Leggi e rivedi la documentazione di Automation Anywhere

Automation Anywhre Automation 360

Chiudi contenuti

Contenuti

Apri contenuti

Linee guida del Regolamento generale sulla protezione dei dati

  • Aggiornato: 6/18/2019
    • Automation 360 v.x
    • Esplora
    • Spazio di lavoro RPA

Linee guida del Regolamento generale sulla protezione dei dati

Il regolamento generale sulla protezione dei dati (General Data Protection Regulation, GDPR) è uno dei quadri di riferimento in materia di conformità più rigorosi per il mantenimento della riservatezza dei dati personali. Il GDPR definisce i dati personali come qualsiasi dato che possa essere utilizzato per identificare una persona fisica (soggetto dei dati).

Tale persona fisica è definita soggetto dei dati. Le entità aziendali che definiscono e determinano lo scopo e i mezzi del trattamento dei dati personali (processo aziendale) sono definite come titolari del trattamento dei dati. Le entità aziendali che eseguono il trattamento dei dati personali sono definite come responsabili del trattamento dei dati. I titolari e i responsabili del trattamento dei dati devono essere pronti a dimostrare che le loro attività di trattamento dei dati e i processi di sicurezza rispettino il GDPR se i dati personali che elaborano si riferiscono a qualsiasi soggetto dei dati che sia cittadino di qualsiasi territorio o Paese membro dell'Unione Europea (UE), anche quando tale trattamento viene eseguito al di fuori dell'UE. Lo scopo del GDPR è garantire che i diritti dei soggetti dei dati in relazione alle loro informazioni personali siano rispettati. Questi diritti riguardano riservatezza, trattamento per legittimi scopi aziendali e il diritto di controllare, accedere e rimuovere le proprie informazioni personali dai sistemi dei responsabili del trattamento dei dati.

I clienti di Automation Anywhre, che utilizzano Automation Anywhere Enterprise sono generalmente i titolari e/o i responsabili del trattamento dei dati nel contesto del GDPR. In quanto software acquistato, distribuito e gestito dal cliente, la conformità con il GDPR dipende dalle politiche e dalle procedure dell'entità cliente che si occupa della distribuzione. Il GDPR obbliga l'entità che esegue la distribuzione ad adottare misure tecniche e organizzative appropriate per garantire che i dati siano elaborati per gli scopi dichiarati e che siano protetti per progettazione e per impostazione predefinita. Utilizza le seguenti linee guida per garantire che il modo utilizzato in sia conforme con il GDPR.

Protezione dei dati

Automation Anywhre dispone di un set completo di funzionalità di sicurezza che forniscono protezione dei dati sia automaticamente sia mediante configurazione dalla progettazione. Come per qualsiasi applicazione Enterprise, l'utilizzo coerente e corretto dei controlli di sicurezza dipende dall'organizzazione. Diversi aspetti della sicurezza all'interno di un ambiente del cliente non rientrano nell'ambito di , ad esempio il comportamento di sicurezza del sistema operativo su cui è distribuito o la sicurezza della rete dell'ambiente.

utilizza tecnologie di crittografia dei dati a riposo, in transito e in memoria. Le tecnologie di crittografia sono documentate negli argomenti relativi all'architettura di sicurezza di (per le versioni 10 e 11).

Tutti gli utenti che accedono a possono essere autenticati utilizzando metodi di autenticazione centralizzati standard, ad esempio Active Directory. Inoltre, l'accesso con le credenziali tramite può essere eseguito mediante l'archivio credenziali con sicurezza di livello bancario integrato o con sistemi di archiviazione delle credenziali esterni come CyberArk.

L'autorizzazione degli utenti di non rientra nell'ambito del software . L'entità che esegue la distribuzione assicura che solo il personale autorizzato con un requisito aziendale possa accedere a Automation Anywhere Enterprise. Agli utenti aziendali con accesso a possono essere assegnate autorizzazioni specifiche tramite ruoli all'interno del prodotto che supportano i controlli degli accessi basati su ruolo (Role Based Access Control, RBAC). Le autorizzazioni e i ruoli supportano modelli RBAC avanzati che assicurano doppi controlli e separazione dei compiti nelle operazioni di . Le autorizzazioni possono essere implementate su tutti gli aspetti delle operazioni di , tra cui: credenziali, bot, Esecutore di bot, Creatore di bot, programmi di bot, accesso al registro di audit, code della gestione del carico di lavoro e pool. Poiché consente l'automazione di qualsiasi tipo di processo aziendale, l'entità che esegue la distribuzione è responsabile di garantire che solo il personale autorizzato ad accedere alle applicazioni coinvolte in qualsiasi automazione sia autorizzato a farlo. In questa linea guida, fornisce tutte le autorizzazioni necessarie per separare diversi bot, Esecutore di bot e personale operativo su qualsiasi ramo d'azienda o linea di business, assicurando domini di elaborazione separati all'interno del prodotto.

Tutte le azioni degli utenti sono sottoposte a audit in , fornendo record di tutti gli accessi e le azioni intraprese dal personale operativo. La registrazione delle audit di supporta tutti i principali quadri di riferimento in materia di conformità.

supporta un'architettura ridondante e con bilanciamento del carico che si adatta alle esigenze aziendali assicurando la disponibilità delle risorse di elaborazione. supporta la sincronizzazione dello stato in distribuzioni geografiche specifiche che supportano il ripristino di emergenza e la resilienza nell'elaborazione.

I Bot sono programmi software sviluppati dagli esperti aziendali del cliente e, come per qualsiasi sviluppo delle applicazioni aziendali, lo stato dell'arte richiede l'implementazione di processi del ciclo di vita dello sviluppo di software sicuro (Secure Software Development Life Cycle, SDLC). Automation Anywhere Enterprise supporta la separazione degli ambienti di sviluppo, test e produzione attraverso una combinazione di distribuzioni separate e RBAC come descritto in precedenza. Per ulteriori dettagli, vedi gli argomenti relativi all'architettura di sicurezza (per le versioni 10 e 11).

Pseudonimizzazione

Il GDPR specifica la pseudonimizzazione come misura tecnica appropriata per proteggere i dati. Una discussione approfondita sulla pseudonimizzazione non rientra nell'ambito di Automation Anywhere Enterprise. La pseudonimizzazione trasforma i dati in identificatori artificiali. Offre al titolare e al responsabile del trattamento dei dati un modo di elaborare i dati affinché non sia più possibile utilizzarli per identificare una persona fisica. La tokenizzazione è un altro approccio che trasforma i dati in modo tale da potervi fare riferimento in un secondo momento, così che non possano essere utilizzati per identificare una persona fisica. Rispettare la conformità con l'articolo 25 del GDPR nell'uso della pseudonimizzazione e della tokenizzazione ogniqualvolta le informazioni personali vengano elaborate da un bot. L'uso della pseudonimizzazione per i dati personali rimuove qualsiasi rischio associato alla rimanenza dei dati all'interno della piattaforma .

Rimanenza dei dati nella Sala di controllo

Ci sono dei casi in cui i dati vengono conservati nei database che supportano Sala di controllo quando si utilizza la gestione del carico di lavoro, Bot Insight e IQ Bot. In tutti i casi relativi alla rimanenza dei dati in Sala di controllo, la pseudonimizzazione e la tokenizzazione riducono lo sforzo dell'entità titolare e responsabile del trattamento nel rispettare la conformità con il GDPR. Inoltre, quando si abilitano i registri per il debug, il nome utente (utenti della piattaforma) e altre informazioni verranno conservate nei registri.

Gestione del carico di lavoro e delle code

Quando utilizzi la gestione del carico di lavoro per distribuire più bot alla stessa automazione, gli elementi di lavoro inseriti nelle code vengono archiviati nel database. Attraverso l'interfaccia utente della Sala di controllo, qualsiasi elemento di lavoro può essere sottoposto a query, revisionato ed eliminato. Quando si elaborano dati personali negli elementi di lavoro, le code devono essere eliminate periodicamente.

Bot Insight

Quando si utilizza Bot Insight, qualsiasi campo etichettato per l'analisi all'interno dell'attività di automazione integrata nello strumento per sviluppatori verrà registrato e archiviato nel database di analisi. Nella versione 11 di Bot Insight, tutte le variabili vengono contrassegnate automaticamente per l'acquisizione dei dati e quindi vengono archiviate nel database. Nella versione 11 di Bot Insight, questa azione predefinita di etichettatura di tutte le variabili di dati deve essere deselezionata per i campi contenenti dati personali.

IQ Bot

IQ Bot archivia le immagini caricate dagli utenti o dalle attività RPA ed estrae dati strutturati da tali immagini. Queste immagini e i dati estratti vengono temporaneamente archiviati nel database mentre IQ Bot è in esecuzione o quando viene arrestato con un'eccezione. Dopo che tutte le eccezioni di un'analisi di IQ Bot sono state convalidate o invalidate, i dati vengono rimossi dal database. Le immagini di formazione per IQ Bot vengono archiviate nel database e non devono contenere dati personali in grado di identificare una persona fisica. Per IQ Bot versione 5.2.1 o precedenti il sistema sposta automaticamente le immagini di produzione nell'ambiente di formazione. L'ambiente di formazione deve essere rivisto periodicamente per identificare le immagini di produzione e rimuoverle. Nella versione 5.3, una funzionalità disabilita questo spostamento automatico delle immagini di produzione nell'ambiente di formazione.

Credenziali utente

Le credenziali utente nelle versioni 10 e 11 di possono essere aggiunte ed eliminate da qualsiasi amministratore con i privilegi appropriati, impostati in base a un ruolo. Sala di controllo supporta l'esecuzione di query, la revisione e l'eliminazione di qualsiasi credenziale in qualunque momento.

Database di e rimozione dei dati

Se il trattamento è stato eseguito e non è stata applicata la pseudonimizzazione, potrebbe essere necessario rimuovere i dati dai database di . utilizza un database SQL standard co-residente sul server della Sala di controllo o un database aziendale o un cluster identificato durante l'installazione e la configurazione della Sala di controllo. Consulta gli amministratori del database per trovare, segnalare o estrarre dati dal database di . Un bot è disponibile in Automation Anywhre di Bot Store e può essere utilizzato e adattato a questo scopo.

Invia feedback