Normativa GDPR

 

A partire dal 25 maggio 2018, entra in vigore il Regolamento generale sulla protezione dei dati (GDPR), aprendo una nuova era di protezione dei dati e privacy per tutti.
Netspin Lab si impegna da sempre a seguire le migliori pratiche in termini di sicurezza e privacy.
Di seguito la descrizione di quanto abbiamo fatto per essere compliance con il GDPR.

 

 

Principi chiave del GDPR

 

Il regolamento si applica a qualsiasi trattamento di dati personali da parte di qualsiasi organizzazione.

 

Ruoli

Il regolamento distingue due tipi principali di entità:

  • Data Controller:
    Tradotto in italiano con titolare del trattamento. Titolare ha, nella lingua italiana, un significato evocativo che può trarre in inganno; il Data Controllernon è infatti titolare, padrone, dei dati, ma solamente del trattamento dei dati, i quali restano però di esclusiva ‘proprietà’ del soggetto a cui si riferiscono, che in termini privacy si definisce l’interessato (in inglese è il Data Subject).
    La caratteristica fondamentale del titolare è la capacità di “determinare  finalità e mezzi del trattamento” (art. 4 del Gdpr).
  • Data Processor:
    Tradotto in italiano come ‘responsabile del trattamento’: è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati per conto del titolare” (art. 4 del GDPR). Il responsabile entra in gioco quando il titolare decide di delegare parte del trattamento ad un soggetto esterno. Esso è privo di autonomia nel decidere come e per quali ragioni può trattare i dati degli interessati.

Ad esempio, se l’azienda possiede un database basato su GasPortal in Cloud, l’azienda stessa è il  controller per quel database e NetspinLab è solo un elaboratore di dati.
Se invece l’azienda usa GasPortal on premise (server in casa), l’azienda è sia Data Controller che Data Processor.

Dati personali

GDPR fornisce un’ampia definizione di dati personali: qualsiasi informazione relativa a una persona fisica identificata o identificabile. Una persona identificabile è quella che può essere identificata, direttamente o indirettamente, tramite i loro nomi, e-mail, numeri di telefono, informazioni biometriche, dati di posizione, dati finanziari, identificatori online (indirizzi IP, ID dispositivo…).
GDPR richiede anche un livello più elevato di protezione dei dati sensibili, che include categorie specifiche di dati personali come informazioni sulla salute, genetiche, razziali o religiose.

 

Principi di elaborazione dati

Per essere conformi, le attività di elaborazione devono rispettare le seguenti regole, elencate nell’articolo 5 del GDPR:

  • Legittimità, correttezza e trasparenza: per raccogliere dati è necessario disporre dei diritti legali per farlo e informare i soggetti interessati al riguardo.
  • Limitazione di scopo: una volta raccolti i dati per uno scopo, richiedere l’autorizzazione se si desidera utilizzarla per uno scopo diverso.
  • Precisione: occorre adottare misure ragionevoli per garantire che i dati vengano aggiornati, in relazione allo scopo.
  • Limitazione del tempo di archiviazione: i dati personali devono essere conservati solo per la durata necessaria a soddisfare il suo scopo principale.
  • Integrità e riservatezza: i responsabili del trattamento dei dati devono attuare misure appropriate di controllo degli accessi, sicurezza e perdita di dati, in conformità con i tipi e l’estensione dei dati trattati.
  • Responsabilità: i responsabili del trattamento dei dati sono responsabili e devono essere in grado di dimostrare la conformità con tutti i principi di elaborazione di cui sopra.

 

Basi legali

Per essere conforme ai sensi del GDPR il trattamento dei dati personali deve basarsi su una delle sei possibili basi giuridiche, come elencato all’articolo 6, paragrafo 1:

  1. Consenso. Valido quando l’interessato ha espresso un consenso esplicito e libero dopo essere stato adeguatamente informato.
  2. Necessario per l’esecuzione di un contratto o per soddisfare richieste dell’interessato in preparazione di un contratto.
  3. Rispetto di un obbligo legale imposto al titolare del trattamento.
  4. Proteggere un interesse vitale. Quando il trattamento è necessario per salvare una vita.
  5. Interesse pubblico o autorità ufficiale.
  6. Interesse legittimo. Applicabile quando il titolare del trattamento ha un interesse legittimo che non è sovrascritto dagli interessi e dai diritti fondamentali dell’interessato al trattamento.

 

Diritti sull’oggetto dei dati

I diritti esistenti sulla privacy dei dati personali sono ulteriormente ampliati dal GDPR.
Le organizzazioni devono essere preparate a gestire le richieste degli interessati in modo tempestivo (entro 1 mese), a titolo gratuito:

  • Diritto di accesso: gli individui hanno il diritto di sapere cosa e come i loro dati personali vengono elaborati, in piena trasparenza;
  • Diritto alla rettifica: gli individui hanno il diritto di ottenere la correzione o il completamento dei propri dati personali;
  • Diritto alla cancellazione: le persone hanno il diritto di ottenere la cancellazione dei propri dati personali per motivi legittimi (consenso ritirato, non più necessario per lo scopo, ecc.);
  • Diritto alla restrizione: le persone fisiche possono richiedere che il controllore interrompa l’elaborazione dei propri dati personali, se non desiderano o non possono richiedere la cancellazione completa;
  • Diritto all’oggetto: i singoli hanno il diritto di opporsi a determinati trattamenti dei propri dati personali in qualsiasi momento, ad esempio a fini di marketing diretto;
  • Portabilità dei dati: gli individui hanno il diritto di richiedere che i dati personali detenuti da un controller siano forniti a loro o ad un altro controller.

Compatibilità Netspin Lab con GDPR

In qualità di società di software e servizi Netspin Lab è sempre molto attenta a migliorare i propri sistemi, le modalità di programmazione, la gestione della sicurezza della propria infrastruttura e delle piattaforme che offriamo ai nostri clienti.

I nostri ruoli GDPR

Le nostre responsabilità in termini di protezione dei dati personali dipendono dalle nostre varie attività di elaborazione dei dati:

RUOLO NETSPIN LAB SITO TIPOLOGIA
Data Controller Cloud Netspin Lab Dati personali forniti dai nostri clienti diretti e potenziali, dai nostri partner e da tutti gli utenti diretti che utilizzano le nostre piattaforme cloud GasPortal e Zimbra.
Data Processor Cloud Netspin Lab Tutti i dati personali memorizzati nei database dei nostri clienti, ospitati nel cloud Netspin Lab.Il controller dei dati è il proprietario del database.
Nessun Ruolo On-premise Tutti i dati presenti nei database GasPortal o Zimbra o sviluppati da noi che sono ospitati in locale o in qualsiasi hosting non gestito da noi ma direttamente dal cliente o sue terze parti.

 

 

I nostri documenti GDPR

Come controllore dei dati, le nostre attività sono coperte dalla nostra Informativa sulla privacy, che è stata aggiornata per la nuova normativa GDPR. Qui sotto spieghiamo nel modo più chiaro possibile quali dati elaboriamo, perché li elaboriamo e come lo facciamo.Le nostre policy di sicurezza spiegano le best practices che abbiamo implementato in Netspin Lab, a tutti i livelli (tecnici e organizzativi) al fine di garantire che i vostri dati vengano elaborati in modo sicuro e protetto.

 

 

Diritto all’oblio (articolo 17)

 

GDPR concede agli interessati il ​​diritto di richiedere la cancellazione dei propri dati personali, a determinate condizioni, quali:

  • i dati non sono più necessari in base allo scopo;
  • revocano il consenso per un trattamento basato solo sul consenso;
  • il trattamento è altrimenti illegale.

Se si determina che la richiesta è legittima e si è confermata l’identità dell’oggetto, è possibile eliminare l’archivio facendo diretta richiesta a Netspin Lab.

 

 

Privacy by Design (Art. 25)

Con l’espressione “privacy by design”, il Regolamento Europeo intende richiamare l’attenzione dei titolari sull’esigenza che la protezione dei dati personali venga garantita “fin dalla progettazione”.A questo proposito, l’art. 25, paragrafo 1 del Regolamento stabilisce che il titolare del trattamento dei dati personali deve adottare delle misure tecniche e organizzative idonee a dare concreta attuazione a quelle che sono le disposizioni e i principi in materia di protezione dei dati e garantire in questo modo i diritti degli interessati.Queste le misure adottate da Netspin Lab:

Controllo accessi e permessi di utilizzo

Il meccanismo di controllo degli accessi predefinito da Netspin Lab consente di limitare l’accesso ai dati personali in base al ruolo e alle esigenze di ciascun utente. L’assegnazione dei ruoli è profilata per ogni utente o gruppo di utenti e può essere modificata solo dall’amministratore di sistema.

Password

Netspin Lab memorizza le password degli utenti con hashing sicuro standard del settore. È anche possibile utilizzare sistemi di autenticazione esterni come OAuth 2.0 o LDAP o tramite procedure concordate in analisi con il cliente (es. single signe on).

 

 

La privacy sulle piattaforme Netspin Lab

 

Netspin Lab mette a disposizione varie piattaforme su cui vengono ospitati i dati dei nostri clienti.
Nell’ambito della gestione di tali servizi raccogliamo dati sulle aziende e sull’attività da esse svolte.
Questi dati non sono solo essenziali per eseguire i nostri servizi, ma anche per la sicurezza dei nostri servizi e di tutti i nostri utenti. Questa informativa spiega quali informazioni vengono raccolte, perché vengono raccolte e come le usiamo.
La maggior parte dei dati personali che raccogliamo viene fornita direttamente dai nostri utenti quando si registrano e utilizzano i nostri servizi.

 

Dati dell’account e dei contatti:

quando ti registri sui nostri portali ci fornisci volontariamente determinate informazioni. In genere questo include nome, nome dell’azienda, indirizzo e-mail e talvolta il tuo numero di telefono, indirizzo postale), settore aziendale oltre a una password personale.
Utilizziamo le informazioni di contatto per fornire i nostri servizi, per rispondere alle vostre richieste e per ragioni di fatturazione e gestione dell’account. Possiamo anche utilizzare queste informazioni per scopi di marketing e comunicazione (i nostri messaggi di marketing sono sempre dotati di un modo per rinunciare in qualsiasi momento). Usiamo questi dati anche in forma aggregata / anonima per analizzare le tendenze del servizio.
Se ti sei registrato per partecipare a un evento pubblicato sul nostro sito web, potremmo trasferire il tuo nome, indirizzo email, numero di telefono e nome dell’azienda al nostro organizzatore locale e agli sponsor dell’evento, sia per scopi di marketing diretto sia per facilitare i preparativi e le prenotazioni per l’evento.
Conserveremo i dati solo per il tempo necessario a conseguire gli scopi per i quali sono stati raccolti, come stabilito in questa politica, compreso qualsiasi periodo di conservazione legale o il tempo necessario per effettuare una promozione legittima e ragionevole dei nostri prodotti e servizi.

Database clienti:

quando creiamo un database per un nostro cliente ad esempio in GasPortal, qualsiasi informazione o contenuto che invii o carichi nel tuo database è di tua proprietà e la controlli completamente. Questi dati includeranno spesso informazioni personali, ad esempio: il tuo elenco di dipendenti, i tuoi contatti e clienti, i tuoi messaggi, immagini, video, ecc. Raccogliamo queste informazioni solo per tuo conto e tu mantieni sempre la proprietà e il pieno controllo su questo dati. Raccogliamo ed elaboriamo questi dati solo per vostro conto, in base alle istruzioni fornite esplicitamente in fase di analisi.
Il nostro personale di assistenza possono accedere a queste informazioni in modo limitato e ragionevole al fine di risolvere qualsiasi problema con i nostri servizi, o su richiesta esplicita per motivi di supporto, o come richiesto dalla legge, o per garantire la sicurezza dei nostri servizi.
È possibile gestire i dati raccolti nei database ospitati su Netspin Lab in qualsiasi momento, utilizzando le credenziali amministrative, compresa la modifica o l’eliminazione di qualsiasi dato memorizzato.
Nelle nostre piattaforme (GasPortal e Zimbra e progetti verticali) in qualsiasi momento è possibile richiedere un backup completo del tuo database.
L’utente è responsabile del trattamento di questi dati in conformità con tutte le normative sulla privacy.
Puoi anche richiedere la cancellazione dell’intero database.

Periodo di conservazione:

Conserviamo una copia dei tuoi dati nei nostri backup per motivi di sicurezza, anche dopo che sono stati distrutti dai nostri sistemi live.
Come parte della nostra politica di sicurezza, cerchiamo sempre di preservare i tuoi dati da cancellazioni accidentali o dannose. Di conseguenza, dopo aver eliminato qualsiasi informazione personale (account e dati di contatto) dal nostro database su richiesta dell’utente o dopo aver eliminato qualsiasi informazione personale dal database (database clienti), potrebbe non essere immediatamente cancellata dal nostro backup sistemi. Potrebbe rimanere immagazzinato per un massimo di 6 mesi, fino a quando non viene distrutto.
Ci impegniamo a non utilizzare tali copie di backup dei dati cancellati per alcuno scopo tranne che per mantenere l’integrità dei nostri backup, eccetto se tu o la legge ci richiediamo di farlo.

 

Fornitori di servizi di terze parti

Per supportare le nostre operazioni ci affidiamo a diversi fornitori di servizi. Ci aiutano con vari servizi come cloud hosting, mail server, sms server ecc.
Ogni volta che condividiamo i dati con questi fornitori di servizi, ci assicuriamo che li utilizzino in conformità con la legislazione sulla protezione dei dati e che il loro trattamento sia limitato al nostro scopo specifico e coperto da un contratto specifico di elaborazione dei dati.
Ecco un elenco dei fornitori di servizi attualmente in uso, del perché li utilizziamo e del tipo di dati che condividiamo con loro:

 

FORNITORE SERVIZIO
RACKSPACE Hosting cloud GasPortal e progetti verticali
ARCIPELAGO Hosting Zimbra e disaster recovery GasPortal
SITEGROUND Hosting siti web
SMS HOSTING Servizio spedizione SMS
MAIL GUN Servizio spedizione mass mailing

 

 

 

Sicurezza

Ecco una sintesi di ciò che facciamo per garantire che i dati dei nostri clienti siano al sicuro.

Backups / Disaster recovery

  • Backup database: manteniamo 9 full backup: 1/giorno per 7 giorni, 1/mese per 2 mesi
  • Backup database e file caricati: manteniamo gli ultimi 3 backup giornalieri e l’ultimo backup mensile replicati su un datacenter in una nazione diversa dal datacenter principale
  • Consistenza backup:  monitoriamo attivamente i nostri backup giornalieri i quali vengono replicati in un datacenter in un’altra nazione
  • Restore: è possibile contattare il nostro helpdesk all’indirizzo assistenza@netspinlab.it per procedere al ripristino dei backup
  • Disaster recovery: Ripristino di emergenza: in caso di disastro completo, con un data center interamente inattivo per un periodo prolungato (non è mai accaduto finora, questo è il piano peggiore), abbiamo i seguenti obiettivi:
    • RPO (Recovery Point Objective) = 24 ore. Ciò significa che puoi perdere al massimo 24 ore di lavoro se i dati non possono essere recuperati e dobbiamo ripristinare l’ultimo backup giornaliero
    • RTO (Recovery Time Objective) = 48 ore. È il tempo necessario al ripristino del servizio in un altro centro dati in caso di disastro e di un data center completamente inattivo.

Sicurezza database

I dati dei clienti sono memorizzati in un database dedicato: le regole di controllo dell’accesso ai dati implementano l’isolamento completo tra i database dei clienti in esecuzione nello stesso server, nessun accesso è possibile da un database all’altro.

Sicurezza password

Le password dei clienti sono protette con la funzione di hash crittografico MD5.
Lo staff di Netspin Lab non ha accesso alla password degli account del cliente e non può quindi recuperarla, l’unica opzione in caso di perdita è resettarla.
Le credenziali di accesso vengono sempre trasmesse in modo sicuro tramite HTTPS.

Accessi alla parte applicativa

Il personale di Helpdesk autorizzato può accedere impersonificando i diversi account al fine di adempiere alle richieste di supporto del cliente. Per effettuare queste operazioni vengono utilizzate le credenziali di account amministrativo personali per ogni tecnico, non la vera password dell’account (che lo staff non ha modo di sapere).
Questo accesso speciale all’account migliora l’efficienza e la sicurezza: lo staff può immediatamente riprodurre il problema segnalato dall’utente e non è mai necessario condividere la password.
Questi accessi sono registrati al fine di poter controllare nominalmente le operazioni svolte dallo staff. Il nostro personale di Helpdesk si impegna a rispettare il più possibile la privacy del Cliente e ad accedere solo a file e impostazioni necessari per diagnosticare e risolvere il problema segnalato.

Accessi all’infrastruttura cloud per manutenzione/deploy

L’accesso è consentito solamente dall’ufficio di Netspin Lab e previa autenticazione.

  • procedura di deploy: il rilascio dei software applicativi viene effettuato tramite uno script che utilizza il software Phing (https://www.phing.info/) il quale procede in HTTPS a scaricare il codice dal repository applicativo e a caricarlo con un utente dedicato (machine-to-machine) sul server deputato.
  • manutenzione: i tecnici di Netspin Lab accedono con utenti nominali gestiti con le policy interne e gli accessi vengono registrati al fine di poter risalire all’esecutore materiale delle modifiche.

Sicurezza del sistema

Tutti i server eseguono distribuzioni Linux consolidate con patch di sicurezza aggiornate.
Le installazioni sono ad hoc e minime per limitare il numero di servizi che potrebbero contenere vulnerabilità.
Solo alcuni tecnici Netspin Lab designati hanno la possibilità di gestire da remoto i server e solo attraverso un canale protetto ed esclusivamente dagli uffici di Netspin Lab.
Utilizziamo un firewall e contromisure anti-intrusione che aiutano a prevenire l’accesso non autorizzato. Le connessioni in ingresso al server in cloud da parte dei nostri clienti sono limitate alle porte del WebServer: 80 (HTTP) e 443 (HTTPS) salvo eccezioni protette definite in analisi.

Sicurezza fisica

I server di Netspin Lab sono ospitati in data center affidabili in Europa e devono superare tutti i nostri criteri di sicurezza fisica:

  • Perimetro ristretto, accessibile fisicamente solo dai dipendenti del data center autorizzato
  • Controllo di accesso fisico con badge di sicurezza o sicurezza biometrica
  • Telecamere di sicurezza che monitorano le posizioni dei data center 24/7
  • Personale di sicurezza sul posto 24/7

Comunicazioni

Tutte le connessioni Web alle istanze client sono protette con la crittografia SSL a 256-bit.
La sicurezza delle comunicazioni con i nostri server è tenuta sotto stretto controllo e sempre aggiornata sulle ultime vulnerabilità SSL, godendo sempre del rating SSL di livello “A”.
Tutti i nostri certificati SSL utilizzano un modulo a 2048 bit con catene di certificati SHA-2 complete.

Comunicazioni con l’infrastruttura del cliente finale

Spesso ci succede di dover colloquiare direttamente con l’infrastruttura del cliente finale.
In questo caso i dati transitano in HTTPS e le comunicazioni per assistenza e deploy del software con il server del cliente avvengono attraverso un canale VPN punto punto con gli uffici di Netspin Lab. In alcuni casi installiamo presso il cliente delle appliance fisiche o virtuali che ci permettono di colloquiare con i database del cliente in locale. In questo caso la sicurezza delle appliance è a carico del cliente finale mentre rimane a carico di Netspin Lab garantire il collegamento come sopra descritto.

Sicurezza del software

Da sempre sviluppiamo prodotti open-source utilizzando le migliori distribuzioni che questo mondo mette a disposizione. Lo staff tecnico di Netspin Lab procede periodicamente all’aggiornamento delle stesse al fine di minimizzare eventuali falle di sicurezza presenti.

Repository/versionamento del software applicativo

Viene utilizzato il software Git (https://git-scm.com/) per il versioning del software e BitBucket (https://bitbucket.org) come repository.
Ogni sviluppatore è titolare di un account personale e tutte le operazioni di upload/download del codice sono profilate. Il software non contiene nessun dato personale

Autenticazione

Tutti i portali applicativi sviluppati con la nostra piattaforma GasPortal sono accessibili solo previa autenticazione (se non diversamente specificato nell’analisi svolta con il cliente).

L’autenticazione può avvenire con le seguenti modalità:

  • autenticazione via form con username/password su base dati del portale stesso
  • autenticazione via form con username/password su base dati del software di communication Zimbra (server gestiti da Netspin Lab)
  • autenticazione via Gmail/Facebook
  • autenticazione con procedure personalizzate (definite nell’analisi svolta con il cliente)

Sicurezza by design

GasPortal è progettato in modo da impedire l’introduzione delle più comuni vulnerabilità di sicurezza:

  • SQL Injections: consentono agli aggressori di inoltrare codice malevolo tramite un’applicazione a un altro sistema. Questi attacchi includono chiamate al sistema operativo tramite chiamate di sistema, l’uso di programmi esterni tramite comandi shell, nonché chiamate a database di back-end tramite SQL

GasPortal si basa su un framework ORM (object-relational-mapping) che astrae la creazione di query e previene di default le SQL injection. Gli sviluppatori normalmente non elaborano manualmente le query SQL, sono generate dall’ORM e i parametri sono sempre correttamente puliti.

  • RPC Calls: in informatica, l’espressione chiamata di procedura remota (RPC, o Remote Procedure Call) si riferisce all’attivazione da parte di un programma di una procedura o subroutine attivata su un computer diverso da quello sul quale il programma viene eseguito

GasPortal impedisce l’accesso RPC a metodi privati, rendendo più difficile l’introduzione di vulnerabilità sfruttabili

  • Insecure Direct Object Reference: un riferimento ad oggetti diretti si verifica quando uno sviluppatore espone un riferimento a un oggetto di implementazione interno, ad esempio un file, una directory, un record di database o una chiave, come un parametro URL o form. Gli aggressori possono manipolare questi riferimenti per accedere ad altri oggetti senza autorizzazione.

Il controllo degli accessi di GasPortal è accessibile solamente allo staff di Netspin Lab (o in parte e su richiesta ad alcuni referenti del cliente). Gli autori di attacchi non possono aggirare il livello di controllo di accesso manipolando questi riferimenti perché ogni richiesta deve ancora passare attraverso le policy di accesso ai dati.

  • Insecure Cryptographic Storage: le applicazioni Web utilizzano raramente funzioni di crittografia appropriate per proteggere dati e credenziali. Gli aggressori usano dati debolmente protetti per condurre furti d’identità e altri reati, come le frodi con carta di credito.

GasPortal utilizza una funzione di hashing sicuro standard del settore per le password degli utenti (MD5) per proteggere le password memorizzate. È anche possibile utilizzare sistemi di autenticazione esterni come OAuth 2.0 o LDAP, al fine di evitare la memorizzazione locale delle password degli utenti.

  • Insecure Communications: le applicazioni spesso non riescono a crittografare il traffico di rete quando è necessario proteggere le comunicazioni sensibili.

GasPortal viene eseguito su HTTPS per impostazione predefinita. Per installazioni on-premise, si consiglia di eseguire GasPortal all’interno di un server Web che implementi lo standard HTTPS.

  • Failure to Restrict URL Access: spesso un’applicazione protegge solo le funzionalità sensibili impedendo la visualizzazione di collegamenti o URL a utenti non autorizzati. Gli aggressori possono utilizzare questa debolezza per accedere ed eseguire operazioni non autorizzate accedendo direttamente a tali URL.

Il controllo degli accessi di GasPortal è accessibile solamente allo staff di Netspin Lab (o in parte e su richiesta ad alcuni referenti del cliente). Gli autori di attacchi non possono aggirare il livello di controllo di accesso manipolando questi riferimenti perché ogni richiesta deve ancora passare attraverso le policy di accesso ai dati.

 

Audit di sicurezza indipendenti

GasPortal è regolarmente sottoposto a revisione da società indipendent che eseguono audit e penetration test. Il team di sicurezza di Netspin Lab riceve i risultati e, se necessario, adotta le misure correttive.

You are donating to : Greennature Foundation

How much would you like to donate?
$10 $20 $30
Would you like to make regular donations? I would like to make donation(s)
How many times would you like this to recur? (including this payment) *
Name *
Last Name *
Email *
Phone
Address
Additional Note
paypalstripe
Loading...