GDPR Archiviazione e Smaltimento Documenti come fare

Oggi voglio consigliarVi qualche comportamento utile per la gestione dell’archiviazione e dello smaltimento dei documenti.

Comincio con una premessa, questi sono consigli utili ma in ogni caso è sempre meglio verificare sul sito del Garante se sono presenti aggiornamenti in merito.

Abbiamo sostanzialmente due grandi problemi per rispettare il GDPR la gestione dell’archivio dei nostri documenti siano essi cartacei o digitali e lo smaltimento degli stessi. Leggi tutto “GDPR Archiviazione e Smaltimento Documenti come fare”

Smaltire Hard Disk PC in conformità al GDPR

Chi è attento al regolamento privacy GDPR saprà che smaltire un PC non è un’operazione così semplice. Infatti se per il 99% delle componenti ci possiamo affidare a uno smaltitore senza porci grandi problemi, per l’Hard Disk prima di consegnarlo allo smaltitore è necessario eseguire delle operazioni di “pulizia” cancellando tutte le possibili informazioni presenti per essere conformi al GDPR.

Spesso ci dimentichiamo che il nostro Hard Disk potrebbe contenere informazioni “sensibili” quali ad esempio dati di clienti, indirizzi email, scansioni, mail, ecc. che dobbiamo assolutamente eliminare prima di smaltirlo. 

Cosa succede quando cancelliamo un file

Quando cancelliamo un file dal nostro PC crediamo di averlo eliminato per sempre, in realtà il dato è solo nascosto alla nostra vista ma rimane presente sul nostro Hard Disk. Attraverso software specifici sarebbe possibile recuperare i dati cancellati senza grandi difficoltà creando un problema di privacy.

Ogni Hard Disk infatti è una potenziale bomba ad orologeria per quanto riguarda la Privacy. Se i dati in esso contenuto finissero nelle mani di qualcuno e questo qualcuno dicesse di averli presi dal nostro Hard Disk ci troveremmo in una palese violazione al regolamento privacy GDPR.

Per questo motivo se smaltiamo un PC abbiamo dobbiamo prestare attenzione al nostro Hard Disk che potrebbe contenere una grande quantità di dati.

Cosa dobbiamo fare per cancellare i dati in conformità al GDPR?

Per eliminare tutti i dati in conformità al GDPR dobbiamo eseguire una formattazione a basso livello che vada a rendere illeggibili le informazioni presenti sul nostro disco. 

Tutto questo deve essere fatto per evitare contestazioni da parte del Garante Privacy in caso di segnalazioni.

Il prodotto da me individuato che può fare al caso vostro è della Startech Eraser che permette di cancellare in sicurezza il vostro Hard Disk. Questo dispositivo supporta sia dischi rigidi IDE da 2,5″ e 3,5″ che dischi SATA.

Il vantaggio di questo dispositivo è il funzionamento standalone che permette di cancellare i dati di 4 unità contemporaneamente con la massima sicurezza.

I

Il dispositivo della startech ha 9 modalità di cancellazione, tra cui:

  • la Cancellazione rapida e sicura conforme allo standard NIST 800-88 Rev. 1 sezione Purge
  • la Cancellazione con sovrascrittura singola e a più passaggi – conforme agli standard DoD (5220.22-M)

Uno dei plus di questo dispositivo è la possibilità attraverso la porta seriale in integrata a 9 pin consente di stampare i log di cancellazione con una stampante di ricevute al fine di certificare la corretta cancellazione dei dati.

GDPR Come proteggere la nostra rete

Il GDPR stabilisce delle regole per la sicurezza informatica delle nostre infrastrutture. Per proteggere i nostri dati è necessario aumentare la sicurezza informatica della nostra infrastruttura. 

Il GDPR infatti prevede che i dati vengano conservati in maniera sicura e per fare ciò, oltre a regole di “buona condotta” da applicare sul nostro PC per garantire una sicurezza minima

Firewall

Per far si che la nostra infrastruttura sia adeguata agli standard di qualità previsti dal GDPR è necessario dotarsi di un Firewall che protegga la nostra rete dagli attacchi esterni. Infatti i router forniti da chi ci fornisce la linea non garantiscono l’adeguata sicurezza della nostra infrastruttura.

Per questa scelta possiamo optare su due soluzioni : Endian Firewall e Fortinet.

Endian Firewall

Rappresenta un buon prodotto per la nostra sicurezza e se volessimo potremmo anche testarlo su un PC nella versione Endian Community, oppure acquistare un prodotto business che ha un ottimo rapporto qualità/prezzo.

Entrambe le soluzioni ci permettono di gestire le regole di sicurezza in entrata/uscita, vincolare l’accesso a determinate aree della nostra rete, gestire le VLAN, creare VPN, gestire reti completamente isolate, gestire il traffico internet attraverso un proxy. 

Tutte queste soluzioni servono a mitigare il rischio di violazione della nostra rete.

Fortinet

Se cerchiamo una soluzione più professionale, la soluzione Fortigate è quello che fa per noi, infatti questo firewall permette di gestire al meglio la nostra rete.

Questa soluzione dispone di 4 porte LAN, creare VPN e gestire policy di sicurezza. 

Rispetto alla soluzione Endian, il Fortinet è molto più professionale ed è garanzia di sicurezza. Permette di gestire al meglio la nostra rete ed avere tutta la sicurezza necessaria.

 

Gestire le VLAN

Per incrementare la sicurezza della nostra rete dobbiamo segmentare la nostra rete in più LAN Virtuali, per fare ciò dobbiamo disporre di Switch Managed ovvero che permettano la creare di più VLAN.

Grazie alla VLAN e alle policy sul nostro firewall segmenteremo la nostra rete per renderla più sicura.

Una buona regola per segmentare la nostra rete è creare più VLAN in base alla nostra infrastruttra. 

La segmentazione ideale prevede che siano create diverse VLAN:

  • VLAN1 Rete PC
  • VLAN2 Rete Server (possiamo eventualmente prevedere di dividere la rete in più VLAN)
  • VLAN3 NAS Backup
  • VLAN4 NAS Dati
  • VLAN5 Rete Wifi
  • VLAN Rete Stampanti

Considerazioni finali

Ovviamente tutti questi consigli servono a mitigare il rischio che la nostra rete venga violata, ma dobbiamo sempre prestare attenzione ed incrementare continuamente la sicurezza della nostra rete. Infatti tutto quanto sopra proposto non ci renderà immuni da un Data Breach ma dobbiamo cercare di limitarne al massimo il rischio. 

Sicurezza Minima GDPR PC Aziendale

La legge sulla privacy GDPR prevede delle misure minime di sicurezza per la tutela dei dati raccolti sul nostro PC Aziendale.

Ovviamente la premessa per potere gestire in sicurezza i dati di un cliente dovremo almeno fargli firmare l’informativa Privacy dobbiamo predisporre il nostro PC affinchè garantisca la sicurezza dei dati che ci sono archiviati.

Cosa dice la legge?

L’acronimo GDPR significa General Data Protection Regulation ed ha sostituito il precedente regolamento sulla privacy.

In questo documento sono descritte una serie di regole che stabiliscono la corretta gestione e la sicurezza dei dati personali.

Il regolamento Privacy ha vigore non solo in tutta la comunità europea, bensì sarà applicata anche a persone giuridiche (partite iva) che hanno a che fare con organizzazioni europee, come ad esempio San Marino e Svizzera.

La grande novità del GDPR unifica il trattamento dei dati sensibili a quelli “normali”, cioè il nome, il cognome, la mail. Qualsiasi azienda che abbia un database di clienti e/o fornitori, è obbligata a rispettare il GDPR.

Sicurezza Minima PC Aziendale

La parola d’ordine è sicurezza dei dati, ovvero dobbiamo mettere in sicurezza tutti i dati che raccogliamo seguendo semplici regole.

Password Complessa

Per prima cosa dobbiamo dotare il nostro PC di una password complessa ed evitare di renderla pubblica (ad esempio attaccandola sul monitor del PC). Un ottimo programma da utilizzare è Keepass per memorizzare tutte le vostre password in sicurezza.

Backup Dati

Deve essere garantita la sicurezza dei dati e in caso di data breach che i dati siano ripristinati, per questo è consigliabile avere un backup su un dispositivo esterno, sia esso un NAS o un servizio cloud.

Antivirus

Sebbene i rischi di compromissione del nostro PC siano molteplici, la prima cosa da fare è dotarsi di un Antivirus.  Il mercato offre diversi prodotti sia Freeware che a pagametno. Sicuramente se vogliamo rimanere sui più conosciuti direi Norton e Kaspersky tra quelli a pagamento e Avast e AVG tra quelli che dispongono di versioni Free.

Buonsenso

Questo può sembrare un consiglio “banale” ma spesso aiuta a prevenire danni al nostro PC, ad esempio:

  • prestiamo attenzione alle mail che riceviamo e prima di compiere qualsiasi azione chiederci se siamo certi che la mail che abbiamo ricevuto o il sito che andremo a visitare è “affidabile”. Certo è un metodo empirico ma può essere un punto di partenza per evitare brutte sorprese. Ad esempio io consiglio sempre in caso di mail dubbia di rispondere alla mail chiedendo informazioni circa la mail ricevuta. Se si tratta di SPAM/Malware difficilmente avremo una risposta sensata
  • Quando navighiamo sul web verifichiamo sempre i siti che andiamo a visitare e la loro attendibilità. Ricordate che i primi siti spesso non sono ricerche “naturali” ma sono ricerche a pagamento e quindi potrebbero portarci verso siti 
  • Evitare di condividere il proprio account con altri utenti in quanto diventerebbe di difficile gestione la regolamentazione dell’accesso ai dati. Soluzione migliore pur utilizzando lo stesso PC è di creare due account differenti.