Chiarimenti in merito al GDPR per i nostri clienti

21-05-2018   Francesco Zei

Facendo seguito a diverse email che abbiamo ricevuto da nostri clienti riguardo l'applicazione del nuovo regolamento sulla protezione dei dati ed il funzionamento dei nostri servizi cloud, pubblichiamo qui sul nostro sito alcuni chiarimenti tecnici.

Cos'è il GDPR?

Dietro la sigla GDPR si celano le parole General Data Protection Regulation, ovvero Regolamento Generale per la Protezione dei Dati.
Il GDPR in pratica mette in atto tutta una serie di norme concernenti il modo in cui un’azienda (pubblica o privata) raccoglie dati sui cittadini. L’obiettivo è regolamentare il modo in cui le informazioni vengono memorizzate e le modalità in cui i proprietari possano accedere a tali informazioni, con l’intento di verificarle, modificarle o richiederne la cancellazione. Le sanzioni per chi non rispetta la normativa sono salatissime ed entreranno in vigore dal 25 maggio 2018.
Il cuore del regolamento non è la protezione dei dati in sé, ma la protezione dei diritti dei proprietari dei dati (inteso come persona fisica a cui quei dati si riferiscono, non l’azienda che li ha raccolti).

Il GDPR non richiede specifiche azioni da intraprendere “a norma di legge” ma si basa sui concetti di responsabilizzazione e misure adeguate.

È necessario quindi per le aziende eseguire una valutazione del rischio ed intraprendere azioni commisurate al contesto: il tutto si esprime mediante nomine e procedure con l'ausilio di adeguati apparati tecnologici.

Dati da proteggere

Uno dei concetti più difficili da comprendere è che il GDPR, trattando di privacy, riguarda solo i dati sensibili ovvero quei dati che riguardano informazioni personali riconducibili ad una persona fisica. Il GDPR pertanto non riguarda le informazioni riguardanti le aziende.

Per fare un esempio spicciolo, se si memorizzano nell'home banking informazioni riguardo i dati (ragione sociale, P.IVA, indirizzo, IBAN, etc..) dei propri clienti/fornitori non si tratta di dati sensibili.
Sempre per fare un esempio comprensibile, se si memorizzano nello stesso sistema dati riguardo i propri dipendenti (nome, congnome, IBAN, etc...) si tratta di dati sensibili che devono essere gestiti secondo normativa.

Il titolare del trattamento

Semplificando estremamente il concetto, il "Titolare del trattamento dei dati" è il cliente di SEIT/ROSSOXWEB che utilizza sistemi informativi per memorizzare o gestire tali dati.

Un esempio semplice riguarda il sito web aziendale: se è presente un modulo per la richiesta di preventivi ed in questo modulo si raccolgono dati sensibili (nome, cognome, email, etc..) allora l'azienda deve avere una informativa sulla privacy sul proprio sito ed identificare chiaramente chi è il titolare del trattamento. Per maggiori info vi rimandiamo anche a questa news riguardo alcune "bufale" che girano attorno a questo tema.

Il Titolare del trattamento non gestisce in prima persona i dati (è il Responsabile che li gestisce) e non è una figura tecnica. E' però una figura di garanzia e responsabilità giuridica.

Per maggiori informazioni riguardo la figura del Titolare del trattamento rimandiamo a questa pagina su Wikipedia.

Responsabile del trattamento

Qualora fosse necessario il Titolare può identificare uno o più Responsabili del trattamento. Tali soggetti sono dei tecnici che si occupano di fornire idonee garanzie in merito a come i dati sensibili sono memorizzati e condivide parte dei rischi inerenti il trattamento dei dati con il Titolare.

Noi di SEIT/ROSSOXWEB, in qualità di fornitori del servizio di hosting di applicativi web possiamo essere incaricati come Responsabili del trattamento dei dati, limitatamente al servizio fornito e solo previa accettazione da parte nostra. Tale incarico può essere quindi assunto da SEIT/ROSSOXWEB ma deve essere richiesto e può comportare l'aumento dei canoni di servizio.

Per maggiori informazioni riguardo la figura del Responsabile del trattamento rimandiamo a questa pagina su Wikipedia.

Se è vostro desiderio incaricarci Resposabili del trattamento dei dati vi invitiamo ad inviare una mail a helpdesk@rossoxweb.it..

Caratteristiche tecniche dei nostri servizi

Di seguito esponiamo le caratteristiche "minime" di garanzia di tutti i servizi che sono erogati tramite il nostro Datacenter. Alcuni servizi potrebbero beneficiare di ulteriori garanzie che sono di volta in volta definite nel contratto di fornitura.

Le caratteristiche sotto esposte sono pertanto valide per tutti i servizi di web hosting e mail hosting (es. Hostkit), file server (es. FTP), gestione DNS, fornitura di server virtuali (IAAS) ed applicativi web erogati in modalità PAAS.

Non si intendono compresi in questo elenco i servizi erogati tramite Datacenter di terze parti (es. Amazon, TIM, Cloud Ocean, Cloud Italia, etc...).

Datacenter

Il Datacenter utilizzato (TIM) è di tipo TIER3. L'accesso fisico all'infrastruttura è sottoposto a rigidi criteri di controllo ed accreditamento. L'accesso virtuale all'infrastruttura può essere eseguito solo in VPN con opportune credenziali di accesso.

L'hardware utilizzato è di ultima generazione e sottoposto a continuo monitoraggio e manutenzione.

Backup

Tutti i server sono sottoposti a sistemi di backup con rotazione settimanale. I backup sono eseguiti su infrastruttura locata nello stesso fabbricato ma in ambiente separato.

Firewall

L'infrastruttura informatica è protetta da firewall in alta affidabilità su connettività non filtrata fornita da TIM. Il nostro reparto tecnico ha la responsabilità di monitorare ed aggiornare continuamente tale infrastruttura. La configurazione di tali apparati non può essere in alcun modo modificata dai nostri clienti.

Antivirus ed antispam

Tutti i nostri servizi di posta elettronica sono protetti da sistemi di antivirus ed antispam.

L'hosting web è erogato su server che eseguono ad intervalli regolari controlli antivirus ed antimalware.

Memorizzazione dei dati

Tutti i dati sono memorizzati su dischi configurati in RAID e pertanto ridondati. Su richiesta, per i servizi IAAS è possibile attivare la criptazione dei dischi stessi.

I database utilizzati sono protetti da password sicure e gli accessi ai servizi sono tutti consentiti solo tramite credenziali che vengono affidate ai nostri clienti al momento dell'attivazione del servizio.
Su richiesta, per determinati servizi PAAS è possibile chiedere la criptazione o l'offuscamento dei dati memorizzati.

Gestione dei log

Tutti i server (sia quelli su cui risiedono servizi SAAS, PAAS che quelli erogati in modalità IAAS) sono sottoposti a memorizzazione dei log di accesso e funzionamento su infrastruttura dedicata e sita al di fuori del Datacenter. L'accesso su tale infrastruttura è consentito in sola lettura ed i dati sono memorizzati con una retention minima di 1 anno.

Accesso sicuro

Per ogni servizio è fonito sempre un accesso protetto da criptazione (HTTPS, IMAPS, SMTPS, etc..) che il nostro cliente può utilizzare per prevenire la possibilità di attacchi DDOS.


Se siete interessati ad approfondire l'argomento vi invitiamo a contattarci all'indirizzo commerciale@rossoxweb.it oppure potete chattare con uno dei nostri operatori accedendo alla pagina contatti.