GH GambleHub

Archiviazione di prove e documentazione

1) Obiettivo e risultati

Il sistema di conservazione delle prove e della documentazione fornisce:
  • Immutabile per gli artefatti (immutabile evidence).
  • Tracciabilità: chi, quando, perché ha creato/modificato/letto.
  • È pronto per l'ispezione su un pulsante («auditpack» replicabile).
  • Rispetto della privacy e della reticenza (TTL, Legale Hold, rimozione/anonimizzazione).
  • Tracciato unico di diritti e responsabilità (RACI) e metriche di qualità.

2) Tassonomia degli artefatti (che riteniamo prove)

Tecniche: loghi di accesso e admin-action, output scanner (SAST/DAST/SCA), report di scansione segreto, registri SOAR, deriva IaC/cloud, backap di configurazione, KMS/HSM.
Operativi: ticket ITSM/incidenti/modifiche, protocolli post mortem, testi DR/BCP, report di revisione dell'accesso (re-cert).
Legali e regolatori: regole/standard/SOP con registro delle versioni, DPA/SLA/Addendum, notifiche ai regolatori, risposte alle richieste, SARA/remediazioni.
Privacy e dati: registri dei guadagni, valigette DSAR, conferme di cancellazione/anonimato, grafici di ritenzione, registri Legali Hold.
Vendor/terzi: risultati Due Diligence, certificati (SOC/ISO/PCI), rapporti pentesti, conformità SLA.
Rapporti AML/TR, limiti e eccezioni, conferma di SoD.

3) Principi (design tenets)

Immutability by default: WORM/Object Lock, non sovrascrivibile durante il periodo di conservazione.
Integrity & Authenticity: catene hash, radici merckley, firma digitale e etichette temporali.
Minimo & Purpose-bound: solo i dati necessari, alias/maschera.
Case-based access: accesso alla valigetta e al ruolo, con registro di lettura/esportazione completo.
Policy-as-Code: Retence/Legale Hold/classi di manufatti - nel repository delle regole.
Auditability - Report riprodotti e «auditpack» con ricevute hash.

4) Ruoli e RACI

RuoloResponsabilità
Evidence Platform Owner (A)Affidabilità, invariabilità, budget, disponibilità
Compliance/GRC (R)Tassonomia, regole di retenza/Legale Hold, «auditpack»
SecOps/DFIR (R)Integrità, raccolta e registrazione degli artefatti
Data Platform (R)Directory/linearità dei dati, vetrine di report
Legal/DPO (C)Privacy, fondamenti legali, aspetti transfrontalieri
IAM/IGA (C)Ruoli/SoD, certificazione di accesso all'archivio
Internal Audit (I)Verifica indipendente delle procedure e dei campionamenti

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

5) Architettura di storage

1. Area di ricezione: bus affidabile, mTLS, retrai, deduplicazione, normalizzazione dei metadati (JSON).
2. Hot storage: rapida ricerca/report (30-90 giorni).
3. Archiviazione fredda: oggetto/archivio (1-7 anni), classe economica.
4. Tracciato WORM/Object Lock - Archivio di prove invariato con regole di bustino/oggetto.
5. Integrità: hash batch, alberi di merkley, ankering periodico; il registro dei controlli.
6. Catalogo/MDM degli artefatti: registro dei tipi, schemi, proprietari, TTL, campi chiave di ricerca.
7. Accesso: RBAC/ABAC + case-based access; esportazione con ricevuta hash Controllo a due righe per set sensibili.
8. Replica e DR: distribuzione geografica, obiettivi RTO/RPO, controlli di ripristino regolari.

6) Criteri-come-codice (esempio YAML)

yaml id: EVD-RET-001 title: "Retention and Legal Hold (evidence)"
classes:
- name: "security_logs"
hot_days: 30 cold_days: 365 worm_years: 3
- name: "contracts_dpa"
hot_days: 0 cold_days: 2555  # ~7 лет worm_years: 7 legal_hold:
enabled: true override_ttl: true privacy:
mask_fields: ["email","phone","ip","account_id"]
export_policy: "case_based"
verification:
integrity_check: "daily"
anchor_cadence: "hourly"

7) Catena di storage (Chain of Custody)

Identificazione: ID oggetto univoco, origine, versione dello schema.
Fissazione: hash SHA-256/512, firma del pacchetto, timbro temporale.
Trasporti: registro dei manifesti (chi/quando ha caricato/verificato).
Accesso: registrazione di tutte le letture/esportazioni; collegamento alla valigetta/ticket.
Contabilità: ricevute hash, protocolli di verifica, risultati delle fiammate.

8) Retenza, Legale Hold e rimozione

Grafici di archiviazione per classe di manufatti e giurisdizioni.
Legale Hold in caso di incidenti/richieste del regolatore - «congelamento» delle cancellazioni.
Rimozione TTL - Solo dopo la verifica automatica dell'assenza di Hold attivi.
Report di eliminazione - Elenco oggetti + hash aggregato.
Offboarding Wendor - Retensione speculare, conferma di distruzione.

9) Privacy e minimizzazione

Scope-minimo: memorizza il contesto anziché «payload completi».
Alias/maschera campi sensibili Chiave di identificazione separata.
Accesso per valigetta: per DSAR/incidente - diritti temporanei con registro.
Transfrontaliera: etichette esplicite del paese di storage/elaborazione Controllo delle copie.

10) «Auditpack» (struttura)

1. Descrizione dell'organizzazione e del RACI.
2. Criteri/standard/SOP (versioni aggiornate + changelog).
3. Mappa di sistemi e controlli + magping per norme/certificati.
4. Metriche KPI/KRI e report del periodo.
5. Gli artefatti di campionamento sono loghi, configi, scan, DR/BCP, revisioni di accesso.
6. File Vendor: DPA/SLA, certificati, pentest report.
7. Stato, prove di chiusura.
8. Ricevuta hash del pacchetto e registro di accesso.

11) Metriche e SLO

Integrity Pass: controlli delle catene hash al 100% completati.
Anchor Freshness p95: 2 ore tra l'anchering e la verifica.
Coverage: ≥ 98% dei sistemi critici nella directory evidence.
Access Review SLA: il 100% dei diritti di archiviazione mensili.
Legale Hold Lag: 15 minuti dall'evento all'installazione di Hold.
Export SLA («auditpack») - ≤ 8 ore per rilasciare il set completo.
PII Leak Rate: 0 fughe critiche negli archivi.

12) Dashboard (set minimo)

Integrity & WORM: stato ankering, Object Lock, errori di verifica.
Coverage & Catalog - Copertura di classi di manufatti, buchi, oggetti orfani.
Access & Exports: chi ha letto/scaricato qualcosa, anomalie, conflitti SoD.
Retention & Hold: timer TTL, Legali Hold attivi, grafico delle cancellazioni.
Vendor Mirror: stato della reticenza mirroring negli appaltatori.
Check-in e tempo per SLA.

13) SOP (procedure standard)

SOP-1 - Caricamento delle prove

1. Registrazione origine (2) normalizzazione/schema (3) hash e firma)

2. scrittura nella zona WORM (5) convalida e anchering (6) aggiornamento della directory.

SOP-2 - Preparazione dì auditpack "

Apri la valigetta, raccogli la lista degli artefatti da campionare, formi il pacchetto, generi la ricevuta hash legale review, il canale ufficiale per registrare l'accesso e la copia in WORM.

SOP-3: Legal Hold

Avvia Hold per le classi/valigette, interrompe le operazioni di rimozione, avvisa i proprietari di tutti i registri, rimuove Hold su decisione di Legale.

SOP-4 - Rimozione TTL

Controlla Hold attivi, rimuove atomonicamente, rilascia il report hash e aggiorna la directory.

SOP-5: Offboarding del venditore

Richiedere un report di archiviazione mirroring, esportare/trasferire, confermare la distruzione dal venditore, la verifica e l'archivio della Guida.

14) Metadati dell'artefatto (minimo)

UID, classe, versione dello schema, origine, proprietario/contatti.
Data/ora di creazione e avvio, giurisdizione/area di conservazione.
Hash/firma/foglio di lavoro e cronologia delle verifiche.
TTL e stato Legale Hold.
Collegamenti a ticket/valigette/criteri correlati.
Storia di disponibilità/esportazioni.

15) Verifica integrità (algoritmo)

Il campionamento giornaliero dei batch il calcolo degli hashtag, la ricomposizione con la radice, il rapporto delle incongruenze, l'escalation automatica e i segmenti contenziosi prima dell'indagine.

16) Qualità e test

Schema compliance ≥ 99. 5% (rifiuto → blocco ricevimento).
Disaster Restore Drills - Test trimestrali di ripristino dell'archivio.
Reperformability - Script di riepilogo per i revisori (riproducibilità dei report).
Versioned Playbooks - Versioning di SOP e modelli «auditpack».

17) Antipattern

La mancanza di WORM/immutability è una prova controversa.
Testo crudo senza schemi, ricerca/validità debole.
Nessun catalogo e nessun proprietario è responsabile.
Archivio come «deposito»: niente metriche/dashboard, nessun test DR.
Eccezioni eterne (waivers) senza data di scadenza.
Esporta senza ricevuta hash o registro di accesso.
Miscelare i dati di prode PI in manufatti senza minimizzare.

18) Modello di maturità (M0-M4)

M0 Manuale: cartelle separate, nessuna TTL/catena di storage.
M1 Catalogo: registro unico degli artefatti, retenza di base.
M2 Gestito: WORM/Object Lock, integrazione con IAM, Legale Hold, dashboard.
M3 Assured: catene hash, anchering, case-based access, «auditpack» per pulsante.
M4 Continuous Assurance: controlli automatici di integrità, rischi di previsione, reticenza mirroring nei venditori, esercitazioni DR complete.

19) Articoli wiki collegati

Registrazione e protocolli

Trail di controllo operazioni

Legale Hold e congelamento dei dati

Grafici per la conservazione e l'eliminazione dei dati

Monitoraggio continuo della conformità (CCM)

KPI e metriche della compilazione

Due Diligence e rischi di outsourcing

Gestione delle modifiche al criterio di compilazione

Interazione con regolatori e revisori

Totale

La conservazione affidabile delle prove non è un semplice «archivio», ma un sistema gestito e provabile: WORM e catene hash, rigide regole di reticenza e Legale Hold, accesso alla valigetta, directory e metriche riprodotte da auditpack e controlli di integrità regolari. Questo sistema è prevedibile, le indagini sono veloci e i rischi sotto controllo.

Contact

Mettiti in contatto

Scrivici per qualsiasi domanda o richiesta di supporto.Siamo sempre pronti ad aiutarti!

Avvia integrazione

L’Email è obbligatoria. Telegram o WhatsApp — opzionali.

Il tuo nome opzionale
Email opzionale
Oggetto opzionale
Messaggio opzionale
Telegram opzionale
@
Se indichi Telegram — ti risponderemo anche lì, oltre che via Email.
WhatsApp opzionale
Formato: +prefisso internazionale e numero (ad es. +39XXXXXXXXX).

Cliccando sul pulsante, acconsenti al trattamento dei dati.