GDPR: Nas, criptaggio e pseudonimizzazione
18-12-2022 14:41 Informatica e telecomunicazioni

GDPR: Nas, criptaggio e pseudonimizzazione

La tecnologia dei NAS al supporto delle procedure di criptazione e pseudonimizzazione, una soluzione alla problematica “come tutelare l’interessato” volendo analizzare la problematica sotto l’aspetto tecnologico.

Come annunciato dal nuovo regolamento noto come GDPR: una delle problematiche più comuni e per la quale sono nate non poche discussioni e preoccupazioni è quella che riguarda il ricercare la risposta alla domanda “Come posso proteggere, tecnicamente, i dati trattati?”.

Il GDPR, per riassumere, incoraggia il ricorso a misure tecniche ed organizzative affinché queste tutelino il dato personale o particolare trattato.

Ma quali possono essere queste misure?

Il GDPR non fa riferimento in modo esplico ed esclusivo ad una tecnica piuttosto che un’altra, ma indica tecniche come la criptazione e pseudonimizzazione (Considerando 83) come due soluzioni ed ottimi metodi per raggiungere un buon livello di protezione del dato. Non pone, però, stringenti scelte ma lascia spazio alla valutazione da parte del Titolare.

Criptazione, cosa è? E’ semplicemente quel processo con il quale si rende una informazioni non direttamente leggibile da parte dell’uomo e macchina, a meno di conoscere l’algoritmo utilizzato per il suo successivo passaggio di decriptaggio e logiche interne.

Ad esempio: trattare in chiaro le informazioni “Mario Rossi, nato a Roma il 01/01/1950, cod. fisc. RSSMRA50A01H501O” è possibile (nessuno lo vieta) e sicuramente anche tu lo hai fatto almeno una volta, ma non è tanto sicuro quanto trattarlo nella sua forma e stringa criptata “kk4IMdkxq2+U8xemvaRH10XA5YglNkbYVPqcTMVKy2Blmni/XsZFE4tJpRTzWJI6w7pb4ZH7m
Hj9wPYhmVfh518vCLiRSal/l2D8hrHEFjWNpNa6lejjhWySHQIy43UkZ29cp09egpYrXVLON7QOqh/4I7u/L9aJ1U51EbngxtA=

Quali sono i pro ed i contro di una simile scelta?

Il Pro sicuramente più evidente è: in caso di “furto di queste informazioni” il dato rimane comunque protetto e trattabile solo dal software che ne conosce le logiche per il suo decriptaggio. Con il GDPR si parla di data breach e non per il solo caso in cui un dato è oggetto di furto.

Un altro Pro sicuramente evidente: anche un accesso non autorizzato a quella informazione non espone il dato vero e proprio.

Contro: nel caso in cui si perda la chiave o la logica per decriptare questi dati, si perde il dato. E’ necessario, dunque, adoperarsi affinché ciò non accada o, nel caso in cui accada, si possa essere in grado di intervenire senza alcuna perdita di informazione.

Un altro aspetto negativo è: non tutti i siti web, volendo analizzare la cosa anche lato web, permettono da subito una simile attività se non intervenendo nel cuore del software apportando le dovute misure di sicurezza ed aggiornamento delle logiche del software stesso.

Non tutte le aziende possono oggettivamente ricorrere ad una simile soluzione senza “turbare” la loro normale operatività, specialmente se si è di fronte ad aziende che hanno sempre trascurato l’importanza di tutelare le informazioni personali (sia interne che esterne).

 

Pseudonimizzazione, cosa è? Non va confusa come viene fatto dai più, prima di tutto, con l’anonimizzazione (operazione ben differente). I dati oggetto di questa modalità di trattamento prevede la trasformazione del dato in una forma la cui identificazione diretta non è più possibile. Spesso questa tecnica è associata ad un conservare separatamente le informazioni aggiuntive.

Vi sono tante altre possibilità che, a livello tecnico, possono essere usate ed alcune vengono utilizzate, ad esempio volendone citare altre due:

  1. delocalizzazione del dato trattato dalla sua base dati principale associandolo ad indici o token casuali
  2. creazione di logiche e tecniche di criptaggio/decriptaggio su misura e non basate su algoritmi già noti

 

Al supporto di tutto ciò, a livello prettamente hardware, abbiamo i NAS.

Il NAS è quel dispositivo che viene collegato alla rete e che permette a più utenti di condividere, in tutta sicurezza, le informazioni in esso memorizzate. E’ ovvio e scontato che non è sufficiente sostenere che in azienda si usa un NAS per essere sicuri che il dato al suo interno è trattato in modo sicuro, tantomeno è sufficiente acquistare un NAS, accenderlo e limitarsi a seguire il suo tutorial per la prima messa in esecuzione per dire “io proteggo il dato trattato”.

Vi è di più: è possibile creare differenti livelli di accesso, definire quindi chi e come piò accedere al dato e cosa può fare con quel dato (visualizzarlo e basta – perché magari è un operato dell’Help Desk e deve poter accedere all’anagrafica del cliente per sua verifica telefonica – oppure visualizzarlo e rettificarlo – perché magari è un operato del settore commerciale che deve poter soddisfare anche richieste di aggiornamento delle anagrafiche dei clienti).

Ma ancora: i NAS, quasi tutti, permettono di criptare interi Volumi o, ancora, creare basi dati delocalizzate anche qui offrendo una maggiore sicurezza sul dato che sarà trattato all’interno della stessa base dati.

Precedente Successivo
Carrello Chiudi
  • Nessun prodotto nel carrello

Customer Care Live Support (Lo Staff è impegnato)