Voip Pistoia Prato Firenze Lucca PisaVoip Pistoia Prato Firenze Lucca PisaVoip Pistoia Prato Firenze Lucca PisaVoip Pistoia Prato Firenze Lucca Pisa
  • Home
  • Voip
  • Blog

Router Firewall e GDPR

gdpr

GDPR: Conformità di Router e Firewall

Il Regolamento generale sulla protezione dei dati (GDPR) costituisce l’insieme delle nuove normative europee che sono entrate in vigore da maggio 2018 in materia di sicurezza dei dati e delle informazioni. Le normative riguardano il modo in cui vengono gestiti e protetti i dati personali (elettronici o di altro tipo) e riguardano, nello specifico l’archiviazione, condivisione, utilizzo, autorizzazione, divulgazione e cancellazione.

L’interesse sull’argomento e le relative discussioni sono piuttosto elevate. Un intero settore è sorto nel fornire consulenza su GDPR e offrire audit di conformità sulle operazioni aziendali.

In questo breve articolo ci soffermeremo un attimo sulla sicurezza dei dispositivi Router e Firewall e la relativa conformità ai disposti previsti dal GDPR. Per prima cosa occorre constatare che non si possa essere assolutamente certi di essere a a prova di hacker. Questo è un dato di fatto che però non fa altro che accentuare l’attenzione sulle misure da porre in essere al fine di garantire la sicurezza nell’ambito del networking e degli apparati terminali router/firewall. In particolare il GDPR prevede l’obbligo di mettere in atto tutte le policy necessarie al fine di ridurre i rischi e cambiare la cultura aziendale per essere più consapevoli e assumersi maggiori responsabilità.

Lo schema “Cyber Essentials”

In quanto tale, rispetto a PCI DSS (vedi più avanti), che impone requisiti tecnici molto specifici, GDPR è meno specifico  e si limita a richiedere controlli e infrastrutture adeguate per la vostra attività specifica. Lo schema “Cyber ​​Essentials“, che è uno schema governativo adottato da molte delle società di test / audit, comprende 5 aree principali (ricordate che questi non sono prescizioni esplicite del GDPR):

  • Protezione della connessione Internet attraverso router / firewall
  • Proteggi di tutti i dispositivi e dei software utilizzati in ambito aziendale (PC, tablet, telefoni)
  • Controllo dell’accesso ai vostri dati e servizi di rete quali computer e server
  • Protezione da virus e altri malware (prodotti hardware o software)
  • Aggiornamento costante dei dispositivi e del software quali ad es. i sistemi operativi o il firmware degli apparati
  • La certificazione secondo lo schema cyber essentials che può fornire ai clienti la certezza di essere a conoscenza delle proprie responsabilità e di agire di conseguenza. La certificazione tuttavia non annulla le responsabilità relative al GDPR, né garantisce che l’utente rimanga conforme .
  • Se si elaborano dati nel cloud, è necessario assicurarsi che i fornitori di servizi cloud mantengano la conformità appropriata.

Router Firewall e Conformità al GDPR

L’ambito di applicazione del GDPR è molto esteso e non è possibile fornire indicazioni specifiche sulla conformità senza conoscere esattamente la realtà aziendale. Nonostante ciò, una buona parte delle disposizioni si applica alle apparecchiature IT e router / firewall. Oltre a considerare le 5 aree sopra esposte, è necessario disporre di processi per garantire che tutte le prescrizioni siano regolarmente garantite. In particolare è necessario utilizzare tutte le funzionalità di sicurezza fornite dalle apparecchiature IT, in particolare con il controllo degli accessi e utilizzando i metodi di protezione più efficaci garantiti dall’hardware e dal software.

E’ importante osservare che il semplice possesso di un firewall non garantisce in alcun modo la conformità ai disposti del GDPR. La sicurezza e le prescrizioni previste dal GDPR possono esssere attuate unicamente se il sistema è correttamente configurato per impedire gli accessi indesiderati, proteggere le connessioni in ingresso e filtrare, eventualmente anche le connessioni in uscita a mezzo filtri di ispezione applicati su diversi layer. Ultima prescrizione, non meno importante, riguarda l’aggiornamento e il monitoraggio costante degli apparati.

La semplice conformità progettuale di un firewall ai disposti del GDPR, dichiarata dal produttore non è dunque sufficiente a garantire il rispetto della normativa. I produttori si limitano a garantire la specifiche progettuali dello stesso al fine di garantire la privacy. Un firewall non opportunamente configurato è assolutamente inutile al fine di garantire la privacy e la necessaria sicurezza. Il Ruolo di un installatore specializzato in sicurezza è quello di effettuare la configurazione più opportuna considerando la realtà e le esigenze aziendali. Altrettanto importante è documentare scrupolosamente tutte le procedure di sicurezza messe in atto attraverso l’analisi preventiva e la successiva programmazione dei sistemi.

L’impegno da parte dei produttori

Tutti i principali produttori di apparati firewall per impiego business si impegna a rispettare i requisiti del GDPR, compresa la sicurezza e la gestione dei dati personali, i requisiti di segnalazione delle violazioni, la correzione degli errori, i diritti di cancellazione, i requisiti di qualità e il diritto di richiedere i dati tu come soggetto dei dati. Eventuali richieste formali dovrebbero essere rivolte direttamente agli stessi.

Alcuni Consigli

Di seguito elenchiamo alcune disposizioni che andrebbero sempre messe in atto e documentate:

  • Ogni dispositivo nella rete locale deve essere protetto da un firewall configurato correttamente
  • Deve essere utilizzata una password amministrativa complessa a protezione delle console di amministrazione degli apparati.
  • Impedire l’accesso all’interfaccia amministrativa da Internet, a meno che non vi sia un’esigenza aziendale chiara e documentata e l’interfaccia sia protetta da una whitelist di indirizzi IP o 2FA (autenticazione a due fattori).
  • Bloccare le connessioni in ingresso non autenticate per impostazione predefinita (firewall stateful)
  • Limitare, ove possibile, attraverso filtri ACL, le porte pubbliche esposte direttamente.
  • Garantire che le regole del firewall in entrata siano approvate e documentate da un individuo autorizzato; le esigenze aziendali devono essere incluse nella documentazione.
  • Rimuovere o disabilitare le regole del firewall permissive immediatamente, quando non sono più necessarie.
  • Rimuovere e disabilitare gli account utente o amministratore non necessari o i profili /utenti VPN quando non sono più necessari.
  • Utilizzare cifrature complesse, certificati e metodi sicuri per instaurare sessioni VPN.
  • Installare aggiornamenti firmware “critici” o “ad alta priorità” entro 14 giorni.

Certificazione PCI DSS

PCI / DSS sono le normative esistenti, ma in continua evoluzione, richieste dal settore delle carte di credito per proteggere i dati e l’elaborazione delle carte di credito / debito. I requisiti in tale ambito riguardano il modo in cui vengono gestite le carte dei clienti, ma anche la modalità con cui i sistemi IT si collegano al mondo esterno. Questa parte è direttamente rilevante per i router / firewall a banda larga . A prescindere dal Router/Firewall, qualunque apparato può essere impostati per essere pienamente compatibili con PCI ma possono anche essere configurati in modi che non lo siano (ad esempio impostando una VPN con una cifratura debole) quindi non è possibile affermare che un prodotto specifico (di qualsiasi fornitore) “sia conforme” o “certificato” a prescindere dalla configurazione impiegata.

Condividi su
82

Posts collegati

isdn
18 Dicembre, 2019

VoIP la fine delle linee Analogiche e ISDN


Leggi tutto

TAG:

  • 3cx
  • attesa chiamata
  • centralino
  • centralino voip prato
  • cloud
  • conference
  • conferenza
  • contabilizzazione
  • controllo costi
  • fax to mail
  • GDPR
  • gestione chiamate
  • giorno/notte
  • instadamento
  • interni
  • isdn
  • IVR
  • migrazione voip
  • multisede
  • numero telefonico

Contattaci





Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.

News

  • VoipDays Web Edition 2021: riparte il Roadshow dedicato al VoIP
  • VENTI VENTI VOIPVOICE
  • La gestione corretta dell’MTU a livello di rete
  • Come essere un bravo venditore? | Intervista a Luciano Ruggeri
  • VoipVoice presenta WholeVoip

Quick Links

  • Home
  • Voip
  • Blog Voip e Dintorni
  • Privacy Policy
  • Assistenza remota

Contattaci

Dal Lunedì al Venerdì, dalle ore 9.00 alle 12:30 e dalle ore 14.00 alle 17:30

e-mail
info@retiedintorni.com

telefono
0573/1603160 – 0573/1921507

fax
0573/079770

Ultime dal blog

  • gdpr0
    Router Firewall e GDPR
    18 Dicembre, 2019
  • isdn0
    VoIP la fine delle linee Analogiche e ISDN
    18 Dicembre, 2019
Copyright Reti e Dintorni

Questo sito utilizza cookie funzionali e script esterni per migliorare la tua esperienza.

Le mie impostazioni
Impostazioni privacyGoogle AnalyticsPinterestLinkedinTwitterFacebookMicrosoft

Impostazioni privacy

Questo sito utilizza cookie funzionali e script esterni per migliorare la tua esperienza. A sinistra vengono specificati quali cookie e script sono utilizzati e come influiscono sulla tua visita. È possibile modificare il tuo consenso in qualsiasi momento. Le tue scelte potrebbero influire sulla navigazione del sito.
Consulta la nostra Privacy Policy

NOTA: Queste impostazioni si applicano solo al browser e al dispositivo attualmente in uso.

Google Analytics

Google Analytics con IP anonimizzato (Google Inc.)

Google Analytics è un servizio di analisi web fornito da Google Inc. (“Google”). Google utilizza i Dati Personali raccolti allo scopo di tracciare ed esaminare l’utilizzo di questa Applicazione, compilare report e condividerli con gli altri servizi sviluppati da Google.
Google potrebbe utilizzare i Dati Personali per contestualizzare e personalizzare gli annunci del proprio network pubblicitario.
Questa integrazione di Google Analytics rende anonimo il tuo indirizzo IP. L’anonimizzazione funziona abbreviando entro i confini degli stati membri dell’Unione Europea o in altri Paesi aderenti all’accordo sullo Spazio Economico Europeo l’indirizzo IP degli Utenti. Solo in casi eccezionali, l’indirizzo IP sarà inviato ai server di Google ed abbreviato all’interno degli Stati Uniti.

Dati Personali raccolti: Cookie; Dati di utilizzo.

Luogo del trattamento: Stati Uniti – Privacy Policy – Opt Out. Soggetto aderente al Privacy Shield.

Pinterest

Attraverso il sito, Pinterest, qualora presti il relativo consenso, potrà trattare i suoi dati personali per consentirle un’esperienza di navigazione arricchita da funzionalità e servizi di social network https://help.pinterest.com/en/articles/personalization-and-data-other-websites

Linkedin

Attraverso il sito, Linkedin, qualora presti il relativo consenso, potrà trattare i suoi dati personali per consentirle un’esperienza di navigazione arricchita da funzionalità e servizi di social network http://it.linkedin.com/legal/cookie-policy

Twitter

Attraverso il sito, Twitter, qualora presti il relativo consenso, potrà trattare i suoi dati personali per consentirle un’esperienza di navigazione arricchita da funzionalità e servizi di social network https://support.twitter.com/articles/20170519-uso-dei-cookie-e-di-altre-tecnologie-simili-da-parte-di-twitter

Facebook

Attraverso il sito, Facebook, qualora presti il relativo consenso, potrà trattare i suoi dati personali per consentirle un’esperienza di navigazione arricchita da funzionalità e servizi di social network https://www.facebook.com/policies/cookies/

Microsoft

Microsoft raccoglie i dati dell’utente tramite le interazioni con l’utente e tramite i propri prodotti. Alcuni di questi dati vengono forniti direttamente dall’utente, mentre altri vengono ottenuti raccogliendo i dati sulle interazioni, sull’utilizzo e sulle esperienze con i prodotti Microsoft. I dati raccolti dipendono dal contesto delle interazioni con Microsoft e dalle scelte effettuate dall’utente, incluse le impostazioni di privacy e i prodotti e le funzionalità utilizzate. Microsoft acquisisce i dati dell’utente anche da terze parti.

Salva le mie impostazioni