Buone pratiche per il file server Windows GDPR

Dal 25 maggio^th, 2018 tutte le aziende che gestiscono dati personali UE devono essere conformi al GDPR. Dal punto di vista di un file server Windows GDPR, i dati personali sono la preoccupazione più grande per Conformità al GDPRLe aziende al di fuori dell'UE presumono che il GDPR non si applichi a loro, tuttavia ogni interazione con un cittadino dell'UE richiede la conformità: semplicemente gestire un'attività che si trova al di fuori dell'UE non ti dà una "carta per uscire di prigione"!

Con il GDPR, le aziende devono notificare alle autorità e ai clienti le violazioni dei dati entro 72 ore dal momento in cui vengono a conoscenza dell'incidente, conservare i registri per fornire ai clienti la conferma se i loro dati vengono utilizzati e come, fornire loro una copia dei loro dati se richiesto e consentire loro di far cancellare i loro dati. Come parte dell'audit di scoperta dei dati GDPR, le aziende devono classificare tutti i dati personali e, una volta classificati, proteggere tali dati.

Questa checklist comprende le raccomandazioni sulle best practice per la protezione dei dati personali archiviati su un'infrastruttura di Windows File Server. Tuttavia, i dati personali includono anche elementi come e-mail archiviate in Office Online o in locale in Exchange. I dettagli che seguono sono best practice che dovrebbero essere seguite per proteggere i dati personali in conformità non solo con il GDPR ma anche con altri standard (HIPAA, FINRA, ecc.).

Dati personali coperti dal GDPR

L'articolo 4, paragrafo 1, definisce i "dati personali" come segue (tutti i corsivi sono aggiunti se non diversamente indicato):

per "dato personale" si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile ("interessato"); una persona fisica identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare facendo riferimento a un identificatore come un nome, un numero di identificazione, dati relativi all'ubicazione, un identificatore online o a uno o più fattori specifici relativi alle caratteristiche fisiche, fisiologiche, identità genetica, mentale, economica, culturale o sociale di quella persona fisica;

Con una definizione così ampia, qualsiasi organizzazione deve identificare e proteggere i dati personali. Quali strumenti sono disponibili per gli amministratori di sistema Windows per identificare e proteggere i dati? Nelle sezioni seguenti, identifichiamo strumenti e risorse disponibili per gli amministratori di rete per proteggere i file server e le condivisioni di Windows GDPR.

Identificazione dei dati personali

Come parte del processo di scoperta, le organizzazioni devono identificare, in dettaglio, le loro attività di elaborazione dei dati. Possono farlo preparando e mantenendo un registro di tutte le attività di elaborazione dei dati. Ai sensi del GDPR, le organizzazioni devono conservare la documentazione interna completa delle loro attività di elaborazione dei dati.

Il primo passo per proteggere l'accesso remoto ai dati con MyWorkDrive è identificare e localizzare i dati personali e i processi aziendali. Una volta identificati i dati personali, è possibile proteggerli dall'accesso. Oltre allo sviluppo e alla documentazione dei flussi di lavoro di elaborazione dei dati, all'interno di MyWorkDrive esistono strumenti per cercare file su Condivisioni di file di Windows incluso il servizio Windows Search e per le organizzazioni più grandi dTSearchLa combinazione di ricerca, documentazione e scoperta dell'elaborazione dei dati è il primo passo per proteggere i file server Windows in qualsiasi organizzazione soggetta al GDPR.

Protezione dei dati personali sui file server Windows

Una volta classificati i dati, dovresti avere una comprensione completa del tipo di dati che elabori e di come i dati devono essere protetti. Considera come stai proteggendo i dati personali al momento (se lo stai facendo) e apporta le modifiche necessarie o metti in atto le procedure necessarie. La protezione della privacy dei dati personali dovrebbe essere una priorità. Potrebbe essere necessario completare una valutazione dell'impatto sulla privacy (PIA) delle policy per valutare i cicli di vita dei dati e il potenziale impatto sulla privacy dell'individuo.

Si dovrebbe porre l'accento sui requisiti specifici del GDPR, come la garanzia della portabilità dei dati, il diritto di essere informati, il diritto all'oblio e il modo corretto in cui distruggere i dati. Le procedure e i controlli necessari dovrebbero essere in atto per supportare i diritti dei dati personali archiviati. Sono necessarie pratiche per proteggere i dati personali in tutte le forme e posizioni, inclusi quelli in sede e nel cloud, i dati sottoposti a backup, i dati archiviati e i dati in fase di creazione. La sicurezza dell'intero ciclo di vita dei dati deve essere affrontata.

Per proteggere i dati personali, le aziende possono utilizzare vari metodi, tra cui crittografia, anonimizzazione e pseudonimizzazione. Il metodo utilizzato dipende dalle autorizzazioni e dall'accesso dell'utente. È essenziale sviluppare una politica di conservazione degli archivi dei file, in modo che i file possano essere rimossi nel tempo e quindi non siano più soggetti a conformità.

Microsoft ha risorse complete per bloccare GDPR Windows ServerS per conformarsi al GDPR, incluse le protezioni delle credenziali e dei privilegi di amministratore e la protezione del sistema operativo per eseguire le tue app e infrastrutture. Oltre alle risorse Microsoft per bloccare i sistemi operativi Windows File Server, è fondamentale proteggere i sistemi su reti affidabili e abilitare misure di sicurezza aggiuntive come l'autenticazione a due fattori quando si accede ai dati da remoto e impedire i download su dispositivi non gestiti.

Gran parte di questo significa cose di base come l'attivazione dei registri di sistema e forse vari strumenti per raccoglierli e segnalarli, ma altrettanto importante, laddove possibile, le aziende dovrebbero prendere in considerazione l'implementazione di strumenti come la prevenzione della fuga di dati per monitorare tutti i dati personali a cui si accede, sia in sede che da remoto.

Dal punto di vista di MyWorkDrive, la protezione dei dati personali sulle condivisioni di file può essere semplice come escluderli completamente dall'accesso remoto o limitare l'accesso a condivisioni specifiche solo in lettura e modifica nel nostro client Web File Manage, limitando al contempo i download utilizzando le nostre funzionalità di prevenzione della perdita di dati.

Crittografia durante il transito

Protocolli come Server FTP integrati in Windows IIS non sono conformi agli standard GDPR. Né lo sono i vecchi client VPN Windows. MyWorkDrive aggiunge ulteriore protezione durante la trasmissione per proteggere i dati aziendali con crittografia elevata, registrazione estesa, autenticazione a due fattori e funzionalità di prevenzione della perdita di dati.

MyWorkDrive Server e i client supportano completamente lo standard TLS 1.2 per proteggere i file e le aziende possono disabilitare in modo sicuro l'accesso TLS 1.0. Il nostro Articolo di supporto di MyWorkDrive spiega in dettaglio come disattivare cifrari deboli e non sicuri per proteggere i dati durante il transito.

Un ulteriore passaggio per proteggere i dati in transito è proteggere il sistema operativo stesso con regole firewall. MyWorkDrive stesso può essere eseguito in una zona firewall separata che limita le porte in entrata e in uscita solo a quelle necessarie per le condivisioni SMB, Active Directory e traffico DNS internamente e traffico HTTPS (SSL) esternamente. Sono disponibili ulteriori dettagli sulle porte necessarie per una corretta comunicazione del firewall del server MyWorkDrive in un ambiente bloccato Qui.

Crittografia a riposo

Un modo per limitare questa esposizione alle violazioni del GDPR è crittografare i dati inattivi: anche se si verificasse una violazione se la chiave di crittografia non viene violata, le aziende potrebbero potenzialmente evitare la fase di notifica.

Il Rapporto GDPR ha un ottimo articolo qui che nota "In caso di compromissione o perdita di dati, se l'organizzazione ha il pieno controllo delle proprie chiavi di crittografia, può evitare del tutto la fase di notifica se i dati sono illeggibili al mondo esterno all'organizzazione. Al contrario, se il provider cloud o SaaS controlla le chiavi e vengono violate, non c'è modo di essere certi che i dati dell'organizzazione siano al sicuro, e ne conseguono notifiche e multe". Ciò include i file archiviati su server di file Windows GDPR e backup archiviati in locale o nel cloud.

MyWorkDrive non archivia mai alcun dato del cliente, sia in locale sul server di accesso Web ai file MyWorkDrive, sia quando viene aperto in Office 365 online. Le aziende possono crittografare in modo sicuro i propri dati su Condivisioni di file di Windows senza influire sull'accesso remoto ai file MyWorkDrive utilizzando strumenti server Windows integrati oppure avvalendosi di fornitori terzi quali Sophos o Symantec.

Dal punto di vista del server e del client MyWorkDrive, gli utenti accedono alle condivisioni file nel loro contesto utente proprio come farebbero con le unità mappate tradizionali. MyWorkDrive server di file cloud converte il traffico del server di file SMB locale in HTTPS per consentire all'utente di accedere ai file in remoto e aggiunge ulteriori capacità di registrazione e un'autenticazione a due fattori opzionale. Inoltre, poiché è possibile accedere ai file e modificarli direttamente senza scaricarli, riduce al minimo l'archiviazione dei file in locale sui dispositivi degli utenti finali.

Le aziende possono anche abilitare le funzionalità di prevenzione della perdita di dati di MyWorkDrive per impedire il download e la condivisione esterna, consentendo comunque la visualizzazione e la modifica dei documenti in un browser sicuro.

Monitoraggio e reporting

Ovviamente, non è possibile procedere per soddisfare i severi requisiti di notifica del GDPR entro 72 ore se non si riesce a rilevare la violazione in primo luogo.

Richieste di accesso ai dati: il GDPR include requisiti espliciti per la notifica delle violazioni, laddove una violazione dei dati personali significa "una violazione della sicurezza che comporta la distruzione accidentale o illecita, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, archiviati o altrimenti elaborati.

MyWorkDrive include ampie funzionalità di registrazione e ricerca per segnalare accessi, modifiche o download, che possono essere combinate con strumenti di gestione centralizzata dei registri, strumenti di reporting GDPR Windows File Server o strumenti di avviso di terze parti come File Audit Plus di Manage Engine, Netwrix Auditor o Quest's Change Auditor per NetApp.

Tutti i log di accesso MyWorkDrive sono in formato XML standardizzato per facilitare l'integrazione e la creazione di report. Ipswitch delinea inoltre le best practice per la gestione dei log degli eventi per la sicurezza e la conformità Qui.

Disclaimer

Questo white paper è un commento al GDPR, così come lo interpreta MyWorkDrive, alla data di pubblicazione. L’applicazione del GDPR è altamente legata ai fatti e non tutti gli aspetti e le interpretazioni del GDPR sono ben risolti. Di conseguenza, questo white paper viene fornito solo a scopo informativo e non deve essere considerato come consulenza legale o per determinare come il GDPR potrebbe applicarsi a te e alla tua organizzazione. Ti invitiamo a collaborare con un professionista legalmente qualificato per discutere del GDPR, di come si applica specificamente alla tua organizzazione e del modo migliore per garantire la conformità. MYWORKDRIVE NON FORNISCE ALCUNA GARANZIA, ESPLICITA, IMPLICITA O LEGALE, IN MERITO AI INFORMAZIONI CONTENUTE IN QUESTO WHITE PAPER. Questo white paper viene fornito "così com'è". Le informazioni e le opinioni espresse nel presente white paper, inclusi URL e altri riferimenti a siti Web Internet, possono cambiare senza preavviso. Questo documento non fornisce alcun diritto legale su alcuna proprietà intellettuale in qualsiasi prodotto MyWorkDrive. È possibile copiare e utilizzare questo white paper solo per scopi di riferimento interni.