NextCloud e GDPR

Chiariamolo definitivamente: Il GDPR riguarda tutte le aziende, cioè tutte le imprese a livello globale che processano i dati dei cittadini della Ue.

E la definizione dei “dati personali” è più ampia di quanto si possa pensare a prima vista: tutti i dati collegati ad una persona sono considerati dati personali. Il GDPR considera dati personali tutti i dati che possono servire ad identificare un individuo compresi, per la prima volta, i dati genetici, mentali, culturali ed economici o sociali.

Scegliere la giusta soluzione di sincronizzazione, condivisione e collaborazione dei file aziendali (cosiddette EFSS) nel rispetto delle nuove norme non è facile.

L’utilizzo di un “Public Cloud” gratuito è certamente l’idea peggiore che potresti avere: hai una chiara prova che i tuoi clienti hanno acconsentito a caricare la loro patente di guida sui server di Google negli Stati Uniti, con tutte le preoccupazioni sulla privacy e sulla sicurezza che implica?

Le aziende devono affrontare anche un altro problema: inviare informazioni aziendali sensibili tramite allegati e-mail non sicuri o, peggio, dal proprio account Dropbox o Google Drive: se queste informazioni vengono perse, o anche per il semplice fatto che le persone i cui dati vengono condivisi in modo irresponsabile non hanno dato la loro approvazione, la vostra organizzazione ha un enorme problema legale. Le multe possono arrivare a 20 milioni o al 4% delle entrate annuali, a seconda di quale sia maggiore.

Essere conformi a GDPR inizia con un requisito: conoscere quali dati si hanno, dove sono memorizzati e chi ha accesso a questi dati, quindi, la scelta di una soluzione EFSS (Enterprise file sync-and-share) conforme al GDPR è di fondamentale importanza.

A fronte di un controllo da parte dell’autorità garante devi essere in grado di fornire loro un elenco completo dei tuoi dati e informazioni precise su chi ha accesso a quali dati, dove sono memorizzati e come sono gestiti.

Accesso ai dati

Nextcloud offre un audit-trail completo con i log di audit, tra cui:

  • sessione utente (login, logout, user agent)
  • gestione file (download, upload, modifica, (cancellazione), tag, commento, ripristino vecchia versione)
  • gestione utenti (creazione / eliminazione / cambiando utente, impostando una password)
  • condivisione (creazione, eliminazione, modifica delle autorizzazioni, aggiornamento di una password, impostazione di una data di scadenza

Per garantire vari livelli di conformità legale, i dati personali devono essere memorizzati solo in determinati Paesi. Nextcloud fornisce un modo semplice per decidere dove archiviare i dati, garantendo comunque una facile collaborazione e un’esperienza senza interruzioni per gli utenti.

Sicurezza

Garantire la sicurezza dei dati personali è uno dei requisiti più importanti del GDPR: le aziende devono valutare i loro rischi e mitigarli.

I requisiti principali includono:

  • Crittografia dei dati a riposo, in transito e nel cloud.
    La tua azienda da sola deve essere in possesso della “chiave” di crittografia. Questo già blocca la maggior parte delle soluzioni lato server e cloud pubblici: se non si crittografa i dati prima di inviarli, utilizzando Amazon S3, Google, Microsoft o altri servizi cloud è molto rischioso, specialmente nelle loro versioni gratuite.
  • Possibilità di recuperare i dati personali in caso di problemi accidentali o non accidentali, da attacchi malevoli a problemi di ransomware.
    Il 2017 potrebbe essere l’anno del ransomware, ma non c’è motivo di ritenere che il problema sia risolto nel 2018.
  • il software utilizzato per gestire i dati deve essere affidabile, cioè verificato, approvato, certificato o almeno sufficientemente trasparente (come l’open source).

I requisiti elencati sono tutti soddisfatti quando si utilizza una soluzione open source self-hosted come Nextcloud. Offre la crittografia lato server per l’archiviazione esterna, assicurandosi che un provider di archiviazione cloud non possa mai accedere ai dati. Un’ulteriore protezione è la crittografia end-to-end completa sui client che protegge anche contro il server Nextcloud stesso che viene compromesso o viene eseguito in una giurisdizione senza una protezione sufficiente. E, unico nel settore, consente l’applicazione molto dettagliata di queste protezioni, consentendo agli amministratori del server di scegliere quali soluzioni di archiviazione necessitano di una crittografia completa. Gli utenti possono selezionare una o più cartelle per essere completamente crittografate end-to-end e gli amministratori dei server possono applicarle su determinati gruppi o tipi di dati. A tal fine, Nextcloud offre funzionalità di versioning, backup e anti-ransomware e il codice è open source al 100% e sviluppato in linea con gli standard ISO / IEC27001-2013.

Conservazione dei dati

Il GDPR è chiaro sulla conservazione dei dati personali: devono essere conservati solo per il tempo necessario, ma alcuni tipi di dati personali devono essere conservati per almeno 6 mesi per motivi legali.

La politica di conservazione dei dati di Nextcloud consente un controllo perfetto della condivisione, con opzioni user-friendly come la condivisione della scadenza e della password. In questo modo, puoi condividere i dati con i tuoi clienti e assicurarti che non abbiano più accesso ai dati dopo un determinato periodo di tempo.