GDPR e Data Breach: come fare?
Data Breach: i concetti-chiave
Il GDPR introduce alcuni importanti cambiamenti nel panorama della protezione dei dati personali. Tra i vari concetti chiave vogliamo soffermarci su ACCOUNTABILITY, PSEUDONIMIZZAZIONE e TEMPESTIVITÀ.
Questi possono essere collegati tra loro grazie all’installazione di una Soluzione di SIEM (Security Information and Event Management) Open Source.
SIEM: molteplici funzionalità
Il GDPR disciplina il Data Breach prevedendo espressamente un obbligo di notifica e comunicazione in caso di violazioni di dati personali.
Darwin Computing può implementare una Soluzione di SIEM Open Source, on premise o in cloud, in base alle esigenze del cliente.
SIEM ( Security Information and Event Management ) permette di:
- raccogliere e centralizzare i log
- implementare dei filtri, in fase di ricezione dei log, finalizzati alla pseudonimizzazione
- effettuare correlazioni elaborazioni e ricerche all’interno dei Log, finalizzate a prevenzione, accountability ed analisi di eventuali Data Breach
- tramite interfaccia web, consultare importanti eventi di sicurezza in tempo reale
- impostare e rispettare le policy di “log retention”.
Come mostra il grafico qui sopra, SIEM è in grado di far comunicare differenti apparati informatici tra loro.
Gli articoli del GDPR più nello specifico
Andando più nel dettaglio, all’ Articolo 32, “Sicurezza del Trattamento”, il GDPR recita:
1. “[…] il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali”.
“Il GDPR definisce la pseudonimizzazione come il processo che fa sì che i dati siano conservati in un formato che non identifichi direttamente un individuo specifico senza l’utilizzo di informazioni aggiuntive“ ha spiegato Mauro Trione, Vice President Sales Southern EMEA di Delphix. “Per rispondere alle sfide dell’era digitale e limitare il rischio di violazioni dei dati degli utenti, il GDPR spinge le organizzazioni a pseudonimizzare i propri dati in vari punti distinti“.
Per quanto riguarda il concetto di tempestività , il GDPR all’Artcolo 33:
1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo. […]