MISURE DI SICUREZZA GLE HOLDING S.R.L (EX ART. 32 G.D.P.R.)
INDICE DEGLI ARGOMENTI
INFORMAZIONI DOCUMENTO
SCOPO E AMBITO DI APPLICAZIONE
- INVENTARIO DISPOSITIVI E SOFTWARE
- PROTEZIONE DA MALWARE
- FORMAZIONE
- PROTEZIONE DEI DATI
- PROTEZIONE DELLE RETI
- PREVENZIONE E MITIGAZIONE
- PRIVACY BY DESIGN
INFORMAZIONI DOCUMENTO
DOCUMENTO | VERSIONE | ULTIMO AGGIORNAMENTO |
Misure di Sicurezza 32 GDPR – GLE Holding S.r.l. | 2.0 | 12/03/2024 |
REDAZIONE E VERIFICA | Avv. Andrea Baldrati |
APPROVAZIONE | Marco Morri (Amministratore di Sistema) |
ULTIME REVISIONI | |
DATA | DESCRIZIONE |
23.02.2021 | Prima versione approvata |
20.03.2022 | Aggiornamento alla prima versione |
24.03.2024 | Seconda versione approvata |
SCOPO E AMBITO DI APPLICAZIONE
Il presente documento è suddiviso in 7 aree di controllo Cybersecurity e Data Protection allo scopo di ridurre il numero di vulnerabilità presenti nei sistemi e nei processi organizzativi dell’azienda titolare. All’interno di ogni area sono elencati una serie di misure di sicurezza adottate per la specifica realtà aziendale.
FONTI
- Guidelines for SMEs on the security of personal data processing – Dicembre 2016 – ENISA
- 2016 Italian Cybersecurity Report – Controlli Essenziali di Cybersecurity – Marzo 2017 – CIS SAPIENZA Università di Roma;
- Framework Nazionale per la Cybersecurity e la Data Protection – Febbraio 2019 – CIS SAPIENZA Università di Roma;
- Digital Identity Guidelines: Authentication and Lifecycle Management – Febbraio 2020 – NIST 800-63B
- Guidelines for Managing the Security of Mobile Devices in the Enterprise – Marzo 2020 – NIST 800-124
- INVENTARIO DISPOSITIVI, SOFTWARE E DATI
- Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software in uso all’interno del perimetro aziendale. A questo LINK è possibile consultare un inventario dei dispositivi aziendali.
- I servizi web I servizi web offerti da terze parti (a cui si è registrati) sono quelli strettamente necessari. Si precisa che, per i servizi con data center in USA, si è verificata la loro presenza all’interno della lista del Data Privacy Framework USA-UE, che certifica la loro conformità per il trasferimento dati extra UE. Nello specifico la società si serve dei seguenti tool digitali:
Nome Prodotto | Funzione | Data Center |
Calendly | Sales – Prenotazioni Call | USA (DPF) |
Make / Integromat | Sales – Integrazione tra prodotto e commerciali | Germania |
Zapier | Sales – Integrazione tra prodotto e commerciali | USA (DPF) |
Hubspot | Sales – CRM commerciale | USA (DPF) |
Google Cloud Server | Prodotto – Server in cloud | USA (DPF) |
BROWSERLESS | Prodotto – Realizzazione file pdf export e moduli Golee Manager | USA (DPF) |
Frill | Prodotto – Raccolta idee clienti e pubblicazione sviluppi | Australia con hosting AWS (DPF) |
Stripe | Prodotto – Pagamenti Golee Membership e Golee Pay | USA (DPF) |
Twilio | Prodotto – Invio Mail di sistema | USA (DPF) |
Brevo | Prodotto – Invio Mail di sistema | Francia con hosting Kinsta Inc. – USA (DPF) |
MongoDB | Prodotto – Database | USA (DPF) |
Auth0 Prod | Prodotto – Autenticazione Utenti | USA (DPF) |
Mixpanel | Prodotto – Analytics | USA (DPF) |
Gsuite | Business – suite di Google per mail, storage e operatività interna | USA (DPF) |
- L’azienda, anche per mezzo della compilazione di un registro del trattamento (art. 30 GDPR), ha individuato i dati e le informazioni più rilevanti in relazione al proprio business. In tal senso, i trattamenti di dati personali sono identificati e catalogati.
- A seguito di un Risk Assessment effettuato sulla base delle Linee Guida emesse dal WP29 (ora EDPB – European Data Protection Board), e in costante aggiornamento in relazione a nuovi servizi e sviluppi aziendali, la società ha individuato i trattamenti più rischiosi, mettendo in atto adeguate misure tecniche e organizzative.
- PROTEZIONE DA MALWARE
- Tutti i dispositivi aziendali sono dotati di software di protezione regolarmente aggiornati e disposti su più livelli.
- È pianificata la dismissione dei software che viene gestita direttamente dal Team tecnico di Golee.
- La posta elettronica aziendale è dotata di strumenti antispam/antivirus di adeguata efficacia.
- FORMAZIONE
- L’azienda ha dato mandato al DPO di organizzare incontri formativi rivolti al personale perché venga adeguatamente sensibilizzato sul corretto trattamento dei dati personali e sulle procedure da adottare per un loro impiego sicuro.
- PROTEZIONE DEI DATI
- Sulla configurazione iniziale di tutti i dispositivi IT è svolta dai referenti interni di competenza.
- Sono eseguiti back-up giornalieri e incrementali e back-up in cloud.
- I backup del database sono di tipo snapshot e conservati da Mongodb Atlas. Si tratta di uno storage snapshot che non consuma spazio al momento della creazione. È solo una copia dei metadati che contengono informazioni sui dati acquisiti. L’elemento di diversificazione tra uno storage snapshot e un backup è che lo snapshot risiede nella stessa posizione in cui si trovano i dati originali. Pertanto, dipende interamente dall’affidabilità della fonte. Nel caso specifico la fonte è rappresentata da Google Cloud, il quale garantisce – a sua volta – back-up cifrati.
- PROTEZIONE DELLE RETI
- Le reti e i sistemi sono protetti da accessi esterni non autorizzati attraverso strumenti specifici: firewall (hardware e software); intrusion detection-prevention system.
- Le reti wireless all’interno degli spazi di co-working in cui operano i dipendenti e collaboratori di Golee sono adeguatamente protette e configurate con algoritmo di protezione WPA2 e password complesse.
- L’accesso che viene eseguito tramite Internet è crittografato tramite protocolli crittografici (TLS/SSL)
- PREVENZIONE E MITIGAZIONE
- In caso di data breach è stato predisposto un apposito registro per annotare violazioni di dati personali trattati. Inoltre, vengono informati l’amministratore di sistema e il DPO per la gestione degli adempimenti necessari in caso di violazioni (messa in sicurezza dei sistemi, annotazione dell’evento su registro data breach, eventuale notifica all’Autorità Garante e/o agli interessati).
- Tutti i software in uso per l’operatività aziendale sono in modalità SaaS e, come tale sono aggiornati dal fornitore con regolarità. Lo stesso vale per l’eventuale dismissione di software obsoleti.
- L’autenticazione ai servizi SaaS avviene tramite misure di protezione Single Sign-on e accesso alle risorse necessarie rispetto alle mansioni del collaboratore e/o dipendente.
- PRIVACY BY DESIGN SVILUPPO SOFTWARE
- Sono previsti incontri periodici bisettimanali tra il DPO e l’Amministratore di Sistema per analizzare gli sviluppi del software e definire i processi in termini di privacy by design e by default.
- Ogni incontro viene verbalizzato e sono previste le azioni di conformità necessarie ai fini di accountability.