I servizi cloud offrono sensibili vantaggi in termini di ottimizzazione dei costi e rapidità, ma in caso di trattamento di dati personali, richiedono ai titolari un’attenta gestione degli aspetti di compliance al GDPR – sicurezza.
Il titolare deve però quindi essere consapevole che persiste la sua accountability in tema di conformità al GDPR. Per non parlare della sussistenza di precisi obblighi nella scelta del Cloud Provider e di formalizzazione di accordi contrattuali con lo stesso.
In questo articolo vedremo tutto quello che DocuWare può offrire e garantire riguardo il tema cloud, sicurezza e compliance.
DocuWare e cloud: la sicurezza
DocuWare Cloud utilizza il cloud pubblico di Microsoft Azure. Il datacenter usato per tutte le risorse si trova in una regione dedicata (Stati Uniti, UE o Giappone). Ai clienti di altre regioni viene comunque assegnato a uno di questi tre datacenter.
I servizi cloud di DocuWare sono forniti e aggiornati nel cloud utilizzando i contenitori Docker. Questo garantisce che il software testato nei sistemi di pre-produzione raggiunga in produzione esattamente la stessa versione e configurazione di quella testata.
DocuWare Cloud utilizza un modello SaaS su cloud pubblico. Tuttavia i dati e i documenti memorizzati sono rigorosamente separati per cliente. Pertanto, vengono condivise solo le risorse informatiche o di rete.
DocuWare Cloud è gestito e monitorato da un team dedicato 24 ore su 24, 7 giorni su 7. La scalabilità orizzontale automatizzata garantisce che i picchi di richiesta ricevano automaticamente una risposta avviando più risorse di calcolo per i servizi che presentano un carico elevato.
Cos’è la sicurezza per DocuWare?
I dati e il contenuto del database dei clienti DocuWare Cloud sono crittografati e non accessibili nemmeno agli operatori di DocuWare Cloud. L’accesso del team delle operazioni cloud alle risorse cloud viene eseguito da un’area riservata e separata, protetto da connessioni VPN. Inoltre qualsiasi loro azione è registrata nei log di controllo.
I dati dei clienti inattivi sono crittografati?
Tutti i documenti salvati negli schedari sono crittografati automaticamente tramite AES – Advanced Encryption Standard – un processo di crittografia.
AES è il successore di DES – Data Encryption Standard – ed è attualmente uno dei più sicuri processi di crittografia simmetrica. È approvato per l’uso standard per i documenti con il più alto livello di autorizzazione di sicurezza e soddisfa tutti i requisiti.
Per ogni schedario è generata una coppia di chiavi asimmetriche. La chiave privata è utilizzata per crittografare i file che sono creati quando i documenti in uno schedario vengono crittografati. La chiave per uno schedario è, a sua volta, crittografata utilizzando una chiave principale.
Come viene protetta la rete DocuWare Cloud?
I servizi forniti al cliente sono instradati tramite Application Gateway con Web Application Firewall – WAF – e regole OWASP attivate.
Le risorse interne di Azure sono limitate alle reti interne protette – ad esempio, utilizzando reti virtuali, rete gruppi di sicurezza del lavoro e firewall – e non sono accessibili da Internet.
DocuWare cloud e compliance GDPR
Con l’arrivo del Cloud è aumentata anche l’efficienza dell’innovazione tecnologica e quella dei servizi erogati dalle aziende. Tuttavia, sono contemporaneamente aumentati anche gli obblighi di compliance, soprattutto quelli inerenti alla protezione dei dati personali. In questo contesto, il General Data Protection Regulation – GDPR – prescrive ai titolari del trattamento degli specifici doveri. Alcuni esempi sono la sicurezza, il congruo trasferimento dei dati personali e notifiche in caso di Data Breach.
Per questo motivo il titolare del trattamento deve attentamente scegliere il Cloud provider, soprattutto tenendo in considerazione il principio di Accountability. Secondo questo principio il titolare non deve soltanto conformarsi a tutta la normativa Privacy, ma anche di dimostrarlo.
Come vengono pubblicate le politiche di DocuWare a tutti gli utenti?
Le politiche sono pubblicate utilizzando le Notifiche dall’archivio generale e dall’archivio HR del sistema interno di DocuWare. Inoltre il riconoscimento delle SOP è confermato in un flusso di lavoro DocuWare tramite firma elettronica.
A cosa servono le politiche e le procedure il processo di revisione e aggiornamento?
Il processo di revisione è conforme ai requisiti del SOC 2 Tipo 2: si compone di un anno revisione da parte dell’autore della SOP e di un supervisore. Viene poi firmato dalla direzione.
Quante volte sono eseguiti test generali, quelli sulle revisioni della sicurezza e quelli sulla vulnerabilità dei sistemi?
I test generali sono svolti due volte l’anno da parte di una società di sicurezza esterna. Il report del test non è disponibile per i clienti. Tuttavia, gli auditor SOC 2 di tipo 2 riesaminano gli ultimi due rapporti ogni anno durante il loro audit.
In particolare le valutazioni di vulnerabilità sono svolte una volta al mese, mentre le revisioni di sicurezza prima di pubblicare nuovi servizi o funzionalità principali.
Come si risolvono i risultati critici in nei test di sicurezza?
I bug di sicurezza ottengono una priorità secondo il sistema di punteggio CVSS 3.1 sulle vulnerabilità più comuni. Questo sistema fornisce un quadro per comunicare le caratteristiche e gli impatti della vulnerabilità di sicurezza hardware.
Quando la priorità è maggiore o uguale a 7.0 – alta o critica – , è creato un bug di sicurezza con priorità 1. Qualsiasi bug di priorità 1 è gestito molto velocemente.
Il tempo di riparazione per tali bug viene tracciato come un KPI con visibilità del top management. L’implementazione di tali correzioni come patch di hotfix minori su DocuWare Cloud può essere eseguita senza alcuna perdita di tempo per qualsiasi cliente.
Quali sono le misure di sicurezza del cloud?
Gli avvisi di Microsoft Defender for Cloud su problemi di sicurezza informatica o problemi di configurazione fuori dal scatola.
Inoltre DocuWare ha aggiunto notifiche personalizzate per avvisi di sicurezza aggiuntivi. Nei casi critici, l’assistenza clienti di DocuWare informa attivamente sui documenti infetti che il cliente sta tentando di caricare – per evitare qualsiasi danno per il cliente.
Con DocuWare hai sempre la massima sicurezza
DocuWare offre procedure affidabili per garantire l’integrità delle informazioni aziendali e soddisfare requisiti della normativa GDPR. Le procedure di autenticazione e di analisi assicurano il controllo su versioni, modifiche e workflow dei documenti, proteggendo da perdite, sottrazioni e manipolazione dei documenti.
Contattaci per richiedere la tua demo gratuita di DocuWare!
Direttore Commerciale di Real Document Solution
Accompagna i partner nella definizione degli obiettivi e nella costruzione dei workflow documentali con il Process Planner di DocuWare. Monitora le performance e la User Experience degli utenti nell’utilizzo di DocuWare.
Anche lui usa DocuWare: per gestire la pipeline di clienti, per archiviare e firmare i contratti digitalmente e tenere aggiornate le scadenze.
Per qualsiasi informazione puoi scrivermi a: info@realdocumentsolution.it oppure chiamare il numero: +39 039.228.17.23