Cos'è GDPR?
Il Regolamento Generale sulla Protezione dei Dati (GDPR) è una legge completa sulla protezione dei dati adottata dall'Unione Europea che disciplina come le organizzazioni raccolgono, trattano, archiviano e condividono i dati personali degli individui nell'UE e nello Spazio Economico Europeo.
Noto anche come: GDPR, General Data Protection Regulation
Il GDPR stabilisce sette principi fondamentali per il trattamento dei dati: liceità, correttezza e trasparenza; limitazione della finalità; minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza; e responsabilizzazione. Il regolamento conferisce agli individui diritti significativi sui propri dati, tra cui il diritto di accesso, rettifica, cancellazione ("diritto all'oblio"), portabilità dei dati e il diritto di opporsi al trattamento.
Il principio di integrità e riservatezza (articolo 5, paragrafo 1, lettera f) richiede che i dati personali vengano trattati con "adeguata sicurezza", inclusa la protezione contro accessi non autorizzati, perdita accidentale o distruzione. L'articolo 32 impone specificamente alle organizzazioni di implementare misure tecniche proporzionate al rischio, citando esplicitamente cifratura e pseudonimizzazione come misure appropriate. Le violazioni dei dati devono essere notificate alle autorità di controllo entro 72 ore, con potenziali sanzioni fino al 4% del fatturato annuo globale o 20 milioni di euro.
I principi di minimizzazione dei dati e limitazione della conservazione del GDPR hanno implicazioni dirette per come le organizzazioni gestiscono credenziali e segreti. Conservare password, API key o token di accesso in thread di email o log di chat persistenti crea archivi di dati non necessari che devono essere protetti ed eventualmente eliminati. Le organizzazioni che non possono dimostrare misure di sicurezza adeguate per tutti i dati che detengono — inclusi i segreti operativi — sono esposte a rischi normativi.
Come Vaulted usa GDPR
Vaulted si allinea ai principi fondamentali del GDPR per design. La minimizzazione dei dati viene realizzata tramite link autodistruttivi che eliminano automaticamente i segreti dopo un numero configurato di visualizzazioni o un periodo di scadenza — nessun dato viene conservato oltre il suo utilizzo previsto. Il principio di limitazione della conservazione viene applicato tramite scadenza automatica basata su TTL nell'archivio dati. La cifratura AES-256-GCM lato client e l'architettura del server zero-knowledge garantiscono integrità e riservatezza — anche l'infrastruttura di Vaulted non può accedere al testo in chiaro condiviso, riducendo la portata di eventuali obblighi di notifica di violazioni dei dati.