Dropbox è conforme al Regolamento generale sulla protezione dei dati?

Dropbox e il GDPR
Categorie:

Dropbox è effettivamente conforme al GDPR?

Nell'ultima parte della nostra serie sui servizi cloud, i trasferimenti da Paesi terzi e la protezione dei dati, esaminiamo il provider Dropbox. Anche in questo caso si tratta di un'azienda statunitense, motivo per cui è opportuno stipulare clausole contrattuali standard e stabilire misure supplementari prima del primo utilizzo. È inoltre fortemente consigliabile effettuare una valutazione d'impatto sulla protezione dei dati e stipulare un accordo aziendale. Dopo i nostri precedenti articoli incentrati principalmente sul quadro giuridico, oggi ci concentriamo sui dettagli tecnici. Ci poniamo la domanda: Dropbox e protezione dei dati, protezione dei dati e Dropbox, vanno insieme?

 

Dropbox Inc.

 

Dropbox è un servizio di file hosting che esiste dal 2007. Dropbox offre l'archiviazione di dati online e lo scambio di dati tra due o più utenti. L'accesso a Dropbox è basato su browser o tramite app su vari sistemi operativi. Dropbox utilizza i propri centri dati per il 90% della capacità di archiviazione, mentre il restante 10% viene acquistato da AWS.

 

Dropbox e il GDPR

 

Secondo Dropbox, tutti i dati caricati sono dotati di crittografia AES (lunghezza della chiave 256 bit) prima dell'archiviazione e viene utilizzata anche la crittografia del trasporto. Tuttavia, la chiave rimane nelle mani di Dropbox, il che significa che Dropbox ha teoricamente e praticamente accesso in chiaro ai dati dell'utente. Ogni utente di Dropbox dovrebbe quindi prendere in mano la protezione dei dati e crittografare i propri dati in anticipo secondo lo stato dell'arte. In questo modo si otterrebbe una crittografia end-to-end, ma non sarebbe più possibile condividere i dati con i partner commerciali.

Per rendere più difficile il dirottamento degli account utente, Dropbox supporta l'autenticazione a due fattori. Nel 2016 si è verificata una grave violazione dei dati, quando ignoti hanno pubblicato più di 68 milioni di dati di accesso a Dropbox.

Se un'azienda decide di utilizzare Dropbox, deve assolutamente scegliere la versione a pagamento (Dropbox Business). Questa offre un chiaro vantaggio in termini di protezione e sicurezza dei dati. In caso contrario, la decisione viene presa a favore del pagamento in dati. Chi vuole fare questo con i propri segreti aziendali?

Chiunque stia seriamente pensando di utilizzare Dropbox dovrebbe anche dare un'occhiata al white paper pubblicato da Dropbox stessa sulla sicurezza di Dropbox Business. Questo documento di 47 pagine spiega il background tecnico e fornisce informazioni sulla sicurezza del prodotto e dell'infrastruttura, nonché sulla protezione dei dati e sulla conformità. Le aziende non devono temere di rivolgere a Dropbox domande critiche. Ad esempio, il white paper fa ancora riferimento alla certificazione esistente in conformità al Privacy Shield, che la Corte di giustizia europea ha annullato un anno e mezzo fa.

Conclusione

Dropbox può essere utilizzato in conformità al GDPR. Oltre alle sfide legali (clausole contrattuali standard, esecuzione di una valutazione d'impatto sulla protezione dei dati), occorre prestare particolare attenzione alla crittografia. Le aziende non dovrebbero affidarsi alla crittografia di Dropbox e dovrebbero crittografare i propri dati autonomamente. Idealmente, la crittografia e l'archiviazione dovrebbero essere separate. Solo con la crittografia a conoscenza zero è possibile armonizzare Dropbox, la protezione dei dati e il GDPR.

2B Advice sarà lieta di fornirvi una consulenza esperta su come proteggere in modo affidabile i vostri dati e segreti aziendali da accessi non autorizzati con Dropbox o altri provider: +49 (228) 926165-100.

Tag:
Condividi questo post :
it_ITItalian