Sviluppare un’app, progettare un sito web e, più in generale, realizzare un servizio IT basato sul trattamento dei dati personali richiede un’attenta analisi dell’impatto normativo di tali attività sotto il profilo della protezione dei dati personali.
Allo stesso modo, anche nella progettazione di un trattamento di dati personali è opportuno individuare le migliori soluzioni IT presenti sul mercato che consentano il rispetto dei principi e degli obblighi stabiliti dal Regolamento (UE) 2016/679 (GDPR).
L’obiettivo del seminario, quindi, è quello di illustrare gli aspetti più rilevanti in funzione dei principi della “data protection by design and by default” e le principali azioni finalizzate a garantire, sin dalle prime fasi di sviluppo e progettazione, la protezione dei dati personali.
La conservazione dei documenti informatici per i professionisti, le aziende e...
Sviluppare e progettare secondo il principio data protection by design and by default
1. Sviluppare e progettare secondo il
principio "data protection by design
and by default"
Gianluca Satta
2. Relatore: Gianluca Satta – www.diricto.it
2
DirICTo è un network che raggruppa esperti e studiosi, di tutta l’Italia, in
materia di Diritto dell’Informatica e dell’Informatica Giuridica con il fine di
sviluppare attività di studio, ricerca e approfondimento nell'ambito delle
tematiche di interesse comune per il mondo giuridico e informatico
Web site: www.diricto.it
3. Relatore: Gianluca Satta – www.diricto.it
3
ICT for Law and Forensics è il laboratorio di Informatica Forense del
Dipartimento di Ingegneria Elettrica e Elettronica dell’Università di Cagliari.
Aree di interesse: e-commerce e contrattazione telematica, la tutela giuridica
dei domain names, privacy e protezione dei dati personali nel mondo
telematico, cyber crimes, digital forensics
Web site: ict4forensics.diee.unica.it
4. Relatore: Gianluca Satta – www.diricto.it
FONTI
4
Normative di riferimento:
• Regolamento (UE) 2016/679 - Regolamento Generale sulla Protezione dei Dati
Linee guida:
• WP29, Linee guida sulla trasparenza ai sensi del regolamento 2016/679, Versione del 11 aprile
2018 (WP260 rev.01)
• WP29, Linee guida sul consenso ai sensi del regolamento (UE) 2016/679, Versione del 10
aprile 2018 (WP259 rev.01)
• ENISA, Recommendations on shaping technology according to GDPR provisions - Exploring
the notion of data protection by default – Dicembre 2018
• Datatilsynet - Autorità per la protezione dei dati personali norvegese, Software development
with Data Protection by Design and by Default – 11 novembre 2017
• AgID - Agenzia per l’Italia Digitale, Linee guida per lo sviluppo del software sicuro nella Pubblica
amministrazione - 21 novembre 2017
5. Relatore: Gianluca Satta – www.diricto.it
Aspetti generali: i principi della protezione dei dati personali
Data protection by design & by default
Art. 25 GDPR - Protezione dei dati fin dalla progettazione e
protezione dei dati per impostazione predefinita
+
Accountability
Art. 5, par. 2 GDPR – Responsabilizzazione
Art. 24 GDPR – Obblighi del Titolare
5
• Nuovo paradigma della protezione del
dato personale («data protection first»)
• Centralità del ruolo del titolare del
trattamento (accountability)
• Maggiore tutela dei diritti e delle libertà
degli interessati
6. Relatore: Gianluca Satta– www.diricto.it
Articolo 25
Protezione dei dati fin dalla progettazione e protezione dei
dati per impostazione predefinita
1. Tenendo conto dello stato dell'arte e dei costi di attuazione,
nonché della natura, dell'ambito di applicazione, del contesto e
delle finalità del trattamento, come anche dei rischi aventi
probabilità e gravità diverse per i diritti e le libertà delle
persone fisiche costituiti dal trattamento, sia al momento di
determinare i mezzi del trattamento sia all'atto del
trattamento stesso il titolare del trattamento mette in atto
misure tecniche e organizzative adeguate, quali la
pseudonimizzazione, volte ad attuare in modo efficace i
principi di protezione dei dati, quali la minimizzazione, e a
integrare nel trattamento le necessarie garanzie al fine di
soddisfare i requisiti del presente regolamento e tutelare i
diritti degli interessati.
«by design» (fin dalla progettazione)
● concetto rivolto direttamente ai dati
personali
● riguarda l’intero ciclo di vita dei dati
("al momento di determinare i mezzi
del trattamento" e "all’atto del
trattamento")
● dalla progettazione, alla gestione e
utilizzo dei dati personali, fino alla
loro archiviazione o cancellazione
Data protection by design &
by default nel GDPR
6
7. Relatore: Gianluca Satta– www.diricto.it
Articolo 25
Protezione dei dati fin dalla progettazione e protezione dei
dati per impostazione predefinita
2. Il titolare del trattamento mette in atto misure tecniche e
organizzative adeguate per garantire che siano trattati, per
impostazione predefinita, solo i dati personali necessari
per ogni specifica finalità del trattamento. Tale obbligo
vale per la quantità dei dati personali raccolti, la portata
del trattamento, il periodo di conservazione e
l'accessibilità. In particolare, dette misure garantiscono che,
per impostazione predefinita, non siano resi accessibili dati
personali a un numero indefinito di persone fisiche senza
l'intervento della persona fisica.
«by default» (per impostazione
predefinita)
● Concetto rivolto alle modalità di
funzionamento/erogazione dei servizi
● Riguarda aspetti operativi
● Priorità ai principi di minimizzazione
e limitazione della finalità (art. 5, lett.
b) e c)
Data protection by design &
by default nel GDPR
7
8. Relatore: Gianluca Satta– www.diricto.it
Adozione di comportamenti proattivi
(modalità, garanzie e limiti del
trattamento dei dati personali)
per garantire la sostanziale ed effettiva
protezione dei dati personali
dell’interessato
mediante la concreta adozione di
misure finalizzate ad assicurare
l'applicazione del regolamento
secondo il modello della data protection
by design & by default
Accountability
(responsabilizzazione)
8
Principio di liceità
Principio di finalità
Principio di
minimizzazione
Principio di
esattezza
Principio di
limitazione della
conservazione
Principio di
integrità e
riservatezza
Il titolare del trattamento è
competente per il rispetto dei
principi (art. 5 GDPR)
e deve essere in grado di
comprovarlo
9. Relatore: Gianluca Satta– www.diricto.it
Approccio basato sulla valutazione e
gestione del rischio
Valutazione del rischio di impatti negativi
del trattamento nei confronti delle persone
fisiche
• Rischi per la sicurezza dei dati personali
(fase patologica del trattamento – integrità,
disponibilità e riservatezza)
• Rischi per i diritti e le libertà
dell’interessato (fase fisiologica del
trattamento) - DPIA
La valutazione dei rischi deve essere oggettiva
(approccio scientifico)
Il risk assessment
9
Articolo 32
Sicurezza del trattamento
(…) il titolare del trattamento e il responsabile del trattamento
mettono in atto misure tecniche e organizzative adeguate per
garantire un livello di sicurezza adeguato al rischio (…)
Articolo 25
Protezione dei dati fin dalla progettazione e protezione dei
dati per impostazione predefinita
1. Tenendo conto dello stato dell'arte e dei costi di attuazione,
nonché della natura, dell'ambito di applicazione, del contesto e
delle finalità del trattamento, come anche dei rischi aventi
probabilità e gravità diverse per i diritti e le libertà delle
persone fisiche costituiti dal trattamento (…)
10. Relatore: Gianluca Satta – www.diricto.it
Data protection by design and by default nell’ambito
della progettazione e sviluppo di soluzioni IT
10
Considerando (78) GDPR
La tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l'adozione di
misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del presente regolamento. Al fine di
poter dimostrare la conformità con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e
attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei
dati per impostazione predefinita. (…)
In fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di
dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle
applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e
progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell'arte, a far sì che i titolari del
trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati. I principi della
protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita dovrebbero essere presi in
considerazione anche nell'ambito degli appalti pubblici.
11. Relatore: Gianluca Satta – www.diricto.it
I soggetti coinvolti
11
Produttore (di un
prodotto, servizio o
applicazione): determina
il design e le opzioni di
configurazione del
prodotto, servizio o
applicazione
Titolare del trattamento:
determina le finalità e i
mezzi del trattamento (art.
4, n. 7 GDPR). Il titolare del
trattamento ha la
responsabilità generale
delle attività di trattamento,
incluse le impostazioni
predefinite dei servizi,
prodotti e applicazioni
(come fornite dal
produttore) per mezzo dei
quali effettua il trattamento
Responsabile del
trattamento: tratta i dati
personali per conto del
titolare
L’interessato: persona
fisica a cui si riferiscono i
dati personali oggetto di
trattamento. L’interessato
può essere un utente (user)
o un non utente (non-user)
Utente o “utente finale”
(end-user): un individuo che
utilizza un prodotto, servizio
o applicazione. L’utente
può cambiare, modificare la
configurazione del sistema
(nei limiti di quanto
consentito dal produttore).
L’utente può avere differenti
ruoli: consumatore (allora
sarà un interessato) oppure
un dipendente del titolare o
del responsabile (allora
sarà un «autorizzato»)
Fonte: ENISA, 2017
Dal produttore… all’utente finale
12. Relatore: Gianluca Satta – www.diricto.it
I soggetti coinvolti: scenari
PRODUTTORE/
TITOLARE
Utilizza la soluzione IT
direttamente per finalità
proprie. In quanto titolare
ha l’obbligo di rispettare i
requisiti GDPR.
TITOLARE o
RESPONSABILE
Utilizza la soluzione IT
sviluppata dal Produttore. Il
rispetto dei requisiti GDPR
dipende anche dalle
caratteristiche della soluzione
IT fornita dal Produttore
12
13. Relatore: Gianluca Satta – www.diricto.it
I soggetti coinvolti: gli effetti sui produttori
•Stabilisce obblighi e requisiti
per Titolari e Responsabili
•Nessun obbligo per i
Produttori (in termini di
sviluppo o progettazione di
prodotti, servizi o applicazioni)
GDPR
•Ricercano soluzioni che
consentano loro di rispettare i
requisiti GDPR
•Probabilmente non acquistano
prodotti, servizi o applicazioni
non compliant con il GDPR
Titolari e
Responsabili •Il GDPR non prevede obblighi
per i Produttori
•Il GDPR fa affidamento sulle
leggi del mercato e sugli effetti
indiretti nei confronti dei
Produttori
Effetti sul
mercato
13
14. Relatore: Gianluca Satta – www.diricto.it
Quali soluzioni per essere
competitivi sul mercato?
Come sviluppare e progettare secondo il principio «data protection by
design and by default»?
Come scegliere un prodotto, servizio o applicazione GDPR compliant?
14
15. Relatore: Gianluca Satta – www.diricto.it
ASPETTI
PRELIMINARI
Embedded security and
data protection
Pre-settings e usabilità
BEST PRACTICES
Quantità minima di dati personali
Portata minima del trattamento
Limitazione della conservazione
Accessibilità minima dei dati
Consenso
Trasparenza
Privacy Implementation Strategy
LINEE GUIDA
Una strategia per sviluppare
software secondo i principi
della «data protection»
Lo sviluppo del software
sicuro nella pubblica
amministrazione
15
La protezione dei dati personali: best practices in tema
di «data protection by design and by default»
16. Relatore: Gianluca Satta – www.diricto.it
Embedded security and data protection
I produttori di prodotti, servizi e applicazioni dovrebbero astenersi dall'utilizzare modelli di
progettazione e sviluppo che possano portare gli utenti verso scelte non in linea con i principi
della privacy; al contrario, essi dovrebbero adottare modelli di business basati sui principi di
sicurezza (security «by default») e «data protection», fornendo così un valido supporto ai
titolari/responsabili e agli utenti finali.
Impostazioni di default
In questo contesto, le impostazioni di default (o predefinite, pre-installate) sono di
vitale importanza: esse determinano il funzionamento al primo utilizzo da parte
dell’utente.
Fonte: ENISA, 2017 16
17. Relatore: Gianluca Satta – www.diricto.it
L’importanza delle impostazioni predefinite
Le impostazione pre-installate (già configurate dal produttore) determinano
come funzionerà il sistema se nulla verrà modificato.
(Enisa, 2018)
Non rappresentano solo il punto di partenza di come viene usato il sistema, ma, poiché molti
utenti non cambieranno mai l'impostazione predefinita, ne regolerà l'uso in larga misura
The idea behind the principle (data protection by design, ndr) is that privacy intrusive features
of a certain product or service are initially limited to what is necessary for the simple
use of it. The data subject should in principle be left the choice to allow use of his or
her personal data in a broader way.
(EDPS, 2012).
17
Il prodotto o servizio dovrebbe essere configurato limitando le funzionalità che impattano
sulla privacy degli utenti. Gli utenti dovrebbero poter scegliere se consentire l’utilizzo più
ampio dei propri dati personali (maggiore impatto)
18. Relatore: Gianluca Satta – www.diricto.it
L’importanza delle impostazioni predefinite
Per ogni nuova soluzione
IT, prima del rilascio
finale, il produttore
dovrebbe definire
Quale funzionalità sarà
integrata nel sistema
senza possibilità di
modifica (cd. «wired-in»)
Quale funzionalità sarà
configurabile
Configurazione lasciata
all'utente finale o al
titolare del trattamento
Alternative di
configurazione
predeterminate dal
produttore
In ogni caso, il produttore o il titolare del trattamento, che utilizza la soluzione IT, dovrebbero sempre preferire e
selezionare l'opzione che favorisce maggiormente la protezione dei dati personali. Allo stesso tempo, il produttore
dovrebbe garantire un’agevole comprensione delle impostazioni predefinite e delle opzioni per modificarle.
Fonte: ENISA, 2017 18
19. Relatore: Gianluca Satta– www.diricto.it
Quantità minima di dati
personali
Raccogliere e utilizzare solo dati
necessari in relazione alle finalità
Principio di minimizzazione (art. 5
GDPR)
Granularità della raccolta dei dati
personali
Form online (sito web / piattaforma):
• Il form online dovrebbe essere progettato per richiedere
il numero minimo di dati personali
• Si dovrebbe contenere il numero di campi da compilare
• Meglio mettere a disposizione un elenco predefinito e
non campi di testo liberi (dove l’utente potrebbe inserire
dati personali non pertinenti)
E-commerce o altri servizi IT:
• La registrazione dell’utente (finalità) comporta la
necessaria acquisizione di alcuni dati personali (es.
nome, cognome, email, password)
• I dati di consegna dei prodotti acquistati (es. nome,
indirizzo fisico) dovrebbero essere raccolti solo in una
seconda fase, se e quando l’utente decide di acquistare
Fonte: ENISA, 2017 19
20. Relatore: Gianluca Satta– www.diricto.it
Progettare la raccolta dei dati
personali:
1. Valutare lo scopo (finalità)
2. Stabilire quali informazioni sono
necessarie
3. Individuare quali dati personali
acquisire dall’interessato e le
relative modalità
Servizio web non accessibile ai soggetti minorenni
1. Finalità: impedire l’accesso ai minorenni
2. Quali informazioni?: data di nascita completa, anno di
nascita
3. Quali dati personali acquisire e con quali modalità?: Si
potrebbe utilizzare un banner o altro metodo per
consentire all’utente di comunicare se è maggiorenne
oppure no. L’acquisizione della data di nascita non è
necessaria.
Quantità minima di dati
personali
Fonte: ENISA, 2017 20
21. Relatore: Gianluca Satta– www.diricto.it
Minimizzazione:
Non solo quantità dei dati…
ma anche qualità dei dati raccolti
Mobile App:
• Configurare le impostazioni predefinite (default settings) in
modo tale che alcune informazioni siano acquisite solo in caso
di attivazione volontaria di alcune funzioni da parte
dell’utente (es. GPS, videocamera, microfono)
Mobile App e accesso alla rubrica:
• Acquisizione dei dati della rubrica solo in caso di scelta
dell’utente (es. condivisione con i propri contatti)
Servizi di messaggistica istantanea:
• Attivazione della funzione: Orario di ultimo accesso /
informazioni sulla visualizzazione del messaggio
• Tale funzione, di default, non dovrebbe essere attivata. L’utente
(destinatario) deve poter scegliere se accettare o meno l’invio
delle informazioni al mittente
Quantità minima di dati
personali
Fonte: ENISA, 2017 21
22. Relatore: Gianluca Satta– www.diricto.it
Minimizzazione:
Ridurre al minimo il rischio di trattamenti
a forte impatto (es. dati particolari)
Evitare l’acquisizione di dati particolari
se la finalità può essere perseguita con
dati personali comuni
Software per sistemi di videosorveglianza
• Si dovrebbe implementare sempre una funzione che
consente di variare la risoluzione di acquisizione delle
immagini
• Oscurare/sfocare le aree che non interessano
• Evitare di acquisire immagini ad alta risoluzione,
ovvero in combinazione con dati particolari (es. dati
biometrici: rilevazione dell’andatura, riconoscimento
facciale, ecc)
Quantità minima di dati
personali
Fonte: ENISA, 2017 22
23. Relatore: Gianluca Satta– www.diricto.it
Portata minima del
trattamento
Ridurre al minimo le operazioni di
trattamento
Eseguire solo le operazioni di
trattamento indispensabili per
raggiungere l’obiettivo (finalità)
In questo modo diminuisce il rischio
di impatti negativi nei confronti degli
interessati
Archiviazione dei dati personali
• Se non è necessario, si dovrebbe evitare di
memorizzare dati personali.
• La creazione di dataset aumenta il rischio di violazione
dei dati stessi (data breach).
Correttezza e trasparenza
La portata del trattamento può essere limitata mettendo a
disposizione dell’utente:
• una dashboard per il controllo delle impostazioni (es.
esercizio dei diritti «privacy»: cancellazione, rettifica,
portabilità)
• Comandi per l’attivazione o disattivazione di alcune
impostazioni (es. cookies, flag per opt-in e opt-out)
Fonte: ENISA, 2017 23
24. Relatore: Gianluca Satta– www.diricto.it
Portata minima del
trattamento
Riducendo la portata del trattamento
si riduce anche la quantità di dati
acquisiti, conservati e, quindi, resi
accessibili
Siti web:
• Se non è necessario, si dovrebbe evitare di tracciare gli
utenti (es. cookies di profilazione).
Photo sharing apps:
• Se prevista la funzione di condivisione delle immagini è
preferibile limitare la condivisione e memorizzazione di
metadati (es. luogo dello scatto, orario, tipologia di
videocamera utilizzata)
Fonte: ENISA, 2017 24
25. Relatore: Gianluca Satta– www.diricto.it
Limitazione della
conservazione
Conservare i dati personali solo se
necessario
La necessità è determinata in base
alle finalità
La conservazione dei dati solo se necessaria
• La durata della conservazione può variare in base alle
finalità: es. obblighi di legge, necessità di eseguire
obblighi contrattuali e tutela in giudizio
• Trascorso il periodo di conservazione i dati devono
essere cancellati definitivamente oppure resi anonimi
Il caso dei sondaggi di gradimento
• Molto diffuse le app o siti web con apposite sezioni per
sondaggi di gradimento
• In tal caso, sarebbe opportuno limitare la
conservazione dei dati non associando le risposte alle
identità degli utenti
• Raccogliere esclusivamente le risposte in forma
aggregata
Fonte: ENISA, 2017 25
26. Relatore: Gianluca Satta– www.diricto.it
Accessibilità minima dei dati
Art. 25, par. 2 GDPR
I dati non devono essere accessibili a un
numero indefinito di persone fisiche
senza l'intervento da parte
dell’interessato (es. attivando la
condivisione delle proprie informazioni)
Limitazione degli accessi:
• Separazione dei dati personali (in
base alle finalità)
• Profili di autorizzazione per ciascun
utente
• Integrazione dei sistemi con soggetti
esterni (es. cloud provider, pubbliche
amministrazioni, ecc)
Piattaforme «social»
• Le impostazioni di default dovrebbero garantire una
visibilità limitata delle informazioni dell’interessato
(utente).
• La condivisione a più destinatari dovrebbe avvenire
solo su scelta dell’interessato
Motori di ricerca
• Indicizzazione limitata
Health/fitness app
• Le impostazioni di default dovrebbero essere
configurate per impedire la condivisione delle
informazioni sulla salute o sulle performance con altri
utenti – solo su scelta volontaria (e informata)
dell’utente
Fonte: ENISA, 2017 26
27. Relatore: Gianluca Satta– www.diricto.it
Consenso
Tracciamento dei consensi
Comprovare la validità del consenso
• Libero
• Specifico
• Informato
• Inequivocabile
In caso di acquisizione di consensi
• Nel mondo informatico: check box (non «pre-spuntata»)
• Log files per tracciare il consenso acquisito: data, ora,
utente
In caso di revoca del consenso
• Garantire l’effettiva revoca del consenso
• Cancellazione dei dati personali acquisiti (salvo
l’applicabilità di ulteriori basi giuridiche per la
conservazione)
Uno scenario comune: le newsletter
• Effettiva interruzione del servizio
• Assicurare la cancellazione dei dati personali anche
presso i fornitori esterni (es. platform marketing)
Fonte: ENISA, 2017 27
28. Relatore: Gianluca Satta– www.diricto.it
Trasparenza
Espressione del principio di
correttezza
Qualità, accessibilità e
comprensibilità
Controllo sui dati personali da parte
dell’interessato
Siti web e app:
• Le pagine web e le interfacce presentate all’utente
dovrebbero essere semplici e chiare (pop-up, notifiche,
dashboard contenenti messaggi relativi al trattamento dei
dati personali)
• Le modalità di raccolta e utilizzo dei dati dovrebbero essere
facilmente comprensibili
• Le sezioni «privacy» dovrebbero essere facilmente
accessibili (homepage, footer, menu dedicati)
• Regola dei «due tocchi»
Personalizzazione delle sezioni «privacy»
• Consentire la personalizzazione delle sezioni dedicate
all’informativa privacy, acquisizione dei consensi.
• Premiare soluzioni con «informative stratificate» e con
possibilità di utilizzare icone
Fonte: ENISA, 2017 28
29. Relatore: Gianluca Satta– www.diricto.it
Privacy Implementation
Strategy
Comprovare le metodologie e le
scelte indirizzate alla protezione dei
dati (GDPR compliance) –
Documentare (accountability)
Valorizzare il prodotto finale
Consentire un’agevole comprensione
delle impostazioni predefinite e delle
opzioni per modificarle
Report sulla metodologia applicata nello sviluppo della
soluzione IT (intermedi e finale)
• I principi generali della protezione dei dati applicabili alla
progettazione del software
• Gli obiettivi di protezione che il software dovrebbe
garantire
• I principi della data protection «by design» e «by default»
applicabili alla progettazione del software
• I risultati del risk assessment per il software (impatto nei
confronti degli interessati) e l’individuazione dei requisiti
di protezione dei dati personali
• Le tipologie di dati personali trattati nell’ambiente
software
• La descrizione del flusso informativo derivante dal
trattamento all’interno del software
29
30. Relatore: Gianluca Satta – www.diricto.it
Una strategia per sviluppare software secondo i
principi della «data protection»
Le linee guida dell’Autorità per la protezione dei
dati personali norvegese
“Software development with Data Protection
by Design and by Default”
Published: 11/28/2017
30
31. Relatore: Gianluca Satta – www.diricto.it
TRAINING
Formazione privacy: requisiti
e rischi inerenti la protezione
dei dati personali
Target: management e
dipendenti
REQUIREMENTS
Individuare i requisiti di
protezione dei dati personali e
di sicurezza che si intende
implementare nel prodotto
finale
Target: tutto il team
sviluppatori, responsabili di
progetto, DPO
DESIGN
I requisiti individuati nella
fase precedente devono
essere implementati nel
design.
Target: tutto il team
sviluppatori, DPO,
responsabili sicurezza
31
Una strategia per sviluppare software secondo i
principi della «data protection»
Fonte: Datatilsynet, 2017
32. Relatore: Gianluca Satta – www.diricto.it
CODING
Realizzazione del software.
Utilizzo di sistemi e tools
sicuri
Rimozione delle vulnerabilità
Target: tutto il team
sviluppatori, responsabili di
progetto, DPO
TESTING
Controllo finale sui requisiti di
protezione dei dati personali e
sicurezza definiti durante la
fase «requirements» e
«design».
Verifica delle vulnerabilità:
penetration testing e altre
tecniche per la simulazione di
attacchi.
Target: tutto il team
sviluppatori, responsabili di
progetto, DPO
RELEASE &
MAINTAINANCE
II rilascio del software:
- pianificare modalità di
gestione degli incidenti (data
breaches);
- software updates
Target: incident response
team, DPO, responsabili
sicurezza
32
Una strategia per sviluppare software secondo i
principi della «data protection»
Fonte: Datatilsynet, 2017
33. Relatore: Gianluca Satta – www.diricto.it
Lo sviluppo del software sicuro nella pubblica
amministrazione
L’Agenzia per l’Italia Digitale il 21 novembre 2017 ha pubblicato le "Linee guida per lo sviluppo
del software sicuro nella Pubblica amministrazione"
Le linee guida si inseriscono nell’ambito del cd. "Modello strategico di evoluzione del sistema
informativo della Pubblica Amministrazione" che costituisce il quadro di riferimento del Piano
Triennale per l’Informatica nella Pubblica Amministrazione.
Le linee guida forniscono indicazioni sulle misure da adottare dalla fase di progettazione del
software alla fase di rilascio, e si declinano in quattro ambiti tematici:
1. Linee Guida per l’adozione di un ciclo di sviluppo di software sicuro:
2. Linee Guida per lo sviluppo di software sicuro;
3. Linee Guida per la configurazione per adeguare la sicurezza del software di base;
4. Linee Guida per la modellazione delle minacce ed individuazione delle azioni di mitigazione
conformi ai principi del Secure/Privacy by Design;
33
34. Relatore: Gianluca Satta – www.diricto.it
Lo sviluppo del software sicuro nella pubblica
amministrazione
Le Linee Guida
rappresentano un
riferimento per la
produzione di profili di
protezione
Fonte: AGiD, 2017
in fase di acquisizione
di applicazioni
• indicano le caratteristiche
funzionali ritenute necessarie
• in relazione al contesto
applicativo o al contesto di
utilizzo
in caso di affidamento
di attività di gestione
software esternalizzate
• indicano i requisiti tecnici ed i
controlli da prevedere
• in funzione dei livelli di
sicurezza richiesti
propedeutici alla messa in
esercizio del software
34
35. Relatore: Gianluca Satta – www.diricto.it
AMMINISTRAZIONE
Fornisce regole precise per l'accettazione dei
sistemi e delle applicazioni rilasciate dai fornitori o
sviluppate internamente.
Nello specifico devono essere evidenziati gli
obblighi relativi alle fasi di design, coding e
maintanance del Software e la tipologia di
controlli/attività effettuati dall’Amministrazione
durante l’intera fase di progetto.
FORNITORE
Deve indirizzare in maniera adeguata la
sicurezza del software (standard di settore per
lo sviluppo sicuro, best practice) aderendo ai
termini contenuti nei contratti stipulati.
Deve garantire l’adeguata protezione delle
informazioni, assicurando che durante tutto il
processo di sviluppo dell’applicazione, il codice
sorgente sarà oggetto di continue revisioni di
sicurezza volte ad eliminare le vulnerabilità
presenti, indicando gli standard, le policy, e
le best pratice adottate.
35
Lo sviluppo del software sicuro nella pubblica
amministrazione
Fonte: AGiD, 2017
36. Relatore: Gianluca Satta – www.diricto.it
Lo sviluppo del software sicuro nella pubblica
amministrazione
TARGET
Le figure interne all’Amministrazione interessate sono le seguenti:
• Responsabile della transizione al digitale. La transizione al digitale consisterà anche nella
digitalizzazione dei procedimenti interni associata all’introduzione di best practice nello
sviluppo di procedure software.
• Responsabile del Procedimento dei bandi di gara o in generale delle procedure di
affidamento aventi come oggetto la fornitura di software applicativo. All’interno delle possibili
procedure di gara, il RUP deve esigere dal fornitore della singola applicazione software
l’adozione di standard specifici per rilasciare “software sicuro”.
Fonte: AGiD, 2017
…e il DPO
36
37. Relatore: Gianluca Satta – www.diricto.it
Lo sviluppo del software sicuro nella pubblica
amministrazione
1. Linee guida per l’adozione di un ciclo di sviluppo di software sicuro
Contenuti principali:
• Esigenze e Ambiti di Applicazione, come nasce l’esigenza dello sviluppo di software sicuro.
• Analisi delle iniziative e degli standard, analizza lo scenario nazionale e globale fornendo una vista delle
iniziative, degli standard e dei risultati prodotti in termini di metodologie, raccomandazioni, modelli e Tool.
L’analisi dello scenario ha consentito la creazione del Catalogo dei Security Tools.
• Secure Software Development Life Cycle (SSDLC): Analisi delle metodologie e dei Processi. Analizza i
diversi metodi e modelli SDLC esistenti, con l’obiettivo di identificare le caratteristiche che rendono un ciclo di
sviluppo software sicuro ed efficace.
• La sicurezza in tutte le fasi del ciclo di sviluppo software, è un approfondimento sulle fasi del SDLC dato
che, tradizionalmente, gli aspetti di sicurezza non vengono considerati con sufficiente attenzione fin dall’inizio
del SDLC.
• Training e formazione. Focalizza l’attenzione sul fatto che molti degli attuali problemi di sicurezza derivano da
errori di progettazione o di implementazione, risolvibili solo disponendo di personale qualificato.
• Certificazioni professionali, è un elenco delle principali certificazioni riconosciute in ambito InfoSec.
Fonte: AGiD, 2017 37
38. Relatore: Gianluca Satta – www.diricto.it
Lo sviluppo del software sicuro nella pubblica
amministrazione
2. Linee guida per lo sviluppo di software sicuro
Contenuti principali:
• Il Capitolo 1 riporta le generalità e lo scopo del documento;
• Il Capitolo 2 riporta la documentazione applicabile e di riferimento al presente documento;
• Il Capitolo 3 riporta le definizioni e gli acronimi utili per la lettura del documento;
• Il Capitolo 4 riporta un’introduzione alle applicazioni sicure;
• Il Capitolo 5 fornisce un insieme di raccomandazioni generali e trasversali alle scelte implementative;
• Il Capitolo 6 fornisce un elenco delle principali vulnerabilità software, corredate da esempi puntuali e
delle relative contromisure da adottare;
• Il Capitolo 7 fornisce delle best practices per i linguaggi di sviluppo utilizzati (C/C++, Java, PL/SQL,
Javascript, PyThon, C#, ASP, ASP.NET, PHP, VBNET, AJAX, GO) e delle misure da adottare al fine di
diminuire l’esposizione verso problematiche di sicurezza applicativa.
Fonte: AGiD, 2017 38
39. Relatore: Gianluca Satta – www.diricto.it
Lo sviluppo del software sicuro nella pubblica
amministrazione
3. Linee Guida per la configurazione per adeguare la sicurezza del software di base
Contenuti principali:
• Il par. 4.1 contiene un elenco delle minacce alla sicurezza delle informazioni ritenute applicabili nel contesto
del presente documento.
• Il par. 4.2 contiene un catalogo delle principali tipologie di attacco rispetto al software di base, al
middleware e al software applicativo più comune.
• Il par. 5.1 fornisce un insieme di raccomandazioni generali ‘trasversali’ che realizzano la base comune per
affrontare le problematiche di sicurezza delle specifiche componenti.
• Il par. 6 contiene in una prima tabella l’elenco dei riferimenti alle istruzioni operative di hardening (o
benchmarks) messe a disposizione da enti/istituzioni preposte ed affermate a livello internazionale, operanti con
il pieno supporto dei rispettivi vendor, e in una seconda tabella l’elenco delle baseline di configurazione e di
alcuni strumenti software per l’hardening messi a disposizione direttamente dai vendor.
Fonte: AGiD, 2017 39
40. Relatore: Gianluca Satta – www.diricto.it
Lo sviluppo del software sicuro nella pubblica
amministrazione
4. Linee Guida per la modellazione delle minacce ed individuazione delle azioni di
mitigazione conformi ai principi del Secure/Privacy by Design
Contenuti principali:
• Il Capitolo 5, introduce i concetti base di security e privacy by design, analizza gli strumenti e i modelli a
supporto della fase di progettazione del software sicuro, in essere e in divenire;
• Il Capitolo 6, definisce le linee guida per l’identificazione preventiva delle possibili minacce, delle relative
azioni di mitigazione e per la valutazione e prioritizzazione delle minacce stesse;
• Il Capitolo 7, fornisce un caso d’uso applicativo in cui vengono impiegate le metodologie e gli strumenti di
sicurezza indicati nel Capitolo 5 (Linee Guida).
Fonte: AGiD, 2017 40
41. Relatore: Gianluca Satta – www.diricto.it
Sviluppare e progettare secondo l’approccio
della «data protection by design and by default»
In conclusione…
41
• Competitività
• Riduzione dei costi di intervento a posteriori
Vantaggi per i
produttori
• Compliance
• Basso rischio di sanzioni
• Risparmio costi di gestione di data breaches,
risarcimenti danni
• Migliore reputazione
Vantaggi per le
aziende e le P.A.
(titolari/responsabili
del trattamento):
42. Relatore: Gianluca Satta – www.diricto.it
CI SONO DOMANDE?
Non dimenticare di segnarti le nostre email:
gianluca@gianlucasatta.it
info@diricto.it
…e i nostri siti web:
http://www.diricto.it
http://ict4forensics.diee.unica.it
http://www.marcafoto.it
42
43. Relatore: Gianluca Satta – www.diricto.it
Licenza
Attribuzione - Non Commerciale - Condividi allo stesso modo 4.0 (CC BY-NC-SA 4.0)
Internazionale
o Tu sei libero di:
Condividere - riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare questo
materiale con qualsiasi mezzo e formato;
Modificare - remixare, trasformare il materiale e basarti su di esso per le tue opere;
Il licenziante non può revocare questi diritti fintanto che tu rispetti i termini della licenza
Alle seguenti condizioni:
Attribuzione. Devi riconoscere una menzione di paternità adeguata, fornire un link alla licenza e indicare se
sono state effettuate delle modifiche. Puoi fare ciò in qualsiasi maniera ragionevole possibile, ma non con
modalità tali da suggerire che il licenziante avalli te o il tuo utilizzo del materiale.
Non commerciale. Non puoi usare il materiale per fini commerciali.
Stessa Licenza. Se remixi, trasformi il materiale o ti basi su di esso, devi distribuire i tuoi contributi con la
stessa licenza del materiale originario.
o Divieto di restrizioni aggiuntive — Non puoi applicare termini legali o misure tecnologiche che
impongano ad altri soggetti dei vincoli giuridici su quanto la licenza consente loro di fare.
o Non sei tenuto a rispettare i termini della licenza per quelle componenti del materiale che siano in
pubblico dominio o nei casi in cui il tuo utilizzo sia consentito da una eccezione o limitazione prevista
dalla legge
o Non sono fornite garanzie. La licenza può non conferirti tutte le autorizzazioni necessarie per l'utilizzo che
ti prefiggi. Ad esempio, diritti di terzi come i diritti all'immagine, alla riservatezza e i diritti morali
potrebbero restringere gli usi che ti prefiggi sul materiale.
43