Il 2019 è stato un anno decisivo dal punto di vista della sicurezza e della tutela dei dati personali. Innanzitutto il 17 maggio è scaduto il “periodo di rispetto”, cioè di tolleranza, concesso dal Garante Privacy per adeguarsi alle nuove disposizioni della GDPR (General Data Protection Regulation), il regolamento europeo 2016/679 riguardante il trattamento dei dati personali recepito nel nostro ordinamento con il D.Lgs. 101/2018.
In secondo luogo, il 9 luglio è cessato il supporto per Windows SQL Server 2008 e 2008 R2 e Windows 7, a cui ha fatto seguito, lo scorso mese di gennaio, la fine degli aggiornamenti anche per Windows server 2008 e R2.
GDPR e fine del supporto, due eventi correlati
I due eventi - scadenza del periodo di tolleranza previsto per uniformarsi alla GDPR e termine del ciclo di vita dei prodotti della società di Redmond - sono strettamente correlati.
Cosa che ha messo in crisi, ad esempio, almeno un migliaio di siti di informazione statunitensi, con nomi di spicco come il Los Angeles Times e il Chicago Tribune, oscurati appositamente per il pubblico del vecchio continente all’indomani dell’entrata in vigore della GDPR. Una scelta che, alla luce della sanzione di 50 milioni euro comminata a gennaio 2019 dal Garante francese a Google, non risulta dettata da un eccesso di cautela.
La risposta di Microsoft con la migrazione su Azure
Microsoft, perciò, consapevole dei problemi aperti in materia di compliance e sicurezza con la fine del supporto a due fra le sue soluzioni più diffuse a livello enterprise, ha lanciato una tabella di marcia con cui trasformare le deadline in un’occasione per modernizzare l’infrastruttura IT aziendale. Al centro della sua proposta c’è la migrazione su Azure come leva per semplificare il percorso di adeguamento del sistema. I carichi di lavoro di SQL Server possono essere eseguiti come servizio ospitato (PaaS) o in un’infrastruttura ospitata (IaaS). Nel primo caso, si tratta di un database relazionale distribuito come servizio (DBaaS) nel Cloud di Azure con un pagamento in base al consumo e la possibilità di aumentare o diminuire il numero di istanze per una maggiore efficienza e senza interruzioni. Nel secondo, SQL Server avviene sulle macchine virtuali di Azure con pieno controllo sul motore del database e l’opportunità di personalizzare funzioni quali la manutenzione e l’applicazione di patch.
Come Azure garantisce sicurezza e conformità
Entrambe le modalità di migrazione facilitano l’ottenimento della conformità alla GDPR, rispondendo in particolare ai requisiti indicati nell’art. 32 del regolamento:
- pseudonimizzazione e cifratura dei dati personali;
- capacità di assicurare permanentemente riservatezza, integrità, disponibilità e resilienza dei sistemi;
- capacità di ripristinare tempestivamente disponibilità e accesso dei dati personali;
- procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative
Azure, infatti, consente di raggiungere una tracciabilità completa dei dati personali, che si ottiene interrogando i database ed etichettando quelli che ricadono nell’ambito della normativa grazie alla funzione Extended Properties. Inoltre, applica criteri di autorizzazione granulare nella gestione degli accessi che permettono di realizzare pseudonimizzazione e cifratura come richiesto dalla GDPR. Infine, per quanto riguarda la capacità di assicurare in modo permanente riservatezza e integrità, la crittografia dei dati avviene sempre: a riposo, in transito e nelle applicazioni client. Questo garantisce un monitoraggio costante del database per identificare potenziali minacce o violazioni della sicurezza, anche in virtù degli algoritmi di machine learning che non smettono di imparare dalle attività insolite o sospette.