Riportiamo in questa pagina un commento sul Regolamento Generale sulla Protezione dei Dati
(GDPR)
dell’UE e sulla ripercussioni per gli utilizzatori di AssoAVIS. Stiamo
dedicando molto tempo nel valutare le possibili implementazioni sul nostro software
ma siamo consapevoli che il software AssoAVIS, distribuito ad un numero molto
elevato di clienti, ha una grande quantità di personalizzazioni che
difficilmente ci permetteranno di intervenire radicalmente sul software senza
provocare malfunzionamenti o blocchi delle personalizzazioni che dovranno
essere riprogettate con quanto ne consegue in termini di tempo e costi per i
clienti. Anche l’elevata disomogeneità nella grandezza degli archivi gestiti e
nelle modalità di lavoro non permettono di trovare soluzioni uniche che
soddisfino tutti i clienti, le eventuali soluzioni potrebbero essere di
esagerato impatto tecnico ed economico per chi gestisce poche anagrafiche o
insufficienti per chi gestisce migliaia di anagrafiche.
I nostri dubbi sono poi supportati dal GDPR stesso che
prevede un’analisi caso per caso del contesto in cui si interviene con approcci
e metodologie differenti in base alle specifiche esigenze.
Queste nostre note vengono redatte al solo scopo informativo
e non vanno intese come riferimento legale o come soluzione unica su come
applicare il GDPR alla vostra realtà. Noi vi consigliamo di collaborare con
personale esperto per discutere il GDPR e verificare come applicarlo alla
vostra realtà e come garantire la vostra conformità.
Quanto riportato in questo documento è relativo esclusivamente all'applicazione del GDPR al software AssoAVIS. Per quanto riguarda invece l'applicazione del GDPR correlati ai servizi di assistenza o ad altri servizi forniti dalla MeSIS si rimanda ai singoli contratti.
Il Regolamento Generale sulla
Protezione dei Dati o GDPR
si occupa fondamentalmente della protezione e della messa in atto dei diritti
sulla privacy, introduce dei requisiti specifici rigorosi legati ai diritti
degli “interessati”, come il diritto di accedere ai propri dati personali, di
correggere le inesattezze, di cancellare dati, opporsi al trattamento dei
propri dati e il diritto di ottenerne una copia.
Il GDPR cerca anche di assicurarsi che i dati personali
siano protetti, indipendentemente da dove vengano inviati, trattati o
archiviati. La protezione e la sicurezza dei dati sono quindi elementi chiave
nel fronteggiare i principi del GDPR. Ci sono diversi obblighi introdotti dal
GDPR legati al controllo e alla sicurezza nel trattamento dei dati personali. Il
regolamento obbliga il Titolare del trattamento dei dati a “implementare
appropriate misure tecniche e organizzative ” al fine di osservare questo
regolamento.
L’iter per la conformità al GDPR dovrebbe prevedere almeno i seguenti passi:
- Identificare quali dati personali vengono gestiti e dove si trovano.
- Controllare come vengono usati i dati personali e come vi si accede.
- Stabilire dei controlli di sicurezza per prevenire, rilevare e rispondere alle vulnerabilità e alle violazioni dei dati.
- Conservare la documentazione richiesta, gestire le richieste di dati e fornire notifiche di violazione.
Il software AssoAVIS da noi
distribuito è da includersi nei sistemi software “on-premise”, ovvero prevede l'installazione
e l’esecuzione del software direttamente sulla macchina locale come singola
postazione di lavoro o come server di norma raggiungibile dall'interno della
rete locale. L’archivio dati è quindi sotto il diretto controllo del Titolare
che deve provvedere all’analisi di conformità del sistema.
L'articolo 25 introduce il
principio di “privacy by design” e “privacy by default”,
un approccio concettualmente innovativo che prevede di avviare un nuovo progetto
di gestione dati personali sia esso manuale che informatizzato considerando fin
da subito gli strumenti e le corrette impostazioni a tutela dei dati trattati.
Il concetto di privacy by design si
basa sul principio base per cui è meglio prevenire che correggere il problema, cioè i problemi vanno valutati nella fase di progettazione e
l'applicativo software deve prevenire il verificarsi dei rischi. Dall'articolo
25 si evince che l'approccio del GDPR è centrato sulla valutazione del
rischio (risk based approach), con il quale si determina la
misura di responsabilità del titolare o del Responsabile del
trattamento, tenendo conto dello stato dell'arte, dei costi di attuazione,
della natura, della portata, del contesto e delle finalità del trattamento,
nonché della probabilità e della gravità dei rischi per i diritti e le libertà
degli utenti.
Secondo il concetto di privacy by design la valutazione del
rischio va fatta prima che il trattamento viene avviato tenendo conto del tipo di
dati trattati. L'approccio basato sul rischio comporta anche che si deve tenere
conto dello stato della tecnologia, per cui il trattamento va adattato nel
corso del tempo.
L'utilizzo
di software gestionali non
direttamente prodotti sulle specifiche tecniche e funzionali dal Titolare ma acquistati
sul mercato da aziende terze (come è il software AssoAVIS) comporta che
sia l’azienda produttrice a dover sviluppare le valutazioni del rischio
dell'uso dell'applicativo, ovviamente disegnato in maniera conforme al
regolamento. Valutazione che dovrà essere opportunamente documentata al Titolare
del trattamento. Acquistando un software progettato “privacy by design” si
riduce sicuramente la possibilità di intervenire con personalizzazioni che
amplino l’accessibilità ai dati o aumentino la tipologia e la quantità di dati
trattati. L’attività di personalizzazione spinta del software genererebbe una
deviazione dal progetto base e quindi dalla valutazione di rischi iniziali.
Qualsiasi personalizzazione al software potrebbe comportare una nuova
valutazione dei rischi con possibilità di innescare un conflitto fra la
valutazione del rischio dell’azienda produttrice e la valutazione dei rischi
effettuata dal Titolare richiedente la modifica.
Parlare comunque di certificazione
di software “privacy by design” per il software AssoAVIS è oggi impossibile.
Il software AssoAVIS è stato prodotto su indicazioni dell’AVIS Nazionale alla
fine degli anni ’90. In questi 20 anni, sulla spinta delle richieste dei
clienti, il software ha subito aggiornamenti funzionali e aggiornamenti
tecnologici che ne hanno potenziato le funzionalità con l’obbiettivo di
massimizzare l’accessibilità ai dati stessi. Per il software AssoAVIS si potrebbe
parlare eventualmente di riprogettazione, nella fase di riprogettazione della
eventuale nuova versione privacy by
design ovviamente si andrebbero a perdere tutte le singole personalizzati
effettuate negli ultimi 20 anni sui singoli clienti.
Il
secondo principio introdotto dal DGPR, privacy by default (protezione
per impostazione predefinita) prevede che per impostazione predefinita il
Titolare del trattamento dei dati dovrebbe trattare solo i dati personali nella
misura necessaria e sufficiente per le finalità previste e
per il periodo strettamente necessario a tali fini. Questo concetto ricade
sulle funzionalità del Titolare che deve decidere prima dell’uso quali debbano
essere le impostazioni predefinite da impostare sul proprio gestionale. Questa
responsabilità non può ricadere sull’azienda produttrice del software che si
limita a fornire le varie opzioni su cui il Titolare può optare in base alle
sue esigenze.
Nella
sezione GDPR-UE dell’area di download del sito di AssoAVIS saranno disponibili
vari documenti che aiuteranno il Titolare nell’analisi sui dati personali
trattati dal software e aiuti su come gestire i diritti degli “interessati”
come cancellazione o consegna di una copia dei propri dati. Inoltre i documenti
potrebbero essere di aiuto al Titolare per produrre una corretta informativa
verso l’interessato, valutare eventuali
rischi e determinare le misure
per affrontarli implementando la propria analisi dei rischi.
Proviamo ora a descrivere come si
potrebbe intervere sull’attuale software AssoAVIS per aumentare la sicurezza
per accessi indesiderati o furto di dati.
Premettiamo, per una questione di ovvietà,
che per tutti i dati personali presenti in documenti estratti dal gestionale
(report, file di testo, stampe di documenti) il responsabile è colui che ha prodotto il documento o
l’estrazione. Il Titolare dovrà quindi iniziare valutando l’attività dei propri
operatori definendo procedure chiare sull’estrazione e la distribuzione dei
dati stessi. Sarebbe assurdo ed un inutile spreco di risorse richiedere e
prevedere un sistema di sicurezza assoluta sul database AssoAVIS e poi
sistematicamente effettuare estrazioni di dati personali che vengono distribuite
senza sicurezza o vengono lasciate incustodite sulla postazione di lavoro o su
chiavette USB.
Parlando esclusivamente dei dati
archiviati e gestiti nel database AssoAVIS si devono valutare due fattori
principali: l’accessibilità ai dati tramite il software AssoAVIS con relativa
tracciatura, l’accesso ai dati con mezzi impropri che potrebbero permettere il
furto o l’accesso ai dati a personale non autorizzato.
Accesso dei dati tramite software AssoAVIS
L’accesso al software AssoAVIS
viene già effettuato tramite credenziali formate da Utente e Password. Nelle prossime
versioni di AssoAvis saranno aumentati i sistemi di sicurezza. Saranno introdotti sistemi di controllo
contro il "Password Cracking" o "Brute Force" che prevedranno un
massimo di 20 tentativi di accesso consecutivo giornaliero con password errata
per singolo utente. Saranno potenziati i LOG di accesso onde poter verificare
eventuali Accessi indesiderati. Sarà introdotta una opzione che obbligherà
l’uso dell’utente "Administrator" per la sola attività di amministrazione
utenze e obbligherà l’identificazione singola di tutti gli operatori di
AssoAVIS. Per la creazione di Utenti standard si dovrà procedere obbligatoriamente
inserendo una sigla utente ed i dati anagrafici di identificazione (la sigla
utente non può essere eliminata o corretta e non può essere utilizzata nel
tempo per identificare altri utenti). Il sistema già prevede la necessità di
reinserire la password ogni 3 mesi, il blocco delle credenziali dopo 6 mesi di
inutilizzo. Il software AssoAVIS prevede anche un utente "MeSIS" utilizzato per
l’accesso dei tecnici che effettuano assistenza sul software. L’utente "MeSIS"
di manutenzione potrà essere disattivato dall’amministratore quando non è strettamente
necessario.
Gestione accesso indesiderato o furto dei dati.
I dati di AssoAVIS sono archiviati in un database Microsoft
SQL Server. L’installazione standard prevede l’uso della versione Express di
Microsoft SQL Server che è gratuita.
Il sistema Microsoft SQL Server Express installato con la
modalità standard di AssoAVIS, prevede la disattivazione dell’accesso di utenti
macchina e l’uso di alcuni utenti di database: x1,x2,x3. A questi utenti di SQL viene cambiata
automaticamente e periodicamente la password dal software AssoAVIS stesso. L’amministratore
inoltre può attivare un utente di sola lettura per l’accesso da sistemi
esterni ma si innesca un punto di vulnerabilità per i dati per cui ne è
sconsigliato l’utilizzo. Se l’istallazione di AssoAVIS è personalizzata
su un Microsoft SQL server fornito dal cliente, la gestione degli account e
lasciata all’amministratore di sistema.
Per evitare l’accesso indesiderato agli archivi, il Sistema
Microsoft SQL Server nella versione Enterprise (non quella gratuita fornita con
AssoAVIS) mette a disposizione sistemi avanzati di sicurezza che permettono la
massima sicurezza contro furti di dati o spionaggio di rete. I sistemi presenti sono:
Il Transparent Data Encryption (TDE) che effettua
in tempo reale una criptazione e decodifica del database, dei relativi
backup e dei file di log delle transazioni. La criptazione è a livello fisico
di file e rende impossibile l’accesso ai dati in caso di furto del Database o
del Backup.
Oltre alla protezione dal furto del database e
dei backup il sistema Microsoft SQL Server prevede anche un sistema di
crittografia SSL della comunicazione che avviene fra le postazioni Client ed il
Server. Questo sistema di crittografia permette di mascherare le comunicazioni
client/server qualora si stia lavorando in una infrastruttura non sicura.
Si può ottenere un protezione con criptazione fisica
del disco anche operando al di fuori di SQL Server, direttamente sul Computer dotato
di chip TPM (integrato nelle schede madri più recenti). Il chip TPM fornisce
alcune funzionalità crittografiche sfruttabili dal sistema operativo che
permettono di effettuare il Bitlocker del disco dove si trova il Sistema
Operativo.
Ovviamente i sistemi di crittografica segnalati prevedono
che in caso di perdita delle chiavi di criptazione o del chip TPM i dati siano
di fatto irrecuperabili da chiunque anche dal servizio tecnico.
Segnaliamo però che il chip TPM anche se ha un basso costo è
però presente solo per alcune macchine, i sistemi di criptazione e
comunicazione SSL di Microsoft SQL Server sono utilizzabili con la versione a
pagamento di Microsoft SQL Server Enterprise. Il GDPR consente di commisurare
le misure di sicurezza da adottare anche ai costi che comportano; l’art. 32
infatti recita “Tenendo conto dello stato dell’arte e dei costi di
attuazione ….”. Tenere conto dei costi si colloca all’interno del principio
generale dell’accountability del Titolare e, dunque, all’interno di una
riflessione articolata e documentata sulla sicurezza dei dati personali che
significa certamente individuare i rischi che il trattamento comporta, le
probabilità di accadimento di questi rischi e i danni che ne possono derivare
ma anche descrivere le possibili soluzioni, i costi relativi, gli impatti
organizzativi ed i limiti, cioè i rischi residui stimati a valle dell’eventuale
adozione di una soluzione. Solo a questo punto può e deve essere esplicitata la
valutazione relativa alla sostenibilità, non solo economica, ma anche
organizzativa in relazione al contesto aziendale. E’ importante sottolineare
che il costo di una misura di sicurezza non è solo riconducibile al prezzo
degli strumenti tecnici o dei servizi che costituiscono la misura di sicurezza
ma include anche agli oneri organizzativi che sono il presupposto o la
condizione di efficacia della sua adozione.
In considerazione di quanto sopra indicato è ovvio che la quantità
di dati personali e la modalità di gestione dei dati stessi può variare il
trattamento dal punto di vista della sicurezza. Il trattamento di poche decine di anagrafiche di donatori avrà sicuramente un
impatto di sicurezza diverso rispetto alla gestione di migliaia di donatori.
Allo stesso modo il trattamento effettuato su un singolo computer da parte di
un singolo operatore richiederà sicuramente un impatto differente sulle misure
di sicurezza rispetto a trattamenti effettuati con infrastrutture di rete in
cui operano più operatori.
Alla luce di quanto indicato in precedenza, è difficile identificare
un’unica soluzione valida per tutti per cui proveremo ad illustrare alcuni
possibili sistemi di sicurezza che il Titolare potrà valutare in base alle sue
necessità.
L’installazione base prevede una unica postazione di lavoro con uno o due
operatori che accedono e possono lavorare sul software. In questo caso
i rischi correlati ad accesso indesiderato e furto degli archivi o spionaggio
in rete sono molto limitati. Si deve
lavorare sulla sicurezza di accesso alla postazione di lavoro configurando in
modo opportuno le credenziali di accesso a Windows. Si deve attivare il
firewall per evitare l’accesso esterno al Database AssoAVIS (qualora la
postazione sia inserita in una rete con altri computer). Il Backup del database
deve essere salvato su un dispositivo esterno in modalità protetta da password
o attivando la criptazione bitlocker sull’unità esterna. Qualora il computer
abbia a disposizione un chip TPM di criptazione si può procedere alla criptazione
dell’intero disco di sistema con il bitlocker di windows che produce
l’impossibilità di accedere per chi non è in possesso della password di accesso
a Windows. In mancanza del chip TPM si
può procedere installando un disco
separato protetto o un disco virtuale protetto da bitlocker in cui inserire il
database di AssoAVIS. Usando questa modalità il database microsoft SQL dovrà
essere avviato e sarà accessibile solo dopo aver attivato il disco protetto. Nel
disco protetto potrebbero essere inseriti oltre al database anche
l’applicazione AssoAVIS con i dati elaborati e/o estratti in modo che anche
questi dati risultino protessi da accessi indesiderati.
Si può prevedere anche un’installazione in
una postazione Windows in Cloud, in questo caso se il fornitore dell’area Cloud
da sufficienti rassicurazioni sulla sicurezza di accesso ed eventualmente sul
backup o sulla ridondanza del Cloud si potrebbero evitare sistemi di sicurezza
ulteriori a protezione del database.
Il database SQL Server di AssoAVIS può essere
usato anche su più postazioni
presenti in rete. Per queste configurazioni si identificherà come
postazione Server quella che oltre ad avere il software AssoAVIS ha anche il
database Microsoft SQL, si identificherà come postazione Client quella che ha
solo il software AssoAVIS ma utilizza il database presente sul Server.
In questo caso i rischi correlati ad accesso indesiderato e furto degli archivi
o spionaggio in rete sono un po’ più elevati. Di norma si prevede un certo
numero di operatori che possono lavorare contestualmente. Si deve lavorare non
solo sulla sicurezza di accesso alla postazione di lavoro singola configurando
in modo opportuno le credenziali di accesso a Windows ma si deve lavorare anche
sull’accesso in rete alla postazione Server che deve essere bloccato onde
evitare che gli utenti in rete possano prelevare in modo incontrollato il
database o copie di backup. Sulla postazione server si deve configurare
correttamente il firewall per permettere l’accesso sul server alla sola porta
di SQL (di norma 1433). Sulla postazione server il Backup del database deve
essere salvato su un dispositivo esterno in modalità protetta da password o
attivando la criptazione bitlocker sull’unità esterna. Qualora il computer server
abbia a disposizione un chip TPM di criptazione si può procedere alla
criptazione dell’intero disco di sistema con il bitlocker di windows che
produce l’impossibilità di accedere per chi non è in possesso della password di
accesso a Windows. In mancanza del chip
TPM sulla postazione server si può procedere installando un disco separato
protetto o un disco virtuale protetto con bitlocker in cui inserire il database
di AssoAVIS. Usando questa modalità il database Microsoft SQL dovrà essere
avviato e sarà accessibile solo dopo aver attivato il disco protetto, le
postazioni client potranno accedere ai dati solo dopo aver avviato il sistema
AssoAVIS nella postazione server.
In alcune configurazioni particolarmente
complesse la postazione server potrebbe essere una postazione dedicata
dislocata in apposita area protetta e non utilizzata come postazione di lavoro.
Per questa realtà abbiamo studiato soluzioni che permettono di effettuare il
montaggio automatico del disco protetto, l’avvio del servizio Microsoft SQL con
database AssoAVIS e la schedulazione del Backup.
Un fatto da monitorare in una configurazione
in rete è la possibile visualizzazione dei dati o il furto di credenziali
tramite l’uso di software di spionaggio tipo sniffer. Qualora si ritenga che la
propria infrastruttura di rete sia poco sicura proponiamo come soluzione l’uso
di sistemi di criptazione implementabili con software tipo OpenSSH, si potranno
stabilire connessione sicure fra client/server.
Nella sezione
GDPR-UE dell’area di download del sito di AssoAVIS saranno disponibili vari
documenti che descrivono l’implementazioni tecnica delle soluzioni precedentemente ipotizzate.
Come ultima nota ai nostri commenti sul DGPR segnaliamo che abbiamo
valutato anche il possibile impatto dell’eventuale criptazione lato database
SQL dei dati di identificazione dell’anagrafica. La criptazione di questi dati
ci permetterebbe di evitare l’associazione dei dati personali con la specifica
anagrafica in caso di furto del database AssoAVIS. Dalla valutazioni sono
emerse una serie di problematiche, che vi evidenziamo in seguito, per le quali
abbiamo ritenuto di non proseguire (almeno per ora) ritenendo che gli altri
metodi di sicurezza sopra descritti permettano già una adeguato livello di sicurezza.
L’implementazione di una Criptazione diretta sul Database avrebbe delle
ripercussioni sulle attuali funzionalità di AssoAVIS:
- Solo passando tramite il software AssoAVIS si
potrebbero decifrare i dati di identificazione per cui sarebbe reso inutilizzabile
l’accesso esterno di sola lettura.
- Tutti i report ed i moduli personalizzati
implementati in questi anni dagli utenti dovranno essere rifatti. Infatti non
sarebbe più possibile stampare il nome o il cognome dell’anagrafica inserendo
il campo specifico del Database ma si dovrebbe passare per una nuova funzione
di decriptazione.
- Tutte le procedure aggiuntive e
personalizzazioni che non fanno parte del modulo software standard AssoAVIS
sviluppate in questi anni per i singoli clienti dovranno essere rifatte (con
relativi costi) per prevedere l’utilizzo della criptazione e decriptazione dei
dati di identificazione.
In virtù del fatto che le ripercussioni per chi utilizza il softare AssoAVIS da molti anni saranno sicuramente sgradite, abbiamo ritenuto di astenerci per ora
dalla criptazione diretta dei dati sul database.