Conformità al regolamento generale sulla protezione dei dati (GDPR)

Che cos'è il GDPR

È arrivato il garante per la protezione dei dati personali. Il GDPR è stato ideato per migliorare la protezione dei dati personali e aumentare la responsabilità delle varie aziende rispetto alle violazioni che interessano i dati. Il regolamento è decisamente intransigente: sono possibili sanzioni fino a 20 milioni di euro o il 4% dei ricavi globali (se l'importo è superiore). Indipendentemente dalla posizione della tua azienda, se tratti o controlli i dati personali di cittadini dell'UE, è meglio non farsi cogliere impreparati.

Requisiti specifici

Alcune delle disposizioni chiave del GDPR richiedono che le aziende:

• trattino i dati in modo tale da garantirne la sicurezza, "compresa la protezione [...] da trattamenti non autorizzati o illeciti" (Articolo 5);
• adottino misure tecniche e organizzative al fine di garantire un livello di sicurezza dei dati adeguato al rischio, che comprendono "la pseudonimizzazione e la cifratura dei dati personali" (Articolo 32)
• abbiano "una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento" (Articolo 32)
• comunichino “senza ingiustificato ritardo” violazioni di dati personali ai diretti interessati, "quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà" delle vittime (Articolo 34);
• proteggano da "divulgazione non autorizzata o dall'accesso [...] a dati personali" (Articolo 32)

Crittografia dei dati strutturati e non

CipherTrust Transparent Encryption fornisce una protezione all'avanguardia dei dati basata su file, come richiesto dal GDPR. Grazie a CipherTrust Transparent Encryption, la tua azienda può rendere i dati personali incomprensibili a un intruso, anche nel caso di una violazione; in questo modo non sarà necessario comunicare la violazione, come previsto nell'articolo 34.

L'articolo 34 dichiara che la comunicazione all'interessato non è obbligatoria nel caso l'azienda "abbia "messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura".

Oltre a evitare un costoso processo di comunicazione della violazione, si preverranno seri danni all'immagine derivanti da una violazione pubblicizzata.

Prevenzione dell'accesso non autorizzato ai dati personali

I prodotti e le soluzioni di Thales aiutano i nostri clienti a prevenire l'accesso non autorizzato ai dati personali, garantendo così la conformità all'articolo 32. Nello specifico, la nostra CipherTrust Data Security Platform consente la separazione delle responsabilità tra amministratori privilegiati e proprietari dei dati e supporta l'autenticazione a due fattori.

Test, valutazione e verifica dell'efficacia del sistema di sicurezza per i dati

CipherTrust Security Intelligence genera registri degli eventi di sicurezza dettagliati e facili da integrare con i sistemi SIEM (Security Information and Event Management), al fine di produrre la reportistica sulla sicurezza necessaria per mantenere la conformità al GDPR. Questi registri informativi sulla sicurezza della rete aziendale producono un audit trail dei tentativi di accesso consentiti o negati effettuati da utenti o processi, fornendo così una visione senza precedenti sulle attività di accesso ai file. Inoltre, con questi registri è possibile segnalare accessi ai dati inusuali o impropri e accelerare l'individuazione di minacce interne, hacker e minacce persistenti avanzate che vanificano le misure di sicurezza del perimetro.