Articoli

sicurezza IT

Habemus Decreto attuativo GDPR!

GDPR: quante volte ci siamo imbattuti in questa parola?

Avevamo parlato in un precedente articolo come prepararsi all’entrata in vigore del General Data Protection Regulation, uno dei temi caldi di quest’anno che seppur abbia contribuito ad accrescere la consapevolezza di quanto sia importante gestire i dati e la privacy in totale sicurezza, ha portato anche molta confusione. 

Con il fatto che le norme fanno riferimento all’ambito europeo, molte imprese italiane sono cadute nella trappola del fraintendimento. Trattandosi di un adeguamento europeo hanno pensato che, finché non fosse entrato in vigore il decreto attuativo italiano, non vi fosse l’obbligo di seguire le disposizioni del Regolamento GDPR.

In realtà, il decreto attuativo servirà solamente a definire in maniera più dettagliata e focalizzata tali normative sull’ambito territoriale italiano, e ciò non toglie che nei mesi precedenti il GDPR non sia valido.

Ad ogni modo, finalmente il grande giorno è arrivato: il 19 settembre la Gazzetta Ufficiale ha pubblicato l’entrata in vigore del  Decreto Legislativo 10 agosto 2018, n. 101 che funge da ponte tra la normativa italiana e le disposizioni del Regolamento GDPR pienamente vigenti.

Abbiamo 8 mesi per adeguarci

Entriamo un po’ più nel dettaglio:

“L’articolo 22, comma 13 indica che per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento UE 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie”

Oltre a stabilire che l’autorità di controllo per il rispetto delle norme è il Garante, il Dlgs 101/2018 prevede nuove disposizioni in termini di ipotesi di reato in caso di violazione e norme specifiche per le PMI.

In altre parole, il Garante potrà astenersi dall’erogare sanzioni o se vi fosse necessità, saranno meno incisive di quelle previste. Questo però solo per i primi otto mesi, dove, nel frattempo il Garante dovrà produrre i regolamenti attuativi relativi alle diverse materie oggetto del GDPR italiano in attesa di essere approvate. 

In poche parole, questo decreto attuativo renderà più chiaro e definito per l’ambito territoriale italiano, il quadro regolatorio europeo. Oltre ad avere ben otto mesi per finalizzarne la definizione, vi sarà anche la possibilità di semplificare gli adempimenti per le micro, piccole e medie imprese.

Anche se è ancora presto per tirare le somme, una cosa è chiara: è aumentata in maniera significativa l’attenzione sulla tutela della privacy e sulla protezione dei dati. Queste considerazioni però non sono sufficienti per capire se ci stiamo muovendo nella direzione giusta o se siamo ancora lontani.

Al di là del caso specifico italiano, dove attendiamo di conoscere se ci saranno risvolti positivi, vediamo a livello globale cosa emerge dopo 4 mesi dall’entrata in vigore del GDPR.

Come si stanno muovendo le aziende?

Secondo una ricerca di Talend, leader globale nelle soluzioni cloud di integrazione dati, “circa il 70% delle aziende di tutto il mondo non è riuscito a rispondere alle richieste da parte degli utenti di ottenere una copia dei propri dati personali entro un mese così come stabilito dai regolamenti del GDPR”. 

Nonostante molte aziende comprendano l’importanza del GDPR, alcune, forse per mancanza di competenze o di strumenti adeguati, non riescono a mettere in atto le azioni ed i processi necessari per la corretta raccolta e gestione dei dati interni. Questo si traduce di fatto nell’inadempienza dei requisiti posti dal regolamento per quanto riguarda le procedure di archivio, gestione e recupero dei dati. Forse ci siamo concentrati troppo sul far fronte ad una scadenza il prima possibile, piuttosto che sul raggiungimento di una metodologia adeguata per trasformarla in un’opportunità di crescita e rafforzamento della fidelizzazione dei clienti.  

A pensarci bene, se in quanto azienda garantisco che i dati siano consolidati e archiviati in modo trasparente e condivisibile, otterrò più fiducia da parte dei miei clienti. Allora perché non approfittarne per migliorare la mia Customer Satisfaction? Innanzitutto, utilizzare soluzioni software che siano GDPR compliance è fondamentale. CRM ed ERP aziendali sono i principali sistemi da adeguare. 

 

ERP media impresa

ERP media impresa: 3 segnali per capire se si è evoluto nella giusta direzione

Gli ERP sono il cuore e l’ossatura principale di tutti i processi principali di un’azienda. Si sono diffusi partendo dalla grande impresa, passando poi anche alla media impresa e alle aziende più piccole.

La loro funzione iniziale di sostituzione delle attività gestionali ripetitive è rimasta nel tempo, ma si è evoluta per venire incontro alle esigenze nate con i cambiamenti del mercato. Le imprese si sono infatti trovate ad affrontare una competizione crescente dove sempre più spesso velocità e produttività potevano fare la differenza. Si è partiti quindi includendo la gestione dei processi produttivi, per spaziare man mano anche alle altre attività di business come vendite, acquisti, risorse umane

L’ERP ha potuto in seguito vantare il raggiungimento di un altro obiettivo: la semplificazione delle attività e l’alta disponibilità delle informazioni. Si è andati in questa direzione poiché l’esigenza delle aziende era proprio quella di avere informazioni aggiornate sempre disponibili per aumentare la propria efficienza.

ERP per la media impresa: le dimensioni contano?

La sua applicazione nel frattempo si è radicata nelle imprese di tutte le dimensioni. D’altra parte non poteva andare diversamente: la competizione crescente non ha risparmiato – e non risparmia – nessuno ed era naturale che tutti cercassero uno strumento che potesse supportarli nella corsa.

E se il principio rimane uguale indipendentemente dalle dimensioni, scendendo più nello specifico i bisogni cambiano parecchio. Alcuni esempi sono: la quantità e la tipologia di dati trattatti, la complessità dei processi, le aree e le persone coinvolte nell’utilizzo di un gestionale.

Le risposte a questi bisogni sono state sempre più specializzate per potere fornire un reale supporto. È infatti dall’esperienza di Axioma a contatto con le medie imprese che nasce, e si sviluppa, il nostro ERP, un gestionale dotate di tutte le caratteristiche che queste aziende cercano. Quindi ora proviamo rispondere a una domanda che in tanti clienti ci pongono:

come si fa a capire se un ERP per la media impresa si è evoluto nella giusta direzione?

Tralasciando le questioni tecniche, cerchiamo di rispondere prendendo in esame le caratteristiche strutturali.

Un ERP per la media impresa si deve integrare con gli altri software gestionali

Il tempo ha portato non solo a “un’espansione” dell’ERP, ma anche alla nascita di soluzioni gestionali specifiche per la gestione delle relazioni commerciali con clienti e l’automazione della forza vendita (CRM), per l’analisi avanzata dei dati (Business Intelligence), per la pianificazione della produzione e della domanda a lungo, medio e breve termine (Soluzioni di SCM).

Tutte queste soluzioni garantiscono a chi le utilizza un vero e proprio asso nella manica nella spietata partita della competitività tra imprese, ma rischiano di essere totalmente inefficaci se non sono integrate con l’ERP. La centralità dei dati infatti è la base per ogni strategia e solo la sicurezza che questi siano univoci ed omogenei in ogni sistema utilizzato in azienda è la conditio sine qua non si realizzi l’efficienza. Un ERP per la media impresa deve quindi porsi come centralizzatore di tutti questi dati.

Cambiano le regole, cambia l’ERP

Gli aggiornamenti fiscali e i cambi di normativa, almeno qui in Italia, sono all’ordine del giorno. E sapete meglio di noi quali siano le conseguenze se non si è in regola nei tempi e nei modi previsti. Il gestionale è naturalmente il più coinvolto tra i sistemi informativi ed è quindi fondamentale che il fornitore garantisca gli sviluppi necessari all’aggiornamento. Pensiamo solo a quest’anno: tra GDPR, SpesometroFatturazione elettronica tra imprese (B2B),  ecc… Avrete avuto modo di capire quanto il vostro ERP possa essere flessibile o complesso (e costoso) da aggiornare.

Riguardo a questo tema, uno degli errori che nel tempo abbiamo visto commettere più spesso è scegliere un gestionale internazionale. Perché? Spesso non viene calato nelle realtà locali, perciò una sua modifica in caso di cambi legislativi diventa lunga e costosa, ma soprattutto dipende dai distributori locali e non da chi ha programmato il software. In questo senso un fornitore più vicino alle esigenze locali delle medie imprese italiane può rappresentare la scelta migliore in termini di competenza, reattività e costi.

Ogni azienda ha le sue caratteristiche: il tuo ERP deve rispecchiarle

È subito evidente la differenza che passa tra un’azienda del settore manifatturiero e una del settore servizi, che quindi non ha problematiche di produzione, o una del fashion, che si trova ad affrontare stagionalità e cicli dei prodotti velocissimi. Non è altrettanto evidente invece la diversità di due imprese dello stesso mercato, simili anche per dimensioni. Eppure la storia, la crescita, l’evoluzione di ognuna spesso portano a sviluppare esigenze completamente diverse che richiedono soluzioni peculiari. La storia invece è piena di progetti di adattamento di gestionali generici, naufragati per il troppo tempo e denaro che hanno richiesto. Anche in questo caso l’ERP di un fornitore internazionale rischia di risultare troppo “rigido” e dispendioso da adattare alla propria realtà. Insomma, un ERP moderno deve poter essere personalizzato in modo puntuale, veloce e senza costi eccessivi.

Da anni Axioma lavora con le medie imprese italiane e sa bene quali sono le sue esigenze. Il suo ERP è infatti verticalizzato per settori, flessibile, sempre aggiornato e integrabile con un’ampia gamma di soluzioni software che completano l’offerta.

Quali sono i trend del CRM nel 2018

Quali sono i trend del CRM nel 2018?

Al giorno d’oggi le aziende investono nel digitale e nell’automazione delle attività per ottimizzare le relazioni con i clienti e per aumentare il livello di efficienza all’interno dell’area marketing e vendite. In seguito alla diffusione di nuovi canali e all’aumento di importanza di attività come lead generation e customer satisfaction oggi il marketing svolge un ruolo fondamentale per creare un legame con i propri clienti e mantenerlo nel tempo. Sono ancora molte però le aziende che hanno database con informazioni frammentate e che utilizzano sistemi software diversi e non integrati con risultati disastrosi in termini di tempo, errori e scarsa collaborazione.

Noi di Axioma riteniamo che utilizzare uno strumento di Customer Relationship Management, strumento principe per la gestione clienti, sia fondamentale se si vuole ottenere un miglioramento dei processi aziendali, un aumento delle vendite e una gestione più efficiente dei flussi operativi che riguardano il rapporto con i clienti. Ma cosa ne pensano le altre aziende?

Nell’indagine che vogliamo presentarvi oggi troveremo la risposta alla seguente domanda: qual è il livello di importanza che le aziende attribuiscono all’utilizzo del CRM? Rispetto al 2017 i dati dimostrano che vi è un maggior interesse e consapevolezza nello strumento per il miglioramento delle attività di marketing, vendita e post-vendita.

La ricerca

Per il quarto anno consecutivo l’Osservatorio CRM 2018 ha analizzato i principali trend del CRM tra le aziende italiane. La ricerca ha l’obiettivo di fare una “fotografia” della situazione sui seguenti aspetti legati all’utilizzo del CRM:

  • diffusione dei software CRM e aree di utilizzo
  • posizionamento dell’area CRM all’interno dell’azienda
  • risultati ottenuti dall’utilizzo di un software CRM
  • le opportunità su cui investire per gestire meglio i clienti

Il focus quest’anno si concentra su due temi di grande attualità e strettamente correlati al CRM: il Customer Journey e il GDPR, elementi che senza tecnologia sono difficilmente gestibili in modo efficace e integrato. Il panel è composto da 230 aziende con sede principale nel Nord Italia e per la maggior parte (56%) operanti nel settore B2B.

Perché il Customer Journey?

Il Customer Journey è il percorso caratterizzato da tutti i touchpoint fra il cliente e l’azienda lungo tutto il ciclo di relazione, dal primo contatto fino al post acquisto. Come vengono gestite queste fasi? Emerge che solo il 19% riesce a gestire ogni punto di contatto con strumenti adeguati, il 50% ne gestisce in modo efficace soltanto alcuni e il restante 30% non ha processi e strumenti adeguati. Inoltre, i tre principali canali che vengono utilizzati per la lead generation sono il sito web (64%), la rete commerciale (52%) e gli eventi e le fiere (38%). A quanto pare la strada è ancora lunga perché non è sufficiente gestire la Customer Journey in modo frammentato, anzi, è necessario che venga gestita in modo completo, integrato e omogeneo.

Raccogliere e organizzare tutte le informazioni relative alle diversi fasi della relazione col cliente è utile infatti per tutte le aree aziendali: marketing, sales, post-vendita, area tecnica, direzione, … Un software CRM è in grado di far confluire contatti, relazioni, informazioni e attività in un’unica base dati così da fornire una visione d’insieme del cliente completa. Quando si hanno tutte le informazioni in un luogo e quando tutti possono contribuire a migliorare la qualità delle stesse, si ottiene anche un miglioramento della collaborazione e della condivisione aziendale.

E per quanto riguarda il GDPR?

L’entrata in vigore del Regolamento europeo sulla gestione dei dati sta avendo un impatto significativo sui software CRM aziendali. E’ necessario un cambio di prospettiva in merito alla gestione e alla messa in sicurezza del trattamento del dato personale e nella progettazione di un sistema per raccoglierli in modo sicuro e riservato. Questo condizionerà molti aspetti del marketing, dalla modifica della modulistica su siti e form per richieste informazioni fino alla raccolta e conservazione del consenso. In realtà ciò che emerge dall’Osservatorio CRM 2018 è che solo il 57% sta attivamente lavorando al GDPR, attraverso la ricerca di soluzioni CRM che siano in grado di gestire la raccolta dei consensi privacy, contro un 21% che si sta parzialmente adeguando.

L’andamento generale

In linea generale i dati dimostrano che vi è un miglioramento in tutti gli aspetti presi in considerazione, soprattutto per quanto riguarda il posizionamento dell’area CRM all’interno dell’azienda, finalmente in crescita rispetto agli anni precedenti, dove per il 50% il CRM è un’area consolidata e operativa contro il 37% del 2017.

Per il 28% è un’area esistente, ma non perfettamente consolidata e operativa, mentre per il 9% è solo un progetto futuro. Anche per quanto riguarda i processi che vengono coinvolti assistiamo ad un aumento: l‘86% dei rispondenti utilizza il CRM a supporto dei processi commerciali (+7% rispetto al 2017), rimane stabile l’utilizzo per l’area marketing (68%), Customer Care (60%) e post-vendita (53%).

Osservatorio-CRM-2018

Si pensa che il CRM venga utilizzato solo dall’ufficio marketing, invece come dimostrano i dati offre molto supporto anche alle attività commerciali. Ogni volta che si apre una trattativa, prima che il contatto diventi cliente, avvengono molte altre attività: analisi delle esigenze, preparazione di preventivi ed eventuali modifiche e revisioni. Con un software CRM è possibile registrare passo dopo passo tutte le attività, di modo da avere una visione aggiornata e completa del potenziale cliente.

Un aumento che in questo caso non è positivo è quello relativo alle difficoltà che hanno riscontrato le aziende nel far decollare l’adozione di un CRM. Ancora molto alte la mancanza della disponibilità di risorse dedicate (38%), processi poco definiti e poco chiari (36%) e la scarsa disponibilità di competenze interne (32%).

I principali risultati ottenuti con l’implementazione del CRM fanno riferimento alla maggior efficienza e automatizzazione dei processi e alla condivisione dei dati (19%) seguiti dalla conoscenza della Customer Care (14%).

Cosa emerge

Emerge sicuramente una maggior consapevolezza da parte delle aziende che l’utilizzo di tecnologie è imprescindibile per un’evoluzione ed un miglioramento delle attività di marketing e vendite.

In particolare, un software CRM acquisisce un’importanza fondamentale in questo contesto. Con un sistema di Customer Relationship Management è possibile costruire un database altamente profilato e con una possibilità di aggiornamento e mantenimento più elevata rispetto ad altri strumenti. Questo è l’elemento di partenza che consente poi di attivare tutte le altre attività che portano all’avanzamento della trattativa commerciale.

Si pensi solo alla quantità di biglietti da visita e appunti che vengono accumulati sulle scrivanie dei venditori al rientro da una fiera o da un evento. Tutti contatti che andranno sentiti e con i quali magari nasceranno delle relazioni commerciali importanti. Gestirli in modo frammentato con fogli excel o cartacei risulta impossibile, soprattutto se ci lavorano più persone contemporaneamente. Attraverso la centralizzazione e la condivisione delle informazioni che offre uno strumento come il CRM è possibile ottenere contatti puliti e aggiornati con tutte le informazioni che li riguardano.

Ancora critiche le competenze e le risorse che vengono dedicate al CRM e che lo portano a non essere considerato un valore aggiunto all’operatività aziendale. Questo ricade anche sul livello di conoscenza dei propri clienti, ancora parziale per il 55% delle aziende che dispone solo di alcune informazioni, non complete, che però vengono analizzate con cadenza regolare. La cultura del dato e la conoscenza del cliente quindi sono ancora punti deboli.

Per quanto riguarda le dimensioni aziendali si è visto un aumento del +10% delle aziende di piccole dimensioni che hanno deciso di adottare un CRM. Questo significa che anche in contesti medio piccoli automatizzare i processi relativi all’area marketing e vendite è ritenuta una delle priorità per ottenere un’ottimizzazione dell’operatività aziendale.

Il CRM come nuova opportunità di crescita

In sostanza, utilizzare un software CRM apre nuove opportunità di crescita solo se viene percepito e condiviso come filosofia di business e integrato a tutti i processi aziendali.

Axioma Cloud CRM è un software di gestione clienti con funzionalità per la gestione dei contatti marketing e per il reparto vendite, dove tutte le attività rimangono tracciate. Dotato anche di un modulo post-vendita per la raccolta delle segnalazioni da parte dei clienti e di un modulo di analisi dei dati per migliorare le decisioni strategiche aziendali. Inoltre l’integrazione con i software gestionali più diffusi consente una condivisione sicura e coerente di tutto il flusso di informazioni aziendali.

 

GDPR misure di sicurezza

GDPR Misure di sicurezza – Come prevenire i data breach

Parliamo ancora di GDPR e ne parliamo questa volta cercando di sviscerare un articolo a nostro avviso cruciale per le novità introdotte dal nuovo regolamento: l’art. 32 e le misure di sicurezza del GDPR.

GDPR Misure di sicurezza

Facendo un piccolo passo indietro per contestualizzare l’articolo, il GDPR prevede l’adozione, da parte delle imprese che trattano dati personali, di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del nuovo regolamento.

Questo significa che ogni azienda deve adottare delle misure per eliminare, o almeno ridurre al minimo, il rischio di data breach (=violazione dei dati personali sotto forma di perdita, distruzione o diffusione indebita a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi).

Per fare ciò, l’art.32 del GDPR parla delle misure di sicurezza che devono “garantire un livello di sicurezza adeguato al rischio” del trattamento. L’espressione “adeguato al rischio” implica che non ci sia nessun obbligo specifico sulle azioni e sugli strumenti da utilizzare e, soprattutto, che queste misure devono essere adeguate alla portata del rischio corso dalla violazione delle informazioni che vengono gestite. Detto in maniera più semplice: un’azienda che promuove i propri servizi e prodotti ad altre aziende (o meglio, ai referenti delle aziende) di cui tratta nome, cognome ed e-mail aziendale adotterà delle misure più soft rispetto ad una banca che gestisce transazioni finanziarie e custodisce quindi dati sui conti correnti, carte di credito, …

Tale valutazione del rischio è compito del titolare e del responsabile in rapporto ai rischi.

Per alcune tipologie di trattamenti (art. 6) potranno restare in vigore le misure di sicurezza attualmente previste attraverso le disposizioni di legge applicabili: stiamo parlando ad esempio del trattamento dei dati sensibili attuato dagli enti pubblici per finalità di rilevante interesse pubblico nel rispetto degli specifici regolamenti attuativi (ex artt. 20 e 22 Codice), ove questi ultimi contengano disposizioni in materia di sicurezza dei trattamenti.

Articolo 32 GDPR Misure di sicurezza

Riportiamo ora l’articolo 32 del GDPR, oggetto del nostro articolo:


1.
 Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.
4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Al punto 1° si parla di pseudonimizzazione, ovvero il principio per cui le informazioni di profilazione devono essere conservate impedendone l’identificazione dell’utente. Ne è un esempio la cifratura dei dati.

Al punto 1b “la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” possono essere garantite con soluzioni che permettono la profilazione, l’autenticazione e le autorizzazioni attribuite in base al ruolo che una persona ricopre all’interno della sua azienda. Si ha così la certezza di fornire l’accesso e il trattamento ai dati solo alle persone che ne hanno diritto e che lo esercitano in conformità al regolamento interno – a sua volta conforme al GDPR –, concetto rafforzato al punto 4 dell’articolo.

Al punto 1c si evidenzia l’importanza di saper ripristinare in tempi adeguati la disponibilità e l’accesso ai dati che hanno subito un incidente fisico o tecnico. Ovvero in caso di incendio, allagamento, corto circuito, … l’azienda deve avere la capacità di garantire una continuità operativa ripristinando la situazione.

Come si fa ad essere sicuri che una metodologia ed uno strumento funzionino correttamente? Tramite i test. Ecco perché al punto 1d si prevede un’azione volta a verificarne e valutarne l’efficacia al fine di essere sempre in grado di attuare misure correttive.

Cosa succede in caso di data breach?

A partire dal 25 maggio 2018, tutti i titolari dovranno notificare al Garante della Privacy le violazioni di dati personali di cui vengano a conoscenza entro 72 ore e comunque “senza ingiustificato ritardo” se da questo data breach derivano rischi per i diritti e le libertà dei soggetti interessati. Ancora una volta la valutazione del rischio è un punto cardine della normativa.

In alcuni casi, quando cioè il rischio è molto elevato, la violazione dovrà essere comunicata anche agli interessati (art. 34 GDPR).

Quali misure di sicurezza adottare

Alla luce di quanto scritto prima, un concetto sempre presente è quello della valutazione dei rischi. Tale valutazione è chiaramente un’analisi nei confronti dei dati trattati e dagli strumenti che vengono utilizzati per archiviarli e gestirli. Ovvero le soluzioni software presenti in azienda.

Se non si mastica un po’ di informatica, la valutazione non è un’attività facilissima. Il rischio poi è strettamente connesso al grado di compliance che tali sistemi hanno nei confronti del GDPR.

Facciamo degli esempi concreti: CRM ed ERP (gestionali) sono i due sistemi che per eccellenza contengono dati su clienti e possibili tali. Secondo la normativa, i software per essere conformi devono essere costruiti secondo il criterio di privacy by design. Axioma Cloud CRM e Axioma Cloud ERP ne sono un esempio e garantiscono attraverso una tecnologia legata al database Oracle un livello di sicurezza adeguato al rischio. In base ai diversi livelli di cui si ha bisogno, Axioma è in grado di soddisfare tutte le esigenze, raggiungendo un livello di conformità attraverso progetti di infrastruttura mirati e commisurabili al livello di rischio a cui è esposto il nostro cliente.

Riprendendo il punto 1b, Axioma rende disponibili soluzioni in cloud che permettono di disporre di architetture hardware sofisticate, altamente affidabili e costantemente presidiate dal nostro team specialistico in grado di controllare l’integrità e l’efficienza delle transazioni end-to-end, cioè dall’utente alla tecnologia:

  • utente che, sempre profilato, accede a qualsiasi applicazione tramite credenziali che gli forniscono gli adeguati permessi di consultazione e modifica delle informazioni.
  • tecnologia che, grazie ai servizi di Kaspersky, protegge tutti i dispositivi utilizzati per accedere e trattare i dati.

La continuità operativa, punto 1 c, viene inoltre assicurata da soluzioni di backup e disaster recovery poiché ci avvaliamo di partner internazionali e affidabili come Veeam, famoso per il miglior data center a livello internazionale.

Infine, il ciclo della qualità (=Plan –> Do –> Check –> Action) adottato da Axioma con una metodologia di gestione dei sistemi e delle applicazioni solida e ben definita assicura la continua conformità alle normative e assicura che qualsiasi azione venga testata e verificata. L’attività di prevenzione, derivante da un’attenta pianificazione delle attività, è la conseguenza della nostra esperienza con clienti che quotidianamente si rivolgono a noi per esigenze di sicurezza, prevenzione e continuità operativa. Oltre che di adeguamento alle normative.

GDPR cosa fare

Il 25 maggio si avvicina: GDPR cosa fare

Tic toc, il tempo per adempiere agli obblighi del nuovo regolamento europeo sulla protezione dei dati personali sta scadendo. Per sintetizzare il tema, in questo articolo risponderemo in maniera molto semplice a questa domanda, una tra le più ricercate su Google negli ultimi giorni: GDPR cosa fare?

Il 25 maggio entrerà in vigore il General Data Protection Regulation, dopo aver lasciato due anni di tempo alle aziende per adeguarsi a quanto definito in materia di protezione dei dati.

Le norme si applicheranno a tutte le aziende europee, anche a quelle con sede extra UE che offrono prodotti e/o servizi al mercato europeo. Questo vale sia per le aziende private che per quelle pubbliche.

Finanza, HR, Marketing, Vendite, Legal, IT, … quando si parla di trattamento dei dati personali sono coinvolte molte figure aziendali: c’è chi si occupa del trattamento dei dati dei dipendenti, dei candidati, dei clienti, chi li utilizza per veicolare messaggi promozionali, chi ne fa profilazione, … Quando si deve pensare a cosa fare per il GDPR è fondamentale coinvolgere tutti gli attori aziendali che impattano sui dati e sul loro trattamento.

Le strade da percorrere sono due: quella di impronta legale e quella tecnica.

GDPR: stai già proteggendo i tuoi dati? Axioma può aiutarti. Scrivici senza impegno.

GDPR cosa fare: la via legale e quella tecnica

Bene, il 25 maggio dovremo essere conformi al nuovo regolamento. Cosa significa in estrema sintesi?

  1. analizzare quali dati, come vengono raccolti e gestiti nella propria azienda
  2. nominare un DPO-Data Protection Officer che ha il compito di supervisionare i processi, garantire la conformità alla normativa e prevenire i rischi (l’obbligo è previsto solo per Enti pubblici, aziende private dove le “core activities” del titolare del trattamento o del responsabile del trattamento “consista in trattamenti richiedenti il monitoraggio sistematico su larga scala” o ″riguardano il trattamento, su larga scala, di informazioni sensibili o di dati relativi a condanne penali e a reati”.)
  3. effettuare una valutazione d’impatto sui processi a rischio di violazione della privacy dei dati del soggetto interessato e definire una politica di prevenzione per limitare i rischi
  4. in caso di data breach, notificare al Garante della Privacy entro 72 ore la violazione subita

Ecco che arriviamo al punto concreto: GDPR cosa fare?

La prima strada, ovvero l’orientamento legale, è quella che si pone l’obiettivo di un adeguamento più formale che sostanziale della normativa. Le aziende che prediligono questa strada impegnate nello studio delle informative, dei consensi, delle policy dei dipendenti e dei collaboratori che accedono ai dati aziendali, nella creazione e gestione del registro dei trattamenti, nella nomina del DPO e nella nomina del DPO che supervisionerà i lavori.

La via tecnica, invece, una volta analizzate le procedure interne e valutati i rischi, adotta misure di prevenzione e di attuazione della normativa tramite tecnologie software sofisticate. Con il termine sofisticate non vogliamo intendere costose, ma l’utilità e l’efficacia di questi strumenti che vanno a intervenire su situazioni complesse e delicate. Stiamo parlando cioè del concetto di “privacy by design” ovvero la considerazione della privacy durante la definizione di un processo aziendale con le relative applicazioni informatiche di supporto.

Noi crediamo che quest’ultimo approccio sia quello che più risponde agli obiettivi del GDPR perché è a partire da una riorganizzazione aziendale, anche in termini di sistemi informativi, che si ottiene una vera gestione protetta e organizzata dei dati.

Gestione dei consensi: Axioma Cloud CRM è conforme alla nuova normativa GDPR. Compila il modulo per avere la tua demo gratuita modellata sulle tue esigenze.

GDPR cosa fare: la conformità attraverso soluzioni software e tecnologie

Di cosa avete bisogno? Di software per la gestione dei dati dove l’accesso sia profilato e ben tracciato e di tecnologie che consentano di prevenire i rischi o che, in caso di data breach, riescano a recuperare i dati violati.

In caso di guasto o di attacco informatico ai tuoi sistemi sei in grado di rispondere a queste domande:

“In quanto tempo siamo in grado di ripristinare dati e soluzioni applicative ? 1 ora, 1 giorno, 1 settimana?”
“A quale momento temporale risalgono i dati recuperati dall’ultima operazione di salvataggio ? 1 ora, 1 giorno, 1 settimana?”

I tempi di ripristino e lo stato di aggiornamento dei dati ripristinati è un tema che coinvolge in modo importante tanto la conformità al GDPR quanto la continuità dei processi di business gestiti con le vostre soluzioni applicative.

Per raggiungere il pieno livello di conformità al GDPR ed evitare le pesanti sanzioni previste, per evitare interruzioni prolungate nei processi di business o per non perdere quantità significative di dati, Axioma sviluppa i propri software secondo il concetto di privacy by design visto prima, dove i dati vengono raccolti, ad esempio nel CRM, tracciando la provenienza del dato, il suo trattamento e i consensi che il soggetto ha espresso al trattamento. Cosa molto importante, ogni accesso al software è possibile solo tramite un sistema di credenziali che previene da accessi non desiderati o non controllati.

Inoltre, attraverso un team di esperti in sistemi di protezione delle reti, siamo in grado di fornire la consulenza necessaria per migliorare le politiche di sicurezza attualmente in vigore presso la vostra organizzazione, attraverso ad esempio sistemi di backup e disaster recovery.

gdpr sicurezza dati

GDPR sicurezza dati: la vostra infrastruttura IT è conforme?

Il GDPR – General Data Protection Regulation – è il nuovo regolamento per la protezione dei dati all’interno dell’Unione Europea che sarà applicato a partire dal 25 maggio 2018. Se ancora la vostra azienda non si è adeguata, dovrebbe cercare di farlo al più presto.

La ragione per cui occorre affrontare seriamente il tema della compliance al GDPR sta proprio nei rischi connessi al non far nulla, mentre tutti i processi di mercato si trasformano e diventano sempre più digitali e basati su dati personali. Rapporto Clusit 2017

Il nuovo regolamento non si riferisce solamente al trattamento e al consenso dati, aspetto importante a cui abbiamo infatti voluto dedicare spazio e attenzione con un altro articolo; il GDPR tratta anche di data protection attraverso l’impiego di un’infrastruttura IT solida (cioè resiliente, sempre disponibile, sicura), in grado di rispondere al crescente problema del cybercrime. Prima di parlare però di violazioni informatiche, cerchiamo di contestualizzare meglio lo scenario in cui è nata la necessità di introdurre l’attuale GDPR.

GDPR sicurezza dati e privacy: il contesto

Con il massiccio utilizzo delle tecnologie digitali nei processi di business, sono aumentate anche le operazioni via web sia da parte dell’utente che delle aziende stesse. A partire dalla compilazione di form fino ad arrivare alle operazioni di pagamento online sempre più frequenti, la circolazione di dati sensibili in rete continua ad aumentare. Contemporaneamente e inevitabilmente sono incrementati i casi di violazione informatica, casi che a oggi si sono talmente raffinati da essere sempre più spesso imprevedibili.

Nel 2017 si sono verificati i casi di attacco tra i più dannosi degli ultimi tempi. Di fronte a tale emergenza le istituzioni non sono rimaste a guardare ed è proprio in questo contesto che si inserisce il General Data Protection Regulation: il suo scopo è quello di garantire uno stato di maggiore sicurezza dei dati, obbligando le aziende a prendere provvedimenti seri per adeguarsi. Un provvedimento che, a mio avviso, è stato necessario per dare una scossa alle aziende che non sono molto sensibili a queste tematiche…finché non le tocca da vicino!

Uno infatti degli ostacoli principali è proprio la poca consapevolezza in materia di sicurezza informatica che contraddistingue ancora molte aziende. Una scarsa percezione del rischio che si traduce in impiego di risorse insufficienti – se non nulle – in servizi e tecnologie per la prevenzione e la protezione dal rischio informatico. L’entrata in vigore del GDPR rappresenta uno stimolo affinché la data protection entri a pieno titolo nella considerazione del rischio d’impresa.

Pronto per la GDPR? Con le soluzioni Axioma di Infrastruttura IT puoi proteggere i dati dei tuoi clienti. Scrivici senza impegno!

GDPR e violazioni informatiche

Il nuovo regolamento promuove un atteggiamento proattivo da parte delle aziende, affinché venga garantita maggiore sicurezza dei dati e vengano evitati danni economici e di immagine. Come si può capire dall’estratto riportato di seguito, il GDPR prevede l’obbligo da parte delle aziende di comunicare alle autorità e agli utenti coinvolti, entro 72 ore, di aver subito un attacco informatico con la conseguente perdita dei dati. Un provvedimento che ha la finalità di motivare le aziende a tutelare maggiormente i dati, attraverso soluzioni preventive di monitoraggio, protezione e di backup dei dati e delle soluzioni applicative.

Il GDPR richiede ai controller di notificare le violazioni all’autorità competente entro cui e non oltre le 72 ore dopo la sua rilevazione (a meno di rischi immediati per i diritti e le libertà degli individui, in qual caso la notifica deve essere ancora più celere), solo nel caso in cui siano in gioco i dati personali. Per il GDPR peraltro vi è l’obbligo di informare anche i “data subjects” – ovvero gli individui – se la violazione comporta un alto rischio per i loro diritti e per le loro libertà. Rapporto Clusit 2017

Le violazioni informatiche hanno già di per sé un impatto devastante, ma le conseguenze per un’azienda raddoppiano se si aggiungono i conseguenti danni reputazionali e le sanzioni previste dal GDPR. La mancata conformità potrebbe infatti portare a multe salate fino al 3% del fatturato aziendale. Per evitare tutto ciò, cosa fare se non prevenire?

PREVENZIONE: la miglior difesa dal cybercrime, la miglior risposta per la conformità al GDPR

Prevenzione: ad oggi probabilmente è una delle parole maggiormente usate e in voga nel settore security. Questo la rende sicuramente inflazionata ma, se pensate alle conseguenze appena elencate, prevenire diventa l’unica strategia utile per essere conformi e protetti.

Sono tre le misure principali e davvero utili in questo caso:

  1. Analisi del rischio correlato all’utilizzo di tecnologie digitali (security assessment): è il punto di partenza di qualsiasi strategia aziendale e permette di bilanciare gli investimenti in base all’uso effettivo delle tecnologie nei processi di business. Si parla di diverse possibilità, tra cui quella di affidare la totale gestione delle proprie tecnologie digitali in outsourcing. Questa opportunità consente una significativa riduzione dei fattori di rischio in un contesto tecnologico tanto efficiente quanto piuttosto complesso
  2. Monitoraggio e protezione: l’approccio migliore è quello totale. Un esempio? La suite di Kaspersky Lab, leader internazionale in sicurezza IT e partner di Axioma, garantisce la protezione antimalware in tempo reale, la sicurezza dei dispositivi mobile, la gestione dei sistemi, strumenti di controllo degli endpoint (controllo applicazioni, dispositivi e web) e crittografia dei dati. La capacità di intercettare e neutralizzare anche le minacce più immediate è garantita dallo scambio continuo tra la suite e i laboratori di ricerca Kaspersky Lab, operativi 24/7 in ogni parte del mondo
  3. Backup dei dati e degli ambienti applicativi: Cosa fareste se doveste perdere tutti i dati (documenti, contatti, foto, video etc) salvati nel computer? Negli scenari aziendali, sempre in logica preventiva, sarebbe opportuno adottare soluzioni di backup dei dati e delle soluzioni applicative, con possibilità di ripristino in tempi brevi. Per esempio Veeam, partner di Axioma, riesce a garantire il recupero anche entro 15 minuti. Soluzioni in outsourcing di BaaS – Backup as a Service – e di DRaaS – Disaster Recovery as a Service – garantiscono la continuità operativa grazie a  un backup effettuato regolarmente dall’azienda vendor, con la possibilità di avere una replica dei dati e delle applicazioni presso datacenter di primaria importanza, e quindi sicuri, sul territorio nazionale. Si tratta di spese e soluzioni per migliorare la sicurezza dei dati e per evitare grossi danni futuri, come perdita di denaro, di produttività e di credibilità.

Il tempo sta per scadere, sei sicuro di aver preso tutti i provvedimenti necessari e richiesti per essere in regola con la nuova normativa? Se vuoi sentirti davvero sicuro e conforme, scegli soluzioni di infrastruttura IT solide in grado di rendere le tue tecnologie digitali resilienti e sempre disponibili! 

 

 

 

CRM e GDPR

CRM e GDPR: l’aiuto che (forse) hai già

25 maggio 2018. Il giorno del giudizio. Almeno per i poveri marketer, che fra DPO, CRM e GDPR dovranno affrontare interruzioni di ogni tipo di attività promozionale, multe stratosferiche che faranno fallire intere aziende, prigione per i titolari … E che dire di chi invece si occupa di infrastruttura IT? Che non solo deve affrontare criminali informatici sempre più furbi, ma anche un Garante della Privacy ancora più agguerrito nella tutela dei dati e nelle norme che regolano le azioni da intraprendere in caso di data breach.

Questo è quello che ci si aspetta dall’entrata in vigore della GDPR, la nuova normativa europea che a quanto pare renderà la vita difficile a tutti quelli che hanno a che fare col trattamento e la raccolta dati, cioè in pratica chiunque faccia un qualche tipo di attività di marketing. Come se fino ad ora fosse stata facile, direte voi.

Ma siamo sicuri che la situazione sia davvero così tragica?

La risposta breve è: no, affatto, almeno per i marketer. La risposta lunga è: dipende da come avete fatto marketing fino ad ora. Ma cerchiamo di capire meglio la situazione.

La gestione dei consensi: sei in grado di farla con il tuo CRM? Con il nostro puoi! Compila il modulo e avrai una demo gratuita del nostro CRM modellata sulle tue esigenze.

GDPR: una sicurezza in più per tutti

Quando entrerà in vigore la GDPR (General Data Protection Regulation), una normativa europea che il 25 maggio 2018 diventerà effettiva, sarà obbligatorio per tutte le aziende essersi adeguate ed essere in grado quindi di proteggere i dati raccolti. Perché in fondo lo scopo della GDPR è proprio questo, cioè tutelare e proteggere i dati delle persone fisiche. E come darle torto? Dopotutto anche se per lavoro, in quanto operatori di marketing, ci troviamo da un lato della barricata, per la maggior parte del tempo siamo anche noi i destinatari delle attività promozionali di qualcun altro. Quindi a maggior ragione possiamo capire bene entrambi i punti di vista.

Ci è infatti molto chiaro quanto i dati ormai siano un vero e proprio preziosissimo patrimonio, che ci viene affidato e che va protetto da chi ne farebbe un uso scorretto per non dire criminale. Ed è anche giusto informare e garantire trasparenza a chi ci consegna il suo contatto attraverso una richiesta chiara del suo consenso.

Il trattamento dei dati in sé era già disciplinato dalla precedente legge in vigore, cioè il famoso D.Lgs. 196/2003, quindi se già seguivi quelle direttive, hai già fatto una buona parte del lavoro! In Italia infatti le regole sono sempre state piuttosto ferree, mentre in altri posti d’Europa molto meno. Per questo moivo la GDPR ha anche fra i suoi scopi quelli di equilibrare la situazione ed evitare concorrenze sleali.

Protezione e consenso: cosa può fare il CRM?

Senza entrare nello specifico di quali sono le azioni correttive da attuare per essere in regola, vogliamo trattare un argomento di cui siamo esperti, e cioè la correlazione che c’è tra il CRM e la GDPR.

Partiamo dalla protezione. Questa deve essere attuata a livello di infrastruttura IT, e a questo proposito rimandiamo a un altro articolo, in cui analizziamo nello specifico le misure che possono essere adottate per rendere sicuri i tuoi dati.

La protezione passa però anche dal controllo dell’accesso ai dati raccolti, che deve essere regolato e verificato. Perciò sistemi come il CRM, ma anche come l’ERP, per essere conformi alla GDPR devono prevedere un sistema di accessi profilato. Questo significa quindi che ogni utente entrando con la sua password deve poter essere riconosciuto nel suo ruolo e nei suoi permessi. In questo modo gli verrà consentito di visualizzare certi dati piuttosto che altri o effettuare certe azioni di modifica, ad esempio. Tutte queste cose vanno definite a livello aziendale insieme al DPO (Data Protection Officer) in un documento chiamato Privacy Impact Assessment.

La gestione del consenso con il CRM

L’altro argomento che lega CRM e GDPR che vogliamo approfondire è la gestione del consenso. Noi non vogliamo indagare su cosa bisogna chiedere e in che modalità, ma faremo chiarezza su cosa il CRM consente di fare – o non fare – con quei contatti che hanno dato – oppure no – un certo tipo di consenso al trattamento dei loro dati.

Il tipo di consenso richiesto infatti può variare molto dal tipo di business di ogni azienda e dal tipo di attività di marketing svolte. Inoltre le modalità in cui il consenso viene richiesto possono essere varie. Quello che è importante però è che una volta ottenuti, bisogna essere certi di sapere proteggere i dati e di saperli trattare a seconda del consenso ricevuto.

Ma allora cosa può fare per noi il CRM? Cosa ci possiamo aspettare dal principale strumento per la gestione delle relazioni di un’azienda? Quello grazie al quale si rendono possibili tutte le azioni del marketing contemporaneo? Insomma tutte quelle attività che si rivolgono a un pubblico mirato con messaggi confezionati su misura?

Queste infatti sono possibili solo se il CRM permette di “segmentare” il target, cioè creare gruppi di destinatari suddivisi a seconda di caratteristiche comuni scelte in base alle proprie esigenze.

La segmentazione con la GDPR sarà possibile solo in seguito a un esplicito consenso dato dal contatto in merito all’analisi dei gusti, delle preferenze e delle abitudini.

La segmentazione con un CRM avanzato

Un CRM avanzato fa sì che all’interno della scheda anagrafica del contatto sia esplicitato il fatto che questo abbia dato o meno i consensi e quando l’ha fatto. Se il CRM è strutturato bene, queste non saranno semplicemente informazioni archiviate, ma permetteranno o non permetteranno certe azioni necessariamente collegate ai consensi definiti.

Facciamo un esempio molto semplice: qualcuno chiede di essere disiscritto dalla newsletter. Questo campo compilato nella sua scheda anagrafica farà sì che in automatico non venga “pescato” tra i possibili destinatari della prossima comunicazione.

Non solo messaggi che non disturbano, ma messaggi interessanti per chi li riceve! Riesci a farlo con il tuo CRM? Compila il modulo per scoprire gratuitamente come puoi riuscirci con Axioma Cloud CRM.

Il tuo CRM a che punto è?

Insomma, un CRM che è già in grado di fare queste cose, è già conforme alla famigerata GDPR e ti farà quindi risparmiare parecchio tempo e mal di testa nella gestione dei consensi.

Axioma Cloud CRM, e tutti gli altri software di Axioma, possiedono già tutte queste caratteristiche. Se invece sai che il tuo non risponde a queste esigenze o vuoi semplicemente valutare uno strumento innovativo e che sia un reale supporto a marketing, vendite, gestione progetti e post-vendita, allora dà un’occhiata ad Axioma Cloud CRM.