GDPR: 5 lezioni apprese L’esperienza di Veeam sulla conformità · Introduzione ... e ai clienti...

© 2018 Veeam Software. Informazioni riservate. Tutti i diritti riservati. Tutti i marchi citati appartengono ai rispettivi proprietari.

GDPR: 5 lezioni apprese L’esperienza di Veeam sulla conformitàUna guida pratica per i professionisti IT

Mark WongGeneral Counsel

© 2018 Veeam Software. Informazioni riservate. Tutti i diritti riservati. Tutti i marchi citati appartengono ai rispettivi proprietari. 1

GDPR: 5 lezioni apprese, l’esperienza di Veeam sulla conformità.

IndiceIntroduzione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Conoscere i propri dati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Gestire i dati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Località . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Chi può accedere? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Esclusioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

Proteggere i dati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Documentazione e conformità . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Miglioramento continuo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Conclusione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Informazioni su Veeam Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17



Veeam® si impegna a condividere la sua esperienza sulla conformità al GDPR . Questo regolamento è complesso e molto sensibile al contesto: ciò significa che il programma di conformità alla GPDR di ogni organizzazione può contenere elementi diversi da quello di un’altra . Il GPDR è un aggiornamento sostanziale della Direttiva sulla protezione dei dati del 1995 o, per essere più precisi, della Direttiva 95/46/CE (proprio così, sono passati 21 anni tra i 2 importanti aggiornamenti!) e il mondo ricco di dati in cui viviamo è molto diverso da quello del 1995 .

Molti potrebbero pensare che il GPDR sia un problema che riguarda solo l’IT, ma non è assolutamente così . Riguarda tutti — non solo l’IT .

Abbiamo preparato questo white paper con un taglio discorsivo, approfondendo il modo in cui Veeam interpreta il GPDR alla data di pubblicazione del presente documento . Siamo una società di Information Technology a capitale privato che sviluppa software di backup, disaster recovery e gestione dei dati per carichi di lavoro virtuali, fisici e basati sul cloud al fine di fornire l’Availability for the Always-On Enterprise™ . Abbiamo investito molto tempo a studiare il GPDR non solo per essere conformi come organizzazione globale, ma anche in funzione dello sviluppo dei nostri prodotti .

Questo white paper non deve essere considerato una consulenza legale o una determinazione delle modalità con cui il GDPR si applica alla tua organizzazione . Consigliamo di seguire il nostro esempio e lavorare con professionisti legalmente qualificati per discutere del GPDR e di come questo si applichi alla specifica organizzazione, collaborando e costruendo un piano per raggiungere la conformità . Veeam offre il presente white paper “così com’è” e non fornisce alcuna garanzia, espressa o implicita, sulle informazioni in esso contenute .



Pubblicato a gennaio 2018. Versione 1.0

IntroduzioneA metà del 2016, poco dopo la promulgazione del Regolamento generale sulla protezione dei dati, o GDPR (General Data Protection Regulation), il team della direzione generale Veeam decise immediatamente di investire in un’iniziativa di conformità al GDPR . Abbiamo riconosciuto il GPDR come il nuovo benchmark e lo standard globale a cui gli altri Paesi avrebbero guardato come punto di riferimento per la privacy sui dati . Il GPDR è una nuova legge ed è la prima ad occuparsi della privacy dei dati degli individui dalla Direttiva sulla protezione dei dati 95/46/CE . Si tratta di un provvedimento ad ampio respiro che invitiamo a leggere . Tutte le 260 pagine sono disponibili a questo indirizzo:

hiip://data . consilium .europa .eu/doc/document/ST-5419-2016-INIT/en/pdf .

Il primo suggerimento che possiamo fornire è di accettare il fatto che si tratta di una “evoluzione” e non di una “rivoluzione”, in quanto molte prassi organizzative adottate in precedenza, in conformità con la Direttiva sulla protezione dei dati, costituiscono la base per la conformità al GDPR . Esistono numerosi articoli e blog post che trattano del GPDR, dato che le organizzazioni stanno cercando di sfruttare questa opportunità per catturare la tua attenzione .

Noi di Veeam ci abbiamo pensato attentamente . Realizziamo soluzioni software per aiutare organizzazioni come la tua a funzionare in modo più efficiente ed efficace . I nostri fondatori, Ratmir Timashev e Andrei Baronov, hanno creato Aelita Software, un’azienda che forniva strumenti di gestione per le reti enterprise migliorando sicurezza, usabilità e controllo sugli ambienti di rete delle organizzazioni . È ancora possibile trovare questi strumenti nei prodotti Windows Management di Quest Software . Timashev e Baronov hanno lanciato Veeam nel 2006 e con la nostra Veeam Availability Platform aiutiamo le organizzazioni come la tua a garantire l’Availability per tutte le applicazioni e tutti i dati in ogni cloud . Conosciamo bene la gestione e la protezione dei dati, due (2) dei principi cardine del GPDR, per cui vogliamo spiegare cosa significa il GDPR per noi e come Veeam può contribuire a recepirne i punti principali .

Il piano d’azione di Veeam è di affrontare la conformità al GDPR a partire dai seguenti cinque (5) principi:

1. Conoscere i propri dati: individuare le informazioni di identificazione personale (“PII”) raccolte dalla propria organizzazione e chi può accedervi;

2. Gestire i dati: stabilire regole e procedure per accedere alle PII e utilizzarle

3. Proteggere i dati: implementare e garantire l’attuazione di controlli di sicurezza per proteggere le informazioni e rispondere alle violazioni dei dati

4. Documentazione e conformità: documentare i processi, dare seguito alle richieste sui dati e riportare qualsiasi problema o violazione dei dati nell’ambito delle linee guida

5. Miglioramento continuo: tenere il passo con il mondo digitale in rapido cambiamento, rivedere e migliorare costantemente processi e procedure per la privacy e la protezione dei dati



Conoscere i propri datiSe l’azienda tratta informazioni di identificazione personale (PII), è necessario verificare dove si trovano e come vengono raccolte TUTTE queste informazioni . Il GPDR è un impegno collettivo dell’intera organizzazione e tutti devono esserne coinvolti . Il GDPR si applica alla tua azienda nel caso in cui sia in possesso di PII di un residente UE oppure se ha sede nello Spazio economico europeo . Il GDPR è il nuovo benchmark e lo standard per la privacy dei dati ed è considerato il “leader globale” . Veeam si aspetta che molti dei concetti su cui si fonda saranno implementati a breve da altri Paesi . E quindi, anche se fai parte di una delle poche organizzazioni che ritiene il GPDR non applicabile al proprio caso, i concetti si applicheranno comunque, una volta adottato dalla giurisdizione locale .

Da parte nostra, siamo convinti che condividere ciò che abbiamo appreso potrebbe essere utile nel processo di raggiungimento della conformità . Siamo una società globale con sede centrale in Svizzera e un’impronta realmente globale, con 3 .000 dipendenti in tutto il mondo . E non abbiamo solo clienti in tutto il mondo, molti di essi condividono la nostra presenza globale . Di conseguenza, Veeam tratta dati di tutto il mondo e non solo agisce in conformità con il GDPR, bensì si impegna costantemente a implementare le best practice per il GPDR e per la conformità alla privacy sui dati in generale . Dato che ci siamo impegnati a condividere la nostra iniziativa di conformità desideriamo anche fornire i materiali che abbiamo sviluppato internamente nel nostro percorso fino ad ora .

Come abbiamo già detto, individuare dove si trovano TUTTI i dati, come vengono raccolti, chi ne ha accesso e dove tali dati sono (fisicamente) custoditi è il primo passo nel percorso verso la conformità .

Consiglio importante: i diagrammi che mappano il flusso delle PII attraverso l’organizzazione e verso partner terzi sono un buon modo per iniziare. Una mappa visuale è un ottimo modo per classificare e gestire gli ambienti di rete e mostreremo come Veeam ha progettato utili strumenti di mapping degli ambienti nella sua Veeam Availability Platform per ottenere un quadro completo dell’ambiente.

Figura 1: esempio di una mappa di dati dell’infrastruttura



Come organizzazione, dopo aver completato il primo passo, si saranno probabilmente classificati i dati e identificati tutti i diversi luoghi in cui sono archiviate le PII . Possono esserci alcune VM, server fisici o persino istanze cloud delle Risorse umane e caselle di posta, che, è noto, contengono PII . Spesso queste informazioni sono anche business critical e fondamentali per le operazioni core dell’azienda . Questi dati devono essere disponibili, perciò è stato predisposto un piano di backup per questi ambienti . Se stai già usando Veeam, saprai che Veeam ONE™ 9 .5 offre la visibilità completa negli ambienti di backup e virtuali .

Figura 2: esempio di una dashboard per l’infrastruttura di backup

Veeam ONE 9 .5 è uno strumento potente per il monitoraggio, la reportistica e il capacity planning per i backup, le VM VMWare vSphere e Microsoft Hyper-V, i sever fisici, le workstation e le VM nel cloud . Il nostro software offre la garanzia che, sei hai strutturato gli ambienti per la conformità al GDPR, anche i backup verranno archiviati e gestiti in modo logico per conferire la visibilità completa negli ambienti in ogni momento . È possibile controllare e gestire il piano di backup in modo che operi in sinergia con le VM operative, sapendo che il backup è disponibile in caso di necessità .



Figura 3: esempio di una dashboard basata sul tagging di dipartimento

Gestire i datiOra che i dati, i punti in cui le PII entrano nell’organizzazione e dove queste vengono archiviate sono tutte informazioni note, è necessario stabilire regole e procedure per accedere alle PII e utilizzarle . Questo è il secondo principio fondamentale del GPDR: gestire le PII implica gestire chi ha accesso alle informazioni, perché lo fa e a quale scopo . Durante questo processo, Veeam ha imparato che diverse organizzazioni gestiscono le PII e vi accedono per diversi motivi . Parliamo di tre (3) dipartimenti che sono molto probabilmente presenti nella tua organizzazione e dei piani e processi personalizzati previsti per ciascuno di essi:

1. Marketing: i nostri team di marketing globali sono responsabili per lo svolgimento delle campagne e la generazione di contatti commerciali per il dipartimento vendite . Sono in prima linea nel raccogliere informazioni su clienti e partner potenziali alle conferenze, sui nostri siti web e attraverso campagne di marketing mirate . Veeam sfrutta un team di eccellenza nel marketing e nei programmi go-to-market che analizza e ottimizza i dati per assicurare che, quando il nostro referente commerciale contatta un potenziale cliente, sappia esattamente cosa sta cercando, al fine di fornire il pacchetto e la soluzione migliore da implementare . Nel nostro mondo digitale così frenetico, questo processo avviene molto rapidamente . Era importante che Veeam standardizzasse le procedure di elaborazione delle PII ottenute tramite le nostre diverse fonti di marketing . Veeam ha implementato un sistema di “opt-in” (consenso esplicito, che è doppio in alcuni Paesi) per garantire che gli individui che ci forniscono le loro PII sappiano perché vengono raccolte e per fare in modo che, quando li contatteremo, non saranno sorpresi . Monitoriamo rigorosamente gli elenchi relativi al consenso ed effettuiamo un confronto con eventuali rinunce al consenso prima di iniziare una campagna di marketing mirata . L’obiettivo di Veeam è quello di contattare solo le persone che desiderano essere contattate da noi e per i motivi che hanno dichiarato . Come sempre, offriamo la possibilità ai clienti e ai clienti potenziali di dare il consenso o ritirarlo in qualsiasi momento .



2. Vendite: Veeam è orgogliosa della sua partnership con Salesforce .com per il proprio software CRM e ciò sottolinea l’importanza di scegliere i partner giusti . Veeam sceglie solo partner già conformi o che hanno intrapreso il percorso verso la conformità con il GDPR prima di affidare a questi partner le PII dei clienti o dei potenziali clienti . Veeam esamina attentamente ogni terza parte con cui collabora e continua a monitorare e valutare i partner che potrebbero elaborare PII da essa raccolte . Consigliamo di fare altrettanto . Avere la certezza che gli incaricati del trattamento dei dati abbiano implementato i metodi tecnici e organizzativi necessari in materia di sicurezza è un principio fondamentale del GDPR .

3. Risorse umane: spesso, quando le organizzazioni pensano alla conformità al GDPR, si focalizzano quasi completamente sulle modalità di raccolta ed elaborazione delle PII dei clienti potenziali . Tuttavia, il più alto livello di attenzione per la maggior parte delle aziende che non operano nel settore sanitario o delle risorse umane, è dedicato alle proprie risorse umane interne . Alcuni dati delle HR sono considerati PII “sensibili” e richiedono misure di sicurezza e protocolli più rigidi per la loro protezione . Le PII sensibili comprendono, ma non solo, informazioni sull’assistenza sanitaria, la razza o l’origine etnica, le opinioni politiche e altre categorie . Veeam è orgogliosa della sua partnership con WorkDay e utilizza le sue soluzioni per il sistema HRIS . La nostra infrastruttura IT opera senza problemi con le soluzioni WorkDay, che, a sua volta, è impegnata sul fronte della conformità al GDPR come Veeam . Seguendo il principio fondamentale di scegliere un incaricato del trattamento dei dati, è essenziale che la tua organizzazione valuti e monitori i fornitori terzi per assicurarsi che dedichino la stessa attenzione alla conformità al GDPR, e si accerti che abbiano implementato i metodi di sicurezza tecnici e organizzativi necessari a proteggere le PII che i dipendenti hanno affidato all’azienda .

LocalitàL’articolo 44 parla del trasferimento dei dati, e abbiamo già detto nella prima lezione appresa che è necessario conoscere il luogo in cui risiedono i dati . Se i dati non fossero “vivi”, basterebbe un’azione manuale una tantum . Fine della storia . Purtroppo non è così, i dati sono vivi e vegeti, e si spostano . Come già affermato, non è abbastanza sapere dove si trovano i soli dati di produzione .

Per questo desideriamo presentare una nuova entusiasmante funzionalità, il “GeoTagging” .

Figura 4: esempio di come aggiungere una posizione “fisica” ai server di produzione



Grazie al GeoTagging (o localizzazione), Veeam consente all’amministratore di sistema di indicare chiaramente la località specifica di ogni VM o server fisico di cui viene effettuato il backup . Questo tag definisce chiaramente la località in cui si trovano i dati e, nel caso venga tentato un ripristino di dati in una posizione geografica indifferente, avverte l’amministratore di sistema e chiede conferma prima che venga avviato un ripristino in una posizione geografica diversa . Il tag offre anche la possibilità di aggiungere una posizione ai repository di backup, ai nastri, alle località delle repliche e così via . In questo modo sarà possibile vedere dove risiedono i dati e dove sono posizionate le copie .

Anche se il GPDR contiene linee guida che consentono di trasferire le PII al di fuori di uno specifico Paese UE o al di fuori dell’intera Unione Europea, Veeam GeoTagging offre un ulteriore livello di protezione che ricorda all’amministratore di sistema di verificare policy e procedure dell’organizzazione, o persino di contattare il Responsabile della protezione dati prima di avviare il ripristino . E questa è solo una delle molte funzionalità che Veeam ha integrato nelle sue soluzioni e che consentono all’organizzazione di rispettare le procedure di conformità al GPDR .

Figura 5: esempio di un avviso di ripristino in cui la località del ripristino è diversa dalla posizione di produzione originaria

Prendere la decisione giusta e sfruttare il GeoTagging semplicemente ome “ultima linea di difesa” per garantire la conformità al GDPR.

Attraverso il suo processo di conformità, Veeam ha imparato che in alcune circostanze, anche se il trasferimento di informazioni all'esterno di uno specifico Paese dell'UE è permesso, è meglio evitarlo per minimizzare il rischio che i dati vengano compromessi . Un principio fondamentale del GPDR è quello di elaborare i dati solamente in modo necessario per uno scopo legale e legittimo .



GeoTagging di ambienti HR.

Veeam ha oltre 3 .000 dipendenti, e un numero significativo di tali dipendenti risiede in Europa . Mentre stavamo sviluppando processi e procedure per la gestione dei record delle risorse umane, la direzione esecutiva ha deciso che non c'era un motivo giustificabile per cui le PII dei nostri dipendenti europei dovevano essere trasferite al di fuori dello Spazio economico europeo .

Di conseguenza, i nostri responsabili IT hanno applicato il GeoTagging ai nostri ambienti nello Spazio economico europeo . Dal momento che le nostre procedure operative vietano il trasferimento di questi ambienti al di fuori dello Spazio economico europeo, se un nuovo tecnico di sistema o qualcuno che ha dimenticato le nostre procedure interne prova a ripristinare il backup in una località geografica diversa, sarà fermato e avvertito che sta tentando di ripristinare il backup al di fuori dell’area originaria . Anche la tua organizzazione può sfruttare questo strumento per fare lo stesso . Anche se non ti saresti aspettato questa pratica protezione all’interno del software di backup, dotarsi del software di backup e della visibilità corretti è importante quanto la modalità di gestione delle PII nel front end, poiché il backup potrebbe finire tra le operazioni front end in caso fosse necessario ripristinare un backup nell’ambiente operativo .

Applicare il GeoTagging agli ambienti di assistenza clienti.

Un’altra area che rivela la praticità del GeoTagging è l’ambiente dell’assistenza clienti . L’assistenza clienti Veeam è attiva 24/7 . I nostri clienti possono chiamarci per ricevere assistenza in qualsiasi momento e anche se l’accesso ai loro ambienti e alle PII non è necessario, nei rari casi in cui lo è o può velocizzare la gestione di una richiesta di assistenza, i nostri clienti possono essere certi che Veeam ha predisposto i protocolli e le procedure migliori per gestire queste situazioni con la stessa attenzione con cui protegge le proprie PII e informazioni riservate . I nostri amministratori di sistema sono in grado di applicare un GeoTag e classificare gli ambienti di lavoro del nostro personale di assistenza clienti per garantire che non siano inclusi nei nostri regolari backup e vengano gestiti separatamente . I nostri sistemi di assistenza clienti vengono ripuliti dopo 30 giorni per avere la certezza che nessuna informazione sul cliente (PII o meno) venga archiviata nei normali backup di sistema . Quando un cliente trasmette PII o informazioni di altro tipo alla nostra assistenza clienti, tali PII o informazioni vengono eliminate dai nostri sistemi una volta chiusa la richiesta di assistenza . Sfrutta il GeoTagging e gestisci le VM come fa Veeam con Veeam One 9 .5 . Maggiori informazioni su prodotti e funzionalità sono reperibili qui .



Chi può accedere?Dopo aver individuato dove si trovano i dati, chi ne è il titolare e così via, è importante capire chi ha accesso ad essi (e per quale motivo può accedere a quelle informazioni e a quale scopo) . Dopo aver effettuato la ricerca, sarà chiaro che sono molte le persone ad avere accesso alle informazioni, sia dipendenti interni che organizzazioni terze . Abbiamo già affermato la necessità di documentare questi dati (e di rivederli, se necessario) . Ed è importante ricordarsi delle copie dei dati . Un dettaglio che molte organizzazioni sembrano trascurare è che gli amministratori di backup hanno accesso a tutti i dati . Nelle organizzazioni più grandi, ciò può essere valido anche per gli amministratori del ripristino . È necessario accertarsi di essere in grado di identificare (e riportare) chi ha accesso a quali informazioni .

Figura 6: esempio di un report che mostra chi detiene quali diritti di ripristino



EsclusioniInfine, potrebbe essere utile escludere determinati dati dai backup . Specialmente quando si tratta di dati PII sensibili, potrebbe non essere permesso realizzare copie di tali dati, in base al proprio settore verticale e alla specifica natura dei dati sensibili . Accertarsi che la soluzione adottata consenta tali esclusioni e che sia possibile documentarle .

Figura 7: esempio di un rapporto di esclusione

Proteggere i datiÈ fondamentale implementare e garantire i controlli di sicurezza necessari a proteggere le informazioni e rispondere alle violazioni dei dati . Giustamente le organizzazioni rivolgono l’attenzione al “front end” in cui il software di sicurezza IT è il punto di partenza e il fulcro di ogni policy di protezione dei dati . VMware vSphere e Microsoft Hyper-V sono dotati di robuste funzionalità di sicurezza come l’utilizzo della crittografia BitLocker (protezione fisica) su partizioni padre e l’integrazione di protezioni antivirus sulle macchine virtuali (dato che la crittografia BitLocker non è supportata sulle macchine virtuali) . Sono disponibili moltissimi articoli tecnici su come configurare in modo corretto questi ambienti virtuali nel modo più sicuro possibile . Tuttavia, una parte essenziale del piano di protezione dei dati deve essere costituito dalla scelta della soluzione di backup corretta . La produzione dei dati, fin dalla progettazione e dalla protezione di default, significa anche la possibilità di conservarne la disponibilità (o di rendere i dati di nuovo disponibili quanto prima) . Veeam Availability Platform dovrebbe essere la soluzione di backup di fiducia .



Da un singolo backup derivano molte possibilità di ripristino . Sia che si tratti di un ripristino istantaneo (rendendo di nuovo disponibili i dati molto velocemente), di un disaster recovery (con la nostra replica integrata) o persino di ripristinare singoli set di dati in formati noti (per la portabilità dei dati) .

Ma è davvero sempre possibile ripristinare? E come dimostrarlo? Veeam Backup & Replication™ offre la possibilità di utilizzare SureBackup® e SureReplica per testare i ripristini in modo completamente automatico, in un laboratorio di quarantena . Ed è possibile eseguire report in Veeam ONE per dimostrarlo .

Figura 8: esempio di un report SureBackup



La crittografia dei dati e degli ambienti più sensibili che contengono PII è un primo passaggio critico per un valido piano di protezione dei dati . Tuttavia, la protezione dei dati non termina qui . Il GDPR richiede monitoraggio, audit e un’attenzione costante . Non ci si può limitare a un approccio che preveda semplicemente di impostare dei parametri e poi dimenticarsi della questione . Gli strumenti di monitoraggio e le notifiche di Veeam ONE 9 .5 aiutano ad automatizzare il processo di monitoraggio . È possibile creare un’ampia varietà di report come parte integrante della strategia di protezione dei dati per la conformità al GDPR . Questa dashboard, che fornisce all’amministratore un tracker di risorse per dipartimento è uno strumento importantissimo che gli consente di monitorare le risorse per VM di dipartimento che possono contenere PII e offre una vista rapida per garantire che il backup sia completato correttamente .

Figura 9: esempio dello stato di salute dell’infrastruttura



Quando si parla di accesso non autorizzato ai dati, bisogna sapere anche chi può avere accesso alle copie dei dati, come già discusso nella Lezione 2 . E soprattutto è necessario essere in grado di dimostrare chi ha avuto accesso a quali dati .

Figura 10: esempio di attività di ripristino



Documentazione e conformitàDocumentare i processi, dare seguito alle richieste di dati e riportare qualsiasi problema o violazione dei dati nell’ambito delle linee guida, sono operazioni fondamentali . Le richieste di dati sono il cambiamento più importante nel GDPR: un individuo può richiedere di correggere o eliminare le proprie PII e l’organizzazione che le detiene è tenuta a farlo . Anche se non è stabilita una tempistica per la conformità, un’organizzazione deve dare seguito questa richiesta e certificarne il completamento . Rivedere l’universo dei dati per cercare, individuare e correggere/eliminare le PII è un processo complicato . L’ultima cosa che si vorrà fare è scandagliare i backup per individuare dove le PII potrebbero risiedere al loro interno . Con Veeam ONE 9 .5, individuare e gestire il backup è facile come usare la console di gestione . Con la nostra interfaccia utente e [le funzioni di ricerca], un amministratore può rapidamente identificare la posizione di un backup, il suo stato e persino il numero di modifiche in una VM dall’ultimo backup effettuato . Con questo tipo di visibilità e controllo, non solo è possibile acquisire efficienza nel dare seguito una richiesta di dati, ma anche avere la certezza di aver individuato il backup .

Grazie alle nostre funzionalità di reportistica e alla capacità di creare diagrammi, gli amministratori possono sfruttare e automatizzare questo processo di documentazione richiesto dal GDPR . In questo modo è possibile risparmiare molto tempo passato a creare diagrammi e report solamente per la conformità al GDPR, liberando gli amministratori di rete e consentendo loro dii concentrarsi sulle loro attività principali, ovvero gestire la rete .



Miglioramento continuo Tieni il passo con il mondo digitale in rapido cambiamento, rivedi e migliora costantemente processi e procedure per la privacy e la protezione dei dati . Come abbiamo detto prima, mancano mesi all’entrata in vigore del GDPR, ma questo è solo l'inizio del percorso . La privacy e la protezione dei dati sono responsabilità che cresceranno parallelamente all’evoluzione e alla rapida espansione del mondo digitale in cui viviamo . Il GDPR richiede monitoraggio, audit, revisione e miglioramento costanti . L’unico modo per farlo è sfruttare soluzioni software che innovano continuamente e soluzioni di backup oggi allo stato dell’arte, in cui l’azienda reinveste regolarmente nello sviluppo continuo per conquistare le sfide di domani . Veeam ha una lunga storia di innovazione costante e continua dimostrata nella cronologia aziendale (hiips://www .veeam .com/company/about .html) .

Per maggiori informazioni sulle soluzioni Veeam:

Veeam Availability Platform: hiips://www .veeam .com/availability-platform .html

Scheda tecnica sulla Veeam Availability Suite: hiips://www .veeam .com/veeam_availability_suite_9_5_datasheet_ds .pdf

ConclusioneDato l’evolversi del GDPR e l’avvicinarsi della sua entrata in vigore, il 25 maggio 2018, noi continueremo a tenerti aggiornato sugli sviluppi, in quanto riteniamo che la flessibilità e la Veeam Availability Platform, in continuo miglioramento, siano le soluzioni giuste per la tua organizzazione . Rimarremo sempre un passo avanti alla concorrenza offrendoti l’Availability for the Always-On Enterprise™ .



Informazioni su Veeam SoftwareVeeam® conosce bene le nuove sfide che le aziende di tutto il mondo devono affrontare per offrire l'Always-On Business™, ovvero un business in grado di operare 24 .7 .365 . Per rendere possibile tutto questo, Veeam ha creato nuove soluzioni che garantiscono l’Availability for the Always-On Enterprise™, aiutando le aziende a raggiungere obiettivi di Recovery Time and Point Objectives (RTPO™) inferiori a 15 minuti per tutte le applicazioni e tutti i dati grazie a ripristini ad alta velocità, nessuna perdita di dati, protezione comprovata, dati ottimizzati e visibilità completa . Veeam Availability Suite™, comprensiva di Veeam Backup & Replication™, sfrutta le tecnologie di virtualizzazione, storage e cloud che favoriscono la creazione di data center moderni, consentendo alle aziende di risparmiare tempo, ridurre i rischi e ridurre drasticamente i costi operativi e di capitale .

Fondata nel 2006, Veeam vanta attualmente 51 .000 ProPartner e oltre 267 .500 clienti in tutto il mondo . La sede globale di Veeam si trova a Baar, Svizzera, e l'azienda ha uffici dislocati in tutto il mondo . Per maggiori informazioni, visitare http://www .veeam .com .



500 000

30 500

145 500

80

VEEAM È ESTREMAMENTE ORGOGLIOSA DEI SUOI

utenti

1 000 000 UTENTI51 000 PARTNER280 000 CLIENTI80 RICONOSCIMENTI DEL SETTORE

VEEAM È ESTREMAMENTE ORGOGLIOSA DEI SUOI

GDPR: 5 lezioni apprese L’esperienza di Veeam sulla conformità · Introduzione ... e ai clienti...

Documents

Transcript of GDPR: 5 lezioni apprese L’esperienza di Veeam sulla conformità · Introduzione ... e ai clienti...