Default logo
ProdottoPrezziAccediProva gratis
Home/legale/Misure tecniche e organizzative (TOM)

Disclaimer: This page is an automated translation of the original English document, provided of you convenience.
In case of any dicrepancy between the translation and the English original, the English version shall prevail.
Pease refer to the original [Technical and Organisational Measures (TOM)] in English for the definitive text.

Misure tecniche e organizzative (TOM)

Introduzione

Deskhero AB (“noi,” “ci,” o “nostro“) si impegna ad adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio associato al trattamento di dati personali per i nostri Clienti (“tu” o “Cliente“), Utenti e Clienti del Cliente, in conformità al Regolamento generale sulla protezione dei dati (GDPR) dell’UE e ad altre leggi applicabili in materia di protezione dei dati.

Il presente documento descrive le misure tecniche e organizzative che abbiamo implementato per proteggere i dati personali trattati tramite la nostra piattaforma Software-as-a-Service (SaaS) (“Servizio“), sfruttando la nostra infrastruttura AWS.

1. Misure organizzative

1.1 Governance della protezione dei dati

  • Responsabile della Protezione dei Dati (DPO):
    • Nome: Klas Karlsson
    • Email: dpo@deskhero.com
    • Telefono: +46 70 601 13 22

Responsabilità:

  • Supervisione della strategia e della conformità in materia di protezione dei dati.
  • Monitoraggio del rispetto delle politiche e delle procedure di protezione dei dati.
  • Punto di contatto per gli interessati e le autorità di controllo.

1.2 Politiche e procedure

  • Politiche di protezione dei dati:
    • Definizione di politiche interne per la protezione dei dati, revisionate e aggiornate regolarmente.
    • Le politiche coprono gestione dei dati, risposta a violazioni, controllo degli accessi e responsabilità dei dipendenti.
  • Formazione dei dipendenti:
    • Programmi di formazione obbligatori per tutti i dipendenti su protezione dei dati, privacy e sicurezza delle informazioni.
    • Aggiornamenti periodici su nuove minacce e migliori pratiche.
  • Accordi di riservatezza:
    • Dipendenti e collaboratori sono tenuti a firmare accordi di riservatezza (NDA).

1.3 Gestione degli accessi

  • Politica di controllo degli accessi:
    • L’accesso ai dati personali è concesso secondo il principio del bisogno di conoscenza.
    • Revisioni periodiche dei diritti di accesso degli utenti.
  • Meccanismi di autenticazione:
    • Utilizzo di password robuste e autenticazione a più fattori (MFA) per l’accesso ai sistemi.
    • Politiche di blocco dell’account dopo diversi tentativi di accesso non riusciti.

1.4 Risposta agli incidenti

  • Piano di risposta agli incidenti:
    • Procedure per rilevare, segnalare e rispondere a incidenti di sicurezza.
    • Team dedicato di risposta agli incidenti.
  • Procedure di notifica:
    • Obbligo di notificare ai Clienti e alle autorità le violazioni di dati personali senza ingiustificato ritardo.

1.5 Gestione dei fornitori

  • Due diligence:
    • Valutazione dei Sub-Processor per la conformità agli standard di protezione dei dati.
  • Contratti:
    • Garanzia che i contratti con i Sub-Processor includano obblighi di protezione dei dati.

2. Misure tecniche

2.1 Crittografia dei dati

  • In transito:
    • I dati personali sono cifrati durante la trasmissione su reti pubbliche tramite TLS 1.2 o superiore.
  • A riposo:
    • I dati personali archiviati in database e backup sono cifrati utilizzando i servizi di crittografia AWS (es. crittografia AES-256 per volumi EBS, crittografia RDS).

2.2 Sicurezza di rete

  • Infrastruttura AWS:
    • Il nostro Servizio è ospitato su Amazon Web Services (AWS), sfruttandone l’infrastruttura e i servizi sicuri.
  • Firewall e Security Group:
    • I Security Group di AWS vengono utilizzati per controllare il traffico in entrata e in uscita verso le risorse, agendo come firewall virtuali a livello di istanza.
  • Virtual Private Cloud (VPC):
    • La VPC di AWS è configurata per isolare e proteggere il traffico di rete.
    • Le subnet private sono utilizzate per le risorse interne, assicurando che database e cache non siano esposti a Internet.
  • AWS CloudFront e Application Load Balancer (ALB):
    • AWS CloudFront funge da content delivery network (CDN) e punto di ingresso, garantendo distribuzione sicura ed efficiente.
    • AWS ALB distribuisce il traffico in ingresso ai container Amazon ECS (Elastic Container Service) che ospitano l’applicazione.
  • Rilevamento intrusioni e monitoraggio delle minacce:
    • Sebbene non vengano utilizzati sistemi IDS/IPS dedicati, i servizi AWS forniscono funzionalità di monitoraggio del traffico di rete.

2.3 Sicurezza dei sistemi

  • Gestione sicura delle configurazioni:
    • L’infrastruttura è gestita tramite Terraform, consentendo configurazioni coerenti e sicure tra gli ambienti.
  • Segregazione degli ambienti:
    • Sono mantenuti ambienti separati per sviluppo («sandbox»), staging e produzione per testare codice e modifiche all’infrastruttura prima del rilascio.
  • Gestione delle patch:
    • Aggiornamenti e patch vengono applicati regolarmente a sistemi operativi e applicazioni, sfruttando servizi AWS e automazione quando possibile.

2.4 Sicurezza delle applicazioni

  • Pratiche di sviluppo sicuro:
    • Adozione dei principi del Secure Software Development Lifecycle (SSDLC).
    • Vengono eseguiti regolarmente code review, analisi statica del codice e test di sicurezza.
  • Penetration test:
    • Si effettuano valutazioni di sicurezza periodiche e scansioni di vulnerabilità, inclusi penetration test di terze parti quando opportuno.

2.5 Controllo degli accessi

  • AWS Identity and Access Management (IAM):
    • Il controllo degli accessi basato sui ruoli (RBAC) è applicato tramite ruoli e policy AWS IAM.
    • L’accesso alle risorse AWS è concesso secondo il principio del minimo privilegio.
  • Autenticazione a più fattori (MFA):
    • La MFA è obbligatoria per tutto l’accesso amministrativo alle interfacce di gestione AWS.
  • Logging e monitoraggio:
    • AWS CloudTrail viene utilizzato per registrare le chiamate API e le azioni all’interno dell’ambiente AWS.
    • AWS CloudWatch monitora log e metriche alla ricerca di anomalie.

2.6 Backup e recovery dei dati

  • Backup regolari:
    • Backup automatici dei database vengono eseguiti utilizzando le funzionalità di backup automatico di AWS RDS.
  • Backup cifrati:
    • I dati di backup sono cifrati a riposo tramite AWS Key Management Service (KMS).
  • Piano di disaster recovery:
    • Sono in atto procedure documentate per il ripristino dei dati e la continuità del servizio.
  • Test dei processi di recovery:
    • Vengono condotti test regolari di ripristino dei backup e delle procedure di recovery.

2.7 Sicurezza fisica

  • Data center AWS:
    • I controlli di sicurezza fisica sono gestiti da AWS, tra cui:
      • 24/7 security personnel.
      • Biometric access controls.
      • CCTV surveillance.
      • Environmental controls like fire suppression and climate control.
  • Conformità AWS:
    • I data center AWS sono conformi a standard quali ISO 27001, SOC 1/2/3, a supporto dei nostri sforzi di conformità.

2.8 Sicurezza degli endpoint

  • Politiche di sicurezza dei dispositivi:
    • I dispositivi aziendali sono protetti con:
      • Full disk encryption.
      • Up-to-date anti-malware software.
      • Strong authentication mechanisms.
  • Accesso remoto:
    • È richiesto l’uso di VPN sicure per l’accesso remoto ai sistemi interni, ove applicabile.
  • Funzionalità di wipe remoto:
    • Possibilità di cancellare da remoto i dispositivi aziendali in caso di smarrimento o furto.

2.9 Logging e monitoraggio

  • Logging completo:
    • Vengono mantenuti log dettagliati delle attività di sistema, log di accesso e log di errore.
  • Monitoraggio della sicurezza:
    • Monitoraggio in tempo reale degli eventi di sicurezza tramite servizi AWS come CloudWatch e GuardDuty.
  • Alerting:
    • Alert automatici sono configurati per attività sospette o incidenti di sicurezza.

2.10 Minimizzazione dei dati e pseudonimizzazione

  • Minimizzazione dei dati:
    • Raccolta e trattamento solo dei dati personali necessari agli scopi specificati.
  • Pseudonimizzazione e anonimizzazione:
    • Quando opportuno, i dati personali sono pseudonimizzati o anonimizzati per ridurre il rischio per gli interessati.

3. Test e valutazioni regolari

  • Scanning delle vulnerabilità:
    • Scansioni automatiche regolari dei sistemi per rilevare vulnerabilità, utilizzando strumenti compatibili con gli ambienti AWS.
  • Audit di sicurezza:
    • Audit e valutazioni di sicurezza periodici vengono condotti per valutare l’efficacia delle misure di sicurezza.
  • Revisioni AWS Well-Architected:
    • Revisioni periodiche con il framework AWS Well-Architected per garantire il rispetto delle best practice.

4. Conformità agli standard

  • Conformità normativa:
    • Conformità al GDPR e ad altre leggi applicabili in materia di protezione dei dati.
  • Allineamento alle best practice:
    • Allineamento delle pratiche di sicurezza alle migliori pratiche e linee guida del settore, tra cui:
  • Best practice di sicurezza AWS.
    • Framework di cybersicurezza NIST.

5. Protezione dei dati by design e by default

  • Valutazioni d’impatto sulla privacy (PIA):
    • Condotte per nuove attività di trattamento o modifiche significative ai processi esistenti.
  • Impostazioni sicure di default:
    • I sistemi e le applicazioni sono configurati per garantire che, di default, vengano trattati solo i dati personali necessari.

6. Sensibilizzazione e formazione

  • Formazione dei dipendenti:
    • Sessioni di formazione periodiche su politiche, procedure e best practice di protezione dei dati, inclusa la sicurezza specifica di AWS.
  • Programmi di sensibilizzazione alla sicurezza:
    • Iniziative continue per promuovere una cultura di sicurezza e privacy all’interno dell’organizzazione.

7. Sicurezza dei Sub-Processor

  • Modello di responsabilità condivisa AWS:
    • Comprensione e rispetto dell’AWS Shared Responsibility Model, in cui AWS è responsabile della sicurezza «del» cloud e noi della sicurezza «nel» cloud.
  • Gestione dei fornitori:
    • Valutazione periodica dei Sub-Processor per garantire che soddisfino i nostri requisiti di sicurezza e conformità.

8. Gestione degli incidenti

  • Rilevamento e segnalazione:
    • Sistemi in grado di rilevare tempestivamente incidenti di sicurezza tramite servizi di monitoraggio AWS.
  • Procedure di risposta:
    • Fasi definite per contenimento, eradicazione, recupero e comunicazione.
  • Obblighi di notifica:
    • Procedure per notificare a Clienti e autorità le violazioni di dati personali senza ingiustificato ritardo.

9. Conservazione ed eliminazione dei dati

  • Politiche di conservazione dei dati:
    • I dati personali sono conservati solo per il tempo necessario agli scopi per cui sono stati raccolti o come richiesto dalla legge.
  • Eliminazione sicura:
    • Al termine del periodo di conservazione, i dati personali vengono eliminati in modo sicuro o anonimizzati.
  • Richieste di eliminazione dei dati:
    • Processi in atto per gestire le richieste di cancellazione dei dati degli interessati in conformità al GDPR.

10. Informazioni di contatto

Per domande o dubbi relativi alle nostre misure tecniche e organizzative, contatta il nostro Responsabile della Protezione dei Dati (DPO):

  • Nome: Klas Karlsson
  • Email: dpo@deskhero.com
  • Telefono: +46 70 601 13 22

Nota: Questo documento può essere aggiornato di volta in volta per riflettere cambiamenti nelle nostre pratiche di sicurezza. Notificheremo ai Clienti le modifiche significative come descritto nella nostra Informativa sulla privacy e Accordo sul trattamento dei dati.