GDPR e la cancellazione sicura dei dati

Con l’entrata in vigore del GDPR le aziende devono essere in grado di dimostrare di poter cancellare i dati in maniera adeguata e permanente; le varie organizzazioni hanno anche la necessità di sapere dove sono i dati memorizzati e rispondere in modo pertinente alle varie richieste degli utenti, quali il diritto all’oblio piuttosto che il diritto all’accesso ai dati personali.

La nuova normativa europea è un’opportunità per stabilire procedure solide per la data protection, a iniziare dalla cancellazione definitiva dei dati immagazzinati.

La politica di cancellazione sicura dei dati

Per garantire la conformità con il GDPR, è fondamentale che ci sia una minuziosa valutazione di tutti i dati trattati e una politica di cancellazione solida e condivisa:

  • identificare i dati in possesso e la loro localizzazione (cookie, data warehouse, dati statistici dei siti web, opinioni, carte fedeltà, ecc)
  • identificare chi ha accesso ai dati memorizzati
  • definire il tempo di trattamento dei dati
  • creare una politica condivisa di distruzione dei dati, valutando attentamente i supporti, i processi in gioco e le aree di competenza e di business (archivi, cloud, BYOD, dati obsoleti, ecc.)
  • comunicare la politica di cancellazione sicura dei dati a tutti i dipendenti e collaboratori
  • utilizzare fornitori accreditati che possano distruggere in modo sicuro qualsiasi tipo di dato, magari utilizzando strumenti particolari in grado di garantirne il processo
  • alla fine del processo di cancellazione sicura dei dati è bene rilasciare (o farsi consegnare) un “certificato di distruzione”

Come effettuare una cancellazione sicura dei dati

Hard Disk, nastri, CD e DVD

Per questi supporti non basta una semplice cancellazione dei file, ma è necessario effettuare un processo di wiping (sovrascrittura casuale di una serie di bit sull’unità) o in casi estremi avviare procedure di distruzione del supporto.

WIPING: il metodo Gutmann è un algoritmo proposto da Peter Gutmann da utilizzarsi per cancellare totalmente i contenuti di una sezione di un disco per computer (come ad esempio un file o un settore) per motivi di sicurezza. Approfondisci la tecnica su Wikipedia.

Per CD, DVD e nastri è invece indispensabile la tecnica del degaussing, ovvero da smagnetizzazione del supporto.

La procedura approvata dal NSA è quella di utilizzare un HDD Shredder.

Dischi virtuali, cloud e virtualizzazione

In questo caso l’unico modo è richiedere al fornitore un certificato di eliminazione dei dati secondo procedure standardizzate quali ISO27001 e ISO27040. Esistono software per cancellare intere LUN della SAN, piuttosto che procedure integrate di wiping inserite nei firmware dal fornitore dello storage o applicativi avanzati per distruggere file e cartelle senza possibilità di recupero.

Archivi cartacei

La distruzione di documenti cartacei è una attività estremamente delicata e bisogna seguire procedure specifiche che siano a norma DIN 66399, iniziando ad acquistare una semplice distruggi documenti.

DIN 66399 ovvero la normativa a livello europeo sulla classificazione e distruzione dei documenti contenenti dati sensibili. Cancellazione sicura dei dati su supporto cartaceo.
DIN 66399 ovvero la normativa a livello europeo sulla classificazione e distruzione dei documenti contenenti dati sensibil

SUITE GDPR SENTINEL

  • ✓ Inventario e discovery della rete aziendale
  • ✓ Analisi delle vulnerabilità e delle anomalie
  • ✓ Registrazione dei log di sistema
  • ✓ Monitoraggio intelligente degli accessi
Questo articolo parla di:
GDPR e la cancellazione sicura dei dati
Titolo
GDPR e la cancellazione sicura dei dati
Descrizione
Con l'entrata in vigore del GDPR le aziende devono essere in grado di dimostrare di poter effettuare una cancellazione sicura dei dati. La nuova normativa europea è un'opportunità per stabilire procedure solide per la data protection, a iniziare dalla cancellazione definitiva dei dati immagazzinati.
Autore
Publisher
InfoGDPR
Logo Publisher

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *