[NOVITÀ] WP Media Cleanup elimina le immagini inutilizzate nascoste nella tua libreria multimediale
Joella Dunn
Joella Dunn
John Turner
John Turner
Il modo in cui si gestiscono i dati di backup è importante tanto quanto il fatto di avere dei backup in primo luogo.
I file di backup sono copie di tutti i dati in uso, quindi sono soggetti alle stesse leggi sulla privacy, alle norme di sicurezza e agli standard di settore.
In questo post del blog, vi illustrerò tutto ciò che dovete sapere sulla conformità dei backup.
Imparerete:
Conformità del backup significa che la vostra strategia di backup segue tutte le regole legali e di settore che si applicano ai vostri dati.
Quando si crea un backup, si fa una copia esatta dei dati del sito web in uso. Se il sito live contiene informazioni personali, dati finanziari o sanitari, i backup contengono le stesse informazioni sensibili.
La legge non si preoccupa se i dati sono "vivi" o "backuppati". I dati sensibili sono dati sensibili, indipendentemente da dove si trovino.
Ciò significa che i backup devono seguire le stesse leggi sulla privacy, gli standard di sicurezza e le normative di settore del vostro sito web principale. Non è possibile scaricare i file di backup da qualche parte e considerarli finiti.
La conformità del backup riguarda l'intero ciclo di vita dei dati di backup. Dal momento in cui si crea un file di backup al giorno in cui lo si elimina definitivamente, ogni fase deve essere conforme alle regole.
Questo include:
La conformità del backup è un insieme di requisiti che lavorano insieme per proteggere i dati e mantenere la conformità legale. La comprensione di questi aspetti chiave vi aiuterà a costruire una strategia di backup che copra tutte le basi.
La vostra strategia di backup deve seguire le leggi basate sul luogo in cui si trovano i vostri utenti, non solo dove si trova la vostra azienda.
Se avete visitatori dall'Europa, il GDPR si applica ai vostri backup. Clienti dalla California? Entrano in gioco le norme CCPA. L'ubicazione dei vostri utenti determina le normative da seguire.
Non preoccupatevi, spiegherò questi requisiti legali in modo approfondito più avanti in questo tutorial.
Due sono le cose più importanti: la crittografia e il controllo degli accessi.
I dati di backup devono essere crittografati sia quando viaggiano verso l'archiviazione (in transito) sia quando si trovano nell'archiviazione (a riposo). Senza crittografia, i file di backup sono leggibili da chiunque vi acceda.
Il controllo degli accessi significa seguire il principio del minor privilegio. Solo le persone che hanno assolutamente bisogno di accedere ai file di backup devono poterlo fare. Tutti gli altri devono essere esclusi.
È necessario conservare i backup per un tempo sufficiente a soddisfare le esigenze aziendali. Tuttavia, è anche necessario eliminarli alla fine per rispettare i diritti di privacy.
Una politica di conservazione formale non è facoltativa. È necessario disporre di regole scritte che specifichino esattamente per quanto tempo vengono conservati i diversi tipi di backup e quando vengono eliminati.
L'obiettivo di tempo di ripristino (RTO) è la velocità con cui è necessario tornare online dopo un disastro. Il Recovery Point Objective (RPO) è la quantità di perdita di dati che si può accettare.
Entrambi i numeri incidono sulla vostra conformità perché determinano la velocità di ripristino dei servizi e la quantità di dati dei clienti che potrebbero essere a rischio durante un'interruzione.
È necessario testare regolarmente i backup ripristinandoli effettivamente. In questo modo si dimostra che il sistema di backup funziona e che è possibile rispettare gli impegni RTO e RPO.
Documentate ogni test. In caso di audit, dovrete dimostrare che il vostro sistema di backup funziona effettivamente come previsto.
Tutto deve essere documentato. Le politiche di backup, i risultati dei test, i piani di conservazione, le misure di sicurezza, tuttoquanto.
Se i revisori dei conti dovessero chiamare, vorranno vedere le prove che state effettivamente rispettando le regole, e non solo che dichiarate di farlo.
L'utilizzo di un provider cloud non vi rende automaticamente conformi. È sempre vostra la responsabilità di configurare tutto correttamente.
Ciò significa impostare la crittografia, scegliere le giuste opzioni di riservatezza dei dati e scegliere un provider con le certificazioni di sicurezza adeguate al vostro settore.
Il cloud provider gestisce l'infrastruttura, ma la responsabilità della conformità è sempre vostra.
Le normative hanno regole diverse, ma tutte influiscono sulla gestione dei dati di backup. Ecco le principali che dovreste conoscere per la vostra azienda:
Il Regolamento generale sulla protezione dei dati (GDPR) è la legge europea sulla privacy. Si applica a tutte le aziende che trattano dati personali di residenti nell'UE, indipendentemente dalla sede dell'azienda.
Due sono gli aspetti più importanti per i vostri backup: il "diritto alla cancellazione" (chiamato anche "diritto all'oblio") e i requisiti di residenza dei dati.
Quando qualcuno vi chiede di cancellare i suoi dati personali, non potete limitarvi a cancellare i suoi dati dal vostro sito web e chiudere la questione. È necessario un processo documentato per la gestione dei dati personali anche in tutti i file di backup.
È necessario un criterio di conservazione ragionevole che elimini automaticamente i vecchi backup contenenti i dati entro un determinato periodo di tempo. Non si possono conservare i dati personali nei backup a tempo indeterminato solo perché è conveniente.
L'altra parte, la residenza dei dati, diventa complicata con i backup.
Il GDPR richiede generalmente che i dati personali dell'UE rimangano all'interno dell'UE o in paesi che la Commissione Europea ha ritenuto dotati di un'adeguata protezione dei dati. Ciò significa che dovete sapere esattamente dove sono archiviati fisicamente i vostri file di backup e assicurarvi che questi luoghi soddisfino i requisiti del GDPR.
Il California Consumer Privacy Act (CCPA) e il suo successore, il California Privacy Rights Act (CPRA), conferiscono ai residenti in California diritti specifici sulle loro informazioni personali. Queste leggi si applicano se raccogliete informazioni personali da residenti in California.
Come per il GDPR, questo aspetto riguarda la politica di conservazione dei backup. Quando qualcuno richiede l'eliminazione, è necessario un processo chiaro per gestire la richiesta in tutta l'archiviazione dei dati, compresi i backup.
Il CCPA consente alle aziende di conservare i dati personali nei backup per "usi interni ragionevolmente allineati alle aspettative dei consumatori". Tuttavia, sono necessarie politiche chiare sulla durata della conservazione dei dati di backup e sulla loro eliminazione definitiva.
Il CPRA ha introdotto il concetto di "dati personali sensibili", che comprende dati geolocalizzati precisi, origine razziale o etnica, convinzioni religiose e identificatori biometrici.
Questi dati hanno requisiti di gestione più severi che si estendono all'archiviazione di backup. È necessario adottare misure di sicurezza più severe per i file di backup contenenti informazioni personali sensibili e i consumatori hanno ulteriori diritti per limitare l'uso di questi dati.
L'Health Insurance Portability and Accountability Act (HIPAA) protegge le informazioni sanitarie negli Stati Uniti. Se il vostro sito web gestisce informazioni sanitarie protette (PHI) come le cartelle cliniche dei pazienti, le informazioni sull'assicurazione sanitaria o anche i dati sanitari di base, la conformità all'HIPAA è obbligatoria.
I requisiti di backup HIPAA sono particolarmente severi. Tutte le informazioni personali contenute nei file di backup devono essere crittografate utilizzando la crittografia convalidata FIPS 140-2. È inoltre necessario registrare chi accede ai dati di backup e quando.
Gli accordi BAA (Business Associate Agreement) sono necessari con qualsiasi fornitore terzo che possa avere accesso ai dati di backup. Ciò include il fornitore di cloud storage, il fornitore di servizi di backup e persino la società di hosting, se potenzialmente possono accedere ai file di backup.
La normativa richiede anche specifiche procedure di conservazione e smaltimento dei dati. Sono necessarie politiche documentate per la durata di conservazione dei dati di backup contenenti PHI e procedure di eliminazione sicure.
Il Payment Card Industry Data Security Standard (PCI DSS) si applica se memorizzate, elaborate o trasmettete informazioni sulle carte di credito. Anche se si utilizza un processore di pagamenti, i requisiti PCI DSS spesso si estendono ai dati di backup che potrebbero contenere informazioni sui titolari di carta.
Tutti i file di backup contenenti numeri di carte di credito, date di scadenza o nomi di titolari di carte devono essere crittografati con una crittografia forte. Lo standard richiede la crittografia AES con una lunghezza minima della chiave di 128 bit.
Gli standard PCI DSS richiedono anche una gestione sicura delle chiavi per la crittografia dei backup. Le chiavi di crittografia devono essere archiviate separatamente dai dati di backup crittografati e protette con forti controlli di accesso.
È possibile conservare i dati dei titolari di carta solo per il tempo necessario a fini commerciali o legali. La vostra politica di conservazione dei backup deve essere in linea con questi requisiti e includere procedure di cancellazione sicure.
La legge canadese sulla protezione delle informazioni personali e sui documenti elettronici (PIPEDA) regola le modalità di raccolta, utilizzo e divulgazione delle informazioni personali da parte delle organizzazioni del settore privato durante le attività commerciali.
Il PIPEDA richiede "adeguate misure di sicurezza" per le informazioni personali, che si estendono ai dati di backup. La legge non specifica requisiti tecnici precisi, ma richiede che le misure di sicurezza siano adeguate alla sensibilità delle informazioni.
Per quanto riguarda la conformità del backup, ciò significa implementare criteri ragionevoli di crittografia, controllo degli accessi e conservazione dei dati in base al tipo di informazioni personali che si stanno proteggendo.
La legge prevede anche obblighi di notifica delle violazioni. Se i dati di backup contenenti informazioni personali vengono compromessi, potrebbe essere necessario informare sia il Commissario per la privacy che le persone interessate.
La direttiva aggiornata sulla sicurezza delle reti e delle informazioni (NIS2) amplia in modo significativo i requisiti di sicurezza informatica per i siti web in tutta l'Unione europea.
La NIS2 affronta in modo specifico la continuità operativa e il ripristino d'emergenza. È necessario utilizzare sistemi di backup e ripristino appropriati come parte della gestione complessiva del rischio di cybersecurity.
La normativa richiede di testare regolarmente i sistemi di backup e le procedure di risposta agli incidenti. È necessario dimostrare in modo documentato che i processi di backup e ripristino funzionano e sono in grado di soddisfare gli obiettivi di continuità operativa.
Gli incidenti informatici significativi devono essere segnalati alle autorità entro 24 ore, il che significa che il vostro sito deve supportare una risposta rapida agli incidenti.
Il Digital Operational Resilience Act (DORA) si rivolge ai servizi finanziari dell'Unione Europea, richiedendo alle entità finanziarie di mantenere la resilienza operativa contro i rischi ICT (Information and Communication Technology).
Per questo regolamento, le istituzioni finanziarie devono dimostrare di essere in grado di mantenere le funzioni critiche durante e dopo le interruzioni operative.
La normativa richiede di testare regolarmente i sistemi di backup attraverso vari scenari, tra cui attacchi informatici e guasti al sistema. Questi test devono essere documentati e comunicati alle autorità di vigilanza.
La gestione dei rischi di terze parti prevista dal DORA influisce anche sulla conformità dei backup. Se si utilizzano fornitori di servizi di cloud storage o di backup, è necessario assicurarsi che soddisfino gli standard del DORA.
Vi ho appena elencato un sacco di leggi, ma la conformità dei backup non serve solo a evitare problemi. Se fatta bene, rende la vostra azienda più forte.
Ai clienti interessa il modo in cui gestite i loro dati. Quando sanno che prendete sul serio la protezione dei dati (anche nei backup), è più probabile che vi affidino la loro attività.
Questo diventa un vantaggio competitivo. Mentre i vostri concorrenti si affannano a risolvere i problemi di conformità a posteriori, voi potete concentrarvi sulla crescita della vostra attività.
Inoltre, le sanzioni previste dalla normativa possono essere ingenti. Le multe del GDPR possono raggiungere il 4% del vostro fatturato globale annuale. Le violazioni dell'HIPAA possono costare centinaia di migliaia di dollari per ogni incidente.
Una strategia di backup conforme vi aiuta a evitare questi problemi finanziari, mantenendovi dal lato giusto della legge fin dal primo giorno.
Quando si verifica un disastro, vi riprenderete più velocemente perché i vostri sistemi sono documentati, i vostri processi sono collaudati e il vostro team sa esattamente cosa fare.
L'elaborazione dei requisiti di conformità costringe a comprendere realmente quali dati si possiedono e dove risiedono.
Questa migliore visibilità riduce il rischio in tutta l'azienda, non solo nei sistemi di backup. Potrete individuare prima i potenziali problemi e prendere decisioni migliori sulla gestione dei dati.
Ecco una tabella di marcia pratica per la conformità dei backup.
Iniziate con un audit completo dei dati che raccogliete e memorizzate.
Create un inventario dei dati che documenti ogni tipo di informazione gestita dal vostro sito web. Questo include elementi ovvi come i dati di registrazione degli utenti e l'invio di moduli di contatto, ma anche dati meno ovvi come i log del server, i log degli errori, il contenuto memorizzato nella cache e i file temporanei.
Classificare tutto in base al livello di sensibilità. Le informazioni personali, i dati finanziari e le cartelle cliniche necessitano di livelli di protezione diversi.
Utilizzate categorie come "pubblico", "interno", "riservato" e "riservato" per organizzare la classificazione dei dati.
Individuate dove si trovano i dati nel vostro sistema. Controllate le tabelle del database, le directory dei file caricati, i file di log, i dati memorizzati nella cache, l'archiviazione delle sessioni e qualsiasi integrazione di terze parti.
Documentate i flussi di dati per capire come si muovono le informazioni nel vostro sistema. I dati personali inviati tramite un modulo di contatto potrebbero finire nel vostro database, nel sistema di posta elettronica, nel CRM e nei file di backup. È necessario tracciare tutti questi punti di contatto.
Prestare particolare attenzione ai requisiti di conservazione dei dati per i diversi tipi di informazioni. Alcuni dati potrebbero dover essere conservati per motivi legali (come i registri finanziari), mentre altri dati dovrebbero essere cancellati non appena non sono più necessari (come i dati temporanei di sessione).
Scrivete l'obiettivo di tempo di ripristino e l'obiettivo di punto di ripristino. Questi numeri guidano tutto il resto della strategia di backup.
L'RTO deve riflettere le reali esigenze aziendali. Se l'inattività del vostro sito di e-commerce per quattro ore vi costa 10.000 dollari di mancate vendite, il vostro RTO deve essere molto più breve di quattro ore. Siate realistici su ciò che potete ottenere con le vostre risorse attuali.
L'RPO determina la frequenza di creazione dei backup. Se potete permettervi di perdere solo un'ora di dati, avete bisogno di backup almeno ogni ora.
Nel calcolare il vostro RPO, tenete conto del tempo necessario per ripristinare un backup.
Creare un piano di conservazione formale che specifichi esattamente la durata di conservazione dei diversi tipi di backup. I periodi di conservazione devono bilanciare i requisiti di conformità, i costi di archiviazione e le esigenze di ripristino.
Definire i controlli di accesso e i processi di approvazione per i backup.
Chi può creare i backup? Chi può accedere ai file di backup? Chi può ripristinare un backup? Quale approvazione è necessaria per ogni tipo di accesso?
Uno strumento come Duplicator può rendere queste regole specifiche. Si tratta di un plugin di backup dotato di controlli di accesso personalizzabili. Consente di decidere chi può accedere, creare o ripristinare i backup.
Includete le procedure di risposta agli incidenti nella vostra politica.
Cosa succede se i dati di backup sono compromessi? Chi viene informato? Quali sono le misure da adottare per contenere la violazione e notificare le parti interessate?
Con Duplicator è possibile automatizzare i criteri di conservazione. Eliminerà automaticamente i vecchi backup in base alla pianificazione specificata, evitando così di doverli gestire manualmente.
Scegliete un fornitore di storage in base alle certificazioni di sicurezza e alle capacità di conformità, non solo al prezzo.
Assicuratevi di poter conservare i dati nelle giuste ubicazioni geografiche per i vostri requisiti di conformità. Alcuni fornitori offrono opzioni di archiviazione specifiche per ogni regione, mentre altri possono replicare i dati in più Paesi senza controlli chiari.
Verificate che il vostro fornitore offra le funzioni di crittografia e controllo degli accessi di cui avete bisogno. Cercate la crittografia AES-256, i servizi di gestione delle chiavi e l'integrazione con i sistemi di gestione degli accessi e delle identità.
Esaminate le procedure di risposta agli incidenti e di notifica delle violazioni del provider. Quanto velocemente vi informeranno in caso di incidente di sicurezza? Quali informazioni forniranno? Come supporteranno i vostri obblighi di notifica delle violazioni?
Duplicator si integra con oltre una dozzina di provider di archiviazione cloud sicura, comprese opzioni che soddisfano vari requisiti di conformità.
Attivate la crittografia per i dati in transito e a riposo. Utilizzate standard di crittografia forti: ES-256 è la migliore pratica attuale.
Duplicator Pro è in grado di crittografare tutti i file di backup con la crittografia AES-256, sia durante il trasferimento che l'archiviazione, eliminando le incertezze.
Le chiavi di crittografia devono essere archiviate separatamente dai dati di backup crittografati e protette con forti controlli di accesso. Considerate l'utilizzo di un servizio di gestione delle chiavi dedicato o di moduli di sicurezza hardware per i dati sensibili.
Impostare controlli di accesso completi utilizzando strumenti di Identity and Access Management (IAM). Implementare il principio del minimo privilegio: gli utenti devono avere accesso solo ai dati di backup specifici di cui hanno bisogno.
Impostare il monitoraggio e gli avvisi per l'accesso ai backup. È necessario ricevere notifiche quando si accede ai dati di backup, quando vengono creati nuovi backup e quando vengono apportate modifiche alla configurazione dei sistemi di backup.
Se si utilizza Duplicator per gestire i backup, si riceveranno notifiche automatiche di errore di backup.
Inoltre, è possibile impostare riepiloghi periodici via e-mail inviati direttamente alla propria casella di posta. Questi includono tutti i nuovi backup, le posizioni di archiviazione e le pianificazioni.
Duplicator può inviare riepiloghi via e-mail ogni giorno, settimana o mese. Saprete esattamente quando i vostri siti sono stati sottoposti a backup!
Programmare test di ripristino almeno trimestrali. Più spesso è meglio, soprattutto per i sistemi critici.
Creare un programma di test formale che copra diversi tipi di scenari di ripristino. Testate i ripristini completi del sito, i ripristini parziali, i ripristini dei soli database e i ripristini dei soli file.
Ogni tipo di ripristino può evidenziare problemi diversi.
Non testate i ripristini sul vostro sito web live, ma utilizzate un server di staging o un ambiente di sviluppo che abbia lo stesso sistema operativo, lo stesso software del server web e le stesse versioni del database.
Se dovete creare un nuovo sito di staging, createne uno in locale con LocalWP o XAMPP. Create un backup completo del vostro sito web con Duplicator.
Scaricare il file di archivio di backup. Una volta terminata la creazione del sito di staging locale, importare il backup. Duplicator imposterà automaticamente una copia dei vostri dati nell'area di staging per poterli testare.
Misurare e documentare le prestazioni di ripristino rispetto agli obiettivi RTO e RPO. Se i ripristini richiedono costantemente un tempo superiore a quello consentito dall'RTO, è necessario migliorare la strategia di backup o modificare gli obiettivi.
Sì, se raccogliete informazioni personali dai visitatori. Anche i semplici moduli di contatto, le iscrizioni via e-mail o il tracciamento analitico di base implicano la gestione di dati personali e le regole di conformità si applicano alle modalità di backup e archiviazione di tali informazioni.
Dipende dalle esigenze aziendali e dai requisiti normativi, ed è proprio per questo che occorre una politica di conservazione scritta. Iniziate a verificare quali sono le normative applicabili alla vostra azienda e ai vostri dati, quindi scrivete periodi di conservazione specifici per i diversi tipi di backup e attenetevi a tali regole.
Innanzitutto, rimuovete immediatamente i loro dati dal vostro sito web live. Per quanto riguarda i backup, seguite la vostra politica di conservazione: non dovete eliminare manualmente i vecchi file di backup, ma lasciate che questi scadano e vengano eliminati secondo il vostro normale programma di conservazione.
Il luogo più sicuro in cui archiviare i backup è un provider cloud off-site, crittografato e affidabile, dotato di certificazioni di sicurezza adeguate. Seguite la regola del 3-2-1: conservate 3 copie dei vostri dati su 2 diversi tipi di supporti di memorizzazione, con una copia conservata fuori sede.
La conformità del backup consiste nell'essere intenzionali e organizzati nel proteggere la risorsa aziendale più preziosa: i dati.
Quando si integra la conformità nella strategia di backup fin dall'inizio, si trasforma il backup da una semplice attività tecnica a un processo aziendale responsabile.
Dormirete meglio sapendo che i vostri dati sono protetti. I vostri clienti si fideranno di più di voi. E quando si verifica un disastro, il recupero sarà più rapido e completo.
Ma la realtà è che la gestione manuale di tutti questi requisiti di conformità richiede molto tempo ed è soggetta a errori. Avete bisogno di strumenti in grado di automatizzare il lavoro pesante e di mantenervi conformi.
Duplicator Pro è in grado di gestire automaticamente la complessità tecnica della conformità. È dotato di crittografia AES-256, criteri di conservazione automatizzati, test programmati e perfetta integrazione con una dozzina di provider di archiviazione cloud sicuri.
Smettete di preoccuparvi se i vostri backup soddisfano i requisiti di conformità. Lasciate che Duplicator Pro si occupi dei dettagli tecnici, in modo che possiate concentrarvi sulla crescita della vostra attività in tutta tranquillità.
Mentre siete qui, penso che vi piaceranno anche queste altre risorse selezionate:
Divulgazione: I nostri contenuti sono sostenuti dai lettori. Ciò significa che se cliccate su alcuni dei nostri link, potremmo guadagnare una commissione. Raccomandiamo solo prodotti che riteniamo possano apportare un valore aggiunto ai nostri lettori.
