Chi possiede i miei dati e come li protegge? Identity Management, Personal Data Ownership e Data Breach Prevention Strategy

Documenti analoghi
Politica per la Sicurezza

PRIVACY E DELLA SICUREZZA (ASPETTI CHE IL CLOUD POTREBBE METTERE IN PERICOLO)

Identità certa nei processi online Identity & Service Provider SPID

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

INDICAZIONI GENERALI

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

NOTE TECNICHE allegate al MANUALE OPERATIVO ALLA CLIENTELA PER GLI ADEMPIMENTI VERSO DI ESSA PRESCRITTI IN MATERIA DI FIRMA ELETTRONICA AVANZATA

Orientamenti e raccomandazioni

Gartner Group definisce il Cloud

5.1.1 Politica per la sicurezza delle informazioni

PROFILO AZIENDALE NET STUDIO 2015

CLOUD LAB. Servizi IT innovativi per le aziende del territorio. Parma, 5 Dicembre 2012

Policy sulla Gestione delle Informazioni

C Cloud computing Cloud storage. Prof. Maurizio Naldi

Il Ministro dello Sviluppo Economico

I livelli di Sicurezza

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

I dati in cassaforte 1

PROGRAMMA CORSI PRIVACY 2013

il CLOUD a norma di legge

UTILIZZATORI A VALLE: COME RENDERE NOTI GLI USI AI FORNITORI

REGOLAMENTO PER LA GESTIONE DELLE PROCEDURE DI PUBBLICAZIONE ALL ALBO PRETORIO ONLINE

Allegato. Servizio Hosting Virtual DataCenter di Regione Lombardia. per l ENTE UCL Asta del Serio

1- Corso di IT Strategy

Offre da più di 40 anni soluzioni in settori critici come quello governativo, finanziario e della difesa.

System & Network Integrator. Rap 3 : suite di Identity & Access Management

Postecom: nuove prospettive della firma

La CASSAFORTE DIGITALE per

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

Gestione degli Access Log degli Amministratori di Sistema La soluzione per ottemperare agli obblighi del Garante Privacy

Continuità operativa e disaster recovery nella pubblica amministrazione

COMUNE DI CARBONERA Provincia di Treviso REGOLAMENTO PER LA GESTIONE E IL FUNZIONAMENTO DEL SITO INTERNET ISTITUZIONALE

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza

INFORMATIVA PRIVACY E COOKIE POLICY

Apps4Law: Riflessioni sul Cloud Computing. Roma 21 marzo 2013 Sala Seminari UNIRIZ. Alessandro Graziani, Avvocato

LA PRIVACY DI QUESTO SITO

L esigenza di un Trusted Cloud. Fabrizio Leoni - Infocert

In estrema sintesi, NEMO VirtualFarm vuol dire:

rispetto a... La normativa Quadro normativo Quadro normativo Regolamento dell'unione Europea Regolamento rintracciabilità sicurezza

LA PRIVACY POLICY DI WEDDINGART

w w w. n e w s o f t s r l. i t Soluzione Proposta

Cloud Computing: alcuni punti fermi per non smarrirsi fra le nuvole

EasyPROtection. La soluzione software per Commercialisti e Consulenti Fiscali. DATI E DOCUMENTI PROTETTI Sempre. Ovunque.

LA MIGRAZIONE IN SEMPLICI STEP. Il moving di una macchina Linux sul Cloud Server Seeweb

Come funzione la cifratura dell endpoint

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

Panoramica sulla tecnologia

Lo scenario: la definizione di Internet

Circolare N. 155 del 26 Novembre 2014

COMUNE DI CARASCO (Provincia di Genova)

SISTEMI INFORMATIVI E POLITICHE DI OUTSOURCING

Sommario. 1. Cos è SecureDrive Caratteristiche Privacy dei dati: SecureVault... 4

Centro Tecnico per la Rete Unitaria della Pubblica Amministrazione

CONDIZIONI GENERALI DI LAVORO PRESSO GLI STABILIMENTI AGUSTAWESTLAND ITALIA

MANUALE DELLA QUALITÀ Pag. 1 di 6

Comune di San Martino Buon Albergo Provincia di Verona

La soluzione software per Avvocati e Studi legali

Ente Ospedaliero Specializzato in Gastroenterologia "Saverio de Bellis" Istituto di Ricovero e Cura a Carattere Scientifico

I SISTEMI DI GESTIONE DELLA SICUREZZA

Presidenza del Consiglio dei Ministri

Modulo 1. Concetti di base della Tecnologia dell Informazione ( Parte 1.8) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio.

Problematiche correlate alla sicurezza informatica nel commercio elettronico

visto il trattato che istituisce la Comunità europea, in particolare l articolo 93, vista la proposta della Commissione,

Strategie e Operatività nei processi di backup e restore

Faber System è certificata WAM School

Sistema di Gestione per la Qualità

La Posta Certificata per la trasmissione dei documenti informatici. renzo ullucci

DELIBERAZIONE N. 30/7 DEL

CloudComputing: scenari di mercato, trend e opportunità

Policy. L Information Management

La normativa italiana

Sistemi informativi secondo prospettive combinate

La platea dopo la lettura del titolo del mio intervento

COMUNE DI MELITO DI NAPOLI Provincia di Napoli

REGOLAMENTO PER LA GESTIONE DELLE PROCEDURE DI PUBBLICAZIONE ALL ALBO PRETORIO ON LINE

INFORMATIVA SULLA PRIVACY. Informativa sul trattamento dei dati personali ai sensi dell art. 13 D.Lgs. 30 giugno 2003, n.196

POLICY COOKIE Gentile visitatore,

Cloud Service Broker

IT Cloud Service. Semplice - accessibile - sicuro - economico

PRIVACY POLICY SITO INTERNET

GRANDE INTERESSE DEI CIO ITALIANI VERSO IL CLOUD: TREND RILEVANTE PER IL

Data protection. Cos è

SAIPEM: Strong Authenticator for SAP Una soluzione CST in grado di garantire il massimo della sicurezza

Secure domande e risposte

Focus on Cloud Security

PROFILO AZIENDALE 2011

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI AI SENSI DELL ART. 13 DEL D.LGS. 196/2003 (C.D. CODICE PRIVACY)

Cloud Computing - Soluzioni IBM per. Giovanni De Paola IBM Senior Consultant 17 Maggio 2010

Requisiti di controllo dei fornitori esterni

ARCHIVIAZIONE DOCUMENTALE

COMUNE DI RENATE Provincia di Monza e Brianza

Casi concreti PREMESSA casi concreti completa e dettagliata documentazione nessun caso concreto riportato è descritto più di una volta

NOTIFICAZIONE E PUBBLICITÀ LEGALE DEGLI ATTI NELL AMMINISTRAZIONE PUBBLICA DIGITALE

REGOLAMENTO PER LA PUBBLICAZIONE DI ATTI E PROVVEDIMENTI ALL ALBO CAMERALE. (Adottato con delibera della Giunta Camerale n.72, del 17 ottobre 2014)

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

PRIVACY POLICY DEL SITO WEB

Le sfide del Mobile computing

Manuale Utente Prerequisiti per DigitalSign Lite Sistema Operativo Linux a 64 bit

Audit & Sicurezza Informatica. Linee di servizio

Transcript:

<Insert Picture Here> Chi possiede i miei dati e come li protegge? Identity Management, Personal Data Ownership e Data Breach Prevention Strategy Fabrizio Leoni Infocert Simone Mola SafeNet

Agenda Cosa sono i personal data Una definizione in evoluzione Chi possiede i personal data Dalle aziende agli individui Dal dato al contesto di utilizzo L evoluzione della gestione dei personal data Midata e SPID La normative europea sul data breach

Cosa sono i personal data?

Cosa sono i personal data (2)

Personal Data Ownership Il controllo dei dati personali: dalle aziende alle persone dai dati al loro utilizzo

Personal Data Ownership Il controllo dei dati personali: dalle aziende alle persone dai dati al loro utilizzo

La responsabilità e il trust, modelli emergenti

Midata We ll review progress on the midata project by March 2014. If we decide there s not been enough in one or more of the core sectors, we ll consult on the wording of regulations to make industry cooperation compulsory. Midata Innovation Labs (end 11/2013)

SPID Con la legge n. 98 del 9 Agosto 2013, il Governo Italiano ha introdotto all art. 17-ter il Servizio Pubblico di Identità Digitale (SPID). In attesa di decreto, che definirà: a) modello architetturale e organizzativo; b) modalità e requisiti per l'accreditamento; c) standard tecnologici

News dall europa data protection reform

Lo stato dei Personal Data La gestione e il possesso dei personal data sono al centro di una importante evoluzione Il controllo da parte dell interessato è un trend normativo e funzionale in atto La gestione dell identità digitale è un tassello fondamentale per garantire il possesso del dato I soggetti che gestiscono i dati personali si stanno differenziando, in uno scenario che richiede sempre maggior controllo E la sicurezza?

Data breach / violazione dati personali «violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico nella Comunità.» Definizione presente nel D.Lgs 196/03 (Codice in materia di protezione dati personali), identica a quella presente nella Direttiva Europea 2002/58/CE (relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, come modificata dalla Direttiva Europea 2009/136/CE)

Una minaccia top e sempre in crescita Big Data 2nd Mobile Computing 10th Data breach ranked as threat in Emerging Areas 3th Internet of Things 9th 4th Trust Infrastructure Cloud Computing Riferimento: ENISA Threat Landscape 2013 - Overview of current and emerging cyber-threats, 11 Dicembre 2013

Violazione dati nella normativa UE attuale Direttiva 95/46/CE per la tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati Direttiva 2002/58/CE, direttiva relativa alla vita privata e alle comunicazioni elettroniche come modificata dalla Direttiva 2009/136/CE Regolamento UE N. 611/2013 in vigore in tutti i paesi membri UE dal 25 agosto 2013 riguardo la notifica delle violazioni di dati personali a norma della direttiva 2002/58/CE del Parlamento europeo e del Consiglio relativa alla vita privata e alle comunicazioni elettroniche

Regolamento UE 611/2013 sulla violazione dei dati I destinatari del Regolamento sono i fornitori di servizi di comunicazione elettronica accessibili al pubblico (il Fornitore) (come definiti nell art. 2 c. a), c) e d) della Direttiva 2002/21/CE) Il Fornitore ha la responsabilità di valutare se l evento sia da considerare una violazione ai sensi dell articolo 2, lettera i), della direttiva 2002/58/CE La notifica deve essere effettuata entro 24 ore dall avvenuta conoscenza della violazione alla competente Autorità nazionale (nel caso Italia: il Garante per la protezione dei dati personali) Entro i 3 giorni successivi il fornitore deve integrare, se necessario, la prima notifica fornendo ulteriori elementi in relazione alla violazione Il Fornitore notifica la violazione senza indebito ritardo anche all abbonato o all altra persona i cui dati sono stati oggetto della violazione Può ritardare tale comunicazione, con l approvazione dell Autorità nazionale, se necessario per non mettere a rischio il corretto svolgimento dell indagine sulla violazione di dati personali Presupposto per non procedere con la notifica all abbonato o all altra persona: dati personali oggetto della violazione sono non-intelligibili È sempre il Fornitore a dover notificare la violazione anche se sono coinvolti suoi sub-fornitori Il sub-fornitore ha comunque l obbligo di informare..immediatamente il Fornitore che lo ha ingaggiato in caso di violazione di dati personali

Report ENISA ENISA ha pubblicato il Report Recommended cryptographic measures Securing personal data, 20 Settembre 2013 con il quale fornisce input e raccomandazioni riguardo le misure da applicare per rendere i dati inintelligibili Il Report ENISA è il primo input per l elenco di misure tecnologiche che la Commissione ha facoltà di pubblicare, e come tale è destinato a condizionare in modo significativo le scelte in merito alle soluzioni di sicurezza che i fornitori di servizi soggetti alle normative UE devono porre in essere Le misure crittografiche sono dichiarate come base essenziale per ottenere sicurezza e governance riguardo la inintelligibilità dei dati, con l efficacia richiesta dalla legge, e per consentire alle organizzazioni di avvalersi delle conseguenti deroghe previste riguardo la notificazione delle violazione dei dati ai soggetti interessati.

Contromisure raccomandate dal Report ENISA Secure deletion of files (Cancellazione sicura dei files) Authenticated Encryption (Crittografia autenticata) Secure Hardware (Hardware sicuro) Key Architecture (Architettura di Chiavi) Access Control System (Sistema controllo accessi)

Secure deletion of files Come generale regola di sicurezza, i dati non più necessari devono essere resi indisponibili in modo affidabile: per i dati personali ciò rappresenta un obbligo imposto dalla direttiva europea sulla privacy 95/46/CE, il cui recepimento negli Stati Membri in genere richiede la cancellazione o la trasformazione in forma anonima dei dati in questione Per la cancellazione di file (dati non strutturati) possono essere seguiti diversi approcci, che vanno dalle azioni logiche (cioè la riscrittura casuale con dati non significativi) agli interventi fisici come smagnetizzazione o distruzione dei supporti Qualunque sia la soluzione adottata in un ambiente reale non sempre l'operazione di cancellazione può essere considerata efficace al 100%: in particolare quando i dati sono sensibili per il business, la loro preventiva cifratura può aumentare significativamente il reale valore della cancellazione, ma in concomitanza con adeguate precauzioni per rendere inefficaci le chiavi di decrittazione relative L'adozione di cifratura come misura preventiva per garantire la cancellazione sicura dei dati è, per esempio, suggerita dal PCI Security Standards Council nelle sue Linee Guida per il Cloud Computing: «[...] I clienti possono scegliere di assicurare che tutti i dati vengano crittografati con una forte crittografia per ridurre il rischio di eventuali dati residui lasciati sui sistemi CSP»

Authenticated Encryption Preservare i dati da accessi non autorizzati e, allo stesso tempo, attuare la rilevazione di eventuali modifiche non autorizzate effettuate sui dati E considerato un livello più elevato di riservatezza poiché aggiunge il controllo sulla autenticità dei dati trasmessi o memorizzati La crittografia autenticata può essere realizzata combinando opportunamente meccanismi di crittografia con Codici di Autenticazione di Messaggio (MAC) Un aspetto importante nella scelta nella crittografia autenticata è quello di giungere ad un giusto equilibrio tra l'obiettivo di massimizzare il livello di sicurezza e il requisito di disporre comunque di una efficiente elaborazione dei dati Una sintesi dei meccanismi di crittografia autenticata è riportata al paragrafo 4.3 delle raccomandazioni di ENISA(*) ai fini di un livello minimo di requisiti sulla crittografia in tutti gli Stati Membri UE (*) ENISA: Algorithms, Key Sizes and Parameters Report 2013 recommendations, version 1.0 Ottobre 2013

Secure Hardware Secure Hardware è una misura di sicurezza indispensabile per gestire trattamenti di dati critici per il business sia in contesti off-line sia on-line come un'infrastruttura a chiave pubblica o applicazioni on-line per servizi sanitari o soluzioni per la conservazione dei dati di traffico a responsabilità di TelCo ed ISP per finalità di giustizia Hardware Security Module (HSM), Trusted Platform Module (TPM) così come le smartcard rappresentano esempi tipici di un hardware sicuro Il principio è quello di utilizzare hardware dedicato per il trattamento specifico di dati sensibili per il business, Secure Hardware solitamente comporta l'adozione della crittografia applicata ai dati memorizzati e la specializzazione ad erogare solo alcuni servizi, al fine di limitare l'esposizione alle possibili minacce Inoltre, le soluzioni Secure Hardware sono generalmente dotate di meccanismi di strong authentication e logging, nonché funzioni di rilevazione e di allarme in caso di azioni di manomissione

Key Architecture La Key Architecture è un importante elemento per la gestione delle chiavi, ossia: la sicura generazione, memorizzazione, distribuzione, utilizzo e distruzione di chiavi di cifratura Qualunque sia l' intrinseco livello di sicurezza offerto dalle lunghezza delle chiavi e l'affidabilità degli algoritmi di cifratura/decifratura implementati, lo scenario reale e la dinamicità del ciclo di vita delle chiavi e delle possibili relative minacce, richiedono l'attuazione di una strategia adeguata, commensurata alla criticità del business interessato, per limitare il tempo massimo di utilizzo di una singola chiave, per diversificare le chiavi in base a distinti casi d'utilizzo, per limitare la massima quantità di dati da cifrare con una singola chiave. In ogni caso l'aggiornamento regolare delle chiavi e la loro cancellazione in modo sicuro (una volta che i dati crittografati non sono più necessari) rappresentano le raccomandazioni di base per rendere efficace la sicurezza nell'uso delle chiavi di cifratura/decifratura in pressoché tutti contesti di business Le Key architecture sono generalmente strutturate su più livelli: ai livelli più bassi vi sono le chiavi utilizzate per cifrare/decifrare i set di dati mentre ai livelli più alti vi sono le chiavi per cifrare/autenticare o per generare le chiavi ai più bassi livelli NIST: Special Publication 800-57 Recommendation for Key Management

Access Control System In base al tipo di dati e dei trattamenti da svolgere, il controllo accessi può richiedere qualcosa di più della gestione di un userid e una password: in alcuni casi la legislazione UE vigente già richiede, de facto, l'adozione di tecniche di strong authentication per il controllo accesso ai dati. Un esempio è trattamento di dati di traffico per finalità di giustizia a cura di Telco e ISP ai sensi della direttiva 2006/24/CE: il recepimento nella legislazione degli Stati membri dell'ue dell'articolo 7 "Protezione e sicurezza dei dati" in alcuni casi ha portato al requisito di strong authentication basata su tecniche biometriche A parte le compliance già richieste dalla normativa UE, in molti contesti di trattamento dati l'adozione di controlli d'accesso "forte" è risultato del processo di analisi dei rischi, per cui i sistemi di controllo accessi sono spesso basati sull'uso di password in combinazione con token (ad esempio smart card, dispositivi USB,...) nei quali sono conservate chiavi specifiche per l'esecuzione di controllo accessi degli utenti. Quando i token sono utilizzati per memorizzare anche chiavi di encryption, deve essere attuata un'adeguata separazione dei due set di chiavi allo scopo di evitare la derivazione delle chiavi di encryption da chiavi di controllo accesso e viceversa

SECURE DELETION OF FILES AUTHENTICATED ENCRYPTION SECURE HARDWARE KEY ARCHITECTURE ACCESS CONTROL ProtectV ProtectFile StorageSecure Luna Hardware Security Modules (HSM) Network Encryptors HSM Token PKI e smart cards KeySecure DataSecure SAS (SafeNet Authentication as a Service) SAM (SafeNet Authentication Manager)

ProtectV Cifratura macchine e dischi virtuali, Preboot authentication Protected Storage Protected VM Instance ProtectV Client High Assurance Option KeySecure HA ProtectV Manager Encrypted Instance AES 256 Pre-launch Authentication Centralized Policy & Key Management Capable of managing up to 500 servers Active/Passive High Availability

StorageSecure Transparent Network-Based Encryption per CIFS, NFS e iscsi StorageSecure Encrypted Data Cleartext Data StorageSecure

Luna HSM Root of Trust Hardware in Applicazioni che Necessitano Encryption Offload! Application Multiple Application PKCS #11 CAPI / CNG Servers Key Usage Services Java CSP XML-DIGSIG OpenSSL Multiple Partitions Luna SA High Availability And Load Balancing Key Vault Services Tamper Resistance Separation of Duties MFA with M of N Controls FIPS 140-2 Level 3 Cryptographic Processing CC EAL4+ e.g. AES_GCM, DES3_GCM Key Management Services Backup/Restore Export Controls EKM Interface Policies

Network Encryptors Data Encryption Efficiente e Scalabile per High-speed Networks Cloud Security Multicast Networking Disaster Recovery Carrier Ethernet Network Point-to-Point Connections Remote Connections

KeySecure Enterprise Key Manager con 26 Partner Integrati, Cloud Ready SAN NetApp NAS DC1 Brocade SAN Switch KMIP SafeNet StorageSecure KMIP IBM RAID700 Storage Cloud KeySecure DataSecure KMIP KMIP NetApp Storage Encryption (NSE) Bucket with Encrypted Objects Amazon S3 Administrators HP ELS G3 Tape Library DR site

SafeNet Authentication Service Protegge Accesso a Reti, Applicazioni e Servizi Cloud Public Cloud Applications Private Cloud Services Online Storage Application Hosting Collaboration Tools SAML SAML Tokens & Users Administrators API RADIUS Agent SAML Private Networks Corporate Network Corporat e Network Corporat e Network Corporat e Network LDAP / Active Directory LDAP / Active Directory LDAP / Active Directory LDAP / Active Directory

Conclusioni L evoluzione del contesto normativo UE in materia di violazione tecniche considerate efficaci dei dati delinea le categorie di contromisure Sempre necessarie le analisi dei rischi specifiche, allo scopo di implementare adeguate misure tecnico/organizzative per prevenire, rilevare e bloccare i casi di violazione dati Nel caso dei servizi erogati dai TelCo / Internet Provider, le misure di sicurezza che rendono i dati inintelligibili sono espressamente indicate prerequisito per l'esenzione dall'obbligo di notifica delle violazioni dei dati verso abbonati e gli altri individui Analoghe deroghe saranno estese in altri settori di mercato dalle prossime normative UE sulla protezione dei dati La crittografia è prescritta come base essenziale per conseguire l'inintelligibilità dei dati, insieme ad altre misure di sicurezza con essa coerenti, quali le soluzioni di hardware sicuro e di controllo accessi

Grazie! Fabrizio Leoni fabrizio.leoni@infocert.it Simone Mola simone.mola@safenet-inc.com

Bibliografia e fonti World Economic Forum: «Rethinking personal Data» http://www.weforum.org/issues/rethinking-personal-data http://www.out-law.com/en/articles/2014/february/midata-initiative-may-have-stalled-due-to-poor-data-qualitysays-it-consultant/ UK Government: «Midata» https://www.gov.uk/government/policies/providing-better-information-and-protection-for-consumers/supportingpages/personal-data MidataLab «Midata Explained» http://www.midatalab.org.uk/midata-explained/ AGID «Accesso ai servizi» (SPID) http://archivio.digitpa.gov.it/cad/modalit-accesso-ai-servizi-erogati-rete-dalle-pubbliche-amministrazioni Cntrl-shift report: «The-new-personal-data-landscape» http://ctrl-shift.co.uk/wordpress/wp-content/uploads/2011/11/the-new-personal-data-landscape-final.pdf REGOLAMENTO (UE) N. 611/2013 DELLA COMMISSIONE del 24 giugno 2013 http://eur-lex.europa.eu/lexuriserv/lexuriserv.do?uri=oj:l:2013:173:0002:0008:it:pdf Recommended cryptographic measures - Securing personal data http://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/recommended-cryptographicmeasures-securing-personal-data

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back