Protezione e riservatezza dei dati: dettaglio

Sistema di Gestione della Sicurezza delle Informazioni e della Privacy

La postura di sicurezza offerta ai nostri Clienti è il connubio di politiche di gestione migliorate costantemente in anni di esperienza nei settori più ambiziosi e di una continua ricerca e implementazione delle misure di sicurezza più evolute. Il tutto orientato a fornire ai Clienti una soluzione semplice e trasparente in termini di compliance.

Di seguito sono riportate alcune delle politiche e procedure che compongono il Sistema di Gestione della Sicurezza delle Informazioni e della Privacy adottato da Diennea:

  • Politica generale per la sicurezza delle informazioni, sottoposta a riesami periodici del Top Management, che definisce le politiche finalizzate a raggiungere gli obiettivi di sicurezza, attraverso una adeguata gestione degli asset, processi, ruoli e responsabilità.
  • Politica di utilizzo degli strumenti IT, che prevede controlli finalizzati a regolamentare l’utilizzo dei dispositivi (Pc, laptop, tablet, smartphone, strumenti USB, ecc.) anche da remoto, come ad esempio l’imposizione di configurazioni che permettano la protezione delle informazioni e la capacità di installare software non approvato.
  • Politica di classificazione delle informazioni, che disciplina una categorizzazione utile anche a consentire ai sistemi DLP (Data Loss Prevention) di intercettare in modo puntuale l’eventuale transito di contenuti riservati.
  • Politica di clear desk & clear screen, che ha lo scopo di incrementare la sicurezza e la riservatezza delle informazioni, in particolare
    quelle classificate come confidenziali o segrete.
  • Politica di gestione degli incidenti di sicurezza, allineata con le normative di settore e che prevede un’attenta analisi di ogni evento, logiche organizzative e una Status Page che mostra in tempo reale lo stato del servizio.
  • Politica di sicurezza fisica e ambientale, riguardante sia i data center primario e secondario che le sedi operative, e che definisce le misure fisiche previste per la protezione degli asset aziendali.
  • Politica di cooperazione con le Autorità che ha lo scopo di definire le procedure operative che la Società adotta in occasione di
    ispezioni, richieste di informazioni e audit da parte delle autorità di controllo.
  • Politica e procedure operative sugli Amministratori di Sistema, che regolamenta la gestione di queste figure e dei relativi log di accesso, secondo quanto previsto dal Provvedimento del Garante del 27/11/2008 (e successive modifiche).
  • Politica e procedura di background check, che definiscono le modalità con cui vengono effettuate le verifiche sul personale in ingresso, in conformità alle disposizioni delle leggi, dei regolamenti e dell’etica applicabili.  
  • Politica di protezione da malware e intrusioni esterne che riguarda l’adozione di soluzioni specifiche anti-malware e anti-ransomware sui client e sui server con aggiornamenti e scansioni automatiche, che riguardano ad esempio la scansione di file condivisi, email e allegati, download e scansione di pagine web.
  • Politica di controllo crittografico, che prevede l’utilizzo di algoritmi crittografici robusti su tutti i dispositivi, sia per le informazioni “at-rest” che “in-transit”.
  • Politica di logging and monitoring, attivo 24/7, nel rispetto dei requisiti normativi, degli standard di settore e delle best practices, e nel quadro di una visione che pone al centro la sicurezza dell’informazione.
  • Politica di network management, che prevede un controllo dei dispositivi connessi, restrizioni al traffico e allocazione delle risorse, nelle reti delle sedi aziendali e dei data center, attraverso molteplici livelli VLAN, VPN e strumenti di gestione e analisi del traffico come firewall e IDS/IPS.
  • Politica di sviluppo sicuro, che prevede un ciclo di sviluppo del software realizzato su ambienti dedicati, l’analisi statica del codice, controlli OWASP, utilizzo di dati di test e un processo QA, con 11 rilasci evolutivi e correttivi all’anno.
  • Politica di Vulnerability Assessment e Penetration Test, che prevede l’esecuzione di test periodici, indipendenti e oggettivi, da parte di terze parti che vengono variate nel tempo in modo da non generare fenomeni di familiarità con il sistema e bias di aspettativa.
  • Politica di BCP & IT DRP, in grado di garantire la resilienza dei servizi a fronte di eventi disastrosi, garantendo RTO e RPO predefiniti.
  • Politica di patch management, che si applica a workstation, server, dispositivi di rete e ogni altro asset hardware di proprietà o gestito dall’azienda, e che prevede un monitoraggio continuativo delle vulnerabilità (CSIRT, vendor delle tecnologie utilizzate) e l’utilizzo di tool per la gestione centralizzata degli aggiornamenti, ove possibile, piuttosto che processi di aggiornamento puntuale dei singoli asset con tempi e modi determinati dal livello di criticità.
  • Procedura di gestione dei cambiamenti, riguardante la gestione e il monitoraggio di modifiche che possono comportare impatti sulla sicurezza delle informazioni, emerse da processi di business, sistemi, normative tecniche applicabili o funzionalità applicative.
  • Politica di gestione dei backup, che definisce le modalità di esecuzione, la frequenza, la conservazione, le misure di protezione fisica e criptografica oltre alle logiche di verifica. Le copie di backup delle informazioni gestite da magnews vengono eseguite con frequenza giornaliera, vengono replicate su due data center situati a circa 450km di distanza l’uno dall’altro e vengono conservate fino a 60 giorni.
  • Politica di audit ai sistemi informativi, che prevede un’analisi dei rischi periodica (almeno annuale) e l’esecuzione di un programma di audit riguardante sia aree interne all’organizzazione che fornitori, coordinato dal Team Audit, i cui membri hanno ottenuto specifiche certificazioni ISO.
  • Procedura di gestione delle terze parti, che prevede un’attenta analisi dei rischi di ogni fornitore sin dalla fase di due diligence iniziale e in pendenza del rapporto contrattuale, attraverso audit di mantenimento.
  • Politica sul trasferimento di dati personali, che disciplina le modalità attraverso le quali vengono gestiti i trasferimenti di dati.
  • Politica sulla base legale del trattamento con lo scopo di descrivere i principi legali sottostanti al trattamento dei dati personali condotto dall’organizzazione nonché quello di elencare le basi giuridiche che possono essere utilizzate da Diennea per giustificare le finalità perseguite.
  • Politica sulla conservazione dei dati personali, che prevede una puntuale e trasparente conservazione delle diverse tipologie di dato trattato dall’organizzazione e parametri personalizzabili su richiesta del Cliente.
  • Politica su governance e accountability con lo scopo di garantire l’allineamento dell’organizzazione alla normativa applicabile in materia di protezione dei dati personali e, in particolare, stabilire la struttura di governance di Diennea, descrivendo
    ruoli, responsabilità, obiettivi, rischi, documenti e controlli operativi posti in essere al fine di dare
    attuazione concreta al principio di accountability introdotto dal GDPR.
  • Procedura di gestione dei data breach che ha lo scopo di fornire le indicazioni pratiche da seguire in caso di violazione dei dati personali che interessino l’organizzazione sia in qualità di Titolare che di Responsabile.
  • Procedura di gestione delle credenziali e dei profili di autorizzazione, che disciplina l’utilizzo sicuro di credenziali di accesso e una corretta regolamentazione dell’accesso alle informazioni, secondo quanto strettamente necessario.
  • Procedura per l’esercizio dei diritti dell’interessato che ha lo scopo di fornire le indicazioni operative da seguire al fine di garantire l’esercizio dei diritti degli interessati ai sensi del GDPR.

Semplicità e affidabilità per il Cliente

  • Garanzie certificate.
  • Un partner preparato e attento alla sicurezza e alla data protection, il cui personale viene sottoposto a programmi di formazione e simulazioni di attacco continuativi.
  • Attenzione alla catena di sub-fornitura, limitando a poche unità il numero di sub-responsabili coinvolti ed evitando trasferimenti di dati persali extra-SEE
  • Gestione diretta dell’infrastruttura IT, senza l’ausilio di sub-fornitori e senza il ricorso a CSP (Cloud Service Provider).
  • Supporto telefonico e via email, in lingua italiana e inglese.
  • Sessioni di Bug Bounty che sottopongono la Piattaforma a test da parte di community di ethical hacker.

Supporto opzionale su richiesta

  • Disponibilità ad effettuare audit di mantenimento periodici da parte del Cliente.
  • Disponibilità a sottoporre la piattaforma a PT/VA da parte del Cliente.
  • Disponibilità per il coinvolgimento diretto del personale del Team Security.
  • Supporto in fase di exit per l’internalizzazione del servizio o la migrazione su altra piattaforma esterna.

Infrastruttura tecnologica

L’infrastruttura di magnews è progettata per garantire i più elevati standard di sicurezza sul mercato.

I data center che ospitano i server di magnews, attraverso servizio di colocation, implementano misure tecniche e organizzative quali:

  • rilevatori antifumo e antincendio con attivazione dei relativi impianti di spegnimento automatico degli incendi a saturazione di ambiente;
  • sonde di rivelazione presenza liquidi nel sottopavimento in prossimità dei raccordi, delle valvole e delle derivazioni principali dell’impianto di distribuzione dell’acqua; eventuali fuoriuscite di acqua saranno opportunamente allontanate mediante convogliamento e scarico verso l’esterno;
  • sistema di antintrusione integrato con l’impianto di rivelazione fumi e spegnimento incendi, con il sistema di TVCC, con il sistema di controllo accessi e con gli allarmi tecnologici;
  • sensori antintrusione del sistema allocati all’interno dell’edificio attivati e disattivati da segnali provenienti dal sistema di controllo accessi;
  • telecamere attivate tramite “motion detection” posizionate per il controllo del perimetro dell’edificio, degli ingressi, delle porte interbloccate e di eventuali altre zone critiche;
  • sistema di condizionamento che garantisce condizioni ambientali stabili (umidità relativa compresa tra 20% e 80%, ricambi d’aria paria ad un minimo di 1,5 volumi/ora);
  • gruppi di continuità statici (UPS) aventi batterie con autonomia di 15-20 minuti a pieno carico o (D-UPS) dotati di massa inerziale rotante atta a garantire la continuità di alimentazione del carico nel breve transitorio di passaggio da rete a sistema di emergenza, che a sua volta garantisce un’autonomia di almeno 36 ore e capacità di asservire tutto il complesso;
  • sorveglianza armata 24 ore su 24, procedure di registrazione degli accessi e identificazione del personale che accede in nome e per conto dei Clienti, accesso alle sale sistemi controllato elettronicamente tramite badge e sistemi di rilevamento di impronte digitali, controllo del perimetro con impianti a raggi infrarossi, test periodici di evacuazione, procedure di sicurezza con identificazione ed assegnazione di responsabilità;
  • accesso al solo personale autorizzato al fine di consentire l’operatività in loco sui propri sistemi ed apparati, opportunamente identificato all’interno dell’IDC, previa prenotazione e identificazione;
  • registrazione di tutti i visitatori autorizzati in ingresso e in uscita, con controlli del personale di guardia per verificare che i visitatori siano nelle aree a loro consentite.

Le principali misure di sicurezza adottate sulla Piattaforma magnews sono:

  • separazione logica dei dati dei singoli clienti attraverso una gestione “multi-tenant” basata su tabelle dati dedicate sui database e controlli rigorosi a basso livello, con un accesso ai dati gestito e tradotto direttamente dalla piattaforma (nessuna query eseguita direttamente sul DBMS). Medesima segregazione viene applicata a livello di memoria (cache distribuita e thread) e a livello di filesystem;
  • due data center sul territorio italiano posti a 450km di distanza l’uno dall’altro, che dispongono di molteplici certificazioni, tra cui: Uptime Institute TIER IV, ANSI/TIA 942-B-2017 Rating 4 “As Built”, ISO 27001, ISO 22301, ISO 22237 e ISO 9001;
  • utilizzo di soluzioni iperconvergenti per la massima scalabilità, flessibilità e ridondanza;
  • segmentazione delle reti;
  • controllo degli accessi;
  • NGFW (New Generation Firewall) con funzionalità IDS (Intrusion Detection System) e IPS (Intrusion Detection System) attive;
  • crittografia dei dati “at-rest” di tutti i dispositivi (laptop, server, rimovibili) con algoritmo AES-256;
  • crittografia dei dati “in-transit” attraverso protocolli sicuri (HTTPS, SSH, SFTP, FTPS, STARTTLS) tra i componenti dell’applicazione e da/verso servizi esterni ove possibile (ad esempio, se un’e-mail viene inviata ad un destinatario il cui server di posta non supporta STARTTLS, il sistema rinuncerà alla cifratura a meno che non venga forzato ad annullare l’invio da configurazione);
  • backup distribuiti sui data center, cifrati con algoritmo AES-256 e utilizzo di funzioni specifiche per il congelamento e l’immutabilità;
  • distruzione certificata dell’hardware dismesso contenente dati:
  • DLP (Data Loss Prevention) attivo per tutto il personale;
  • antivirus, anti-malware e EDR (Endpoint Detection and Response) installati su tutti i client e server e aggiornati costantemente;
  • conservazione delle password attraverso hash generato con algoritmo PKBDF2 con 600.000 iterazioni;
  • possibilità di configurare in autonomia il livello di sicurezza dell’accesso applicativo attraverso abilitazione 2FA (Two Factor Authentication) per singolo utente, blocco/abilitazione di IP, logiche personalizzate di blocco per errori di autenticazione consecutivi, caratteristiche della password (lunghezza, caratteri maiuscoli/minuscoli/numeri/speciali, durata, sospensione automatica per inattività, durata sessione, numero di password precedenti da non riutilizzare), profili utente predefiniti e personalizzabili.

 

 L’Organizzazione è in grado di offrire, su richiesta del Cliente, anche i seguenti servizi:

  • Web Application Firewall e mitigazione anti-DDoS attivi sul backend applicativo;
  • presidio 24/7 di un SOC con l’ausilio di piattaforme SIEM, CTI (Cyber Threat Intelligence) e OSInt (Open Source Intelligence) per monitorare minacce di attacco e comportamenti anomali;
  • supporto 24/7 di personale IT dedicato;
  • integrazione con IAM del Cliente (SAML v2);
  • notifica proattiva in caso di incidenti di sicurezza.

Progettazione “by design”

Magnews ti offre una soluzione progettata “by design” per agevolare la compliance al GDPR, mantenendo al contempo i dati personali dei vostri clienti al sicuro.

Le funzionalità della Piattaforma sono improntate al rispetto dei principi di protezione dei dati sin dalla progettazione nel rispetto dell’art. 25 del GDPR e vengono certificate attraverso i seguenti requisiti:

  • un’attenta valutazione dei rischi dei trattamenti dei dati personali cui la Piattaforma magnews è preordinata;
  • la previsione di moduli, misure tecniche e organizzative che consentano al Cliente, quale Titolare o Responsabile del trattamento, di garantire un adeguato livello di protezione ai dati personali trattati attraverso la Piattaforma;
  • la comunicazione in modo trasparente al Cliente delle caratteristiche di sicurezza e di privacy by design della Piattaforma, in modo che possa valutare sotto la propria responsabilità se, sul piano tecnico, la Piattaforma magnews è conforme alle proprie esigenze e alle caratteristiche specifiche del trattamento di dati personali che intende effettuare tramite lo stesso.

Per un’analisi più dettagliata degli elementi della Piattaforma magnews che agevolano il Cliente nella compliance al GDPR, clicca qui.

Sulla Piattaforma magnews è possibile attivare i seguenti moduli opzionali:

  • abilitazione di un log puntuale e personalizzabile di tutte le modifiche ai consensi e ai dati consensati dei soggetti interessati (modulo “Consent Tracker”);
  • forzare l’inibizione di invio di email verso server di posta che non accettano l’utilizzo di protocolli di cifratura, fornendo altresì funzionalità per gestire fallback su altri canali di comunicazione.