Buongiorno a tutti, avrei bisogno di un chiarimento, sul punto 10.3.1:
“Assicurare la riservatezza delle informazioni contenute nelle copie di sicurezza mediante adeguata protezione fisica dei supporti ovvero mediante cifratura. La codifica effettuata prima della trasmissione consente la remotizzazione del backup anche nel cloud.”
Serve che criptiamo noi i dati prima di trasmetterli nel cloud per essere conformi?
La trasmissione dei dati è sicuramente criptata perciò non viaggiano in chiaro, quindi qual’è il senso di questa frase?
La prima parte dice che nel caso non sia garantita una adeguata sicurezza fisica dei supporti fisici (quindi materialmente possano rubare i supporti di memorizzazione) i backup debbano essere cifrati.
La seconda parte dice di non trasmettere i dati in chiaro: se li fai viaggiare su di un canale cifrato non devi fare nulla, mentre nel caso tu li facessi transitare su di un canale non cifrato dovresti prima cifrarli.
Anche perché effettuare una “codifica DOPO la trasmissione” non sarebbe sicuro. Vorrebbe dire che i dati in chiaro sono arrivati sulla piattaforma remota e solo dopo si è proceduto a cifrarli. Ma ormai il danno è fatto e qualcuno (es: il provider) potrebbe averli già letti o copiati.
Per cui: prima cifri e poi trasmetti.