GDPR Index Toolkit: La soluzione di CAST per la GDPR Compliance

image of blog Alessandro Lenzo By on
 

GDPRLa General Data Protection Regulation (GDPR) è un regolamento europeo (EU 2016/679) nato per garantire il trattamento dei dati personali e allinearlo alle reali e consapevoli indicazioni dei cittadini. Secondo tale regolamento, tutte le aziende che hanno clienti nell'UE devono conformarsi, assumersi la responsabilità di rispettarlo e farlo rispettare ai propri fornitori e possibilmente nominare un DPO (Data Protection Officer). Il mancato rispetto della normativa potrebbe avere gravi conseguenze finanziarie per le aziende con sanzioni amministrative fino a 20 milioni di EUROo 4% del fatturato per le imprese nei casi più gravi, come ad esempio l’inosservanza dei diritti degli interessati o il trasferimento illecito di dati personali ad altri Paesi. Il 2% è il limite per le infrazioni minori, come ad esempio non tenere aggiornato il registro dei dati personali trattati in azienda).[1]

Le aziende devono quindi garantire una PROTEZIONE OTTIMALE E CONTINUA DEI DATI
ed essere in grado di DIMOSTRARE LA LORO CONFORMITÀ PROVVEDENDO ADEGUATA DOCUMENTAZIONE.
[1] Articoli 2, 4, commi 1 e 5 e considerazioni (14), (15), (26), (27), (29) e (30) del GDPR UE 2016/679

Ma che cosa intendiamo per dati personali?

I dati personali sono informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.

Tipi di Dati Personali:

  • Dati che consentono l'identificazione diretta: dati anagrafici (nome e cognome, data di nascita, indirizzo,…)
  • Dati che consentono l'identificazione indiretta: codice fiscale, indirizzo IP, targa auto,...
  • Dati sensibili: dati idonei a rivelare l'origine razziale o etnica, le convinzioni religiose o filosofiche, le opinioni politiche, l'appartenenza sindacale, relativi alla salute o alla vita sessuale. (Include dati genetici e biometrici)
  • Dati relativi a condanne penali e reati
  • Dati che consentono la geolocalizzazione

Che cos’è il GDPR Index Toolkit e cosa può fare per la GDPR Compliance?

Il GDPR Index Toolkit è una soluzione verticale costruita su CAST Imaging che fornisce uno specifico KPI (GDPR Security Index) e report (Registro GDPR) per la conformità al GDPR. Grazie al suo utilizzo è possibile:

  • Minimizzare i costi di fixing per le vulnerabilità di Data Protection valutando i rischi strutturali per la sicurezza solo sulle transazioni rilevanti per il GDPR, che di solito rappresentano la minoranza delle transazioni totali.
  • Scoprire tutti gli usi impropri dei dati personali nelle risorse software, dovuti a implementazioni non documentate, dimenticate o impossibili da scoprire con un approccio manuale (sondaggi, audit, ...)
  • Identificare tutti i processi tecnici, le transazioni, l'accesso ai dati GDPR rilevanti che consentono un processo DPIA (Data Protection Impact Assessment) sostenibile a livello di attività, e solo dove c'è un impatto reale sui dati personali.
  • Consentire il monitoraggio e il tracciamento continuo dei rischi per la sicurezza sulle transazioni relative al GDPR al fine di supportare una reale implementazione della Privacy-By-Design nelle risorse SW

Come funziona il GDPR Index Toolkit?

GDPR IndexIl GDPR Security Index è un indice di rischio calcolato su un'applicazione software o su un gruppo di applicazioni, analizzate con CAST Imaging, che corrisponde alla Security riferita a tutti gli oggetti appartenenti alle sole transazioni che coinvolgono dati personali.

L’identificazione degli oggetti che riferiscono dati personali è effettuata tramite la scansione del codice sorgente dell’applicazione, andando a cercare le occorrenze di un set di keywords predefinite (regular expressions)

data call flow diagramPer ogni oggetto individuato si trovano tutte le transazioni a cui partecipa e, per ogni transazione, tutti gli oggetti coinvolti vengono inseriti in un apposito modulo (Modulo GDPR). Il GDPR Security Index è appunto l’indice di Sicurezza (CISQ/OMG) riferito soltanto al modulo GDPR e non a tutto il perimetro dell’applicazione.


Per configurare e misurare il GDPR Security Index è necessario:
  • Un'installazione della Console della Console CAST
  • L’installazione dell’estensione per il GDPR Index con specifica licenza.
  • Una o più analisi di applicazioni con transazioni valide (per transazione valida si intende ogni transazione che parte da un Entry-point e termina con un End-point o con una Data Function).
  • Un Set di Keywords per identificare possibili riferimenti a dati sensibili. Le parole chiave sono codificate come Espressioni Regolari (regexp), perché con un unico pattern è possibile rappresentare un gran numero di occorrenze differenti. Il set di keywords è stato messo a punto effettuando uno studio approfondito della nomenclatura utilizzata per accedere ai dati personali nel codice sorgente delle applicazioni.
Utilizzando il GDPR Index Toolkit è anche possibile generare e tenere aggiornato il registro GDPR per ciascuna applicazione software in azienda: Il report prevede per ogni occorrenza della parola chiave indicata: l'Entry-point della transazione, il Fullname dell'oggetto in cui è stata eseguita la corrispondenza, l'espressione regolare della parola chiave individuata e il percorso del file corrispondente.

 

 
Tags:
 

Comments:

Copyright 2023 - CAST | All Rights Reserved