IT202000032405A1 - Metodo per la gestione digitale dei diritti di documenti per la digitalizzazione, archiviazione e distruzione per la compliance iso27001 - Google Patents

Metodo per la gestione digitale dei diritti di documenti per la digitalizzazione, archiviazione e distruzione per la compliance iso27001 Download PDF

Info

Publication number
IT202000032405A1
IT202000032405A1 IT102020000032405A IT202000032405A IT202000032405A1 IT 202000032405 A1 IT202000032405 A1 IT 202000032405A1 IT 102020000032405 A IT102020000032405 A IT 102020000032405A IT 202000032405 A IT202000032405 A IT 202000032405A IT 202000032405 A1 IT202000032405 A1 IT 202000032405A1
Authority
IT
Italy
Prior art keywords
phase
document
user
cookie
destruction
Prior art date
Application number
IT102020000032405A
Other languages
English (en)
Inventor
Giuseppe Stella
Paola Lunalbi
Pierluigi Calabrese
Original Assignee
Stella All in One Srl
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Stella All in One Srl filed Critical Stella All in One Srl
Priority to IT102020000032405A priority Critical patent/IT202000032405A1/it
Publication of IT202000032405A1 publication Critical patent/IT202000032405A1/it

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/93Document management systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/957Browsing optimisation, e.g. caching or content distillation
    • G06F16/9577Optimising the visualization of content, e.g. distillation of HTML documents
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Business, Economics & Management (AREA)
  • Business, Economics & Management (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)

Description

DESCRIZIONE
La presente invenzione ha per oggetto un metodo per la gestione digitale dei diritti di documenti per la digitalizzazione, archiviazione e distruzione per la compliance ISO27001.
Quando si parla di sicurezza delle informazioni si intende salvaguardare la privacy, l?integrit? e la disponibilit? delle informazioni, siano esse in forma scritta, verbale o elettronica. In ogni azienda che raccoglie, gestisce e conserva informazioni di vario tipo, anche dati sensibili, la sicurezza delle informazioni diventa dunque fondamentale.
La norma ISO/IEC 27001 definisce tutti quei requisiti che servono ad impostare e gestire un sistema di gestione per la sicurezza delle informazioni (SGSI o ISMS - Information Security Management System). Tale norma non riguarda solo la sicurezza informatica ed il settore IT ed ? dunque applicabile a qualsiasi contesto dove vengono trattati grossi quantitativi di dati ed informazioni, con lo scopo di preservare la riservatezza, l?integrit? e la disponibilit? (RID) delle informazioni stesse gestite dall?azienda.
La norma, la cui versione pi? recente ? stata pubblicata il 30 marzo del 2017, ? strutturata in due parti: la prima parte definisce i requisiti e i processi per la gestione della sicurezza delle informazioni; la seconda parte, invece, offre un catalogo di contromisure di sicurezza da applicare a valle dell?analisi del rischio, con le indicazioni su come applicarle.
La capacit? di garantire una corretta gestione delle informazioni acquista dunque particolare rilevanza nel mercato attuale, soprattutto quando si tratta di dati critici in termini di propriet? industriale e di tutela degli stakeholders.
Il controllo n.18 della ISO 27001 disciplina la conformit? ai requisiti cogenti e contrattuali, con particolare riferimento alla sicurezza delle registrazioni. E? importante specificare che il termine registrazione ha un significato specifico all'interno di una generica gestione dei dati, in quanto definisce un'informazione memorizzata, che comprova le operazioni di un'organizzazione e che richiede il suo mantenimento per un periodo di tempo stabilito. A tal proposito la ISO 15489 riguarda la Gestione dei documenti di archivio (record) fornendone con la ISO 15489-2 le relative linee guida.
L?adozione di un sistema di gestione conforme alla ISO/IEC 27001 garantisce senza dubbio dei vantaggi competitivi, garantendo la massima attenzione alla sicurezza delle informazioni dei clienti, proteggendole da accessi non autorizzati e dal rischio che vengano corrotte o rese in qualche modo non disponibili, il tutto in compliance con il GDPR (il regolamento generale sulla protezione dei dati, in inglese General Data Protection Regulation), con il quale la normativa condivide molti aspetti comuni, come risk assessment, compliance, asset management, privacy by design e rapporti con i fornitori. Inoltre, gli aspetti del rispetto del segreto industriale sono sempre pi? necessari in un mondo internazionalizzato ed interconnesso e richiedono opportune garanzie da dare all?utente in relazione alla sottoscrizione di un NDA. Infatti, la visualizzazione o lo scambio di file deve essere vincolato a limiti di funzionalit? e limiti temporali, oltre che ad un tracking che possa dare opportune garanzie di condivisione dell?informazione.
Tuttavia, allo stato dell?arte non vi sono metodi che consentano la gestione digitale dei diritti di documenti per la digitalizzazione, la loro archiviazione e relativa distruzione in base ai privilegi dell?utente, in compliance appunto con la ISO27001, che si avvalgono dell?utilizzo del browser e della blockchain in maniera tale da certificare temporalmente qualsiasi richiesta di visualizzazione ed eliminazione da parte dell?utente stesso di un determinato documento, tracciato tramite la sua impronta.
Nel suddetto contesto, scopo della nostra invenzione ? quello di presentare un metodo per la gestione digitale dei diritti di un documento per la compliance ISO 27001. Tale metodo prevede una fase di catalogazione di un documento con opportuna ontologia che tiene conto dell?impatto in termini di tipologia e valore del documento e relativi rischi connessi (segreto industriale, GDPR) opportunamente pesati in funzione della categoria del dato e dell?impatto sul business o su relativi rischi legislativi, una fase di definizione dei privilegi di un utente, una fase di definizione del tipo di diritto da considerare (illimitato, limitato ad uno specifico utente, possibilit? di stampa inibita, limite di accesso legato ad un riferimento temporale, limite di accesso legato ad un numero di visualizzazione, tracciabile nel tempo) in relazione alla ontologia attribuita al documento e ai privilegi dell?utente, una fase di richiesta del documento (es. immagine, testo, pdf) convertito in HTML dal server (anche tramite ausilio di un modulo OCR), con eventuale suddivisione in pagine/sezioni, da parte di uno specifico utente con contemporanea generazione lato client di un cookie crittografato per l?accesso al documento richiesto tramite URI specifico per impostare la relativa visualizzazione all?interno di un web-browser dell?utente richiedente, una fase di visualizzazione del documento HTML nel browser tramite URI specifico in virt? della abilitazione effettuata dal server web grazie alle informazioni presenti nel cookie presente nel browser dell?utente richiedente se presenti e valide, una fase di certificazione in blockchain delle visualizzazioni effettuate con relativo IP in relazione all?hash del contenuto visualizzato, dei relativi tentativi di visualizzazione effettuata e della distruzione del cookie per il contenuto crittografato da eliminare, una fase di richiesta di ulteriori visualizzazioni da parte dell?utente con relativa rigenerazione del cookie, una fase di valutazione della accountability ISO27001 in relazione alle attivit? effettuate e monitorate tramite TOPSIS ranking.
Tale sistema web oriented ? vincolato dal fatto di essere URI dependent (internet/intranet), tuttavia risulta platform indepedent consentendo cos? l?accesso da qualsiasi tipo di dispositivo collegato alla rete, raggiungendo quindi le caratteristiche responsive.
A titolo di esempio per la consultazione di una cartella sanitaria limitata al solo giorno in cui il documento viene richiesto, l?utente richieder? al sistema detto documento che in relazione alla ontologia ad esempio ? attivabile in visualizzazione per un solo giorno. Il file viene quindi convertito nei suoi contenuti in formato HTML e fornito in visualizzazione da parte dell?utente che ha fatto la richiesta ad uno specifico URI generando cos? in un cookie la relativa chiave di abilitazione. L?utente accedendo ad un URL trover? del contenuto HTML consultabile, con funzionalit? di stampa bloccata. Accedendo al link da un altro browser (privo del cookie) o nel giorno successivo (in relazione alla ontologia d?esempio) il documento non sar? accessibile. Il contenuto temporaneo del browser non generer? file addizionali temporanei residui che possano generare problemi di sicurezza. Lo stesso pu? riguardare lo scambio di file soggetti a NDA, i cui file possono essere resi disponibili solo per un intervallo temporaneo limitato riferito ad una riunione e il cui contenuto viene tracciato in relazione agli accessi in blockchain, al fine di comprovare tutti gli scambi informativi e relative visualizzazioni effettuate. L?accesso al sistema pu? avvenire dal singolo utente con credenziali certificate quali CNS (carta nazionale dei servizi) e SPID (sistema pubblico di identit? digitale).

Claims (1)

RIVENDICAZIONI
1. Metodo per la gestione digitale dei diritti di documenti per la digitalizzazione, archiviazione e distruzione per la compliance ISO27001 caratterizzato da:
- una fase di catalogazione di un documento tramite implementazione di una opportuna ontologia che tiene conto dell?impatto di sicurezza in termini di tipologia e valore del documento e relativi rischi connessi (segreto industriale, GDPR) in relazione al contesto di utilizzo ed interlocutore;
- una fase di attribuzione dei privilegi ad un utente o gruppi di utenti;
- una fase di definizione del tipo di diritto da considerare (illimitato, limitato ad uno specifico utente, selezione testo e stampa bloccata, limitato ad un riferimento temporale, limitato ad un numero di visualizzazione, tracciabile nel tempo) in relazione alla ontologia del documento e ai privilegi dell?utente; - una fase di richiesta del documento tramite browser da parte di uno specifico utente;
- una fase di conversione del documento in HTML ed eventuale suddivisione in pagine;
- una fase contemporanea di generazione di un cookie crittografato per lo specifico documento ed utente per impostare la relativa visualizzazione all?interno del web-browser;
- una fase di visualizzazione del documento in virt? della abilitazione di visualizzazione effettuata dal server grazie alle informazioni presenti nel cookie;
- una fase di certificazione in blockchain delle visualizzazioni effettuate con relativo indirizzo internet IP dell?utente e hash del solo contenuto visualizzato, di manomissione del cookie, dei relativi tentativi di visualizzazione effettuata e della distruzione del cookie abilitante il contenuto da visualizzare;
- una fase di eventuale richiesta di ulteriori visualizzazioni da parte dell?utente;
- una fase di eventuale rigenerazione del cookie;
- una fase di valutazione della accountability della ISO 27001 in relazione alle attivit? effettuate e monitorate e del tipo di ontologia tramite metodo TOPSIS.
IT102020000032405A 2020-12-28 2020-12-28 Metodo per la gestione digitale dei diritti di documenti per la digitalizzazione, archiviazione e distruzione per la compliance iso27001 IT202000032405A1 (it)

Priority Applications (1)

Application Number Priority Date Filing Date Title
IT102020000032405A IT202000032405A1 (it) 2020-12-28 2020-12-28 Metodo per la gestione digitale dei diritti di documenti per la digitalizzazione, archiviazione e distruzione per la compliance iso27001

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
IT102020000032405A IT202000032405A1 (it) 2020-12-28 2020-12-28 Metodo per la gestione digitale dei diritti di documenti per la digitalizzazione, archiviazione e distruzione per la compliance iso27001

Publications (1)

Publication Number Publication Date
IT202000032405A1 true IT202000032405A1 (it) 2022-06-28

Family

ID=75111704

Family Applications (1)

Application Number Title Priority Date Filing Date
IT102020000032405A IT202000032405A1 (it) 2020-12-28 2020-12-28 Metodo per la gestione digitale dei diritti di documenti per la digitalizzazione, archiviazione e distruzione per la compliance iso27001

Country Status (1)

Country Link
IT (1) IT202000032405A1 (it)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050273432A1 (en) * 1994-11-23 2005-12-08 Contentguard Holdings, Inc. System for controlling the distribution and use of digital works
US20160358188A1 (en) * 2015-06-03 2016-12-08 Linkedin Corporation Downstream utilities in a website using multi-objective optimization
US10572684B2 (en) * 2013-11-01 2020-02-25 Anonos Inc. Systems and methods for enforcing centralized privacy controls in de-centralized systems
EP3616383A1 (en) * 2017-04-28 2020-03-04 Anonos Inc. Systems and methods for enforcing centralized privacy controls in de-centralized systems
WO2020068082A1 (en) * 2018-09-27 2020-04-02 Shadowbox, Inc. Systems and methods for regulation compliant computing

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050273432A1 (en) * 1994-11-23 2005-12-08 Contentguard Holdings, Inc. System for controlling the distribution and use of digital works
US10572684B2 (en) * 2013-11-01 2020-02-25 Anonos Inc. Systems and methods for enforcing centralized privacy controls in de-centralized systems
US20160358188A1 (en) * 2015-06-03 2016-12-08 Linkedin Corporation Downstream utilities in a website using multi-objective optimization
EP3616383A1 (en) * 2017-04-28 2020-03-04 Anonos Inc. Systems and methods for enforcing centralized privacy controls in de-centralized systems
WO2020068082A1 (en) * 2018-09-27 2020-04-02 Shadowbox, Inc. Systems and methods for regulation compliant computing

Similar Documents

Publication Publication Date Title
Chokhani et al. Internet X. 509 public key infrastructure certificate policy and certification practices framework
Trèek An integral framework for information systems security management
JP2013513834A (ja) 信頼できるコンピューティングおよびデータサービスのための信頼できる拡張マークアップ言語
Hasselgren et al. Gdpr compliance for blockchain applications in healthcare
Shakir et al. Literature review of security issues in saas for public cloud computing: a meta-analysis
Aldeco Perez et al. Provenance-based auditing of private data use
Accorsi Automated privacy audits to complement the notion of control for identity management
Al Ketbi et al. Establishing a security control framework for blockchain technology
IT202000032405A1 (it) Metodo per la gestione digitale dei diritti di documenti per la digitalizzazione, archiviazione e distruzione per la compliance iso27001
Beaudin The legal implications of storing student data: Preparing for and responding to data breaches
Islam et al. Privacy by design: Does it matter for social networks?
CN201557132U (zh) 基于pki/pmi技术的跨域管理装置
Lax et al. Enabling secure health information sharing among healthcare organizations by public blockchain
Kulesza Balancing Privacy and Security in a Multistakeholder Environment. ICANN, WHOIS and GDPR
Huang et al. privacy implication and technical requirements toward GDPR compliance
Azkia et al. Reconciling IHE-ATNA profile with a posteriori contextual access and usage control policy in healthcare environment
JP5724584B2 (ja) Drmシステム、および組織外アカウント管理方法
Santamaría et al. Designing the chain of custody process for blockchain-based digital evidences
Bitar et al. Gdpr: Securing personal data in compliance with new eu-regulations
Scholl et al. Security architecture design process for health information exchanges (HIEs)
Van Beek Comparison of enterprise digital rights management systems
Choura et al. HealthBeat traceability platform based on blockchain technology
Pöhls Increasing the Legal Probative Value of Cryptographically Private Malleable Signatures
Rath et al. Towards Building Data Trust and Transparency in Data-Driven Business Applications
Singh et al. A comparative study of privacy mechanisms and a novel privacy mechanism [Short Paper]