Forum Gdpr

GDPR: Data Protection by design e by default con le tecniche di DevSecOps

La protezione dei dati deve essere intrinseca nei processi che li gestiscono, un risultato possibile solo ponendolo come obiettivo già delle fasi di sviluppo

Autore: Redazione ImpresaCity

Il regolatore Europeo, con l’articolo 25 di GDPR, introduce il concetto di Data Protection by Design and by Default, tradotto in italiano in “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”.

Con questo articolo vorrei analizzare più in dettaglio questo requisito e le conseguenze per le organizzazioni che trattano e processano dati personali. Cercherò anche di analizzare gli impatti per le divisioni IT che progettano e costruiscono sistemi che trattano dati personali e come, utilizzando processi di DevSecOps, queste possano accelerare la compliance con l’articolo 25 di GDPR.

Il criterio specifico prevede la necessità di configurare il trattamento dei dati personali prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati, tenendo conto sia del contesto complessivo ove il trattamento si colloca sia dei rischi per i diritti e le libertà degli interessati.

Tutto questo deve avvenire a priori, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”) e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari, cosa che deve tradursi in una serie di attività specifiche e dimostrabili.

Il concetto di Data Protection by Default sottolinea la necessità della tutela dei dati personali dei consumatori o cittadini “di default” appunto, cioè come impostazione predefinita. Questo implica che il titolare dei dati personali raccolti in occasione di registrazioni a servizi elettronici o di stipula di contratti (o in ogni caso in cui ciascuno di noi rende disponibili i propri dati ad un terzo), devono essere trattati sempre attraverso un percorso di politica aziendale o amministrativa interna che ne tuteli la diffusione.

All’interno della nozione di Data Protection by Default al fine di evitare una raccolta indiscriminata dei dati, viene poi cristallizzato il principio di minimizzazione dei dati, per cui i dati raccolti devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

A complemento, per Protection by Design si intende la necessità di tutelare il dato sin dalla progettazione di sistemi, servizi e processi, inclusi quelli informatici, che ne prevedano l’utilizzo.

Secondo il Regolamento europeo, infatti, qualsiasi progetto, sia esso strutturale o concettuale, è necessario che sia realizzato considerando la riservatezza e la protezione dei dati personali sin dal design, sin dalla fase di progettazione. Inoltre le organizzazioni devono essere in grado di dimostrare di averlo fatto.

Il sistema di protezione deve essere user-centric, cioè è l’utente ad essere al centro dell’intero sistema di Data Protection. Questo vuol dire che non è sufficiente una progettazione che sia conforme e a norma se poi l’utente non è adeguatamente protetto.

La protezione dei dati personali è estremamente invasiva e quindi, a differenza di altre normative il cui perimetro è più facilmente definibile, deve essere affrontata proattivamente e con strumenti che aiutino a individuare quali azioni si debbano intraprendere per mantenere la conformità.

In ottica di sviluppo di nuove applicazioni, questo requisito implica di incorporare, anticipandola, la protezione dei dati durante la progettazione e la codifica di applicazioni che li gestiranno, piuttosto che limitarsi a testare la sicurezza nella fase di controllo della qualità o in fase successiva.

È fondamentale dunque formare gli sviluppatori sulle buone pratiche di coding sicuro e anche aiutarli nell’identificare e risolvere proattivamente i difetti relativi alla sicurezza esattamente nel momento in cui stanno scrivendo del codice. Significa anche valutare le vulnerabilità del software prima e durante l’esecuzione del sistema in produzione sia del codice scritto in casa, da propri sviluppatori, sia di quello prodotto da terze parti.

CA Technologies, con la sua suite di DevSecOps CA Veracode offre un ventaglio molto ampio di acceleratori tecnologici dedicati alle organizzazioni IT per tutte le attività di analisi statica e dinamica del codice (automated code testing) e supporto agli sviluppatori per la scrittura di codice sicuro.

In particolare:
Veracode Greenlight: offre un sistema di scansione del codice direttamente nell’IDE dello sviluppatore e suggerisce le modifiche necessarie per evitare
Static Analysis Security Testing (SAST) – fornisce automated code testing statico
Dynamic Analysis Security Testing (DAST) –fornisce automated code testing dinamico
Veracode Vendor Application Security Testing offre il testing di codice scritto da terze parti/vendor
Veracode Developer Training: fornisce training in classe e video tutorial on-demand sulle tecniche di sviluppo sicuro
Veracode Remediation Advisory Solutions offre consulenza specializzata one-on-one agli sviluppatori da parte di esperti di sicurezza

di Luca Rossetti, Sr Business Technology Architect di CA Technologies