Il Regolamento generale sulla protezione dei dati (GDPR) costituisce l’insieme delle nuove normative europee che sono entrate in vigore da maggio 2018 in materia di sicurezza dei dati e delle informazioni. Le normative riguardano il modo in cui vengono gestiti e protetti i dati personali (elettronici o di altro tipo) e riguardano, nello specifico l’archiviazione, condivisione, utilizzo, autorizzazione, divulgazione e cancellazione.
L’interesse sull’argomento e le relative discussioni sono piuttosto elevate. Un intero settore è sorto nel fornire consulenza su GDPR e offrire audit di conformità sulle operazioni aziendali.
In questo breve articolo ci soffermeremo un attimo sulla sicurezza dei dispositivi Router e Firewall e la relativa conformità ai disposti previsti dal GDPR. Per prima cosa occorre constatare che non si possa essere assolutamente certi di essere a a prova di hacker. Questo è un dato di fatto che però non fa altro che accentuare l’attenzione sulle misure da porre in essere al fine di garantire la sicurezza nell’ambito del networking e degli apparati terminali router/firewall. In particolare il GDPR prevede l’obbligo di mettere in atto tutte le policy necessarie al fine di ridurre i rischi e cambiare la cultura aziendale per essere più consapevoli e assumersi maggiori responsabilità.
In quanto tale, rispetto a PCI DSS (vedi più avanti), che impone requisiti tecnici molto specifici, GDPR è meno specifico e si limita a richiedere controlli e infrastrutture adeguate per la vostra attività specifica. Lo schema “Cyber Essentials“, che è uno schema governativo adottato da molte delle società di test / audit, comprende 5 aree principali (ricordate che questi non sono prescizioni esplicite del GDPR):
L’ambito di applicazione del GDPR è molto esteso e non è possibile fornire indicazioni specifiche sulla conformità senza conoscere esattamente la realtà aziendale. Nonostante ciò, una buona parte delle disposizioni si applica alle apparecchiature IT e router / firewall. Oltre a considerare le 5 aree sopra esposte, è necessario disporre di processi per garantire che tutte le prescrizioni siano regolarmente garantite. In particolare è necessario utilizzare tutte le funzionalità di sicurezza fornite dalle apparecchiature IT, in particolare con il controllo degli accessi e utilizzando i metodi di protezione più efficaci garantiti dall’hardware e dal software.
E’ importante osservare che il semplice possesso di un firewall non garantisce in alcun modo la conformità ai disposti del GDPR. La sicurezza e le prescrizioni previste dal GDPR possono esssere attuate unicamente se il sistema è correttamente configurato per impedire gli accessi indesiderati, proteggere le connessioni in ingresso e filtrare, eventualmente anche le connessioni in uscita a mezzo filtri di ispezione applicati su diversi layer. Ultima prescrizione, non meno importante, riguarda l’aggiornamento e il monitoraggio costante degli apparati.
La semplice conformità progettuale di un firewall ai disposti del GDPR, dichiarata dal produttore non è dunque sufficiente a garantire il rispetto della normativa. I produttori si limitano a garantire la specifiche progettuali dello stesso al fine di garantire la privacy. Un firewall non opportunamente configurato è assolutamente inutile al fine di garantire la privacy e la necessaria sicurezza. Il Ruolo di un installatore specializzato in sicurezza è quello di effettuare la configurazione più opportuna considerando la realtà e le esigenze aziendali. Altrettanto importante è documentare scrupolosamente tutte le procedure di sicurezza messe in atto attraverso l’analisi preventiva e la successiva programmazione dei sistemi.
Tutti i principali produttori di apparati firewall per impiego business si impegna a rispettare i requisiti del GDPR, compresa la sicurezza e la gestione dei dati personali, i requisiti di segnalazione delle violazioni, la correzione degli errori, i diritti di cancellazione, i requisiti di qualità e il diritto di richiedere i dati tu come soggetto dei dati. Eventuali richieste formali dovrebbero essere rivolte direttamente agli stessi.
Di seguito elenchiamo alcune disposizioni che andrebbero sempre messe in atto e documentate:
PCI / DSS sono le normative esistenti, ma in continua evoluzione, richieste dal settore delle carte di credito per proteggere i dati e l’elaborazione delle carte di credito / debito. I requisiti in tale ambito riguardano il modo in cui vengono gestite le carte dei clienti, ma anche la modalità con cui i sistemi IT si collegano al mondo esterno. Questa parte è direttamente rilevante per i router / firewall a banda larga . A prescindere dal Router/Firewall, qualunque apparato può essere impostati per essere pienamente compatibili con PCI ma possono anche essere configurati in modi che non lo siano (ad esempio impostando una VPN con una cifratura debole) quindi non è possibile affermare che un prodotto specifico (di qualsiasi fornitore) “sia conforme” o “certificato” a prescindere dalla configurazione impiegata.
Questo sito utilizza cookie funzionali e script esterni per migliorare la tua esperienza.
Questo sito utilizza cookie funzionali e script esterni per migliorare la tua esperienza. A sinistra vengono specificati quali cookie e script sono utilizzati e come influiscono sulla tua visita. È possibile modificare il tuo consenso in qualsiasi momento. Le tue scelte potrebbero influire sulla navigazione del sito.
Consulta la nostra Privacy Policy
NOTA: Queste impostazioni si applicano solo al browser e al dispositivo attualmente in uso.
Google Analytics con IP anonimizzato (Google Inc.)
Google Analytics è un servizio di analisi web fornito da Google Inc. (“Google”). Google utilizza i Dati Personali raccolti allo scopo di tracciare ed esaminare l’utilizzo di questa Applicazione, compilare report e condividerli con gli altri servizi sviluppati da Google.
Google potrebbe utilizzare i Dati Personali per contestualizzare e personalizzare gli annunci del proprio network pubblicitario.
Questa integrazione di Google Analytics rende anonimo il tuo indirizzo IP. L’anonimizzazione funziona abbreviando entro i confini degli stati membri dell’Unione Europea o in altri Paesi aderenti all’accordo sullo Spazio Economico Europeo l’indirizzo IP degli Utenti. Solo in casi eccezionali, l’indirizzo IP sarà inviato ai server di Google ed abbreviato all’interno degli Stati Uniti.
Dati Personali raccolti: Cookie; Dati di utilizzo.
Luogo del trattamento: Stati Uniti – Privacy Policy – Opt Out. Soggetto aderente al Privacy Shield.
Attraverso il sito, Pinterest, qualora presti il relativo consenso, potrà trattare i suoi dati personali per consentirle un’esperienza di navigazione arricchita da funzionalità e servizi di social network https://help.pinterest.com/en/articles/personalization-and-data-other-websites
Attraverso il sito, Linkedin, qualora presti il relativo consenso, potrà trattare i suoi dati personali per consentirle un’esperienza di navigazione arricchita da funzionalità e servizi di social network http://it.linkedin.com/legal/cookie-policy
Attraverso il sito, Twitter, qualora presti il relativo consenso, potrà trattare i suoi dati personali per consentirle un’esperienza di navigazione arricchita da funzionalità e servizi di social network https://support.twitter.com/articles/20170519-uso-dei-cookie-e-di-altre-tecnologie-simili-da-parte-di-twitter
Attraverso il sito, Facebook, qualora presti il relativo consenso, potrà trattare i suoi dati personali per consentirle un’esperienza di navigazione arricchita da funzionalità e servizi di social network https://www.facebook.com/policies/cookies/
Microsoft raccoglie i dati dell’utente tramite le interazioni con l’utente e tramite i propri prodotti. Alcuni di questi dati vengono forniti direttamente dall’utente, mentre altri vengono ottenuti raccogliendo i dati sulle interazioni, sull’utilizzo e sulle esperienze con i prodotti Microsoft. I dati raccolti dipendono dal contesto delle interazioni con Microsoft e dalle scelte effettuate dall’utente, incluse le impostazioni di privacy e i prodotti e le funzionalità utilizzate. Microsoft acquisisce i dati dell’utente anche da terze parti.