Il regolamento generale sulla protezione dei dati (RGPD, in inglese GDPR, General Data Protection Regulation- Regolamento UE 2016/679) è un regolamento con il quale la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell'Unione europea e dei residenti nell'Unione europea.
Il testo affronta anche il tema dell'esportazione di dati personali al di fuori dell'UE e obbliga tutti i titolari del trattamento dei dati (anche con sede legale fuori dall'Unione europea) che trattano dati di residenti nell'Unione europea ad osservare ed adempiere agli obblighi previsti. Gli obiettivi principali della Commissione europea nel GDPR sono quelli di restituire ai cittadini il controllo dei propri dati personali e di semplificare il contesto normativo che riguarda gli affari internazionali unificando e rendendo omogenea la normativa privacy dentro l'UE. Dal 25 maggio 2018, il GDPR andrà a sostituire la direttiva sulla protezione dei dati (ufficialmente Direttiva 95/46/EC) istituita nel 1995, abrogherà le norme del codice per la protezione dei dati personali (dlgs.n. 196/2003) che risulteranno con esso incompatibili. Ciò potrà generare confusione per alcuni ma si attende una normativa italiana "di raccordo" che metta ordine e inserisca le norme del codice privacy non incompatibili all'interno dell'impianto normativo del Regolamento. Tramite un'altra Direttiva collegata, la UE 2016/680, in aggiunta a questo nuovo regolamento, sarà applicata una disciplina speciale e in parte derogatrice per i trattamenti dei dati da parte dell'Autorità Giudiziaria e di tutte le forze di polizia; in ragione della caratteristica dell'istituto della direttiva europea tali trattamenti dei dati (Autorità Giudiziaria e forze di polizia) continueranno ad essere differenti da Stato a Stato ed oggetto di una legislazione separata nazionale.
MISURE ADOTTATE
PCSistemi ha adottato per il cloud un modello di responsabilità condivisa, secondo il quale PCSistemi è responsabile della sicurezza dell'infrastruttura cloud (Sicurezza del cloud) e i clienti sono responsabili della sicurezza dei loro dati e applicazioni (Sicurezza nel cloud).
Tutti i server PCSistemi sono in cluster e gli storage in replica per la massima affidabilità. I clienti possono richiedere di eseguire una replica o un backup dei contenuti, ma PCSistemi non trasferirà i loro contenuti al di fuori dei propri server, se non per fornire i servizi da loro richiesti o in conformità alle normative applicabili.
I server PCSistemi hanno ottenuto una serie di certificazioni di conformità a solidi standard di sicurezza, tra le quali la Certificazione ISO 27001:2013, la Certificazione ISAE 3402:2011 Type II Report e la Certificazione ANSI/TIA 942-A-2014.
La Sicurezza del cloud viene ottemperata seguendo i seguenti criteri:
- i server vengono clonati con crittografia settimanalmente in altri server geolocalizzati in Italia al solo scopo di poterli recuperare in caso di disastro (problemi alla server farm, calamità naturali, guerra, etc);
- i dati principali (database) vengono copiati con crittografia 2 volte al giorno al solo scopo di poterli recuperare in caso di disastro;
- la comunicazione è protetta HTTPS con crittografia. Il certificato viene rinnovato ogni 3 mesi;
- i dati dei clienti vengono salvati su database protetto da password tramite i "requisiti minimi di complessità";
- i server e gli applicativi vengono periodicamente aggiornati con le ultime release e patch;
- per rilevare eventuali vulnerabilità software, vengono utilizzati una combinazione di strumenti sia disponibili in commercio sia sviluppati internamente e specificatamente, nonché test automatici e manuali per verificare possibili violazioni, processi di controllo della qualità, analisi della sicurezza del software
RESTITUZIONE ED ELIMINAZIONE DEI DATI
Il cliente può, in ogni momento, scaricare ed esportare il proprio database. Alcune funzionalità specifiche, consentono di eliminare gran parte dei dati, mantenendo solamente la struttura portante senza la quale l'applicativo non funzionerebbe correttamente. In tutti i casi i dati vengono storicizzati per un tempo massimo riportato in ogni software, oltre il quale verranno definitivamente cancellati.