La normativa GDPR e il cloud
Il Regolamento UE 2018/1725 impone obblighi stringenti sulla protezione dei dati personali. Le aziende che utilizzano servizi cloud devono garantire la sicurezza, la trasparenza e la responsabilità del trattamento.
Le clausole contrattuali con i fornitori di cloud devono includere specifiche disposizioni su audit, incident response e diritto di accesso ai log.
Cifratura dei dati: a riposo e in transito
- A riposo: utilizzare algoritmi FIPS‑140 validati (AES‑256) e gestire le chiavi con Hardware Security Modules (HSM).
- In transito: adottare TLS 1.3 per tutte le comunicazioni, con certificati emessi da autorità certificate.
L’implementazione di key management centralizzato consente un controllo granulare e riduce i rischi di esposizione accidentale dei dati sensibili.