Home > Informatica > GDPR Data Protection Management: le Qintesi Solutions

GDPR Data Protection Management: le Qintesi Solutions

scritto da: Marcomm | segnala un abuso

GDPR Data Protection Management: le Qintesi Solutions


Una roadmap progettuale vincente, frutto di una profonda esperienza nell’implementazione di SAP a supporto di metodologie di control and risk assessment, ma anche molto altro, a supporto di una normativa molto esigente.

Con l’avvio a regime degli effetti normativi del GDPR è evidente la necessità di progettare modelli e implementare soluzioni applicative che aiutino a fornire risposte veloci e strutturate ad una regolamentazione molto esigente sia dal punto di vista della data governance, sia dal punto di vista della cyber security.

Qintesi, Gold Partner SAP, una delle poche realtà italiane ad aver conseguito la Recognised Expertise sulle soluzioni in ambito Governance Risk & Compliance, ha specifiche competenze in ambito Security, Risk & Compliance sulla tematica GDPR, in cui ha già avuto modo di essere coinvolta in diversi scenari implementativi.

“Operiamo con team multidisciplinari – ha sottolineato Giuseppe Caniglia – Head of Unit Risk & Compliance di Qintesi – in grado di interloquire con i diversi attori-chiave delle aree legale, marketing, organizzazione, operation e IT, impostando un assessment a 360° in grado di gestire una offering completa su aspetti metodologici ed applicativi. Questo ci permette di assicurare un corretto funzionamento del sistema rispetto alle funzionalità definite in fase di progettazione, con garanzia di un corretto deployment della strategia di data protection che i nostri clienti intendono perseguire”.

“Attraverso un data protection assessment strutturato in logica cyber risk based – ha continuato Caniglia – vengono poste le basi per una gestione sincronizzata dei processi di trattamento dei dati rispetto a tutti i processi aziendali, in modo che gli output richiesti dal regolamento vengano aggiornati in modo sistematico ed automatico man mano che si presentano ‘nuove situazioni’ da gestire”.

Sul tema GDPR Data Protection Management Qintesi ha investito e sta continuando a investire. Luigi Granitto – Manager della Unit Risk & Compliance – fornisce elementi caratterizzanti l’approccio seguito e propone alcuni utili suggerimenti:

→ Data Discovery e Data lineage
“Il problema principale che ci troviamo ad affrontare in ambito GDPR è quello di identificare il dato personale nei sistemi. Tale problema in SAP non è di facile soluzione, sia per la presenza di un modello dati molto articolato, sia per i numerosi campi custom presenti nei sistemi SAP dei nostri clienti.
Solo una profonda conoscenza del modello dati di SAP e un’analisi dettagliata degli sviluppi custom consentono di produrre una prima mappa dei dati personali presenti negli applicativi in gestione. Ove ciò non risulti sufficiente, per un’analisi più approfondita è necessario ricorrere a dei tool, come quelli messi a disposizione da SAP Information Steward, che consentono, utilizzando algoritmi personalizzabili, di analizzare il contenuto dell’intero database SAP, individuando la presenza di dati personali anche in campi non conosciuti o ‘insospettabili’. Infine, sempre tramite SAP Information Steward, è necessario gestire nel continuo la mappatura di tali dati e le relative relazioni in tutti gli applicativi aziendali”.

→ Data Segregation
“Una volta identificati i dati personali è necessario definire le policydi accesso a tali dati in un modello strutturato di data segregation. In altre parole è necessario garantire che le sole figure che in Azienda, hanno la necessità e il diritto di accedere a tali dati, possano effettivamente avere la possibilità di visualizzarli e/o trattarli. Tale obiettivo è possibile raggiungerlo implementando un modello di gestione dei ruoli e degli accessi in SAP facile da gestire e coerente con i requisiti di compliance. SAP Access Control mette a disposizione una serie di funzionalità che aiutato a realizzare tale modello di gestione degli accessi”.

→ Data Security Assessment
“Oltre a gestire correttamente gli accessi è necessario proteggere i sistemi applicativi, e di conseguenza i dati personali ivi contenuti, applicando le best practice in ambito cyber security. Pertanto Qintesi introduce in ogni progetto GDPR un SAP Security Assessmentconforme alla SAP Secure Operations Map e agli altri principali framework di riferimento”.

→ Data Masking & Data Scrambling
“Per far fronte alle richieste del GDPR suggeriamo di introdurre nei loro sistemi un nuovo modo di presidio della sicurezza del dato: il data masking. Con tale termine intendiamo sia il mascheramento dei dati personali in ambiente produttivo per i non autorizzati e per i super user (compresi eventuali SAP ALL anche temporanei), sia il mascheramento dei dati in ambienti di test o di pre-produzione. In quest’ultimo caso più che un semplice mascheramento dei campi è possibile, tramite algoritmi, rendere completamente anonimi i dati di test al momento della copia (data scrambling), trasformando in maniera coerente dati come nome e cognome, codice fiscale, ecc. Per ottenere tali risultati suggeriamo di utilizzare SAP Field Masking(per il mascheramento di dati produttivi) e SAP Test Data Migration System (per lo scrambling in ambiente di test)”.

→ Data Logging & Data Monitor
“Il GDPR richiede l’identificazione e la successiva comunicazione di un data breach; per ottemperare a tale obbligo è innanzitutto necessario detenere un log di accesso ai dati personali. Tuttavia, gli audit log presenti nei sistemi SAP, che registrano la chiamata di una transazione o di un programma e la modifica di un dato in tabella non contengono tale informazione. Per questo suggeriamo di ampliare il log standard di SAP, implementando SAP UI Logging che permette di registrare anche la semplice visualizzazione di un dato personale in SAP.
Con SAP UI Logging il log di SAP è completo e detiene ogni tipo di evento rilevante, ma non risulta sufficiente per identificare un data breach. Un data breach può essere meglio identificato solo tramite un’analisi approfondita di tali log, che mettono in relazione tutti gli eventi, utilizzando pattern di sicurezza predefiniti, che tengono in considerazione la normale operatività degli utenti e dei sistemi, eliminando i falsi positivi. Tali funzionalità sono assicurate da SAP Enterprise Threat Detection“.

→ Data Archiving
“Nel caso in cui il nostro Cliente dovesse avere una richiesta di cancellazione dei dati, ai sensi dell’Art. 17 del GDPR, gli suggeriamo di utilizzare SAP Information LifeCycle Management, modulo che consente di gestire tali richieste e sottoporle a periodi di retention  del dato (per tipologia di dati) in base a Policy personalizzabili. In base ai periodi di retention impostati nella Policy, a seguito di una richiesta di cancellazione, il dato verrà prima automaticamente archiviato e successivamente cancellato”.

In conclusione possiamo affermare che la roadmap progettuale di Qintesi sul tema GDPR si dimostra vincente grazie all’approccio integrato metodologico-applicativo a supporto di concrete necessità di data protection perseguite dai propri Clienti, con l’obiettivo di rispondere a quesiti ben precisi che Qintesi – per prima – si è posta nell’affrontare una problematica così complessa.

Per maggiori informazioni: marketing@qintesi.it

GDPR | Giuseppe Caniglia | Luigi Granitto | Qintesi |



Commenta l'articolo

 

Potrebbe anche interessarti

Lo strano caso del Dottor Chances


Robinson Jr.


La vita in piazza di Maria Concetta Distefano


Movimento Network Marketing


La montagna in salute


Delirium di Postremo Vate


 

Se ritieni meritevole il nostro lavoro fai una donazione


Recenti

Stesso autore

Consoft Sistemi è diventata sostenitore di Federprivacy

Consoft Sistemi è diventata sostenitore di Federprivacy
Un’altra perla si infila nella collana di progetti e iniziative collezionati da Consoft Sistemi, che da giugno 2020 è aderente di Federprivacy.Nata nel 2008 e iscritta nel Registro del Ministero dello Sviluppo Economico ai sensi della legge 4/2013 (che regolamenta le professioni non ordinistiche e senza albo), Federprivacy è un’associazione di categoria che, vantando un bacino di 20mila (continua)

Consoft Sistemi mette in sicurezza il software dei suoi clienti con Checkmarx

Consoft Sistemi mette in sicurezza il software dei suoi clienti con Checkmarx
L’accordo riguarda l’intera proposta Checkmarx, l’azienda leader per la sicurezza delle applicazioniConsoft Sistemi, consolidata azienda di informatica presente sul mercato dell’Information Technology dal 1986, ha annunciato di aver recentemente siglato una partnership con Checkmarx, divenendo uno tra i principali Business Partner sul territorio italiano.“Questa nuova e importa (continua)

Consoft Sistemi rivende il sistema Adamo: teleassistenza per i lavoratori isolati

La soluzione per monitorare in tempo reale lo stato di salute del lavoratore attraverso il controllo del suo stato di coscienza Il settore della teleassistenza si rivolge a tutti i soggetti esposti a situazioni di rischio che si trovano ad operare in aree non sottoposte al controllo di enti terzi e che, pertanto, necessitano di un monitoraggio remoto costante, indispensabile per garantire la lo (continua)

Morto per Coronavirus il Lama Gangchen, fondatore della comunità di Albagnano, Kunpen Lama Gangchen di Milano e del Centro Buddha della Medicina di Torino

Morto per Coronavirus il Lama Gangchen, fondatore della comunità di Albagnano, Kunpen Lama Gangchen di Milano e del Centro Buddha della Medicina di Torino
Il Lama Gangchen è morto all’età di 79 anni all’ospedale di Verbania positivo al Coronavirus.     Nato nel Tibet occidentale nel 1941, giovanissimo è stato riconosciuto come la reincarnazione di un erudito Lama guaritore del passato e all’età di cinque anni posto a capo del monastero di Gangchen Choepeling in Tibet.   (continua)

Siglata partnership tra Consoft Sistemi e Ivanti

Siglata partnership tra Consoft Sistemi e Ivanti
Al centro dell’accordo la suite di prodotti in ambito Service Management & Security Consoft Sistemi, consolidata azienda di informatica presente sul mercato dell’Information Technology dal 1986, ha annunciato di aver recentemente siglato una partnership con Ivanti, divenendo uno tra i principali Business Partner sul territorio nazionale. “Riteniamo questo rec (continua)