Sicurezza GDPR
Lo sviluppo del software inizia con l’idea di creare un prodotto che aiuti a semplificare o migliorare la qualità di un processo o di un’attività.
ABSOLUTE segue una metodologia con attività chiave per garantire che il prodotto finale sia robusto e pensato includendo Sicurezza delle informazioni e Protezione dei dati personali fin dalla progettazione: dalle linee di condotta all’ingegnerizzazione incorporando i principi di protezione dei dati, i diritti dei soggetti e le misure di sicurezza GDPR in ogni fase del processo.


Approch
Sicurezza GDPR
Sette attività in un processo continuo
1 - Sicurezza GDPR - Training (Addestramento)
Gli sviluppatori ricevono una formazione sui requisiti interni ed esterni pertinenti. Per requisiti interni si intendono la protezione dei dati, la sicurezza delle informazioni, il controllo interno e la gestione delle risorse, mentre per requisiti esterni si intende la legge sulla protezione dei dati in generale, l’importanza dei principi sulla protezione dei dati in particolare e i diritti degli interessati. Grazie a questa formazione gli sviluppatori acquisiscano una metodologia di sviluppo che include la sicurezza GDPR e protezione dei dati fin dalla progettazione
2 - Sicurezza GDPR - Requirements (Raccolta dati)
Attorno a questa attività ruota la definizione dei requisiti per la protezione dei dati personali e la sicurezza delle informazioni per il prodotto finale. In questa attività vengono coinvolti i responsabili della definizione dei requisiti, i clienti/acquirenti, i capi progetto, gli sviluppatori/tester, gli architetti e naturalmente il responsabile della protezione dei dati e il consulente per la sicurezza GDPR. E’ in questa fase che guidiamo il cliente verso l’individuazione dei requisiti rilevanti per la propria attività, pensando il software in fase di sviluppo e nel contesto in cui verrà utilizzato il prodotto finale.
La raccolta dei requisiti ha come linea guida la lecita, corretta e trasparente protezione dei dati attraverso un trattamento dei dati personali che avverrà per finalità determinate, esplicite e legittime e che raccolga solo i dati necessari al funzionamento del software. Per “necessario” si intende che è necessario valutare la quantità di dati personali, l’entità del loro trattamento, il periodo di conservazione e la loro accessibilità. Ad esempio, per quanto tempo i dati dovranno essere archiviati, se possono essere implementate routine di cancellazione automatica, dove verranno archiviati i dati e chi avrà accesso ai dati e da dove.
Il software deve consentire agli interessati di esercitare facilmente i propri diritti, come l’accesso, l’informazione, la rettifica, la restrizione e la portabilità dei dati. Questo può essere risolto, ad esempio, utilizzando un portale di accesso che fornisca una panoramica dei dati registrati e informazioni sui diritti degli utenti. Il cliente deve garantire la sicurezza dei dati personali durante, ad esempio, la raccolta, l’archiviazione, la modifica, la visualizzazione, la comunicazione e la cancellazione. La crittografia e il controllo degli accessi sono esempi di misure che possono essere utilizzate per garantire la sicurezza.I requisiti di sicurezza per il software vengono determinati identificando i rischi a cui il software può essere esposto e quali l’azienda è disposta a correre. Questo definisce i parametri per la selezione delle misure rilevanti e corrette per il cliente e il software.
- Definizione dei livelli di tolleranza al rischio
La valutazione del rischio consiste nell’identificare le potenziali conseguenze di diversi incidenti o scenari e valutare la probabilità che si verifichi un incidente indesiderato. È la direzione dell’azienda/cliente che determina il grado di rischio che l’azienda è disposta ad assumere nei diversi scenari. Questa si chiama tolleranza al rischio. Questo livello di tolleranza fornisce indicazioni su quali misure e risorse devono essere messe in atto per garantire che il software non superi il livello definito di rischio accettabile. In termini di sicurezza GDPR, il livello di tolleranza è definito individualmente per diversi “scenari di sicurezza”. Esempi di tali scenari di sicurezza potrebbero includere l’alterazione accidentale dei dati personali, la divulgazione non autorizzata di dati personali e la mancanza di accessibilità che potrebbe influire in modo significativo sulla vita e sulla salute. In termini di protezione dei dati, il livello di tolleranza è definito individualmente per diversi “scenari di protezione dei dati”. Esempi di tali scenari di protezione dei dati potrebbero includere la perdita del controllo dell’interessato sui propri dati personali, la discriminazione dell’interessato sulla base della profilazione effettuata dal software o la reidentificazione di una persona a partire da dati resi anonimi. Alcuni scenari di sicurezza e scenari di protezione dei dati avranno tolleranza zero per il rischio, mentre per altri, l’azienda potrebbe essere disposta ad assumersi un certo grado di rischio. La direzione deve stabilire livelli di tolleranza accettabili, ovvero propensione al rischio, sia per la protezione che per la sicurezza dei dati. - Valutazione dei rischi per la sicurezza
Una valutazione del rischio inizia con la mappatura dei valori che dovrebbero essere garantiti. Il regolamento sulla protezione dei dati definisce i dati personali come un valore. Effettuiamo una valutazione della minaccia per identificare quali attori potrebbero essere interessati ai valori e quali vettori di attacco utilizzano i diversi attori della minaccia. Viene quindi eseguita una valutazione per determinare quali valori sono vulnerabili a una data minaccia. Il risultato della valutazione del rischio viene valutato rispetto al livello di tolleranza di sicurezza. Se il livello di rischio è superiore al livello predeterminato di rischio accettabile, determineremo di implementare misure per mitigare il rischio. Aiutiamo a determinare chi sarà responsabile della misura e fissare un termine per l’attuazione. - Valutazione dell’impatto sulla protezione dei dati
Lo scopo di una valutazione d’impatto sulla protezione dei dati è valutare l’impatto che un’operazione di elaborazione può avere sulla protezione dei dati personali. Serve a garantire che il software non violi i diritti fondamentali dell’interessato. Per i seguenti tipi di trattamento dei dati personali, che comporterebbero un rischio elevato in assenza di misure adottate per mitigare il rischio, facciamo una valutazione d’impatto sulla protezione dei dati ed eventualmente richiediamo preventivamente un parere all’Autorità per la protezione dei dati:- Nel caso di una valutazione sistematica ed estesa degli aspetti personali relativi alle persone fisiche che si basi su un processo decisionale automatizzato (compresa la profilazione) e su cui si basano decisioni che producono effetti giuridici nei confronti della persona fisica o che incidono in modo analogo significativamente sulla persona fisica.
- Quando si trattano dati personali sensibili su larga scala.
- Nel caso di un monitoraggio sistematico di un’area accessibile al pubblico su larga scala.
3 - Sicurezza GDPR - Design (Progettazione)
Durante questa attività, ci assicuriamo che i requisiti per la protezione dei dati e la sicurezza delle informazioni si riflettano nella progettazione. I requisiti identificati durante l’attività precedente devono essere soddisfatti e devono essere definiti i requisiti per la progettazione, tenendo presente l’esistenza di attori che potrebbero tentare di ottenere e accedere ai dati personali analizzando l’input e l’output attraverso gli occhi di un aggressore.
Per ridurre la superficie di attacco, deve essere analizzato e il software modellato e progettato per garantire un prodotto finale robusto. Sono coinvolti in questa attività gli architetti e i responsabili della protezione dati, consulenti per la sicurezza GDPR e gli sviluppatori.
Analizziamo i requisiti di progettazione dividendoli in requisiti orientati ai dati e requisiti orientati ai processi
- Requisiti di Progettazione orientati ai dati.
- Ridurre. Ridurre al minimo la quantità di dati personali raccolti limitandoli a ciò che è lecito e a ciò che è strettamente necessario, cancellandoli quando la loro conservazione non sarà più necessaria per le finalità
- Nascondere. I dati personali e le loro interrelazioni non devono essere comunicati, elaborati o archiviati in bella vista. Nascondendo i dati il rischio di abuso si riduce drasticamente. Usiamo strategie come la pseudonimizzazione o la crittografia.
- Separare. Separare la conservazione dei dati personali di una stessa persona in aree separate.
- Aggregare. Per illustrare tendenze o valori generali è necessario combinare ed aggregare dati statistici su un gran numero di persone senza identificare gli individui.
- Protezione. Tutte le impostazioni sono di default configurate sull’impostazione più rispettosa della privacy. Quindi niente tracciamento della posizione o della condivisione dei dati con altri utenti. Se l’utente desidera modificare tali impostazioni deve farlo attivamente
- Requisiti di progettazione orientati al processo
- Informare. Il software deve essere progettato e configurato in modo da informare sufficientemente l’utente su come vengono elaborati i dati personali, se viene condotta profanazione come questa avviene.
- Controllo. L’utente ha il diritto di controllare i propri dati personali. Includendo in questo accedere, aggiornare ed eliminare. Ad esempio, l’utente dovrebbe poter utilizzare un menu o una pagina separata all’interno del programma per dare e revocare il consenso, consentire di visualizzare, bloccare, aggiornare e cancellare i propri dati personali.
- Informare. Avere una protezione dei dati o una politica sulla privacy che descriva come il software garantisce l’applicabilità dei diritti dell’interessato, come si rispetta la normativa sulla protezione dei dati e quali misure tecniche sono in atto per proteggere i dati personali. Le misure tecniche potrebbero includere il controllo degli accessi e la crittografia.
4 - Sicurezza GDPR - Coding (Sviluppo)
Questa attività consentirà agli sviluppatori di scrivere codice sicuro implementando i requisiti per la protezione e la sicurezza dei dati.
ABSOLUTE ha una metodologia sicura e comune sia per la codifica che per consentire agli sviluppatori di rilevare e rimuovere le vulnerabilità. Disponiamo di procedure stabilite per l’analisi statica e la revisione del codice, abbiamo definito un elenco di strumenti, processi e framework approvati per lo sviluppo e l’implementazione del software. Eseguiamo regolarmente una scansione per verificare le vulnerabilità in tutte le parti del codice e nelle librerie sottostanti. Sviluppiamo internamente e nel rispetto delle modalità sin qui esposte, funzioni, API e librerie. Eseguiamo regolarmente la revisione del codice per garantire che vengano rilevati eventuali punti deboli che potrebbero portare ad un uso improprio o alla fuga di dati personali. Sono coinvolti in questa attività gli sviluppatori, i responsabili della protezione dati e consulenti per la sicurezza GDPR.
5 - Sicurezza GDPR - Testing
Durante questa attività, i tester verificano che i requisiti per la protezione dei dati e la sicurezza delle informazioni definiti durante le attività di Raccolta Dati e Progettazione siano stati implementati come pianificato, nonché verificano che i requisiti siano stati correttamente soddisfatti.
Il software deve anche essere testato per le vulnerabilità. Questo viene fatto utilizzando test dinamici, test fuzz e test di penetrazione. È importante esaminare la superficie di attacco per verificare che i vettori di attacco scoperti durante l’attività di progettazione e potenziali nuovi vettori di attacco introdotti durante la codifica siano stati gestiti.
Sono coinvolti in questa attività principalmente i tester. Anche i responsabili della protezione dei dati e i consulenti per la sicurezza GDPR, gli sviluppatori e i leader di progetto possono essere coinvolti.
6 - Sicurezza GDPR - Release (Pubblicazione)
ABSOLUTE stabilisce il piano di risposta agli incidenti prima del rilascio iniziale ed esegue le revisioni della sicurezza ad ogni rilascio.
Sono coinvolti in questa attività il leader di progetto, i consulenti per la sicurezza GDPR, i responsabili della protezione dei dati e i tester.
Il piano comprende risorse definite e un punto di contatto o un centro di risposta in grado di gestire gli incidenti, il tempo di risposta è definito in base al software.
Abbiamo allestito un portale attivo 24×7 tramite il quale è possibile segnalare problematiche, che traccia la presa in carico, l’analisi, la gestione e la normalizzazione della problematica segnalata. Se la problematica ha incluso una violazione della riservatezza, dell’integrità o della disponibilità dei dati personali, avvertiamo immediatamente il Titolare del trattamento per consentirgli di informare a sua volta L’Autorità della protezione dei dati.
Per tutte le nostre pubblicazioni gestiamo le revisioni in modo da poter tornare immediatamente ad una pubblicazione precedente.
7 - Sicurezza GDPR - Maintenance (Manutenzione)
ABSOLUTE è preparata a gestire incidenti, violazioni della sicurezza e attacchi che possono comportare violazioni della riservatezza, dell’integrità o della disponibilità relative ai dati personali. Abbiamo un helpdesk in grado di gestire gli incidenti e fornire aggiornamenti, linee guida e informazioni agli utenti e agli interessati. Sono coinvolti in questa attività il team di helpdesk, i consulenti per la sicurezza GDPR e i responsabili della protezione dei dati.
L’helpdesk sa chi è responsabile della creazione, del test e dell’installazione degli aggiornamenti, sa quali priorità si applicano e sa esattamente cosa fare in caso di crisi, in quanto riceve una formazione periodica sulla risposta agli incidenti.

About
Privacy Policy
ABSOLUTE srl è consapevole che i dati personali siano un patrimonio da proteggere e quindi, nello svolgimento delle proprie attività, si pone l’obiettivo di garantire gli interessi, i diritti e le libertà fondamentali dell’interessato proteggendo i suoi dati soprattutto se l’interessato è un minore.
ABSOLUTE srl si impegna al rispetto dei principi del Regolamento europeo “Relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” (GDPR) e del D.Lgl 196/03 “Codice in materia di protezione dei dati personali” e quindi:
- tratterà tutti i dati personali in modo lecito, corretto e trasparente nei confronti dell’interessato;
- raccoglierà i dati personali solo per finalità determinate, esplicite e legittime;
- assicurerà la minimizzazione dei dati assicurando di raccogliere solo i dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
- si assicurerà che siano esatti e, se necessario, aggiornati;
- assicurerà che siano conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
- garantirà un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
Per qualunque dubbio relativo al trattamento dei dati personali potete rivolgervi al Titolare:

Per assicurare la massima trasparenza, le informative sui trattamenti dei dati personali sono rese disponibili (link: https://www.documenti-privacy.it/azienda/06461010487) in un formato facilmente accessibile da tutti gli interessati a prescindere dal dispositivo utilizzato (dal cellulare al PC) o dalla lingua conosciuta (permettendo l’utilizzo delle traduzioni automatiche [*] fornite dai vari strumenti di navigazione [browser]).
Le informative potranno essere aggiornate per offrire sempre maggiori informazioni agli interessati sul trattamento dei loro dati personali. Si consiglia di consultare periodicamente le informative (affianco ad ogni informativa è riportata la data dell’ultimo aggiornamento).
[*] Non possiamo garantire della correttezza delle traduzioni automatiche. La versione originale è quella in ITALIANO.
Contatti
(+39) 055 681 33 99
Via Bocchi, 32 Firenze, IT
Lunedì-Venerdì: 9:00 - 18:00
Iniziamo insieme
Compila il form contatti per richiederci un appuntamento, una demo o un approfondimento