Perché la sicurezza e la compliance dei dati

La sicurezza dei dati consiste nel prevenire l'accesso, la divulgazione, l'alterazione o la distruzione illegali delle informazioni digitali durante tutto il loro ciclo di vita. Per proteggere i dati da potenziali minacce, tra cui hacker, virus, furti fisici e perdite involontarie, è necessario adottare un framework di misure di sicurezza, policy e tecnologia.

Per compliance si intende l'elaborazione, l'archiviazione e la protezione dei dati nel rispetto di leggi, regole, standard specifici stabiliti dal settore o policy interne. La compliance garantisce che le aziende rispettino le regole stabilite per proteggere i dati sensibili, difendere la privacy e ridurre i rischi correlati alle violazioni dei dati o le sanzioni per la mancata compliance.

Le normative sempre più stringenti che disciplinano la protezione, la residenza e la governance dei dati spingono le aziende a prestare più attenzione che mai alla sicurezza e alla compliance dei dati. Le norme nazionali vanno oltre la residenza dei dati e includono la protezione dei dati, la governance, le divulgazioni e la creazione di report. Le normative varate a livello nazionale includono, ad esempio, il PATRIOT Act (Stati Uniti), il GDPR (UE), il Privacy Act (Australia/Nuova Zelanda), il Personal Data Protection Act (Singapore/Malaysia/Thailandia/Indonesia), il Digital Privacy Act (Canada) e l'LGPD (Brasile).

Il GDPR dell'UE ha gettato le basi delle normative per la privacy dei dati in tutto il mondo. Un principio chiave di questo regolamento è l'elaborazione sicura dei dati personali. Il GDPR del Regno Unito stabilisce che le misure di sicurezza adottate debbano garantire la riservatezza, l'integrità e la disponibilità dei dati e proteggerli da perdite, distruzione e danni accidentali.

E con particolare attenzione agli standard di compliance per la protezione dei dati come il National Institute of Standards and Technology (NIST), il Federal Risk and Authorization Management Program (FedRAMP) Payment Card Industry (PCI), l'International Organization for Standardization numero 27001 (ISO27001), l'International Organization for Standardization numero 27032 (ISO27032), la compliance al British Standards Institute (BSI) e all'Internet Engineering Task Force (IETF) non è mai stata una priorità così importante.

È facile capire perché la sicurezza dei dati sia così importante, soprattutto quando si gestiscono dati personali. Eventuali perdite possono causare problemi di furto di identità, mentre distruzione, danni e utilizzo improprio dei dati possono avere un impatto irreparabile sia sulle aziende sia sui consumatori in settori essenziali quali pubblica amministrazione, sanità, finanza e altro. Un ulteriore elemento essenziale della sicurezza dei dati è limitare chi può accedere ai dati sensibili e limitati assicurando al contempo affidabilità e flessibilità quando serve portabilità.

Un Sovereign Cloud offre i vantaggi di sovranità dei dati di un private cloud, ma senza bisogno per l'IT di preoccuparsi per alcuni dei carichi di lavoro che richiedono maggiore protezione. Un Sovereign Cloud ti garantisce il controllo dei dati e ti tutela dalle ingerenze delle autorità di altre giurisdizioni, che non avranno alcun potere sui dati archiviati fuori dai loro confini nazionali né potranno accedervi, offrendoti così il massimo in termini di privacy e protezione per tutti i dati, inclusi i metadati. Inoltre, è più semplice garantire che i dati rispettino le regole degli spostamenti internazionali. Un Sovereign Cloud permette infatti ai clienti di sbloccare i dati in modo che determinati dati ubicati in un paese possano essere utilizzati per creare ulteriore valore.

La compliance è essenziale per rispettare le leggi sulla sovranità dei dati, a partire da dove i dati sono archiviati fino a chi può accedervi. L'evoluzione delle leggi ha reso necessaria la presenza di personale addetto alla compliance che comprenda e segua le normative locali e di settore rilevanti. I Sovereign Cloud Provider possono contare su esperti di compliance locali per rimanere al passo con le leggi più recenti.

Un Sovereign Cloud è gestito da cittadini sovrani per soddisfare rigide regole di sovranità dei dati. In un Sovereign Cloud, il dominio residente è isolato dalla rete core del provider e dalla rete Internet. Il management plane e il control plane sono completamente ospitati nel Sovereign Cloud, senza dipendenze esterne che potrebbero causare lo spostamento dei dati fuori dai confini sovrani. Nessun dato viene archiviato al di fuori del paese, tra cui backup, metadati, dati degli account o informazioni sull'assistenza.

Con un Sovereign Cloud, potrai contare sulla massima sicurezza, tra cui l'uso delle tue chiavi di crittografia affinché il cloud provider non abbia accesso ai tuoi dati. Un Sovereign Cloud protegge la privacy e la sovranità dei dati grazie a controlli e servizi non disponibili nei cloud commerciali.

Il primo passo da compiere per soddisfare le normative su privacy e sovranità dei dati consiste nel comprendere i dati in tuo possesso, dove sono ubicati e le policy per la residenza, la privacy e la sovranità dei dati applicabili a ciascuna posizione. Tutto questo richiede una classificazione dei dati.

I Sovereign Cloud sono sicuri in una piattaforma verificata creata interamente a livello locale, che sia personalizzata, gestita e compliant a leggi e normative locali. I Sovereign Cloud devono essere gestiti da provider esperti che sanno come proteggere dati e applicazioni nel cloud da vettori di attacco in evoluzione avvalendosi di controlli di sicurezza avanzati con compliance locale alle leggi e ai requisiti di regolamentazione dei dati per proteggere i carichi di lavoro e i dati più sensibili.

I Sovereign Cloud devono essere gestiti da provider esperti che sanno come proteggere dati e applicazioni nel cloud da vettori di attacco in evoluzione avvalendosi di controlli di sicurezza avanzati con compliance locale alle leggi e ai requisiti di regolamentazione dei dati per proteggere i carichi di lavoro e i dati più sensibili. In più, devono adottare i controlli di un sistema di gestione della sicurezza delle informazioni (ISMS) certificati rispetto a uno standard di settore riconosciuto e controllati periodicamente per garantire la sicurezza.

Per proteggere i dati, i Sovereign Cloud Provider devono utilizzare la microsegmentazione con applicazione zero-trust per garantire che i carichi di lavoro non comunichino tra di loro, a meno che ciò non sia stato appositamente consentito. I Sovereign Cloud dovrebbero poi essere di tipo air-gap e crittografati, così saranno protetti dal mondo esterno. Con un approccio multi-layer alla sicurezza, puoi proteggere dati e applicazioni nel Sovereign Cloud, mettendoli al riparo da perdite, distruzione o danni.

La sfida per la sicurezza e la compliance è che le leggi sulla privacy dei dati specificano come trattare i dati per tutelare la privacy dei dati personali, riservati o segreti. Queste leggi spesso includono requisiti di sicurezza specifici che le organizzazioni devono adottare per proteggere i propri dati. In più, sono necessarie misure di sicurezza per prevenire la perdita o la divulgazione dei dati, che potrebbero comportare la violazione delle leggi in vigore.

Le organizzazioni non devono solo essere conformi a queste leggi sulla privacy dei dati e alle normative di settore, ma devono anche dimostrare tale compliance. Con un numero crescente di leggi sulla privacy e le frequenti modifiche, assicurare la compliance sta diventando ancora più difficile e la mancata compliance può comportare pesanti multe.

Avere una solida strategia di sicurezza e compliance dei dati è essenziale per raggiungere i più elevati standard di protezione dei dati richiesti dalle leggi e dalle normative odierne. I VMware Cloud Provider che offrono Sovereign Cloud possono aiutarti a ottenere integrità, sicurezza e disponibilità di sistemi IT e dati sensibili.

• I Sovereign Cloud Provider possono proteggere sistemi e dati dai rischi per la sicurezza attenendosi a quanto segue:
• I dati rimangono sotto il controllo sovrano e si evita l'accesso d'ufficio da parte di autorità straniere
• Dando priorità alla sicurezza contro i vettori di attacco in evoluzione per proteggere dati e app
• Servizi di compliance e protezione del Sovereign Cloud che superano i public cloud commerciali
• Utilizzo dei dati che è possibile condividere con parti fidate per dare impulso al commercio nazionale
• Preparazione all'evoluzione dei requisiti normativi e di sicurezza
• Offerta di un cloud sicuro e resiliente che utilizza al meglio le economie nazionali e la crescita aziendale