Home > Informatica > GDPR Data Protection Management: le Qintesi Solutions

GDPR Data Protection Management: le Qintesi Solutions

articolo pubblicato da: marcomm | segnala un abuso

GDPR Data Protection Management: le Qintesi Solutions

Una roadmap progettuale vincente, frutto di una profonda esperienza nell’implementazione di SAP a supporto di metodologie di control and risk assessment, ma anche molto altro, a supporto di una normativa molto esigente.

Con l’avvio a regime degli effetti normativi del GDPR è evidente la necessità di progettare modelli e implementare soluzioni applicative che aiutino a fornire risposte veloci e strutturate ad una regolamentazione molto esigente sia dal punto di vista della data governance, sia dal punto di vista della cyber security.

Qintesi, Gold Partner SAP, una delle poche realtà italiane ad aver conseguito la Recognised Expertise sulle soluzioni in ambito Governance Risk & Compliance, ha specifiche competenze in ambito Security, Risk & Compliance sulla tematica GDPR, in cui ha già avuto modo di essere coinvolta in diversi scenari implementativi.

“Operiamo con team multidisciplinari – ha sottolineato Giuseppe Caniglia – Head of Unit Risk & Compliance di Qintesi – in grado di interloquire con i diversi attori-chiave delle aree legale, marketing, organizzazione, operation e IT, impostando un assessment a 360° in grado di gestire una offering completa su aspetti metodologici ed applicativi. Questo ci permette di assicurare un corretto funzionamento del sistema rispetto alle funzionalità definite in fase di progettazione, con garanzia di un corretto deployment della strategia di data protection che i nostri clienti intendono perseguire”.

“Attraverso un data protection assessment strutturato in logica cyber risk based – ha continuato Caniglia – vengono poste le basi per una gestione sincronizzata dei processi di trattamento dei dati rispetto a tutti i processi aziendali, in modo che gli output richiesti dal regolamento vengano aggiornati in modo sistematico ed automatico man mano che si presentano ‘nuove situazioni’ da gestire”.

Sul tema GDPR Data Protection Management Qintesi ha investito e sta continuando a investire. Luigi Granitto – Manager della Unit Risk & Compliance – fornisce elementi caratterizzanti l’approccio seguito e propone alcuni utili suggerimenti:

→ Data Discovery e Data lineage
“Il problema principale che ci troviamo ad affrontare in ambito GDPR è quello di identificare il dato personale nei sistemi. Tale problema in SAP non è di facile soluzione, sia per la presenza di un modello dati molto articolato, sia per i numerosi campi custom presenti nei sistemi SAP dei nostri clienti.
Solo una profonda conoscenza del modello dati di SAP e un’analisi dettagliata degli sviluppi custom consentono di produrre una prima mappa dei dati personali presenti negli applicativi in gestione. Ove ciò non risulti sufficiente, per un’analisi più approfondita è necessario ricorrere a dei tool, come quelli messi a disposizione da SAP Information Steward, che consentono, utilizzando algoritmi personalizzabili, di analizzare il contenuto dell’intero database SAP, individuando la presenza di dati personali anche in campi non conosciuti o ‘insospettabili’. Infine, sempre tramite SAP Information Steward, è necessario gestire nel continuo la mappatura di tali dati e le relative relazioni in tutti gli applicativi aziendali”.

→ Data Segregation
“Una volta identificati i dati personali è necessario definire le policydi accesso a tali dati in un modello strutturato di data segregation. In altre parole è necessario garantire che le sole figure che in Azienda, hanno la necessità e il diritto di accedere a tali dati, possano effettivamente avere la possibilità di visualizzarli e/o trattarli. Tale obiettivo è possibile raggiungerlo implementando un modello di gestione dei ruoli e degli accessi in SAP facile da gestire e coerente con i requisiti di compliance. SAP Access Control mette a disposizione una serie di funzionalità che aiutato a realizzare tale modello di gestione degli accessi”.

→ Data Security Assessment
“Oltre a gestire correttamente gli accessi è necessario proteggere i sistemi applicativi, e di conseguenza i dati personali ivi contenuti, applicando le best practice in ambito cyber security. Pertanto Qintesi introduce in ogni progetto GDPR un SAP Security Assessmentconforme alla SAP Secure Operations Map e agli altri principali framework di riferimento”.

→ Data Masking & Data Scrambling
“Per far fronte alle richieste del GDPR suggeriamo di introdurre nei loro sistemi un nuovo modo di presidio della sicurezza del dato: il data masking. Con tale termine intendiamo sia il mascheramento dei dati personali in ambiente produttivo per i non autorizzati e per i super user (compresi eventuali SAP ALL anche temporanei), sia il mascheramento dei dati in ambienti di test o di pre-produzione. In quest’ultimo caso più che un semplice mascheramento dei campi è possibile, tramite algoritmi, rendere completamente anonimi i dati di test al momento della copia (data scrambling), trasformando in maniera coerente dati come nome e cognome, codice fiscale, ecc. Per ottenere tali risultati suggeriamo di utilizzare SAP Field Masking(per il mascheramento di dati produttivi) e SAP Test Data Migration System (per lo scrambling in ambiente di test)”.

→ Data Logging & Data Monitor
“Il GDPR richiede l’identificazione e la successiva comunicazione di un data breach; per ottemperare a tale obbligo è innanzitutto necessario detenere un log di accesso ai dati personali. Tuttavia, gli audit log presenti nei sistemi SAP, che registrano la chiamata di una transazione o di un programma e la modifica di un dato in tabella non contengono tale informazione. Per questo suggeriamo di ampliare il log standard di SAP, implementando SAP UI Logging che permette di registrare anche la semplice visualizzazione di un dato personale in SAP.
Con SAP UI Logging il log di SAP è completo e detiene ogni tipo di evento rilevante, ma non risulta sufficiente per identificare un data breach. Un data breach può essere meglio identificato solo tramite un’analisi approfondita di tali log, che mettono in relazione tutti gli eventi, utilizzando pattern di sicurezza predefiniti, che tengono in considerazione la normale operatività degli utenti e dei sistemi, eliminando i falsi positivi. Tali funzionalità sono assicurate da SAP Enterprise Threat Detection“.

→ Data Archiving
“Nel caso in cui il nostro Cliente dovesse avere una richiesta di cancellazione dei dati, ai sensi dell’Art. 17 del GDPR, gli suggeriamo di utilizzare SAP Information LifeCycle Management, modulo che consente di gestire tali richieste e sottoporle a periodi di retention  del dato (per tipologia di dati) in base a Policy personalizzabili. In base ai periodi di retention impostati nella Policy, a seguito di una richiesta di cancellazione, il dato verrà prima automaticamente archiviato e successivamente cancellato”.

In conclusione possiamo affermare che la roadmap progettuale di Qintesi sul tema GDPR si dimostra vincente grazie all’approccio integrato metodologico-applicativo a supporto di concrete necessità di data protection perseguite dai propri Clienti, con l’obiettivo di rispondere a quesiti ben precisi che Qintesi – per prima – si è posta nell’affrontare una problematica così complessa.

Per maggiori informazioni: marketing@qintesi.it

GDPR | Giuseppe Caniglia | Luigi Granitto | Qintesi |



Commenta l'articolo

 

Potrebbe anche interessarti

QINTESI, azienda certificata ISO 9001:2015


Qintesi: una partnership con SAP orientata all’innovazione


Qintesi entra nel capitale di IT-Link e continua a crescere


Qintesi, il futuro è SAP HANA


QIntesi sigla un accordo di collaborazione con Innext per offrire al mercato soluzioni SAP sulla Google Cloud Platform


 

Se ritieni meritevole il nostro lavoro fai una donazione


Recenti

Stesso autore

Qintesi: una partnership con SAP orientata all’innovazione

Qintesi: una partnership con SAP orientata all’innovazione
Qintesi è in grado di erogare una sempre più vasta gamma di servizi: dalle Cloud Application Extensions fino alle tecnologie IoT e al Machine Learning “Qintesi è da sempre attenta alle novità e all’evoluzione tecnologica – ha esordito Alberto Pogna, Amministratore delegato di Qintesi. – Siamo particolarmente attenti a due tematiche: l& (continua)

Siglata partnership tra Consoft Sistemi e CUS Torino Volley

Siglata partnership tra Consoft Sistemi e CUS Torino Volley
Consoft Sistemi per CUS Volley Torino Con lo stesso entusiasmo che Consoft Sistemi (www.consoft.it) pone nella ricerca continua di nuove idee, energie, crescita dinamica e costante, nasce la partnership per la stagione 2019/2020 con il CUS Torino Volley (www.custorino.it/). Una partnership tra l’azienda di Information Technology con sedi a Torino, Milano, Genova, Roma e Tunisi e il C (continua)

5° AUSED First Friday 2019 – Outdoor Edition su stampa 3D e digital manufacturing

5° AUSED First Friday 2019 – Outdoor Edition su stampa 3D e digital manufacturing
Appuntamento il 4 ottobre 2019, dalle ore 17,00 a Brunello, col workshop sui temi della stampa 3D e del digital manufacturing Il prossimo 4 ottobre, l’AUSED propone il suo quinto First Friday dell’anno, che si svolgerà fuori porta. L’appuntamento è a Brunello (VA) presso la Elmec Informatica SPA di via Pret 1. Qui previsto un Worshop sul tema Stamp (continua)

USFIT: Esperienze di adozione di Salesforce nelle vendite (Sales Cloud)

USFIT: Esperienze di adozione di Salesforce nelle vendite (Sales Cloud)
Appuntamento il 19 settembre 2019, dalle ore 16,30 presso il Centro Copernico, sede dell’associazione AUSED Il prossimo 19 settembre, presso la sede dell’AUSED al Centro Copernico di Via Copernico 38 a Milano, il Gruppo Utenti SalesForce (USFIT) organizza l’incontro aperto anche ai non soci AUSED dal titolo: “Esperienze di adozione di Salesforce nelle vendite (Sales C (continua)

IFRS16 con SAP RE-FX: pillole da Qintesi

IFRS16 con SAP RE-FX: pillole da Qintesi
Nella gestione del principio contabile IFRS16 Qintesi supporta i clienti di ogni dimensione operanti in diversi settori. Qintesi, realtà aziendale sempre attenta alle novità tecnologiche e all’evoluzione normativa e regolatoria, ha sviluppato le competenze atte a supportare i propri clienti nella gestione del nuovo principio contabile attraverso l’implementazione della s (continua)