Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Protezione Dati, GDPR, Tecnologie allo Stato dell'Arte

38 views

Published on

La Digital Transformation è nulla senza la protezione dei dati.
Il servizio di storage offerto dal Cloud Data Manager di Your Voice è progettato e costantemente aggiornato sulla base delle più stringenti normative in fatto di
Privacy, quali il GDPR, di Data Protection e Security, allo stato dell’arte delle tecnologie di crittazione dei dati.

Published in: Business
  • Be the first to comment

  • Be the first to like this

Protezione Dati, GDPR, Tecnologie allo Stato dell'Arte

  1. 1. Your Voice: Cloud Contact Management & Digital Transformation Cloud Data Manager
  2. 2. Portfolio The Cloud Contact Management Portfolio 2 V O I C E S E L F - S E R V I C E M O B I L E & V I S U A L C O M M U N I C A T I O N C L O U D I V R V I S U A L C X Reminder & Collection Customer Care C L O U D C O N T A C T M A N A G E M E N T C L O U D C O N T A C T M A N A G E R Customer Care Reminder & Collection Quality & Satisfaction Marketing & Sales Cloud Services D I G I T A L P A Y M E N T S P A Y P L U S + Cloud Services Customer Care Marketing & Sales B U S I N E S S I N T E L L I G E N C E V I S U A L D A T A I N T E L L I G E N C E D A T A P R O T E C T I O N C L O U D D A T A M A N A G E R Quality Cloud Services Reminder & Collection Marketing & Sales Customer Care Reminder & Collection Quality & Satisfaction D I G I T A L M A R K E T I N G O n e S c r e e n I n t e r a c t i v e Customer Care Marketing & Sales Quality & Satisfaction
  3. 3. 3 GDPR Digital Transformation is nothing without data protection GENERAL DATA PROTECTION REGULATION • Regolamento UE 2016/679 • Pubblicato sulla Gazzetta Ufficiale Europea il 04.05.16 • Applicato dal 25.05.18, sostituisce la Direttiva 95/46/EC e abroga le norme del dlgs.n. 196/2003 che risultano con esso incompatibili. ACCOUNTABILITY E’ il p i ipio-pilastro del GDPR, ma è poco t adu i ile dall’i glese. Di ia o: 1.Responsabilità, + 2.Competenza, + 3.Affidabilità, + 4.Trasparenza. Sono le quattro fondamenta su cui armonizzare diverse legislazioni nazionali UE, più o meno permissive, per incoraggiare un dialogo rispettoso del cittadino/cliente. L’azie da he t atta dati pe so ali de e esse e in grado di rendere conto a terzi della gestione di questi dati: dal consenso informato in poi.
  4. 4. 1. Organizzativi, Amministrativi e Legali 2. Tecnologici • analisi dei rischi relativi ai trattamenti effettuati • stesura di un DPIA -Data Protection Impact Assessment- per ogni processo gestito dall'azienda • aggiornamento della contrattualistica (es. nomina Responsabile del trattamento dei dati) • accesso ai dati via credenziali nominali tracciate • dati sensibili criptati a livello di applicazione • dati replicati su più data center • il trasferimento dati avviene via canali cifrati • test periodici di vulnerabilità • stru e ti per l’export e la ca cellazio e dei dati • eventuali storici di dati sono anonimizzati • i dati vengono mantenuti solo per il tempo concordato Interventi: Cloud Data Manager
  5. 5. 5 Cloud Data Manager Digital Transformation is nothing without data protection Il servizio di storage offerto dal Cloud Data Ma age CDM di Your Voice è progettato e costantemente aggiornato sulla base delle più stringenti normative in fatto di Privacy, quali il GDPR, di Data Protection e Security, allo stato dell’a te delle te ologie di crittazione dei dati. CDM gestisce grandi volumi di dati: 1.salvataggio in forma criptata 2.anonimizzazione / pseudonimizzazione 3.tracciamento degli accessi di utenti e sistemi L'accesso al servizio CDM avviene tramite: • API (CRUD REST, application to application) • GUI (user to application)
  6. 6. 6 Cloud Data Manager Digital Transformation is nothing without data protection CDM consente di tracciare gli accessi di utenti, web services e API: • tipo di dato e di accesso (es. creazione, lettura, modifica, cancellazione) • data e orario • IP di provenienza • motivo (che va specificato, ad ogni chiamata API, dall’ute te o dall’appli azio e Il dato criptato viene replicato in due data center geograficamente distribuiti, mente le interfacce di accesso sono disponibili da tre data center differenti. Il backup on-site avviene tramite versioning e offline dump.
  7. 7. 7 Cloud Data Manager SMART AUDIT Digital Transformation is nothing without data protection La funzionalità Smart Audit, add-on di CDM, consente di registrare ogni accesso ai dati personali (in lettura o in scrittura) in una transazione su Blockchain – disponibile nelle varianti dedicata o condivisa, pubblica o privata. Cloud Data Manager Cloud Data Manager Smart Audit Storage: su rete distribuita, dedicata e isolata da fi e all PCI o plia t. Crittazione: o hia i AES, solo l’o e del salvataggio o un utente autorizzato può decifrare il dato. Sharding e Versioning dei dati, crittati a livello di applicazione. Mem-caching: i dati di uso frequente sono memorizzati in aree ad accesso veloce. Blockchain: ogni accesso ai dati (lettura o scrittura) viene registrato in un database non odifi a ile. Transazioni: e ifi a ili e e tifi a ili da chiunque acceda alla blockchain. Audit: l’a esso ai dati può a e i e su qualsiasi blockchain pubblica o privata.
  8. 8. 8 Business Case: invio di un SMS Digital Transformation is nothing without data protection Un semplice scenario esemplificativo di utilizzo del Cloud Data Manager di Your Voice, in conformità alle disposizioni di Privacy e Security previste dal GDPR, è la gestione di un invio di un SMS. Lato cliente finale:
  9. 9. 9 Business Case: invio di un SMS Digital Transformation is nothing without data protection Lato accesso da applicazione business: N.B. chiunque o qualsiasi sistema automatico voglia accedere a un dato deve fornire le credenziali di autenticazione nonché un motivo valido. Anche questa operazione viene tracciata sulla blockchain.
  10. 10. 10 Data Protection Data Protection is nothing without security and privacy compliance Storage, Backup e Retention dei dati Lo storage dei dati avviene in una rete distribuita, seg e tata, dedi ata e p otetta da più fi e all PCI compliant. I dati sono salvati ogni giorno su nastro all’i te o dei data e te You Voi e. Settimanalmente i dati vengono crittati ed esportati su supporti remoti. I dati hanno una retention di default pari a 12 mesi online e a 24 mesi offline, oppure possono essere mantenuti per il particolare intervallo di tempo o o dato o l’Azie da Clie te. Al termine di questo periodo, i dati vengono eliminati dai sistemi Your Voice. Eventuali storicizzazioni di dati possono essere conservate in forma pseudonimizzata.
  11. 11. 11 Data Protection Data Protection is nothing without security and privacy compliance Tracciabilità e Latenza Ogni accesso ai dati, in lettura o scrittura, effettuato da un utente piuttosto che da un web service o API, può esse e egist ato i u d o odifi a ile blockchain). I dati di uso frequente sono memorizzati in aree di memoria ad accesso veloce (mem-caching). Sono disponibili dei tool dedicati alle funzionalità di export e di cancellazione dei dati. Il trasferimento dati avviene attraverso canali cifrati, ad esempio le t a sazio i i e e ti i dati so o e e tual e te e ifi a ili e e tifi a ili da hiu ue a eda alla lo k hai p edefi ita di o u e a o do o l’azie da lie te di Your Voice, che rimane sempre il Titolare del dato. L’auditi g di a esso ai dati può a e i e su lo k hai pubblica o privata Crittazione e Alta Disponibilità Ogni dato salvato viene crittato con chiavi AES 128bit e non è decifrabile se non da chi ha scritto il dato o da chi e ha l’auto izzazio e. Le hia i di a esso e go o sal ate all’i te o del pe i et o PCI DSS . . I dati sono crittati a livello di applicazione, frammentati (sharding) e archiviati su server distribuiti geog afi a e te a te e do e più opie e sio i g . I due Data Center di proprietà di Your Voice S.p.A., entrambi dislocati sul territorio italiano, vengono coinvolti in questa procedura – consentendo quindi la replicazione dei dati su più data center. L’a esso ai dati può a e i e es lusi a e te t a ite credenziali di tipo nominale e tracciate.
  12. 12. 12 Data Protection Data Protection is nothing without security and privacy compliance Password Le password di operatori e amministratori di sistema che hanno accesso ai dati hanno scadenza trimestrale. Le password devono avere una complessità tale da rispettare i requisiti di sicurezza aziendale. Hardening L’ha de i g dei se e è effettuato segue do gli standard proposti dal CIS (Center for Internet Security). Sicurezza ambientale I data center Your Voice, quando non presidiati, sono protetti da sistemi antintrusione collegati alle centrali ope ati e di istituti di igila za. L’a esso alle sale macchine è limitato da sistemi di controllo accesso biometrici e RFID
  13. 13. 13 Data Protection Data Protection is nothing without security and privacy compliance Aggiornamenti e Test Gli aggiornamenti dei sistemi operativi e dei software di terze parti considerati importanti sono installati entro cinque giorni lavorativi dal loro rilascio. Gli aggiornamenti considerati urgenti sono installati entro due giorni lavorativi dal loro rilascio. I sistemi e i soft a e oi olti el se izio CDM e ell’ope ati ità dei Data Center Your Voice vengono periodicamente sottoposti a Vulneration Assessment e Penetration Test. I sistemi di Intrusion Detection sono sia di tipo NIDS che HIDS.
  14. 14. Cloud Data Manager GDPR Recap 14
  15. 15. 15 Cosa prevede il Regolamento Digital Transformation is nothing without data protection La nuova normativa si applica ai cittadini UE, ovunque risiedano nel mondo, alle aziende europee e a qualsiasi azienda anche extra-UE che voglia o debba gestire dati personali di cittadini UE e/o il monitoraggio del loro comportamento all’i te o dell’UE. Per contattare una persona, e raccoglierne e gestirne i dati pe so ali, a u ’azie da occorre un motivo valido. Occorre poter dimostrare il consenso, fornito da una persona in certo momento nel tempo, al trattamento dei propri dati. La persona deve poter, in qualsiasi momento, accedere ai propri dati, modificarli, verificare lo stato del suo consenso (oggetto e finalità per cui era stato prestato) ed eventualmente revocarlo. La persona ha il diritto di poter richiedere la completa e definitiva eliminazione dei propri dati personali memorizzati presso l’azie da.
  16. 16. 16 Tipologie di dati personali Digital Transformation is nothing without data protection ANAGRAFICI •nome e cognome •carta di identità •passaporto •domicilio e eside za… ONLINE •indirizzi IP •cookies •tag RFID •GPS… PARTICOLARI/SENSIBILI •cartella clinica •orientamento religioso •orientamento sessuale •orientamento politico •etnia •impronte digitali •timbro vocale •ge o a…
  17. 17. 17 Compliance & gestione dei dati (1/2) Digital Transformation is nothing without data protection COSA PREVEDE IL REGOLAMENTO COME RISPONDE YOUR VOICE Per contattare una persona, ed eventualmente raccoglierne e gestirne i dati personali, a u ’azie da occorre un motivo valido: 1. consenso informato 2. stipula/gestione di un contratto (es. sottoscrizione di un abbonamento, invio di una fattura…) 3. legittimo interesse (es. invio di informazioni importanti relative al prodotto acquistato dal cliente) Particolare attenzione viene posta alla salvaguardia del concetto di o se so i fo ato . Offrire e raccogliere un consenso informato significa ad esempio:  dichiarare le finalità del trattamento dei dati (es. marketing, vendita, assistenza…);  sapere che le caselle pre-spuntate non sono valide;  la compilazione di un form, da parte di un cliente e per un certo motivo, non autorizza u ’azie da a ricontattare quel cliente per motivi differenti;  non solo informato ma dimostrabile, ovvero deve poter essere facilmente tracciabile l’oggetto e il momento in cui è stato prestato il consenso. Occorre poter dimostrare il consenso, fornito da una persona, al trattamento dei propri dati. Sono disponibili funzionalità in grado di:  tracciare le interazioni multicanale fra aziende e clienti;  registrare, in formato audio/video/screen capture, l’a e uto consenso.
  18. 18. 18 Compliance & gestione dei dati (2/2) Digital Transformation is nothing without data protection COSA PREVEDE IL REGOLAMENTO COME RISPONDE YOUR VOICE La persona deve poter, in qualsiasi momento, accedere ai propri dati, modificarli, verificare lo stato del suo consenso (oggetto e finalità per cui era stato prestato) ed eventualmente revocarlo. Your voice è in grado di supportare le aziende che vogliono correttamente predisporre delle aree/pagine web, a disposizione dei clienti finali, che evidenzino le opzioni informative e dispositive sui dati personali e sul consenso. Il principio guida è che revocare il consenso deve essere tanto facile quanto prestarlo. La persona ha il diritto di poter richiedere la completa e definitiva eliminazione dei propri dati personali memorizzati presso l’azie da (es. lo storico degli acquisti, eventuali registrazioni, indirizzi, numeri di carte di credito…) Gli strumenti per il takeout e la cancellazione dei dati personali sono parte integrante dell’offe ta Your Voice, in termini di funzionalità integrate nella piattaforma di Cloud Contact Management. La nuova normativa si applica ai cittadini europei, ovunque risiedano nel mondo, alle aziende europee e a qualsiasi azienda anche extra-UE che voglia o debba gestire dati personali di cittadini europei e/o il monitoraggio del loro comportamento all’i te o dell’UE. Il portfolio prodotti di Your Voice, offerti secondo la modalità Cloud, non prevede limitazioni su base geografica. Qualsiasi azienda nel mondo può acquisire servizi di Contact Management conformi al GDPR.
  19. 19. 19 Campagne di aggiornamento del Consenso Digital Transformation is nothing without data protection Impiegare comunicazioni massive, con sensibili risparmi sui costi: fino al 50% vs telemarketing, e liberando le risorse pregiate sulle attività core business. RISPARMI SUI COSTI Ridurre in modo drastico il tempo medio di gestione di un contatto, offrendo feedback veloci e precisi dalla base clienti. CONSENSO RAPIDO In caso di campagne Visual CX, il link inviato tramite SMS è: • univoco per ogni sessione/cliente • configurabile in termini di timeout • integrabile con funzionalità OTP • tracciabile per generare statistiche su views, tap… CONTROLLO E SICUREZZA Non per fare del terrorismo psicologico gratuito, ma l’adegua e to al GDPR è u o ligo di legge e le sa zio i potranno ammontare fino a 10 o 20 milioni di €, a seconda dei casi, o pari rispettivamente al 2% o al 4% del fatturato o diale totale a uo dell’ese izio p e ede te, se supe io e. EVITI LE SANZIONI
  20. 20. SCOPRI DI PIÙ
  21. 21. Your Voice: Cloud Contact Management & Digital Transformation Grazie!

×