Contributo ArzAdv per GDPR 2018

NOZIONI E BEST PRACTICE PER GESTIRE E PROTEGGERE I DATI PERSONALI E SENSIBILI


QUELLO CHE DEVI SAPERE SUI SITI WEB CREATI E MANTENUTI DA ARZADV

Protezione dei diritti personali dei soggetti interessati

  • Mantenimento e Backup dati su server – in modalità cifrata – tutti posizionati in territorio UE.
  • Gestione autonoma del contenuto pagine Privacy e Cookies
  • Aggiornamento dei dati ed eventuale eliminazione permanente

Crittografia

  • Comunicazione client server con crittografia Https
  • Dati log criptati e separati
  • Documenti protetti con password

Controllo degli accessi

  • Autenticazione con password
  • Autenticazione personale con profilazione per ruoli
  • Password sicura con lunghezza minima di almeno 8 caratteri, contenente lettere maiuscole, minuscole ed almeno un numero
  • L’autenticazione è personale e nominativa, avviene mediante invio di email contenente token di riconoscimento univoco per l’attivazione e l’inserimento della prima password. La parola chiave / password deve avere una lunghezza di almeno 8 caratteri ed è obbligatoriamente modificata dall’operatore al primo utilizzo.

Tracciabilità

  • Gestione versioning con registrazione log su singole attività
  • Geolocalizzazione accessi mediante IP

Archiviazione

  • Le componenti chiave dell’infrastruttura e del database vengono replicate ogni 5 minuti su strutture di disaster recovery. I dati, crittografati all’origine, vengono salvati con cadenza giornaliera in data center geograficamente distanti tra loro al fine di garantire la sopravvivenza anche in caso di eventi naturali imprevisti.

Manutenzione

  • Tutto il software presente sui server viene settimanalmente aggiornato alla versione più recente (se necessario). Questo include sistema operativo, applicazioni di sistema, framework e plugin di terze parti. Inoltre, i vari script proprietari vengono sistematicamente revisionati, al fine di eliminare bug e vulnerabilità.

Backup

  • I backup completi vengono effettuati quotidianamente alle 01:00 UTC. I dati sono archiviati in automatico e geo-replicati tra due data center distanti centinaia di chilometri per evitare la perdita anche in caso di calamità naturale.

Sistemi di memorizzazione

  • I server sono situati in Germania ed Olanda su macchine gestite da XTekLABS, che a sua volta utilizzerà il centro di calcolo della Hetzner Online GmbH. Le sale dati sono interconnesse con link multipli alla dorsale europea MPLS per garantire grandi larghezze di banda, ridotta latenza e massima disponibilità nelle comunicazioni. Il traffico internet è gestito da firewall, router e switch di classe enterprise per garantire un servizio di prim’ordine e per sopperire ad eventuali attacchi, anche DDOS. Tutti gli apparati sono ospitati presso sale dati blindate. I locali sono costantemente monitorati per garantire sicurezza ed operatività. La temperatura di esercizio viene mantenuta a 20 gradi. L’alimentazione viene erogata da centrali energetiche dotate di gruppi statici e generatori diesel. L’accesso alle sale dati e’ possibile solo previa richiesta al NOC, ogni accesso viene validato tramite chiavi transponder ed ogni operatore viene scortato da guardie che presidiano le sale dati. I server, unicamente di segmento high end, utilizzano componenti di ultima generazione, dischi a stato solido in versione datacenter, alimentazioni e ventilazioni ridondate.

SICUREZZA DEI DATI IN AZIENDA
7 PASSI PER APPROCCIARSI ALLA NORMATIVA GDPR…A PRESCINDERE DA ARZADV

Nota: ArzAdv deposita tutti i dati delle aziende clienti su server sicuri, posizionati all’interno di un Centro di Calcolo e gestito attraverso un sistema operativo praticamente immune ai virus e costantemente aggiornato da esperti, senza che lo studio debba preoccuparsi di nulla.  I seguenti consigli riguardano hardware, software e dati ospitati sui terminali e non su ArzAdv.

  1. Imposta password sicure
    I Sistemi Operativi, tra i quali i più utilizzati sono Windows e MacOS, offrono la possibilità di impostare una password di accesso iniziale, che verrà poi richiesta tutte le volte che si accende il computer. Per noncuranza o pigrizia, molti saltano questa procedura standard, permettendo così a chiunque di accedere ai dati presenti sul computer, compresi i dati dei clienti. Impostare una password sicura di accesso al computer è il primo passo per avere un controllo dell’accesso ai dati personali dei clienti e dell’azienda. LEGGI I CONSIGLI DELLA POLIZIA POSTALE
  2. Installa un antivirus efficace
    La soluzione più semplice è installare un buon antivirus nel pc, così da impedire a gran parte dei virus di insinuarsi nel proprio computer e interagire con i dati dei clieniti, nonché di controllare il dispositivo stesso. Riportiamo una tabella comparativa dei migliori antivirus secondo AV-Test, rinomata società indipendente di testing degli antivirus.
  3. Aggiorna il sistema operativo
    E’ molto frequente che, a distanza di anni dall’acquisto del pc, inizino a presentarsi alcuni problemi nell’utilizzo quotidiano. La causa principale dei problemi più comuni è il mancato aggiornamento del sistema operativo: un sistema operativo troppo vecchio espone ad elevato rischio di sicurezza il computer, poiché non riesce a rispettare i requisiti minimi imposti dai programmi e da alcuni dispositivi esterni al pc. AGGIORNA IL SISTEMA OPERATIVO! Un sistema operativo obsoleto può trasformarsi in una vera e propria trappola per un azieda, per questo motivo è consigliabile acquistare la versione più recente ed effettuare costantemente tutti gli aggiornamenti richiesti.
  4. Mantieni l’hardware aggiornato
    Gestire i dati dei clienti con un computer molto vecchio significa appunto disporre di componenti altrettanto vecchi che subiscono gli effetti del tempo. I computer di vecchia generazione dispongono di hard disk meccanici, che negli anni possono accusare segni di usura e malfunzionamenti.
  5. Fai backup periodici
    Conservare i dati nell’hard disk del pc, sul server interno oppure su dispositivi di archiviazione esterni è pratico e veloce: si risparmia moltissimo spazio fisico rispetto ad armadi pieni di faldoni, è più semplice spostare e trasmettere fatture e preventivi a clienti e collaboratori. Tuttavia, quanti sono le aziende che si ricordano di creare delle copie di sicurezza dei dati dei clienti e dei fornitori? Fare un backup dei dati è un’attività troppo spesso sottovalutata, eppure ritrovarsi senza nessuna copia di sicurezza è una situazione imbarazzante e difficile da gestire in caso di perdita di dati.
  6. Controlla l’accesso ai software
    Indipendentemente dal tipo di gestione utilizzata, sia essa digitale o cartacea, c’è una questione che viene spesso sottovalutata ma che, in realtà, è di fondamentale importanza: chi controlla l’accesso ai dati? Controllare l’accesso ai dati significa che ogni collaboratore può accedere solo ai dati relativi alle sue mansioni e non a tutti gli altri. Controllare l’accesso ai dati, inoltre, significa registrare ogni singola attività svolta sui dati, in modo da poter risalire, in un secondo momento, al collaboratore che ha effettuato una specifica modifica, che ha aggiunto o cancellato uno specifico dato, ecc.
  7. Richiedi il download libero dei dati
    Molti software gestionali e siti web non permettono di scaricare i file gestiti per utilizzarli all’esterno del software o per spostarli su un nuovo software, aggiungendo limitazioni al download (ad esempio cifrando i dati scaricati) e chiedendo un pagamento per togliere queste limitazioni. Per ovviare a queste limitazioni, l’azienda deve optare per un software che permetta il download di tutti i dati principali in qualunque momento e per qualsiasi necessità.

Per approfondire l’argomento qui il sito del Garante della Privacy.

Richiedi maggiori informazioni sul servizio GDPR CHECK UP ARZADV

Email: info@arzadv.com

Telefono: +39 0541 22899