Data Security »

Soddisfa i requisiti europei di protezione dei dati GDPR
con DataSecurity Plus

Le organizzazioni raccolgono ed elaborano, per le loro operazioni giornaliere, un’ingente quantità di dati personali/sensibili. Per ridurre il rischio di una violazione della sicurezza dei dati e fornire agli interessati un maggiore controllo dei loro dati personali, il Regolamento generale sulla protezione dei dati (GDPR, General Data Protection and Regulation) stabilisce:

  • L’implementazione di alti livelli di privacy dei dati durante l’archiviazione, l’elaborazione e l’utilizzazione.
  • Il rispetto delle richieste presentate da un interessato riguardanti l’utilizzo dei suoi dati personali.
  • L’adozione di importanti misure tecniche e organizzative atte a garantire la sicurezza di dati personali sensibili elaborati.

ManageEngine DataSecurity Plus consente di indirizzare alcuni di questi requisiti, identificando la presenza e la posizione di dati sensibili, analizzandone i rischi associati e impedendo la fuga o il furto di dati business-critical, non solo di quelli personali sensibili.

Accelera il processo verso la conformità GDPR con DataSecurity Plus

Dai un’occhiata ad alcuni dei principali articoli del GDPR e apprendi come DataSecurity Plus può aiutarti con la conformità a questi requisiti:

Contenuti dell'articolo del GDPR: Come procedere: Come può aiutare DataSecurity Plus:

Articolo 5(1)(c)

I dati personali devono essere adeguati, rilevanti e limitati al minimo necessario.

 Rimuovi dai tuoi archivi i dati ridondanti, obsoleti e banali, ovvero i file non necessari. Trova ed elimina i dati indesiderati, compresi i file non aggiornati, duplicati e orfani, e aiuta a garantire che siano archiviati solo dati necessari e rilevanti.

Articolo 5(1)(f)

I dati personali devono essere protetti da perdita accidentale, distruzione o danno.

 Metti in campo le giuste misure tecniche e organizzative, per garantire l’integrità, la sicurezza e la riservatezza dei dati personali e sensibili.
Per aiutare a mantenere l’integrità dei dati:
  1. Controlla in tempo reale le azioni su file e cartelle (crea, rinomina, elimina, copia, eccetera).
  2. Attiva avvisi e-mail istantanei agli amministratori sul monitoraggio di azioni sospette sui file (eccesso di modifiche autorizzazione, rinomina, ecc.).
  3. Traccia tentativi non riusciti di accesso ai tuoi dati critici.
  4. Mantiene una sicura traccia di controllo di tutti gli accessi ai file per supportare l'analisi forense.
Per aiutare a mantenere la sicurezza dei dati:
  1. Rileva all’istante e contiene potenziali ransomware per prevenire perdite di dati devastanti.
  2. Rileva e previene la fuga di file business-critical attraverso dispositivi USB o come allegati e-mail.

Articolo 15(1)

L’interessato ha il diritto di richiedere quali informazioni che lo riguardano vengono elaborate.

 Ricerca e condividi tutte le informazioni sull’interessato archiviate dalla tua organizzazione. Trova i dati personali (PII, personally identifiable information ) di uno specifico utente, utilizzando regex o abbinando una parola chiave univoca, ad esempio ID cliente, nome, ecc., in tutti gli ambienti di file server Windows e cluster di failover.

Articolo 15(3)

Il titolare deve fornire una copia dei dati sottoposti a trattamento.

 Condividi una copia elettronica di tutti i dati relativi all’interessato archiviati dall’organizzazione. Identifica la posizione in cui i dati personali/sensibili sono archiviati, per facilitarne il successivo trattamento.

Articolo 16

L’interessato può richiedere al titolare di rettificare informazioni non corrette che lo riguardino.

 Ricerca e rivedi tutte le istanze di informazioni non corrette sull’interessato. Utilizza l’individuazione dei dati per trovare istanze di dati personali/sensibili che riguardano l’interessato, utilizzando una serie di parole chiave univoche, ad esempio il numero di identificazione nazionale, i dettagli della carta di credito, il numero di immatricolazione, ecc.

Articolo 17(1)

In conformità con le linee guida previste dalla legge, l’interessato ha il diritto di richiedere che il titolare cancelli tutte le informazioni che lo riguardano.

 Trova ed elimina tutte le istanze di dati personali/sensibili riguardanti l’interessato. Localizza tutti i file contenenti le istanze delle informazioni relative all’interessato, abbinando parole chiave.

Articolo 24(2)

È necessario implementare adeguati criteri di protezione dei dati, per proteggere i diritti degli interessati.

 Esegui l’implementazione delle necessarie misure tecniche e organizzative, per garantire alti livelli di privacy dei dati.
  1. Utilizza criteri predefiniti per aiutare a prevenire trasferimenti di dati ingiustificati a dispositivi USB, monitorare l’integrità dei file, ed altro.
  2. Utilizza meccanismi automatici di risposta alle minacce, per arrestare sistemi infetti, disconnettere sessioni di utenti fraudolenti, e così via.

Articolo 25(2)

Esegui procedure di minimizzazione dei dati e fai sì che i dati personali non siano accessibili a un numero indefinito di individui.

 Ricerca ed esegui il rollback di privilegi e autorizzazioni eccessive concesse agli utenti.
  1. Trova gli utenti con hanno pieno accesso alle tue condivisioni Windows.
  2. Ricerca tutti i file e le cartelle che sono state condivise con chiunque.

Articolo 30(1)

Deve essere mantenuto un record di tutte le attività del trattamento, insieme ai dettagli sui dati sensibili elaborati e sulle misure tecniche impiegate per tutelare i dati.

Pensa a quali dati sono sensibili e chi può avere accesso ad essi, quindi configura le attività di controllo in modo da avere un record sicuro di quello che succede ai tuoi dati. Mantieni dettagli precisi delle misure da prendere per garantire la sicurezza dei dati.
  1. Ricerca istanze di dati personali/sensibili archiviati nei file server Windows e nei cluster di failover, utilizzando criteri dedicati sull’individuazione dei dati come da GDPR.
  2. Effettua la scansione per ricercare numeri di identificazione nazionale, dettagli della carta di credito, numeri di immatricolazione, ed altro.
  3. Trova chi ha quali autorizzazioni rispetto a file contenenti dati personali sensibili.
  4. Controlla l’attività degli utenti nei file con dettagli su chi ha eseguito l’accesso a cosa, quando e da dove.

Articolo 32(2)

È necessario implementare misure tecniche e organizzative, per indirizzare il rischio di distruzione accidentale o illecita, perdita, alterazione, diffusione non autorizzata di dati o accesso a dati personali trasmessi o archiviati.

 Implementa misure di prevenzione e ispezione, per proteggere i dati sottoposti a trattamento da incidenti di sicurezza.
Per indirizzare il rischio di potenziali fughe di dati:
  1. Monitora l’uso di dispositivi di archiviazione rimovibili, come gli USB, nella tua organizzazione.
  2. Blocca lo spostamento di file contenenti dati personali a dispositivi USB o tramite e-mail come allegati.
  3. Fornisce avvertimenti contestuali, utilizzando prompt di sistema, sul rischio connesso con lo spostamento di dati business-critical su dispositivi di archiviazione rimovibili o tramite e-mail come allegati.
  4. Riduce i tempi di risposta agli incidenti con avvisi istantanei e un meccanismo automatico di risposta alle minacce.
Per indirizzare il rischio di accessi o diffusione non autorizzati:
  1. Avvisa e segnala accessi ingiustificati o picchi improvvisi negli accessi e nelle modifiche ai file, comprese modifiche alle autorizzazioni, eliminazioni, e così via.
  2. Rileva file con vulnerabilità della sicurezza, ad esempio:
    • File di proprietà di utenti non aggiornati.
    • File critici che consentono agli utenti l'accesso completo.
    • File sovraesposti o accessibili da chiunque.
  3. Traccia picchi improvvisi nei tentativi non riusciti di accedere ai tuoi file/cartelle.
  4. Rivede periodicamente i diritti di accesso e le autorizzazioni file.
Per indirizzare il rischio di distruzione accidentale o illecita:
  1. Mantiene il record completo di tutte le eliminazioni di file e cartelle, insieme ai dettagli su chi ha eliminato che cosa, quando e dove.
  2. Scopre e mette in quarantena possibili ransomware.

Articolo 33(3)

In caso di violazione dei dati personali, la notifica deve includere misure atte a indirizzare e attenuare i possibili effetti avversi della violazione dei dati personali.

 Analizza e indaga le potenziali cause e conseguenze di una violazione di dati. Consente di analizzare la causa radice e l’ambito della violazione di dati, utilizzando record estesi di tutte le attività correlate a file e cartelle nei file server Windows, nei cluster di failover e negli ambienti dei gruppi di lavoro. Fornisce dettagli su chi ha eseguito l’accesso a cosa, quando e dove.

Articolo 35(7)(d)

Una valutazione d’impatto sulla protezione dei dati deve comprendere misure orientate a indirizzare i rischi, tra cui misure di sicurezza e tutela che assicurino la protezione dei dati personali.

 Identifica e valuta i rischi per i tuoi dati personali sensibili. Fai una stima del rischio e implementa misure per attenuarlo.
  1. Calcola il punteggio di rischio per i file contenenti dati personali/sensibili, analizzandone le autorizzazioni, il volume e il tipo di regole violate, i dettagli dei controlli, ed altro.
  2. Identifica i file vulnerabili per problemi di protezione attiva delle autorizzazioni.

Dichiarazione di non responsabilità: La piena conformità a GDPR richiede una varietà di soluzioni, processi, persone e tecnologie. Il contenuto di questa pagina è fornito solo a scopo informativo e non deve essere considerato come una consulenza legale per la conformità GDPR. ManageEngine non presta garanzie, espresse, implicite o legali, per quanto riguarda le informazioni contenute in questo materiale.

Garantisci la sicurezza dei dati e la   conformità

DataSecurity Plus consente di soddisfare i requisiti di numerosi regolamenti di conformità, proteggendo i dati inattivi, in uso e in movimento.

Stai cercando una soluzione SIEM unificata che includa anche funzionalità DLP integrate? Prova subito Log360!

Versione di prova gratuita da 30 giorni