GDPR: L’IMPEGNO DI EDISFERA A FIANCO DEI SUOI CLIENTI
Il nostro impegno è quello di riuscire a garantire la sicurezza dei dati e delle infrastrutture, sia in quanto titolari dei nostri dati sia in quanto Responsabili del trattamento dei dati per conto dei nostri clienti.
Agiamo quindi responsabilmente sia come titolari che come responsabili del trattamento da parte dei nostri clienti.
I nostri strumenti sono adeguati alle nuove normative e consentono una gestione dei dati specifica e monitorata.
Ci impegniamo dunque a fornire alle aziende consulenza privacy GDPR, strumenti e funzionalità in tema security web e IT che li aiutino a divenire conformi alla nuova regolamentazione in modo semplice e lineare.
Anche Edisfera, per quanto per dimensioni aziendali e tipologia di dati raccolti non sia tenuta a determinati adempimenti, ha intrapreso un cammino di adeguamento organizzativo interno per essere sempre più compliant ai nuovi principi del GDPR.
Questo processo prevede procedure periodiche di assessment dei dati personali trattati, delle infrastrutture informatiche coinvolte nel trattamento e delle procedure aziendali di raccolta e di gestione dei dati; la predisposizione di un registro del trattamento dei dati aggiornato periodicamente, sia in quanto titolari, sia in quanto responsabili del trattamento dei dati dei nostri clienti.
Inoltre abbiamo aggiornato la nostra informativa sulla Privacy ai sensi degli artt. 13 e 14 del GDPR.
PERCHÉ E COME LA NOSTRA INFRASTRUTTURA IT È COMPLIANT AL GDPR?
La sicurezza delle informazioni e le adeguate politiche di gestione dei dati rappresentano la nostra priorità, con particolare attenzione alla infrastruttura tecnologica.
Avere un’infrastruttura compliant al GDPR aiuta anche i nostri clienti ad esserlo.
Accesso, gestione e sicurezza dei dati
I dati di cui sono titolari i nostri clienti ed in particolare i dati che risiedono nei siti e nelle applicazioni da noi sviluppate e gestite in outsourcing, vengono salvati nei nostri sistemi.
Edisfera è sempre a disposizione dei suoi clienti per consentire un pieno controllo nella gestione, nella ricerca e nelle modalità di accesso ai loro dati.
L’architettura di edisfera è caratterizzata da applicazioni su web del tipo “software as a service”.
Poiché la privacy e la sicurezza dei dati dei nostri clienti è una priorità, abbiamo voluto mantenere un database specifico per cliente (database-per-tenant).
Questa soluzione ci permette di avere diversi vantaggi: oltre alla separazione fisica dei dati per ciascun cliente, ci permette flessibilità sia a livello di criptazione che di data recovery.
I permessi di accesso alle funzionalità chiave per cliente (visibilità contatti, utenti web, registrazioni, statistiche, import ed export dei dati) sono personalizzati e configurati in maniera specifica per ciascun cliente/utente.
Tutti gli accessi sono limitati da un sistema di permessi per ruolo e per finalità di utilizzo, che ci permette di garantire che solo le persone autorizzate possono avere accesso ai dati o ai server.
Resta comunque responsabilità di ciascun cliente, in quanto titolare dei dati, definire e implementare l’approccio più adeguato per il trattamento e l’accesso ad eventuali dati sensibili. Su richiesta possiamo valutare le specifiche esigenze e configurare i servizi per trattare i dati in modo adeguato.
Servizio di web hosting, data center e procedure di backup e recovery
Tale servizio consiste nel rendere accessibile sulla rete internet siti e applicazioni web, mediante mantenimento (c.d. hosting) dei relativi file e programmi su server virtuali in un data center localizzato in Germania. Ogni server è protetto da un Firewall per garantire la sicurezza del sito e dei dati da attacchi esterni e accessi non autorizzati.
Inoltre, i nostri server memorizzano i dati su supporto crittografato aumentando quindi la sicurezza degli stessi perché li proteggono sia dal furto del server/supporto sia dagli interventi di terzi per riparazione dei server o sostituzione degli hard disk.
I dati nei server e nei database sono oggetto di back up giornaliero automatico. I back up vengono conservati per un mese nel data center e allo stesso tempo trasferiti in una sede diversa per garantire i dati dalla loro perdita a seguito di disastri o eventi naturali che possono distruggere parzialmente o totalmente il data center in cui risiedono.
Per garantire la business continuity, i dati sopracitati sono anche salvati in backup criptati su un altro server in cloud, nello specifico in un data center a Seattle (Washington, USA).
I backup sono organizzati in maniera tale da garantire la separazione dei dati per ciascun cliente e sono criptati in maniera sicura, per garantire la massima confidenzialità dei dati.
L’incriptazione viene fatta con un algoritmo AES-256, un avanzato algoritmo di cifratura a blocchi chiamato AES-256 (Advanced Encryption Standard).
Tutti i back up vengono controllati e monitorati per verificarne il completamento.
Periodicamente vengono effettuati test di ripristino per verificare l’affidabilità del backup in caso di necessità.
I dati di tutti i nostri siti web e di alcuni dei siti web dei nostri clienti viaggiano su Internet tramite connessione criptata SSL (httpS://).
Il servizio di backup e restore è effettuato con CrashPlan for Small Business di Code42 Software, localizzato negli Stati Uniti d’America fuori dall’area dell’Unione Europea. Il trasferimento dei dati verso di questo è autorizzato sulla base dell’adozione di Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea e/o sul consenso dell’interessato.
Consenso
Il GDPR prevede che il titolare del trattamento debba essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.
Per noi questa è stata una funzionalità sempre garantita ai nostri clienti ed inclusa nelle applicazioni e progetti internet realizzati da edisfera, molto prima dell’entrata in vigore del Regolamento UE. Il consenso al trattamento dei dati nelle nostre applicazioni è sempre fornito attraverso:
- un sistema di conferma registrazione/iscrizione (double opt-in) implementato come standard sui form online con testi e messaggi facilmente configurabili;
- il salvataggio dei dati dell’interessato con la possibilità di gestirli (aggiornarli o cancellarli in tempo reale) e delle informazioni relative alla data e all’indirizzo IP di iscrizione;
- una funzionalità di esportazione dei dati in blocco con tutte le informazioni sopra citate.
I tempi di conservazione dei dati nei nostri sistemi sono limitati al tempo minimo necessario richiesto dal singolo cliente.
I nostri partner
Dove previsto, ci avvaliamo di fornitori di servizi/partner solo dopo aver verificato che possano fornire un adeguato livello di sicurezza, di privacy e precise garanzie sulla possibilità di gestire il trattamento dei dati secondo il GDPR.
Ad esempio, per la produzione di statistiche anonime e aggregate sull’uso dei siti, viene utilizzato il servizio Google Analytics di Google, localizzato negli Stati Uniti d’America fuori dall’area dell’Unione Europea. Il trasferimento dei dati verso di questo è autorizzato sulla base dell’adozione di Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea e/o sul consenso dell’interessato.
Il trasferimento dei dati verso di questo è autorizzato sulla base dell’adozione di Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea e/o sul consenso dell’interessato.