggiornamento del modello stesso.»
Fonte: https://www.agendadigitale.eu/sicurezza/adeguarsi-al-gdpr-i-passi-da-fare-per-evitare-problemi/
—
Per una consulenza dettagliata su come adeguare la tua azienda alla GDPR dal punto di vista tecnico e del backup, contattaci a questo indirizzo: https://support.iperius.net
PLEASE NOTE: if you need technical support or have any sales or technical question, don't use comments. Instead open a TICKET here: https://www.iperiusbackup.com/contact.aspx
**********************************************************************************
PLEASE NOTE: if you need technical support or have any sales or technical question, don't use comments. Instead open a TICKET here: https://www.iperiusbackup.com/contact.aspx
*****************************************