Soluzioni di protezione del dato basate su cifratura, coerenti con le raccomandazioni del GDPR

Transcript

1 Soluzioni di protezione del dato basate su cifratura, coerenti con le raccomandazioni del GDPR Simone Mola Sr. Sales Engineer

2 2 General Data Protection Regulation 24 Maggio 2018

3 3

4 4

5 GDPR General Data Protection Regulation "REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)" Pubblicato in GUCE n. 119 del 4 Maggio 2016 Entrato in vigore il 24 Maggio 2016 Applicabile a partire dal 25 Maggio 2018 valido ed efficace in tutti i Paesi Membri UE 5

6 GDPR è obbligatorio per OGNI ORGANIZZAZIONE

7 GDPR e sanzioni pecuniarie Notevole inasprimento dei livelli sanzionatori: fino ad un massimo di 20 milioni di euro o 4% del fatturato mondiale in caso di impresa 7

8 1) Definizione ed analisi del rischio Il Regolamento GDPR richiede che venga svolto un Data Protection Impact Assessments al fine di verificare se Dati Personali possono essere esposti a rischi. Questo approccio preliminare è di fondamentale importanza e deve includere aspetti procedurali ed organizzativi. The controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data. A single assessment may address a set of similar processing operations that present similar high risks -- Article 35 of GDPR 8

9 Data Classification, Procedures & policies Dati personali (Personal Identifiable Information) Dove sono? Chi ha accesso? Con chi sono condivisi? Quali applicativi li utilizzano? Procedure e policy NON devono impedire il lavoro quotidiano MA devono soddisfare il regolamento Privacy by Design

10 2) Prevezione degli attacchi, strategia difensiva Il Regolamento GDPR reitera in più occasioni l importanza e la necessità di implementare una strategia che contrasti le security breaches e riduca il rischio di esposizione dei Dati (Articoli 32, 34). Gli approcci suggeriti e raccomandati includono: Encryption: raccomandata in quanto rende inintellegibili i dati Anonymization and Pseudonymization: come sopra, obfuscation User Access Control: controllare per contrastare attacchi interni Data Minimization: ridurre il tempo di conservazione e la quantità 10

11 GDPR: un percorso da intraprendere 0 Assessment: Analizzare i dati Definire il perimetro Encrypt the DATA Secure the KEYS Control the ACCESS Quali dati? In quali applicazioni? In quale Storage? At-rest in storage In motion across the network On-premises or in the cloud Secure and own encryption keys Centrally manage keys and policies Protect identities Ensure only authorized users and services have access 11

12 12 La proposizione di valore di Gemalto E&C in ambito Data Protection

13 Gemalto leader nella Sicurezza Digitale +2bn END USERS BENEFIT FROM OUR SOLUTIONS 3,1bn 2016 REVENUE EMPLOYEES 117 NATIONALITIES OF OUR EMPLOYEES 180+ COUNTRIES WHERE OUR CLIENTS ARE BASED AEX LISTED ON EURONEXT AMSTERDAM & PARIS; IN DUTCH AEX STOCK INDEX R&D ENGINEERS 107 NEW PATENTS FILED IN 2015 Banking & Payment Mobile Services & IoT Government Enterprise & Cybersecurity 13

14 Gemalto Enterprise & Cybersecurity Protect Data Secure Keys Control Access 14

15 Gemalto Enterprise & Cybersecurity 1 DATA 2 KEYS Encrypt DATA 3 ACCESS Encrypt Data: Wherever they are Whatever format Application agnostic Data at Rest Encryption Database Storage Networks Physical Data Virtual Data Data s in the Cloud L2 Ethernet transit File Servers Virtual Machines Applications Manage Access Policies To Data To Keys Apply strong authentication 1 Internal Users Administrators Internal Users + Administrators Data in Motion Encryption Control ACCESS 3 Strong Authentication Cloud Providers Admins/Superuser Cloud Providers Admins/Superuser s Internal Users + Administrators Cloud Providers Admins/Superusers Customers + Partners SaaS Apps Manage KEYS 2 Crypto Management Key Manager HSM root HSM of trust Crypto Provisioning System Manage Keys&Crypto: Centrally Independently from Data Hardware root of Trust 15

16 16 La proposizione di valore di Gemalto E&C in ambito Data Protection

17 17 Authentication

18 Protezione delle identità Management & Software Authentication OTP Push OOB Grid PKI Context Middleware & Readers In the Enterprise Soluzioni per il controllo accessi alle risorse aziendali Trusted Ecosystems Soluzioni per fornitori di servizi Accesso remoto SaaS Accessi al PC e ala rete Fisico e Logico VDI Document Signing Tax Filing Accesso remote ehealth eprocurement 18

19 GDPR: Perchè la protezione delle identità? Two-factor authentication Tracciabilità e auditing chi accede a che ora a che cosa? Riduzione del rischio di perdità/furto delle credenziali Breach prevention

20 20 Data protection

21 I casi d uso che siamo in grado di abilitare Protezione dei dati (db) Proprietà intellettuale Dati Personali Dati e transazioni finanziarie Protezione dei dati (Cloud) Compliance / Audit / Normative Separazione dei ruoli Segregazione dipartimentale 21

22 rispettando le best practices in ambito sicurezza Data encryption Key management 22

23 Le Soluzioni di cifratura che offriamo Cifratura e gestione chiavi a livello applicativo Librerie di sviluppo e API ProtectApp Cifratura DB per colonne Trasparente agli applicativi Blocco DBA ProtectDB Sostituzione dati con valori surrogati Conformità PCI- DSS Tokenization Cifratura file e cartelle Cifratura network shares No client software da installare ProtectFile Full Disk Encryption Pre-Boot Authentication Protezione copia / backup / furto Cancellazione sicura ProtectV Web & Application Servers Databases Application Servers File Servers & Shares Virtual Machines Ecosystem KeySecure Platform Distributed Key Management Motore crittografico Generatore di chiavi crittografiche Gestione ciclo di vita delle chiavi Gestione accesso e autorizzazione chiavi e connettori Gemalto SNMP, NTP, SYSLOG Apps GW Tape Disk KMIP TDE 23

24 per proteggere i Dati, dove si trovano WHERE DOES THE SENSITIVE DATA RESIDE? Databases Files, Folders, or Shares Selected Columns Whole Database Files File Level Block Level Database Level App Level App Level File System Level TDE* PROTECTFILE PROTECTV PROTECTDB Encrypt Tokenize PROTECTAPP PROTECTFILE PROTECTAPP TOKENIZATION * TRANSPARENT DATA ENCRYPTION

25 GDPR: Perchè la cifratura? Perdità o furto di dati Notifica del breach solo al garante Nessuna informativa agli utenti Nessun segreto rilevato / perso Nessuna cattiva pubblicità (salvaguardia della reputazione) Minore impatto sul business Breach prevention

26 26 Key Management

27 GDPR: Perchè il Key Management? Nessun impatto / requisito diretto Ma quando si cifra: Il dato non è più il principale attore Ma la chiave di cifratura, si!

28 28

29 29 Summary

30 A new mindset Accept the Breach Protect What Matters, Where It Matters Secure the Breach Perimeter security alone is no longer enough. Data is the new perimeter. Attach security to the data and applications. Insider threat is greater than ever. Gemalto Research:

31 Summary ENCRYPT THE DATA 2 Data at Rest Encryption Data in Motion Encryption SECURE & MANAGE KEYS 3 Crypto Management Database Storage Networks Physical Data Virtual Data sdata in the Cloud File Servers Virtual Machines Key Manager Applications 1 Strong Authentication Internal Users Administrators Internal Users + Administrators CONTROL ACCESS Cloud Providers Admins/Superuse Cloud Providers rs Admins/Superuse rs Internal Users + Administrators SaaS Apps Cloud Providers Admins/Superusers Customers + Partners HSM Crypto Provisioning System

32 Thank you!