IT202000032405A1 - Metodo per la gestione digitale dei diritti di documenti per la digitalizzazione, archiviazione e distruzione per la compliance iso27001 - Google Patents
Metodo per la gestione digitale dei diritti di documenti per la digitalizzazione, archiviazione e distruzione per la compliance iso27001 Download PDFInfo
- Publication number
- IT202000032405A1 IT202000032405A1 IT102020000032405A IT202000032405A IT202000032405A1 IT 202000032405 A1 IT202000032405 A1 IT 202000032405A1 IT 102020000032405 A IT102020000032405 A IT 102020000032405A IT 202000032405 A IT202000032405 A IT 202000032405A IT 202000032405 A1 IT202000032405 A1 IT 202000032405A1
- Authority
- IT
- Italy
- Prior art keywords
- phase
- document
- user
- cookie
- destruction
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 8
- 230000006378 damage Effects 0.000 title claims description 6
- 235000014510 cooky Nutrition 0.000 claims description 11
- 238000012800 visualization Methods 0.000 claims description 6
- 230000000694 effects Effects 0.000 claims description 2
- 230000008929 regeneration Effects 0.000 claims description 2
- 238000011069 regeneration method Methods 0.000 claims description 2
- 238000006243 chemical reaction Methods 0.000 claims 1
- 230000002123 temporal effect Effects 0.000 claims 1
- 238000007726 management method Methods 0.000 description 10
- 238000001038 ionspray mass spectrometry Methods 0.000 description 2
- 238000012502 risk assessment Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000002860 competitive effect Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000001755 vocal effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/93—Document management systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/957—Browsing optimisation, e.g. caching or content distillation
- G06F16/9577—Optimising the visualization of content, e.g. distillation of HTML documents
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- General Business, Economics & Management (AREA)
- Business, Economics & Management (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
Description
DESCRIZIONE
La presente invenzione ha per oggetto un metodo per la gestione digitale dei diritti di documenti per la digitalizzazione, archiviazione e distruzione per la compliance ISO27001.
Quando si parla di sicurezza delle informazioni si intende salvaguardare la privacy, l?integrit? e la disponibilit? delle informazioni, siano esse in forma scritta, verbale o elettronica. In ogni azienda che raccoglie, gestisce e conserva informazioni di vario tipo, anche dati sensibili, la sicurezza delle informazioni diventa dunque fondamentale.
La norma ISO/IEC 27001 definisce tutti quei requisiti che servono ad impostare e gestire un sistema di gestione per la sicurezza delle informazioni (SGSI o ISMS - Information Security Management System). Tale norma non riguarda solo la sicurezza informatica ed il settore IT ed ? dunque applicabile a qualsiasi contesto dove vengono trattati grossi quantitativi di dati ed informazioni, con lo scopo di preservare la riservatezza, l?integrit? e la disponibilit? (RID) delle informazioni stesse gestite dall?azienda.
La norma, la cui versione pi? recente ? stata pubblicata il 30 marzo del 2017, ? strutturata in due parti: la prima parte definisce i requisiti e i processi per la gestione della sicurezza delle informazioni; la seconda parte, invece, offre un catalogo di contromisure di sicurezza da applicare a valle dell?analisi del rischio, con le indicazioni su come applicarle.
La capacit? di garantire una corretta gestione delle informazioni acquista dunque particolare rilevanza nel mercato attuale, soprattutto quando si tratta di dati critici in termini di propriet? industriale e di tutela degli stakeholders.
Il controllo n.18 della ISO 27001 disciplina la conformit? ai requisiti cogenti e contrattuali, con particolare riferimento alla sicurezza delle registrazioni. E? importante specificare che il termine registrazione ha un significato specifico all'interno di una generica gestione dei dati, in quanto definisce un'informazione memorizzata, che comprova le operazioni di un'organizzazione e che richiede il suo mantenimento per un periodo di tempo stabilito. A tal proposito la ISO 15489 riguarda la Gestione dei documenti di archivio (record) fornendone con la ISO 15489-2 le relative linee guida.
L?adozione di un sistema di gestione conforme alla ISO/IEC 27001 garantisce senza dubbio dei vantaggi competitivi, garantendo la massima attenzione alla sicurezza delle informazioni dei clienti, proteggendole da accessi non autorizzati e dal rischio che vengano corrotte o rese in qualche modo non disponibili, il tutto in compliance con il GDPR (il regolamento generale sulla protezione dei dati, in inglese General Data Protection Regulation), con il quale la normativa condivide molti aspetti comuni, come risk assessment, compliance, asset management, privacy by design e rapporti con i fornitori. Inoltre, gli aspetti del rispetto del segreto industriale sono sempre pi? necessari in un mondo internazionalizzato ed interconnesso e richiedono opportune garanzie da dare all?utente in relazione alla sottoscrizione di un NDA. Infatti, la visualizzazione o lo scambio di file deve essere vincolato a limiti di funzionalit? e limiti temporali, oltre che ad un tracking che possa dare opportune garanzie di condivisione dell?informazione.
Tuttavia, allo stato dell?arte non vi sono metodi che consentano la gestione digitale dei diritti di documenti per la digitalizzazione, la loro archiviazione e relativa distruzione in base ai privilegi dell?utente, in compliance appunto con la ISO27001, che si avvalgono dell?utilizzo del browser e della blockchain in maniera tale da certificare temporalmente qualsiasi richiesta di visualizzazione ed eliminazione da parte dell?utente stesso di un determinato documento, tracciato tramite la sua impronta.
Nel suddetto contesto, scopo della nostra invenzione ? quello di presentare un metodo per la gestione digitale dei diritti di un documento per la compliance ISO 27001. Tale metodo prevede una fase di catalogazione di un documento con opportuna ontologia che tiene conto dell?impatto in termini di tipologia e valore del documento e relativi rischi connessi (segreto industriale, GDPR) opportunamente pesati in funzione della categoria del dato e dell?impatto sul business o su relativi rischi legislativi, una fase di definizione dei privilegi di un utente, una fase di definizione del tipo di diritto da considerare (illimitato, limitato ad uno specifico utente, possibilit? di stampa inibita, limite di accesso legato ad un riferimento temporale, limite di accesso legato ad un numero di visualizzazione, tracciabile nel tempo) in relazione alla ontologia attribuita al documento e ai privilegi dell?utente, una fase di richiesta del documento (es. immagine, testo, pdf) convertito in HTML dal server (anche tramite ausilio di un modulo OCR), con eventuale suddivisione in pagine/sezioni, da parte di uno specifico utente con contemporanea generazione lato client di un cookie crittografato per l?accesso al documento richiesto tramite URI specifico per impostare la relativa visualizzazione all?interno di un web-browser dell?utente richiedente, una fase di visualizzazione del documento HTML nel browser tramite URI specifico in virt? della abilitazione effettuata dal server web grazie alle informazioni presenti nel cookie presente nel browser dell?utente richiedente se presenti e valide, una fase di certificazione in blockchain delle visualizzazioni effettuate con relativo IP in relazione all?hash del contenuto visualizzato, dei relativi tentativi di visualizzazione effettuata e della distruzione del cookie per il contenuto crittografato da eliminare, una fase di richiesta di ulteriori visualizzazioni da parte dell?utente con relativa rigenerazione del cookie, una fase di valutazione della accountability ISO27001 in relazione alle attivit? effettuate e monitorate tramite TOPSIS ranking.
Tale sistema web oriented ? vincolato dal fatto di essere URI dependent (internet/intranet), tuttavia risulta platform indepedent consentendo cos? l?accesso da qualsiasi tipo di dispositivo collegato alla rete, raggiungendo quindi le caratteristiche responsive.
A titolo di esempio per la consultazione di una cartella sanitaria limitata al solo giorno in cui il documento viene richiesto, l?utente richieder? al sistema detto documento che in relazione alla ontologia ad esempio ? attivabile in visualizzazione per un solo giorno. Il file viene quindi convertito nei suoi contenuti in formato HTML e fornito in visualizzazione da parte dell?utente che ha fatto la richiesta ad uno specifico URI generando cos? in un cookie la relativa chiave di abilitazione. L?utente accedendo ad un URL trover? del contenuto HTML consultabile, con funzionalit? di stampa bloccata. Accedendo al link da un altro browser (privo del cookie) o nel giorno successivo (in relazione alla ontologia d?esempio) il documento non sar? accessibile. Il contenuto temporaneo del browser non generer? file addizionali temporanei residui che possano generare problemi di sicurezza. Lo stesso pu? riguardare lo scambio di file soggetti a NDA, i cui file possono essere resi disponibili solo per un intervallo temporaneo limitato riferito ad una riunione e il cui contenuto viene tracciato in relazione agli accessi in blockchain, al fine di comprovare tutti gli scambi informativi e relative visualizzazioni effettuate. L?accesso al sistema pu? avvenire dal singolo utente con credenziali certificate quali CNS (carta nazionale dei servizi) e SPID (sistema pubblico di identit? digitale).
Claims (1)
1. Metodo per la gestione digitale dei diritti di documenti per la digitalizzazione, archiviazione e distruzione per la compliance ISO27001 caratterizzato da:
- una fase di catalogazione di un documento tramite implementazione di una opportuna ontologia che tiene conto dell?impatto di sicurezza in termini di tipologia e valore del documento e relativi rischi connessi (segreto industriale, GDPR) in relazione al contesto di utilizzo ed interlocutore;
- una fase di attribuzione dei privilegi ad un utente o gruppi di utenti;
- una fase di definizione del tipo di diritto da considerare (illimitato, limitato ad uno specifico utente, selezione testo e stampa bloccata, limitato ad un riferimento temporale, limitato ad un numero di visualizzazione, tracciabile nel tempo) in relazione alla ontologia del documento e ai privilegi dell?utente; - una fase di richiesta del documento tramite browser da parte di uno specifico utente;
- una fase di conversione del documento in HTML ed eventuale suddivisione in pagine;
- una fase contemporanea di generazione di un cookie crittografato per lo specifico documento ed utente per impostare la relativa visualizzazione all?interno del web-browser;
- una fase di visualizzazione del documento in virt? della abilitazione di visualizzazione effettuata dal server grazie alle informazioni presenti nel cookie;
- una fase di certificazione in blockchain delle visualizzazioni effettuate con relativo indirizzo internet IP dell?utente e hash del solo contenuto visualizzato, di manomissione del cookie, dei relativi tentativi di visualizzazione effettuata e della distruzione del cookie abilitante il contenuto da visualizzare;
- una fase di eventuale richiesta di ulteriori visualizzazioni da parte dell?utente;
- una fase di eventuale rigenerazione del cookie;
- una fase di valutazione della accountability della ISO 27001 in relazione alle attivit? effettuate e monitorate e del tipo di ontologia tramite metodo TOPSIS.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
IT102020000032405A IT202000032405A1 (it) | 2020-12-28 | 2020-12-28 | Metodo per la gestione digitale dei diritti di documenti per la digitalizzazione, archiviazione e distruzione per la compliance iso27001 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
IT102020000032405A IT202000032405A1 (it) | 2020-12-28 | 2020-12-28 | Metodo per la gestione digitale dei diritti di documenti per la digitalizzazione, archiviazione e distruzione per la compliance iso27001 |
Publications (1)
Publication Number | Publication Date |
---|---|
IT202000032405A1 true IT202000032405A1 (it) | 2022-06-28 |
Family
ID=75111704
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
IT102020000032405A IT202000032405A1 (it) | 2020-12-28 | 2020-12-28 | Metodo per la gestione digitale dei diritti di documenti per la digitalizzazione, archiviazione e distruzione per la compliance iso27001 |
Country Status (1)
Country | Link |
---|---|
IT (1) | IT202000032405A1 (it) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050273432A1 (en) * | 1994-11-23 | 2005-12-08 | Contentguard Holdings, Inc. | System for controlling the distribution and use of digital works |
US20160358188A1 (en) * | 2015-06-03 | 2016-12-08 | Linkedin Corporation | Downstream utilities in a website using multi-objective optimization |
US10572684B2 (en) * | 2013-11-01 | 2020-02-25 | Anonos Inc. | Systems and methods for enforcing centralized privacy controls in de-centralized systems |
EP3616383A1 (en) * | 2017-04-28 | 2020-03-04 | Anonos Inc. | Systems and methods for enforcing centralized privacy controls in de-centralized systems |
WO2020068082A1 (en) * | 2018-09-27 | 2020-04-02 | Shadowbox, Inc. | Systems and methods for regulation compliant computing |
-
2020
- 2020-12-28 IT IT102020000032405A patent/IT202000032405A1/it unknown
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050273432A1 (en) * | 1994-11-23 | 2005-12-08 | Contentguard Holdings, Inc. | System for controlling the distribution and use of digital works |
US10572684B2 (en) * | 2013-11-01 | 2020-02-25 | Anonos Inc. | Systems and methods for enforcing centralized privacy controls in de-centralized systems |
US20160358188A1 (en) * | 2015-06-03 | 2016-12-08 | Linkedin Corporation | Downstream utilities in a website using multi-objective optimization |
EP3616383A1 (en) * | 2017-04-28 | 2020-03-04 | Anonos Inc. | Systems and methods for enforcing centralized privacy controls in de-centralized systems |
WO2020068082A1 (en) * | 2018-09-27 | 2020-04-02 | Shadowbox, Inc. | Systems and methods for regulation compliant computing |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Chokhani et al. | Internet X. 509 public key infrastructure certificate policy and certification practices framework | |
Trèek | An integral framework for information systems security management | |
JP2013513834A (ja) | 信頼できるコンピューティングおよびデータサービスのための信頼できる拡張マークアップ言語 | |
Hasselgren et al. | Gdpr compliance for blockchain applications in healthcare | |
Shakir et al. | Literature review of security issues in saas for public cloud computing: a meta-analysis | |
Aldeco Perez et al. | Provenance-based auditing of private data use | |
Accorsi | Automated privacy audits to complement the notion of control for identity management | |
Al Ketbi et al. | Establishing a security control framework for blockchain technology | |
IT202000032405A1 (it) | Metodo per la gestione digitale dei diritti di documenti per la digitalizzazione, archiviazione e distruzione per la compliance iso27001 | |
Beaudin | The legal implications of storing student data: Preparing for and responding to data breaches | |
Islam et al. | Privacy by design: Does it matter for social networks? | |
CN201557132U (zh) | 基于pki/pmi技术的跨域管理装置 | |
Lax et al. | Enabling secure health information sharing among healthcare organizations by public blockchain | |
Kulesza | Balancing Privacy and Security in a Multistakeholder Environment. ICANN, WHOIS and GDPR | |
Huang et al. | privacy implication and technical requirements toward GDPR compliance | |
Azkia et al. | Reconciling IHE-ATNA profile with a posteriori contextual access and usage control policy in healthcare environment | |
JP5724584B2 (ja) | Drmシステム、および組織外アカウント管理方法 | |
Santamaría et al. | Designing the chain of custody process for blockchain-based digital evidences | |
Bitar et al. | Gdpr: Securing personal data in compliance with new eu-regulations | |
Scholl et al. | Security architecture design process for health information exchanges (HIEs) | |
Van Beek | Comparison of enterprise digital rights management systems | |
Choura et al. | HealthBeat traceability platform based on blockchain technology | |
Pöhls | Increasing the Legal Probative Value of Cryptographically Private Malleable Signatures | |
Rath et al. | Towards Building Data Trust and Transparency in Data-Driven Business Applications | |
Singh et al. | A comparative study of privacy mechanisms and a novel privacy mechanism [Short Paper] |