PremessaSAAS UTOPIAMisure tecnicheData ManagementData storageUp-Time garantitoAuditing & Penetration TestEstrazione dei datiLog Access attività utentiCancellazione dei dati e informazioniRestituzione dei dati e informazioniAccess PolicyAmministratori di sistemaLog AccessBackup & Disaster RecoveryMisure organizzativeIl ruolo di DilaxiaCompliance del SaaSModello OrganizzativoResponsabili di DilaxiaBreach ManagementConclusioni

IT & Data Security Policy

Ultimo aggiornamento del 20/09/2023

Premessa

Ai sensi di quanto previsto dall’art. 32 del Reg. UE 2016/679 (di seguito, anche GDPR), Dilaxia ha l’obbligo, sia che tratti dati personali in qualità di Titolare ovvero di Responsabile del trattamento, di adottare “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.

Il presente documento ha lo scopo di indicare le misure tecniche ed organizzative, strutturali e tecnologiche, che sono implementate da parte di Dilaxia S.p.A. sul SaaS Utopia, dedicato alla gestione della compliance in materia di protezione dei dati personali, di cui al Reg. UE 2016/679 e al D.Lgs n. 196/2003 e s.m.i., al fine di garantire un adeguato livello di sicurezza e protezione dei dati personali conservati e trattati tramite l’applicativo.

SAAS UTOPIA

UTOPIA è la soluzione in cloud per adeguare il sistema di gestione della privacy delle organizzazioni al nuovo Regolamento Europeo 2016/679 sulla protezione dei dati personali.  

Il SaaS è rivolto inoltre a consulenti, aziende private e pubbliche di qualsiasi dimensione in quanto fornisce un insieme di strumenti semplici da utilizzare per adempiere a tutti gli obblighi introdotti dal GDPR ed, in estrema sintesi, permette di:    

  • Costruire il registro delle attività di trattamento  
  • Generare le informative privacy  
  • Eseguire il Data Protection Impact Assessment (DPIA)  
  • Tracciare qualsiasi tipo di Data Breach
  • Tracciale le richieste di esercizio di un diritto da parte degli interessati  

L’applicativo è disponibile per PC e tablet.

Misure tecniche

Data Management

Dilaxia si serve di datacenter ubicati esclusivamente in UE.  Tutti i servizi collegati ad Utopia funzionano nel cloud.

Amazon Web Services

Il Data Center Amazon Web Services (di seguito, AWS), Fornitore/Responsabile del trattamento di Dilaxia, appartenente alla “Regione EU-west-1" è ubicato in Irlanda.  

Per meglio comprendere il significato del termine “Regione”, secondo l’interpretazione data da AWS, si rimanda alla seguente link:

Per comodità di lettura, si riporta di seguito un estratto.

Attraverso la console del servizio EC2 di AWS, al quale fanno capo i server virtuali acquistati da Dilaxia e utilizzati da quest’ultima per fornire i servizi relativi a Utopia, è possibile definire in quale Regione l'ambiente venga eseguito.

AWS garantisce contrattualmente che i dati non vengono trasferiti dalla Regione di archiviazione prescelta attraverso la console di amministrazione in uso di Dilaxia.

Atlas – MongoDb

Il Data Center Atlas, Fornitore/Responsabile di Dilaxia per la gestione dei Database MongoDB, è sito in Irlanda. (Region eu-west-1).

Le specifiche sulla sicurezza e protezione dei sistemi forniti da Atlas sono consultabili all’indirizzo:  

Heroku

Le specifiche sulla sicurezza e protezione dei sistemi forniti da Heroku, quale Cloud Application Platform per lo sviluppo ed il mantenimento di Utopia, sono consultabili all’indirizzo:  

  • https://www.heroku.com/policy/security

Stripe

Le specifiche sulla sicurezza e protezione dei sistemi forniti da Stripe, quale fornitore dei sistemi di elaborazione dei pagamenti per l’acquisto del SaaS attraverso il sito web utopiathesoftware.com, sono consultabili all’indirizzo:  

Data storage

I dati personali e le informazioni inserite in Utopia vengono trascritte all’interno di un Database MongoDB, ospitato in una infrastruttura AWS in UE.

Up-Time garantito

L’up-time garantito dall’applicativo mediante le misure predisposte dai propri fornitori di servizi strategici all’erogazione del software è pari al 99,98%. Da tale percentuale deve essere escluso il tempo necessario alle interruzioni programmate del servizio volte al rilascio di nuove feature, correzioni di malfunzionamenti e ottimizzazioni del sistema.

Auditing & Penetration Test

Dilaxia, quale sviluppatore di Utopia:  

  1. a cadenza almeno annuale, da mandato ad una terza parte di eseguire una specifica attività di Vulnerability Assessment & Penetration Test. A richiesta del licenziatario, Dilaxia può fornire un estratto dell’ultimo report con i risultati del test di VA/PT effettuato su Utopia.
  2. anche quale Responsabile del trattamento, accetta, così come previsto dall’art. 28, par. 3 lett. h) e 3, GDPR, l’eventuale esecuzione da parte dei licenziatari di Utopia di ispezioni e di audit, riservandosi di verificare caso per caso la praticabilità e/o ragionevolezza degli stessi.

Amazon Web Services disciplina le modalità per la praticabilità di Penetration Test: http://aws.amazon.com/security/penetration-testing/. Inoltre, il servizio di sicurezza previsto da AWS invia a Dilaxia, attraverso un sistema di alert,  qualsiasi tentativo non autorizzato di intrusione.

Policy per l’estrazione dei dati dall’applicativo

Sulla base delle logiche con le quali Utopia è stata sviluppato, sono state create specifiche funzionalità all’interno del software per l’estrazione, in qualsiasi momento, di informazioni e documenti contenuti nell’applicativo.  

L’estrazione di dati e informazioni dall’applicativo è una operazione sottoposta a logging.

Log Access attività utenti

Ogni azione eseguita dall'Utente all’interno di Utopia è registrata attraverso un sistema di logging.

Le azioni che vengono registrate sono:

  • Login / Logout utente
  • Inserimento dati
  • Modifica dati  
  • Cancellazione dati

Cancellazione dei dati e informazioni

Singoli dati o informazioni

La cancellazione di specifiche informazioni o dati da parte dell’Utente attraverso le funzionalità previste dall’applicativo, non è una cancellazione definitiva perché è una operazione reversibile tramite intervento tecnico di Dilaxia: tale intervento soggiace a determinate condizioni.

Database

La cancellazione dell’intera base di dati, strutturata e non strutturata, può essere eseguita autonomamente da parte del licenziatario attraverso la funzione “Distruggi Dominio” all’interno del SaaS.  

Dilaxia prevede ulteriori procedure interne per una eventuale estrazione o cancellazione di dati e informazioni dall’applicativo.

Restituzione dei dati e informazioni

Per quanto attiene ai dati in formato strutturato, il licenziatario ha la possibilità in qualsiasi momento di utilizzare la funzione di download prevista nel SaaS.  

Al termine del rapporto contrattuale con Dilaxia, per qualsiasi causa intervenuto, i dati strutturati sono memorizzati all’interno di un database MongoDB nel formato nativo previsto da tale applicativo per un periodo di 90 (novanta) giorni.

I dati, ancorché gestiti da Dilaxia, sono e rimangono di esclusiva proprietà e titolarità del licenziatario che ne può richiedere la restituzione in un formato di uso comune.

Access Policy

Accesso al portale web

La policy di accesso ad Utopia ed ai dati ivi contenuti è stringente:

  1. Credenziali univoche e password complesse;
  2. Blocco temporaneo account utente a seguito di 3 tentativi di accesso errati;
  3. Scadenza della password dopo inattività di 6 mesi.

Accesso da parte di Dilaxia all’ambiente ove sono conservati i dati

La policy di accesso ad Utopia da parte del personale tecnico di Dilaxia è altrettanto stringente:

  1. Ai server che gestiscono l’applicazione si accede unicamente dall’IP pubblico di Dilaxia, associato alla connettività locale dell’Azienda;
  2. Per accedere alla base dati, bisogna autenticarsi tramite credenziali personali di accesso.
  3. Elencazione dei System & Database Admin per il personale con tale funzione, con revisione periodica delle autorizzazioni e permessi.

L’accesso da parte del personale tecnico di Dilaxia avviene attraverso un sistema di autenticazione a due fattori.

Amministratori di sistema

Le utenze amministrative (System & Database Administrator) sono gestite da parte di Dilaxia in ossequio alle prescrizioni imposta dal Provvedimento 27 novembre 2008 del Garante per la Protezione dei Dati Personali e s.m.i., con particolare riferimento all'individuazione, qualificazione e designazione scritta dei singoli Amministratori di Sistema e Database e all’assegnazione univoca e sicura di credenziali di autenticazione complesse.

Dilaxia è disponibile a fornire un elenco aggiornato dei propri Amministratori di Sistema e Database di Utopia.

Log Access di Dilaxia

L’attività degli Amministratori di Sistema e Database di Dilaxia è tracciata tramite sistema di Access Log, con le seguenti caratteristiche:

  1. Completezza
  2. Inalterabilità
  3. Integrità con possibile verifica ex post
  4. Riferimenti temporali (timestamp) e descrizione sintetica dell’evento (log-in e log-out, success or failed).

Backup & Disaster Recovery Policy

Il Piano di Backup di Utopia prevede:


Misure organizzative

Il ruolo di Dilaxia

DILAXIA, quale sviluppatore di Utopia, in conseguenza delle attività di sviluppo e manutenzione effettuate sull’applicativo, agisce in qualità di responsabile del trattamento, così come previsto dall’art. 28 del Reg. UE 2016/679, per conto del licenziatario del SaaS.  

Il licenziatario di Utopia può essere qualificato autonomo titolare del trattamento, ai sensi dell’art. 4 par. 1 n. 7, del Reg. UE 1026/679, dei dati personali trattati per la gestione degli obblighi derivanti dalla normativa applicabile in materia ovvero può essere inquadrato quale (primo o altro) responsabile del trattamento per conto di diversi e autonomi titolari del trattamento (ci si riferisce, ad esempio, al caso di un consulente che utilizza Utopia per le proprie organizzazioni clienti). In questo caso, Dilaxia ricopre la qualifica di altro (Sub-)Responsabile del trattamento dei dati personali, ai sensi e per gli effetti dell’art. 28, par. 4, Reg. UE 2016/679, trattati dal licenziatario per conto del titolare del trattamento.  

Dilaxia, sebbene non abbia alcuna titolarità dei dati trattati attraverso il SaaS, quale responsabile o altro responsabile del trattamento ex art. 28 Reg. UE 2016/679, è in grado di garantire che l’applicativo sia tecnicamente adeguato al rispetto dei requisiti di sicurezza e protezione stabiliti dalla normativa applicabile in materia di protezione di dati personali, comunitaria e nazionale, e che sull’applicativo siano implementate adeguate tecnologie di protezione, fisiche e logiche, dei dati ivi contenuti.

Compliance del SaaS Utopia

Utopia è conforme alla normativa in materia di protezione dei dati personali di cui al Regolamento UE 2016/679 e al D.Lgs n. 196/2003 e s.m.i., nonché - nello specifico - ai principi di privacy by design e by default rispetto alla:

  1. Adeguatezza, pertinenza e minimizzazione delle informazioni richieste;
  2. Gestione profilata degli utenti e controllo degli accessi;
  3. Salvataggio e backup dei dati;
  4. Adeguatezza delle misure di sicurezza, tecniche ed organizzative, ex art. 32 Reg. UE 2016/679.

Agenzia per la Cybersicurezza Nazionale - ACN

Utopia è una soluzione SaaS qualificata dall’Agenzia per la Cybersicurezza Nazionale (ACN) presso il ACN Cloud Marketplace per la Pubblica Amministrazione:

Registro Pubblico del Software presso SIAE

Utopia è registrato presso il Registro Pubblico Speciale per i Programmi per Elaboratore istituito presso la Società Italiana degli Autori ed Editori (SIAE).  

Numero Registrazione: D012554 Prog. 013487 del 20/05/2019.  

ISO 9001:2015  

Dilaxia è certificata ISO 9001:2015 - Sistemi di Gestione della Qualità nei seguenti campi di applicazione:

  1. Progettazione e sviluppo di soluzioni software
  2. Erogazione prodotti in ambito software
  3. Progettazione, realizzazione e manutenzione di infrastrutture informatiche
  4. Servizi di consulenza e formazione nel settore informatico, a corredo dei servizi erogati

Ente Certificatore: Bureau Veritas Italia S.p.A.

Modello Organizzativo Privacy di Dilaxia

In aggiunte alle misure organizzative a protezione dei dati personali trattati quali, a titolo esemplificativo ma non esaustivo, redazione del Registro delle attività di trattamento, sottoscrizione Data processing Agreement con responsabili e profili autorizzativi con il personale tecnico, così come stabilite dalla normativa applicabile in materia, Dilaxia ha adottato le seguenti ulteriori misure:

Team Compliance interno  

Dilaxia si è dotata di figure professionali specializzate in ambito giuridico ed informatico che formano il Team Legal, Privacy & Compliance.  

Il Team può essere contattato scrivendo a privacy@dilaxia.com

Data Protection Officer

Dilaxia, al fine di sorvegliare sull’osservanza del rispetto dei principi sulla protezione dei dati personali nei propri processi di trattamento di dati personali in Azienda, ha ritenuto strategico dotarsi di un Data Protection Officer, con le competenze di cui agli artt. 37 e seg. Reg. UE 2016/679.

Il DPO è contattabile all’indirizzo dpo@dilaxia.com

Diritti degli interessati

Dilaxia è in grado di gestire e riscontrare, nei termini previsti dalla normativa applicabile in materia di protezione dei dati personali, le richieste che dovessero prevenire dagli interessati coinvolti nel trattamento dei dati personali.  

È stato implementato un canale di comunicazione dedicato: privacy@dilaxia.com

Responsabili di Dilaxia

Dilaxia si serve dei servizi di:

  1. Amazon (Amazon Web Services).
  2. Atlas (Mongo DataBase)
  3. Heroku (Cloud Application Platform)
  4. Fornitori esterni, per lo sviluppo di determinate funzionalità limitate a particolari sezioni dell’applicativo (eventuale).  

Ogni fornitore di servizi è stato qualificato quale Responsabile/Sub-Responsabile del trattamento, ai sensi e per gli effetti dell’art. 28 del Reg. UE 2016/679, attraverso la sottoscrizione di specifici accordi (Data Processing Agreement).

Breach Management

Responsabilità sui dati personali trattati  

Il modello di responsabilità per le soluzioni basate sui servizi AWS è il seguente:

Immagine che contiene screenshotDescrizione generata automaticamente
http://aws.amazon.com/compliance/data-privacy-faq/


In estrema sintesi:

  • Il licenziatario di Utopia è responsabile del primo strato: “Customer Data”, pertanto è l’utilizzatore del tool che deve garantire la genuinità del dato personale e/o particolare inserito e poi conservato in Utopia;
  • Dilaxia è responsabile per i sottostanti strati blu: Platform, Applications (Logic and Storage), Operating System, Encryption, Network Traffic Protection,  
  • AWS, Sub-Responsabile, è responsabile degli strati arancioni: compute, storage, database, networking, global infrastructure

Quali sono le procedure di notifica degli incidenti di sicurezza di AWS?

AWS informa attraverso la Service Health Dashboard delle eventuali interruzioni temporanee di servizio o perdita di dati (https://status.aws.amazon.com/#EU_block).  

Dilaxia ha inoltre sottoscritto il relativo feed RSS che la informa delle eventuali interruzioni di servizio o perdita di dati sulla zona di riferimento, in modo attivo.

Quali sono le procedure di comunicazione del data breach da parte di Dilaxia?

Dilaxia, nel proprio ruolo di Responsabile o Sub-Responsabile del trattamento dei dati personali, ha l’obbligo di informare senza indebito ritardo il Titolare o il Responsabile del trattamento dopo essere venuto a conoscenza di un evento di violazione dei dati personali.  

Dilaxia, al fine di garantire una tempestiva gestione di ogni eventuale evento di violazione di sicurezza sui dati personali trattati, ha implementato specifiche politiche interne e procedure operative.  

Qui di seguito si riporta brevemente una sintesi della procedura di Data Breach Management attualmente adottata da Dilaxia:

Operazioni preliminari

Dilaxia ha individuato nel Team Privacy quale Responsabile interno all’azienda deputato alla gestione delle Violazioni dei dati personali (Data Breach) -  privacy@dilaxia.com

Per Data Breach o Violazione dei Dati Personali si intende una “violazione di sicurezza che comporta - accidentalmente o in modo illecito - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.  

Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.

Dilaxia ha istruito il personale dipendente che, ogni qualvolta si presenti il sospetto che si sia verificata una violazione di dati, deve tempestivamente inoltrare una segnalazione al Team di lavoro dedicato alla gestione dell’evento.  

Qui di seguito, a titolo esemplificativo ma non esaustivo, vengono illustrate le principali casistiche di Data Breach:

  1. l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
  2. il furto o la perdita di dispositivi informatici contenenti dati personali;
  3. la deliberata alterazione di dati personali;
  4. l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
  5. la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
  6. la divulgazione non autorizzata dei dati personali.
  7. Sospetto di accesso non autorizzato nel proprio PC
  8. Comportamento anomalo del proprio PC o dispositivo informatico
Operazioni procedurali

Il Team, ricevuta la segnalazione, valuta preliminarmente se la segnalazione possa avere i contorni e le caratteristiche di una violazione dei dati personali trattati da Dilaxia

Il Team in caso l’indagine preliminare dia esito negativo può chiudere la procedura.  

Nel caso in cui l’evento possegga le caratteristiche di un Data Breach, deve procedere come segue:

  1. Coinvolgere il Responsabile di funzione avviando un’analisi finalizzata alla raccolta delle informazioni concernenti l'incidente, all’uopo utilizzando la “Scheda Evento Data Breach”, contenente tutte le informazioni necessarie all’analisi.
  2. Coinvolgere il Data Protection Officer
  3. Il Team, analizzato l’evento, produce una relazione sulle conseguenze del Breach evidenziando all’interno del documento le azioni correttive e/o migliorative che verranno intraprese.
  4. Il Team dovrà annotare l’evento all’interno del Registro delle violazioni, ex art. 33 GDPR.

Conclusioni

Dilaxia S.p.A., attraverso l’implementazione delle su estese misure tecniche e organizzative, vuole garantire ai licenziatari dei propri software un elevato standard di sicurezza delle informazioni e protezione dei dati personali trattati attraverso i propri applicativi digitali.  

Il presente documento esprime il livello di compliance e competitività di Dilaxia S.p.A. e dei propri prodotti SaaS nel rispetto dei principi di accountability, privacy by design e by default di cui al Regolamento Europeo 2016/679 e al D.Lgs n. 196/2003 e s.m.i.

Più di 2500 clienti hanno già scelto UTOPIA

comer-industries-logo

© 2023 UTOPIA - info@utopiathesoftware.com - Dilaxia S.p.A. - Via C. Bonazzi 2, Castel Maggiore (BO) - Tel. 0510391000 - PIVA/CF IT03100430408

Prenota una demo su misura o parla direttamente con il nostro team commerciale.

contattaci
80.000
Persone autorizzate
100.000
Trattamenti gestiti
90.000
Asset messi in sicurezza
6.000
Privacy policy generate