La catena di custodia come misura di accountability per la protezione dei dati personali
Con sempre maggiore frequenza si fa ricorso alla definizione “catena di custodia”; in quest’articolo cerchiamo di comprenderne il significato nel contesto della protezione dei dati personali.
(Nella foto: l'Ing. Monica Perego, docente del Corso di alta formazione per Data Manager)
Cominciamo dal glossario - La Nist fornisce per “catena di custodia”, la seguente definizione: “A process that tracks the movement of evidence through its collection, safeguarding, and analysis lifecycle by documenting each person who handled the evidence, the date/time it was collected or transferred, and the purpose for the transfer.”
Ovvero: “Un processo che tiene traccia del movimento delle evidenze attraverso la raccolta, la salvaguardia e l'analisi del ciclo di vita, documentando ogni persona che ha gestito le evidenze, la data/ora in cui sono state raccolte o trasferite e lo scopo dei trasferimenti”. (libera traduzione dell’autrice)
La ISO 22095:2020 “Chain of custody — General terminology and models”, fornisce le seguenti definizioni:
- 3.1.1 Chain of custody “Process by which inputs (3.2.2) and outputs (3.2.3) and associated information are transferred, monitored and controlled as they move through each step in the relevant supply chain (3.2.1)” – 3.1.1 Catena di custodia - Processo mediante il quale gli input (3.2.2) e gli output (3.2.3) e le informazioni ad essi associate vengono trasferiti, monitorati e controllati attraverso ogni fase della catena di fornitura pertinente (3.2.1)
- 3.1.2 Chain of custody system – “Set of measures designed to implement a chain of custody (3.1.1), including documentation of these measures - Note 1 to entry: The purpose of a chain of custody system is to provide credibility that the given material or product has a set of specified characteristics (3.2.5). Note 2 to entry: The information linked to materials or products is transferred, monitored and controlled throughout the entire supply chain (3.2.1) or parts of it” - Insieme di misure progettate per implementare una catena di custodia (3.1.1), inclusa la documentazione di tali misure - Nota 1 alla voce: Lo scopo di un sistema di catena di custodia è quello di fornire credibilità che un dato materiale o prodotto abbia una serie di caratteristiche specifiche (3.2.5). Nota 2 alla voce: Le informazioni legate a materiali o prodotti sono trasferite, monitorate e controllate lungo l'intera catena di fornitura (3.2.1) o parti di essa.
La “catena di custodia”, come ben rilevano la NIST e la ISO 22095 non si riferisce solo ai documenti, siano essi in formato elettronico o cartaceo, ma si estende a tutte le evidenze (ad esempio anche alle provette contenenti le urine degli atleti nel corso di una competizione sportiva). Nell’articolo si tratterà, in modo quasi esclusivo, di quelle su supporti cartacei o elettronici.
La catena di custodia come misura di accountability - “Catena di custodia" è una definizione oggettivamente poco comprensibile; nonostante ciò, con l'introduzione del GDPR, è diventata una parte essenziale delle operazioni in materia di sicurezza dei dati. La distruzione dei supporti materiali o elettronici contenenti dati è il punto finale della catena di custodia e rappresenta una parte fondamentale del processo volto a garantire la sua sicurezza. Ogni azienda è obbligata ad adottare misure per salvaguardare la catena, al fine di garantire che gli obblighi di conformità saranno rispettati nel corso dell’intero ciclo di vita di un documento. Inoltre, il presidio di questo aspetto diventa ancora più pressante per quelle organizzazioni che rientrano nel perimetro NIS 2 e DORA, le quali a maggiore ragione richiedono misure stringenti.
Ogni struttura di accesso alle entità da salvaguardare dovrebbe essere regolata da rigorose procedure di catena di custodia. Le entità archiviate dovrebbero avere un identificatore univoco allegato, che consenta di tenere traccia di dove e quando si trova l’entità in ogni momento lungo tutto il ciclo di vita dell’identità. Ogni volta che un’entità viene recuperata, consultata, distribuita, modificata, distrutta, queste informazioni entrano nel record univoco permanente per quell'entità. La stessa registrazione deve essere a sua volta conservata pe un tempo definito, che è ben più lungo di quello della conservazione dell’identità stessa.
La catena di custodia del GDPR - La catena di custodia è essenzialmente una traccia che si applica a un'ampia gamma di informazioni: a quelle riservate, (anche se condivise con terze parti), ma non solo.
A causa dei requisiti del GDPR, ma più in generale come misura di accountability, un’organizzazione dovrebbe essere in grado, in qualsiasi momento, di fornire la prova (misura) di una traccia per i dati trattati; ad esempio: dal consenso per la raccolta, alla raccolta, fino alla distruzione degli stessi. Lo scopo di questa misura è mostrare come i dati sono stati gestiti, ovvero come vengono raccolti, controllati, analizzati, archiviati, condivisi ed eliminati in conformità al GDPR ed alle procedure interne.
La catena di custodia è, quindi, a tutti gli effetti, una misura di accountability utile per: controllo (da parte dei diretti responsabili), audit (sia interno che di seconda parte), ispezione. Ovviamente serve a proteggere la stessa organizzazione dai danni reputazionali e dalle loro conseguenze dirette ed indirette.
La catena di custodia ad esempio protegge dal "bin riding" ovvero dalla ricerca di informazioni (non solo personali) nella spazzatura, un’azione malevole non così difficile da attuare in mancanza di misure mirate.
Come mettere in pratica la catena di custodia - Essa è una traccia cronologica non alterabile che registra ogni fase del ciclo di vita di un documento, il quale potrebbe coinvolgere anche i fornitori.
Questa registrazione deve dettagliare dove si trova il documento, le persone che vi hanno avuto accesso, la data e la finalità dell’accesso. Nel caso in cui tali attività siano in tutto o in parte demandate ad un fornitore è necessario che egli sia in grado di assicurare la sua capacità di svolgere tali attività anche attraverso audit e controlli, compresi quelli non pianificati. Una catena di custodia efficiente può essere necessaria in caso di indagini forensi, indagini interne, obblighi di conformità e contrattuali.
Gli strumenti per garantire la catena di custodia differiscono per il tipo di supporto:
- per i documenti cartacei: registri manuali, sigilli di sicurezza, sistemi di archiviazione fisica sicura, ecc.;
- per i documenti elettronici: software di gestione documentale, sistemi di log, blockchain per la registrazione immutabile delle transazioni, ecc.
Per la qualifica del fornitore (ed ovviamente della catena di sub-fornitura) è utile verificare che egli possieda delle certificazioni o applichi dei modelli che si ispirano a standard, dei quali i più noti sono ISO 9001:2015 e ISO/IEC 27001:2022. Esistono anche standard dedicati, quali:
- BS 10008-1:2020 - Electronic Information Management; delinea le migliori pratiche per l'implementazione e il funzionamento dei sistemi elettronici di gestione delle informazioni, tra cui la migrazione dei record cartacei in file digitali e memorizzazione-trasferimento di informazioni elettroniche tra i sistemi. Inoltre è corredato da una guida su come gestire l'accesso alle informazioni o ai record che potrebbero essere richiesti come prove legali;
- ISO 22095:2020 Chain of custody — General terminology and models; lo standard definisce il framework per la catena di custodia nel contesto della supply chain, fornendo terminologia armonizzata e gli elementi per implementare un approccio coerente e generale alla progettazione ed attuazione-gestione della catena di custodia; fornisce inoltre i requisiti per i modelli di catena di custodia, e una guida. La norma è applicabile a tutti i materiali e prodotti, ma non si applica al contesto dei servizi.
Questa tematica è del resto ampiamente considerata in ben tre dei controlli della ISO/IEC 27001:2022 che afferiscono in modo specifico alla protezione dei dati personali:
- 08.10 Cancellazione delle informazioni - Le informazioni memorizzate nei sistemi informatici, nei dispositivi ed in altri supporti di memorizzazione devono essere cancellate quando non più necessarie
- 08.11 Mascheramento e anonimizzazione dei dati - Il mascheramento dei dati deve essere effettuato in modo congruente con la politica di accesso specifica
- 08.12 Prevenzione dalla perdita di dati - Devono essere poste in atto misure per la prevenzione della perdita di riservatezza dei dati; ciò si applica ai sistemi, alle reti ed ai dispositivi.
In sintesi, le componenti chiave della catena di custodia devono garantire:
- Integrità: certezza che il documento non sia stato alterato;
- tracciabilità: possibilità di tracciare ogni passaggio del documento;
- sicurezza: protezione contro accessi non autorizzati.
L’eliminazione dei dati: il punto di arrivo della catena di custodia - L'eliminazione dei dati è una delle fasi più importanti della catena di custodia e la sua corretta gestione sostiene tutti gli altri sforzi per garantire la conformità. Una gestione non ottimale di questo processo favorisce i malintenzionati, ed aumenta le vulnerabilità dell’intero sistema.
Infatti, una componente di conformità alle norme è sapere quando è necessario distruggere i dati; senza un adeguato processo di auditing/revisione sarà quasi impossibile tenere traccia di tale aspetto.
Per i dati su supporto fisico, l'opzione migliore è affidare la distruzione dei dati a un servizio specializzato che possieda le risorse per smaltire i dati in loco; tale soluzione può essere ulteriormente rafforza con un presidio costante di risorse dell’organizzazione ed altre misure, come ad esempio la pesatura prima e dopo la distruzione.
Flusso della catena di custodia e coinvolgimento del fornitore - Il flusso della catena di custodia per la parte inerente il fornitore, riguardo la distruzione delle informazioni cartacee, potrebbe basarsi sulla procedura di seguito delineata:
- viene generata al fornitore, da un ente richiedente, la richiesta del servizio di eliminazione dati, tramite un accesso limitato ai soli soggetti autorizzati e viene effettuata una ulteriore verifica dell’attendibilità della fonte;
- dopo aver effettuato le necessarie verifiche si procede con la pianificazione delle attività;
- il Destruction Center Transportation Specialist (DCTS) arriva alla struttura del cliente con un contenitore di sicurezza;
- il DCTS effettua le necessarie verifiche ed acquisisce la firma elettronica del soggetto autorizzato dall’ente richiedente;
- il contenitore di sicurezza viene trasportato all'impianto di distruzione (con GPS), ovvero la distruzione è effettuata direttamente presso il cliente; il cliente se lo richiede o se concordato contrattualmente può presidiare tale attività;
- la richiesta di distruzione è completata;
- il materiale triturato viene caricato in container e spedito alla cartiera, completando la catena di custodia;
- l’ente richiedente riceve il certificato di distruzione a garanzia del fatto che i documenti sono rimasti conformi durante la distruzione
- il certificato di distruzione verrà a sua volta distrutto dopo un periodo definito, ovvero quando non risulta più necessario dimostrare la distruzione sicura dei documenti.
Conclusioni - La catena di custodia è fondamentale per garantire l'integrità e la sicurezza dei documenti e quindi dei dati in essi contenuti, indipendentemente dal formato; richiede processi e tecnologie specifiche per ciascun tipo di supporto e coinvolge in modo rilevante anche la catena di fornitura, che deve essere adeguata alle esigenze dell’organizzazione.