Protezione dei dati e sicurezza informatica

Si prega di inviare una mail all’indirizzo security@arkadia.tech con il maggior dettagli di informazioni ad esempio: URL in cui è stato rilevato il problema, Il nome della tua azienda e il nome utente interessati, Tipo di dati interessati, Informazioni sul dispositivo mobile/sistema operativo, Informazioni su come il problema può essere riprodotto.

Per prima cosa, tutti i dipendenti e collaboratori della nostra società sono vincolati alla segretezza dei dati e alla protezione dei dati in generale e sono informati delle conseguenze di qualsiasi violazione.
Inoltre, eseguiamo regolarmente programmi di formazione e sensibilizzazione in merito al trattamento dei dati personali, nonché alla protezione dei dati. Questi programmi includono anche nuove normative come il regolamento generale europeo sulla protezione dei dati (GDPR dell’UE).

Ci impegniamo per il continuo miglioramento dei processi e delle strutture che garantiscono la protezione dei dati e la sicurezza delle informazioni. Oltre a nominare regolarmente un responsabile della protezione dei dati e formare il personale, impieghiamo un responsabile interno della sicurezza informatica al fine di garantire che la sicurezza abbia la massima priorità in tutti i trattamenti e i processi interni.

Nell’improbabile eventualità di una violazione dei dati, se i dati personali di un cliente sono interessati e la violazione può comportare un rischio per i diritti e la libertà del personale del cliente, informiamo immediatamente il cliente interessato, in modo da consentire loro di adempiere al loro obbligo legale di informare l’autorità di regolamentazione e le persone interessate.

Sì, la protezione dei dati è un elemento integrante della nostra strategia di prodotto. Pertanto, anche nella fase di sviluppo delle nostre funzionalità rispettiamo attentamente principi come l’economia dei dati e utilizziamo misure all’avanguardia per garantire un livello di protezione adeguato. Inoltre, durante la preparazione per il GDPR dell’UE, abbiamo rivisto le impostazioni predefinite di tutte le applicazioni e le abbiamo adattate per fornire il massimo livello possibile di protezione dei dati, pur garantendo la facilità d’uso.
Le configurazioni sono generalmente tutte adattabili alle esigenze di ogni singolo cliente. Al fine di garantire costantemente ciò, abbiamo anche definito delle procedure atte ad alimentare i requisiti legali nel processo di sviluppo del prodotto su base continuativa e rivedere la domanda di conseguenza a intervalli prestabiliti.

Sì, tutti i dati personali che l’applicazione trasmette a un client o ad altre piattaforme devono essere crittografati utilizzando Transport Layer Security (TLS), in particolare HTTPS. Ciò richiede che venga stabilita una connessione sicura tra i due partner di comunicazione (client e server) prima che i dati possano essere trasmessi.

Utilizziamo i servizi di Aruba Cloud per l’hosting delle nostre soluzioni software (https://www.arubacloud.com/gdpr-data-protection-eu-regulation.aspx) . I data center utilizzati sono certificati ISO/IEC 27001 e soddisfano quindi i nostri elevati requisiti per la sicurezza fisica dei dati dei nostri clienti.

Come regola generale, né il personale dei data center né il personale Aruba ha accesso ai tuoi dati. Per quanto riguarda il nostro personale solo il nostro responsabile server e il nostro responsabile di prodotto posso accedere ai dati quando necessario. I diritti di accesso sono concessi in base alla necessità di sapere e documentati. Inoltre, viene registrato l’accesso ai sistemi dei clienti.

Sul lato server, utilizziamo un sistema di rilevamento delle intrusioni per monitorare parametri come voci di registro sospette, firme di rootkit e trojan noti, anomalie nel file system del dispositivo o classici attacchi di forza bruta. Questi parametri vengono scansionati per anomalie su base regolare. Nel caso in cui venga rilevata un’anomalia, il personale operativo e di sviluppo incaricato viene immediatamente informato in modo che possa prendere provvedimenti. Inoltre, lato applicativo, vengono registrate tutte le attività essenziali (in particolare le operazioni di modifica, cancellazione e aggiornamento) per poter provare su richiesta accessi non autorizzati e modifiche ai dati.

L’accesso è consentito esclusivamente tramite account utente personalizzati, ognuno dei quali è chiaramente assegnato a un individuo. La registrazione avviene con un nome utente e una password, quest’ultima deve essere modificata durante l’accesso iniziale in conformità con le linee guida sulla password sicura implementate nell’applicazione. Inoltre, consigliamo ai nostri clienti di utilizzare l’autenticazione a due fattori per ottenere un livello di protezione più elevato.

I diritti di accesso sono generalmente finalizzati a soddisfare i requisiti di cui all’art. 24 del GDPR dell’UE in materia di protezione dei dati per impostazione predefinita. Ciò significa che tutti i dipendenti con account utente appena creati non hanno diritti predefiniti oltre alla modifica del proprio profilo. Tu come cliente, tuttavia, puoi gestire la concessione dei diritti di accesso in base al tuo protocollo di autorizzazione individuale.

Ci concentriamo in particolare sulla progettazione geo ridondante dell’infrastruttura server in relazione ai dati produttivi e ai backup, nonché alla sicurezza fisica dei data center (ad es. una gestione continua della capacità per il monitoraggio delle risorse in uso e la distribuzione di quelle gratuite secondo necessità

Abbiamo implementato un concetto di backup per i dati e i documenti dei clienti archiviati nei propri data center secondo lo stato dell’arte al fine di garantire un’adeguata disponibilità. I backup dei sistemi di database vengono archiviati esclusivamente in forma crittografata. Ciò significa che non è necessario che il cliente esegua i propri backup. Vengono eseguiti test di ripristino regolari per garantire che i backup siano stati archiviati correttamente e possano essere ripristinati se necessario.

Nell’improbabile eventualità di un guasto totale del sistema, la struttura ridondante dei data center (dati produttivi e di backup) assicura che i tuoi dati non vadano persi. In questo caso, garantiremo il ripristino più rapido possibile in conformità con il nostro concetto di ripristino di emergenza.

Il cliente è e rimane titolare e responsabile del trattamento dei dati ai sensi dell’art. 24 GDPR UE. In particolare, ciò significa che il cliente è responsabile del rispetto dei diritti degli interessati (capitolo 3 del GDPR dell’UE). I nostri software sono atti all’elaborazione delle informazioni e in tale veste elabora i tuoi dati esclusivamente su tua istruzione e per le finalità stabilite nell’accordo sul trattamento dei dati.

Al termine del rapporto commerciale, le persone autorizzate dal cliente possono richiedere la consegna dei dati in un formato leggibile da una macchina. Trascorsi 30 giorni dalla cessazione del contratto, i dati saranno quindi irrecuperabili cancellati. Nell’improbabile eventualità che DataRete Cloud cessi l’attività, questa procedura rimane in linea di principio invariata, in quanto il cliente è il proprietario dei dati.

Per prima cosa, eseguiamo audit delle nostre procedure e del nostro prodotto a intervalli regolari, generalmente una volta all’anno, in linea con i requisiti legali sulla protezione dei dati. I risultati di questi audit vengono quindi utilizzati per intraprendere azioni specifiche per sviluppare ulteriormente la nostra documentazione, processi, strutture e/o funzionalità, nonché i nostri processi tecnici e organizzativi.

Eseguiamo scansioni di vulnerabilità interne a intervalli regolari per testare la nostra applicazione e infrastruttura. Inoltre, assumiamo regolarmente un fornitore di servizi esterno per eseguire test di penetrazione per esaminare i nostri sistemi e le nostre applicazioni alla ricerca di errori e punti deboli.