Best practice GDPR per file server Windows

Dal 25 maggio^th, 2018 tutte le aziende che trattano dati personali dell'UE devono essere conformi al GDPR. Dal punto di vista di un file server Windows, i dati personali rappresentano la preoccupazione maggiore Conformità al GDPR. Le aziende al di fuori dell'UE presumono che il GDPR non si applichi a loro, tuttavia ogni interazione con un cittadino dell'UE richiede conformità: semplicemente gestire un'attività che si trova al di fuori dell'UE non ti dà una "carta per uscire gratis di prigione" !

Con il GDPR, le aziende devono notificare alle autorità e ai clienti le violazioni dei dati entro 72 ore dal momento in cui vengono a conoscenza dell’incidente, conservare i registri per fornire ai clienti conferma se i loro dati vengono utilizzati e come, fornire loro una copia dei loro dati se richiesto e consentire loro di cancellare i propri dati. Nell'ambito del GDPR, le società di audit sulla scoperta dei dati devono classificare tutti i dati personali e, una volta classificati, proteggerli.

Questo elenco di controllo copre i consigli sulle migliori pratiche per la protezione dei dati personali archiviati in un'infrastruttura Windows File Server, tuttavia i dati personali includono anche elementi come la posta elettronica archiviata in Office Online o in sede in Exchange. I dettagli che seguono rappresentano le migliori pratiche da seguire per proteggere i dati personali in conformità non solo al GDPR ma anche ad altri standard (HIPAA, FINRA, ecc.).

Dati personali coperti dal GDPR

L'articolo 4, paragrafo 1, definisce i "dati personali" come segue (tutti i corsivi sono aggiunti se non diversamente indicato):

per "dato personale" si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile ("interessato"); una persona fisica identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare facendo riferimento a un identificatore come un nome, un numero di identificazione, dati relativi all'ubicazione, un identificatore online o a uno o più fattori specifici relativi alle caratteristiche fisiche, fisiologiche, identità genetica, mentale, economica, culturale o sociale di quella persona fisica;

Con una definizione così ampia, spetta a qualsiasi organizzazione identificare e proteggere i dati personali. Quali strumenti sono a disposizione degli amministratori di sistema Windows per identificare e proteggere i dati? Nelle sezioni seguenti identifichiamo gli strumenti e le risorse a disposizione degli amministratori di rete per proteggere i file server e le condivisioni Windows.

Identificazione dei dati personali

Nell'ambito del processo di scoperta le organizzazioni devono identificare, in dettaglio, le proprie attività di trattamento dei dati. Possono farlo predisponendo e mantenendo un registro di tutte le attività di trattamento dei dati. Secondo il GDPR le organizzazioni dovranno conservare la documentazione interna completa delle loro attività di trattamento dei dati. Il primo passo per proteggere l'accesso remoto ai dati con MyWorkDrive è identificare e individuare i dati personali e i processi aziendali. Una volta identificati, i dati personali possono essere protetti dall'accesso. Oltre allo sviluppo e alla documentazione dei flussi di lavoro di elaborazione dei dati, all'interno di MyWorkDrive esistono strumenti su cui cercare file Condivisioni di file di Windows incluso il servizio Windows Search e per le organizzazioni più grandi dTSearch. La combinazione di ricerca, documentazione e rilevamento sull'elaborazione dei dati è il primo passo per proteggere i file server Windows in qualsiasi organizzazione soggetta al GDPR.

Protezione dei dati personali sui file server Windows

Una volta che i dati sono stati classificati, dovresti avere una comprensione completa del tipo di dati che elabori e di come i dati devono essere protetti. Considera come stai attualmente proteggendo i dati personali (se non lo fai) e apporta le modifiche necessarie o metti in atto le procedure necessarie. La protezione della privacy dei dati personali dovrebbe essere una priorità. Potrebbe essere necessario completare una valutazione dell'impatto sulla privacy (PIA) delle politiche per valutare i cicli di vita dei dati e il potenziale impatto sulla privacy dell'individuo. Dovrebbe essere posto l’accento sui requisiti specifici del GDPR, come garantire la portabilità dei dati, il diritto all’informazione, il diritto all’oblio e il modo corretto di distruggere i dati. Dovrebbero essere predisposti le procedure e i controlli necessari per garantire i diritti dei dati personali archiviati. Sono necessarie pratiche per proteggere i dati personali in tutte le forme e luoghi, inclusi quelli on-premise e nel cloud, i dati di cui è stato eseguito il backup, i dati archiviati e i dati in fase di creazione. La sicurezza dell’intero ciclo di vita dei dati deve essere affrontata. Per proteggere i dati personali le aziende possono utilizzare vari metodi tra cui crittografia, anonimizzazione e pseudonimizzazione. Il metodo utilizzato dipende dalle autorizzazioni e dall'accesso dell'utente. Lo sviluppo di una politica di conservazione dell'archivio file è essenziale affinché i file possano essere rimossi nel tempo e quindi non siano più soggetti a conformità.

Microsoft ha risorse complete per bloccare Windows ServerS per conformarsi al GDPR, inclusa la protezione delle credenziali e dei privilegi di amministratore e la protezione del sistema operativo per eseguire le app e l'infrastruttura. Oltre alle risorse Microsoft per bloccare i sistemi operativi Windows File Server, è fondamentale proteggere i sistemi su reti affidabili e abilitare misure di sicurezza aggiuntive come l'autenticazione a due fattori quando si accede ai dati in remoto e impedire i download su dispositivi non gestiti. Gran parte di ciò significa cose di base come visualizzare i registri di sistema e forse vari strumenti per raccoglierli e segnalarli, ma allo stesso modo, ove possibile, le aziende dovrebbero prendere in considerazione l'implementazione di cose come la prevenzione della fuga di dati per monitorare tutti i dati personali a cui si accede sia in sede che in remoto. . Dal punto di vista di MyWorkDrive, proteggere i dati personali sulle condivisioni di file può essere semplice come escluderli completamente dall'accesso remoto o limitare l'accesso per condivisioni specifiche in lettura e modifica solo nel nostro client Web File Manage, limitando al contempo i download utilizzando le nostre funzionalità di prevenzione della perdita di dati.

Crittografia durante il transito

Protocolli come server FTP integrato in Windows IIS non è conforme agli standard GDPR. E nemmeno i vecchi client VPN Windows. MyWorkDrive aggiunge ulteriore protezione durante la trasmissione per proteggere i dati aziendali con crittografia elevata, registrazione estesa, autenticazione a due fattori e funzionalità di prevenzione della perdita di dati. MyWorkDrive Server e i client supportano completamente lo standard TLS 1.2 per proteggere i file e le aziende possono disabilitare in sicurezza l'accesso TLS 1.0. Nostro Articolo di supporto di MyWorkDrive descrive in dettaglio come disabilitare le crittografie non sicure e deboli per proteggere i dati durante il transito. Un ulteriore passo per proteggere i dati in transito è proteggere il sistema operativo stesso con regole firewall. MyWorkDrive stesso può essere eseguito in una zona firewall separata che limita le porte in entrata e in uscita solo a quelle richieste per le condivisioni SMB, Active Directory e il traffico DNS internamente e il traffico HTTPS (SSL) esternamente. Sono disponibili ulteriori dettagli sulle porte necessarie per la corretta comunicazione del firewall del server MyWorkDrive in un ambiente bloccato Qui.

Crittografia a riposo

Un modo per limitare questa esposizione alle violazioni del GDPR è crittografare i dati inattivi: anche se si verificasse una violazione se la chiave di crittografia non viene violata, le aziende potrebbero potenzialmente evitare la fase di notifica. Il Rapporto GDPR ha un ottimo articolo qui che osserva "In caso di compromissione o perdita di dati, se l'organizzazione ha il pieno controllo delle proprie chiavi di crittografia, può evitare del tutto la fase di notifica se i dati sono illeggibili al mondo esterno all'organizzazione. Al contrario, se il fornitore cloud o SaaS controlla le chiavi e queste vengono violate, non c’è modo di essere certi che i dati dell’organizzazione siano al sicuro – e ne conseguono notifiche e multe”. Ciò include i file archiviati su file server Windows e i backup archiviati in sede o nel cloud. MyWorkDrive non archivia mai i dati dei clienti sia in sede sul server di accesso Web ai file MyWorkDrive sia quando viene aperto in Office 365 online. Le aziende possono crittografare in modo sicuro i propri dati su Condivisioni di file di Windows senza influire sull'accesso remoto ai file MyWorkDrive utilizzando strumenti server Windows integrati o utilizzando fornitori di terze parti come Sophos o Symantec. Dal punto di vista del server e del client MyWorkDrive gli utenti accedono alle condivisioni di file nel loro contesto utente proprio come farebbero con le tradizionali unità mappate. Il MyWorkDrive server di file cloud converte il traffico del file server SMB locale in HTTPS per consentire all'utente di accedere ai file in remoto, aggiunge ulteriori funzionalità di registrazione e l'autenticazione a due fattori opzionale. Inoltre, poiché è possibile accedere e modificare i file direttamente senza scaricarli, è possibile ridurre al minimo l'archiviazione dei file localmente sui dispositivi degli utenti finali. Le aziende possono anche abilitare le funzionalità di prevenzione della perdita di dati di MyWorkDrive per impedire il download e la condivisione esterna pur consentendo la visualizzazione e la modifica dei documenti in un browser sicuro.

Monitoraggio e reporting

Ovviamente, non puoi iniziare ad andare avanti per soddisfare i rigorosi requisiti di notifica GDPR entro 72 ore se non riesci a rilevare la violazione in primo luogo. Richieste di accesso ai dati: il GDPR include requisiti espliciti per la notifica di violazione laddove per violazione dei dati personali si intende "una violazione della sicurezza che comporta la distruzione, la perdita, l'alterazione accidentale o illecita, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, archiviati o dati personali altrimenti trattati. MyWorkDrive include ampie funzionalità di registrazione e ricerca per segnalare accessi, modifiche o download che possono essere combinati con strumenti di gestione dei registri centralizzati, strumenti di reporting di Windows File Server o strumenti di avviso di terze parti come File Audit Plus di Manage Engine, Netwrix Auditor o Quest's Change Revisore dei conti per NetApp. Tutti i registri di accesso a MyWorkDrive sono in formato XML standardizzato per facilitare l'integrazione e il reporting. Ipswitch delinea inoltre le migliori pratiche per la gestione del registro eventi per la sicurezza e la conformità Qui.

Disclaimer

Questo white paper è un commento al GDPR, così come lo interpreta MyWorkDrive, alla data di pubblicazione. L’applicazione del GDPR è altamente legata ai fatti e non tutti gli aspetti e le interpretazioni del GDPR sono ben risolti. Di conseguenza, questo white paper viene fornito solo a scopo informativo e non deve essere considerato come consulenza legale o per determinare come il GDPR potrebbe applicarsi a te e alla tua organizzazione. Ti invitiamo a collaborare con un professionista legalmente qualificato per discutere del GDPR, di come si applica specificamente alla tua organizzazione e del modo migliore per garantire la conformità. MYWORKDRIVE NON FORNISCE ALCUNA GARANZIA, ESPLICITA, IMPLICITA O LEGALE, IN MERITO AI INFORMAZIONI CONTENUTE IN QUESTO WHITE PAPER. Questo white paper viene fornito "così com'è". Le informazioni e le opinioni espresse nel presente white paper, inclusi URL e altri riferimenti a siti Web Internet, possono cambiare senza preavviso. Questo documento non fornisce alcun diritto legale su alcuna proprietà intellettuale in qualsiasi prodotto MyWorkDrive. È possibile copiare e utilizzare questo white paper solo per scopi di riferimento interni.

Pubblicato marzo 2018, versione 1.0

© 2019 MyWorkDrive, Wanpath LLC. Tutti i diritti riservati.