CANCELLAZIONE SICURA DEI DATI INFORMATICI

Cos’è la cancellazione sicura?

La cancellazione sicura è un sistema che garantisce che ogni dato sia cancellato e non più recuperabile in alcun modo dai dispositivi informatici.

A chi si rivolge?

E’ un servizio rivolto a ogni persona fisica o giuridica che conservi dati personali o comunque informazioni sensibili e che si trovi a dover sostituire o cedere apparecchiature elettroniche che conservano dati di tale natura.

Mi serve questo servizio?

Il Codice in materia di protezione dei dati personali (D.Lgs. 196/03) e il successivo Provvedimento del Garante della Privacy, 13 ottobre 2008 (G.U. n.287, 9 dicembre 2008) implica che tutte le strutture che conservino dati personali e sensibili (aziende, liberi professionisti, enti sanitari e/o parasanitari) debbano provvedere alla “distruzione o cancellazione del dato” prima di provvedere allo smaltimento o alla cessione ad altri delle apparecchiature elettroniche utilizzate. Ciò rende di fatto tale procedura un obbligo di legge.

Poiché la sola cancellazione o formattazione dei dispositivi non sono sufficienti ad assicurare la totale distruzione dei dati, il Garante ha regolamentato le procedure da utilizzarsi, procedure in genere non eseguibili in proprio.

Come funziona? Che tecnologie sono utilizzate?

La cancellazione sicura può essere svolta mediante due procedure:

DISTRUTTIVA: mediante apparecchiature dedicate i supporti magnetici vengono smagnetizzati compromettendo in modo definitivo il supporto di memorizzazione. Questo metodo è efficace, anche se applicabile solamente su Hard Disk magnetici tradizionali e anche se una volta sottoposti a questa procedura gli stessi possono solamente essere smaltiti poiché non riutilizzabili. Per ottenere il medesimo risultato dispositivi come Pendrive o dispositivi a stato solido (SSD) possono essere solo meccanicamente distrutti così da non rendere possibile il recupero delle informazioni contenute.

SOFTWARE: mediante software dedicati i dati sono cancellati e sostituiti da informazioni casuali mediante una serie di riscritture, in modo che i dati originali siano effettivamente irrecuperabili. Tale metodo richiede comprensibilmente molte ore di lavoro ma offre il vantaggio di poter utilizzare nuovamente il dispositivo una volta cancellato. E’ inoltre applicabile a qualsiasi dispositivo riscrivibile di memorizzazione.

Nella cancellazione software, sono possibili le seguenti metodologie:

  • US DoD 5220.22-M

Ogni settore viene riscritto tre volte, la prima volta inizializzandolo con la stringa 0x00, la seconda volta con la stringa 0xFF, e la terza volta con valori casuali. Viene inoltre effettuata una lettura finale per verificare la casualità dei dati memorizzati.

  • US DoD 5220.22-M (ECE)

Ogni settore viene riscritto sette volte, rispettivamente con le stringhe 0x00, 0xFF, Random (casuale), 0x96, 0x00, 0xFF, Random (casuale). Viene inoltre effettuata una lettura finale per verificare la casualità dei dati memorizzati.

  • Gutmann

Ogni settore viene riscritto complessivamente 35 volte, rendendo questa metodologia la più sicura in assoluto. Va considerato però il dispendio di tempo per tale metodologia, che non migliora in modo sostanziale il risultato, riducendo inoltre la vita utile del dispositivo.

Utilizziamo preferibilmente le prime due metodologie, che risultano essere quelle usate anche dal Dipartimento della Difesa Americano, come il nome stesso (DoD) indica.

Come garantire che la cancellazione è davvero avvenuta?

Al termine della procedura di cancellazione di ogni singolo dispositivo viene rilasciato un certificato che comprende il modello e il numero di serie dello stesso, la procedura utilizzata e il risultato della stessa, garantendo che la cancellazione sia avvenuta definitivamente e a norma di legge permettendo il totale rispetto delle normative vigenti sulla Privacy.

Viene garantita inoltre la massima riservatezza al cliente, sia riguardo il contenuto dei supporti inviati, sia riguardo i dati personali forniti a fini amministrativi, in conformità alla normativa in materia di protezione dei dati personali (Legge 196/2003, Codice Privacy)