IT & Data Security Policy

Ultimo aggiornamento del 01/07/2024

Premessa

Ai sensi di quanto previsto dall’art. 32 del Reg. UE 2016/679 (di seguito, anche GDPR), Hubenture S.r.l. ha l’obbligo, sia che tratti dati personali in qualità di Titolare ovvero di Responsabile del trattamento, di adottare “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.

Il presente documento ha lo scopo di indicare le misure tecniche ed organizzative, strutturali e tecnologiche, che sono implementate da parte di Hubenture S.r.l. sul SaaS Utopia, dedicato alla gestione della compliance in materia di protezione dei dati personali, di cui al Reg. UE 2016/679 e al D.Lgs n. 196/2003 e s.m.i., al fine di garantire un adeguato livello di sicurezza e protezione dei dati personali conservati e trattati tramite l’applicativo.

SAAS UTOPIA

UTOPIA è la soluzione in cloud per adeguare il sistema di gestione della privacy delle organizzazioni al nuovo Regolamento Europeo 2016/679 sulla protezione dei dati personali.

Il SaaS è rivolo inoltre a consulenti, aziende private e pubbliche di qualsiasi dimensione in quanto fornisce un insieme di strumenti semplici da utilizzare per adempiere a tutti gli obblighi introdotti dal GDPR ed, in estrema sintesi, permette di:

Costruire il registro delle attività di trattamento
Generare le informative privacy
Eseguire il Data Protection Impact Assessment (DPIA)
Tracciare qualsiasi tipo di Data Breach
Tracciale le richieste di esercizio di un diritto da parte degli interessati

L’applicativo è disponibile per PC e tablet

Misure tecniche

Data Management

Hubenture S.r.l. si serve di datacenter ubicati esclusivamente in UE.

Tutti i servizi collegati ad Utopia funzionano nel cloud; Hubenture S.r.l. non gestisce in proprio router, sistemi di bilanciamento del carico, server DNS o server fisici.

Amazon Web Services

Il Data Center Amazon Web Services (di seguito, AWS), Fornitore/Responsabile del trattamento di Hubenture S.r.l., appartenente alla “Regione EU-west-1" è ubicato in Irlanda.

Per meglio comprendere il significato del termine “Regione”, secondo l’interpretazione data da AWS, si rimanda alla seguente link:

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html.

Per comodità di lettura, si riporta di seguito un estratto.

Attraverso la console del servizio EC2 di AWS, al quale fanno capo i server virtuali acquistati da Hubenture S.r.l. e utilizzati da quest’ultima per fornire i servizi relativi a Utopia, è possibile verificare in quale Regione l'ambiente venga eseguito.

AWS garantisce contrattualmente che i dati non vengono trasferiti dalla Regione di archiviazione prescelta attraverso la console di amministrazione in uso di Hubenture S.r.l.

Atlas – MongoDb

Il Data Center Atlas, Fornitore/Responsabile di Hubenture S.r.l. per la gestione dei Database MongoDB, è sito in Irlanda. (Region eu-west-1).

Le specifiche sulla sicurezza e protezione dei sistemi forniti da Atlas sono consultabili all’indirizzo:

https://www.mongodb.com/security

Heroku

Le specifiche sulla sicurezza e protezione dei sistemi forniti da Heroku, quale Cloud Application Platform per lo sviluppo ed il mantenimento di Utopia, sono consultabili all’indirizzo:

https://www.heroku.com/policy/security

Stripe

Le specifiche sulla sicurezza e protezione dei sistemi forniti da Stripe, quale fornitore dei sistemi di elaborazione dei pagamenti per l’acquisto del SaaS attraverso il sito web utopiathesoftware.com, sono consultabili all’indirizzo:

https://stripe.com/docs/security

Data storage

I dati personali e le informazioni inserite in Utopia vengono trascritte all’interno di un Database MongoDB, ospitato in una infrastruttura AWS in UE.

Up-Time garantito

L’up-time garantito dall’applicativo mediante le misure predisposte dai propri fornitori di servizi strategici all’erogazione del software è pari al 99,98%. Da tale percentuale deve essere escluso il tempo necessario alle interruzioni programmate del servizio volte al rilascio di nuove feature, correzioni di malfunzionamenti e ottimizzazioni del sistema.

Auditing & Penetration Test

Hubenture S.r.l., quale sviluppatore di Utopia:
- a cadenza almeno annuale, da mandato ad una terza parte di eseguire una specifica attività di Vulnerability Assessment & Penetration Test. A richiesta del licenziatario, Hubenture S.r.l. può fornire un estratto dell’ultimo report con i risultati del test di VA/PT effettuato su Utopia.
- ‍anche quale Responsabile del trattamento, accetta, così come previsto dall’art. 28, par. 3 lett. h) e 3, GDPR, l’eventuale esecuzione da parte dei licenziatari di Utopia di ispezioni e di audit, riservandosi di verificare caso per caso la praticabilità e/o ragionevolezza degli stessi.‍
Amazon Web Services disciplina le modalità per la praticabilità di Penetration Test: http://aws.amazon.com/security/penetration-testing/

Inoltre, il servizio di sicurezza previsto da AWS invia a Hubenture S.r.l., attraverso un sistema di alert, qualsiasi tentativo non autorizzato di intrusione.

Policy per l’estrazione dei dati dall’applicativo

Sulla base delle logiche con le quali Utopia è stata sviluppato, sono state create specifiche funzionalità all’interno del software per l’estrazione, in qualsiasi momento, di informazioni e documenti contenuti nell’applicativo.

L’estrazione di dati e informazioni dall’applicativo è una operazione sottoposta a logging.

Log Access attività utenti

Ogni azione eseguita dall'Utente all’interno di Utopia è registrata attraverso un sistema di logging.

Le azioni che vengono registrate sono:

Login / Logout utente
Inserimento nuovo elemento
Modifica elemento esistente
Cancellazione elemento esistente

Cancellazione dei dati e informazioni

Singoli dati o informazioni

La cancellazione di specifiche informazioni o dati da parte dell’Utente attraverso le funzionalità previste dall’applicativo, non è una cancellazione definitiva perché è una operazione reversibile tramite intervento tecnico di Hubenture S.r.l.: tale intervento soggiace a determinate condizioni.

Database

La cancellazione dell’intera base di dati, strutturata e non strutturata, può essere eseguita autonomamente da parte del licenziatario attraverso la funzione “Distruggi Dominio” all’interno del SaaS.

Hubenture S.r.l. prevede ulteriori procedure interne per una eventuale estrazione o cancellazione di dati e informazioni dall’applicativo.

Restituzione dei dati e informazioni

Per quanto attiene ai dati in formato strutturato, il licenziatario ha la possibilità in qualsiasi momento di utilizzare la funzione di download prevista nel SaaS.

Al termine del rapporto contrattuale con Hubenture S.r.l., per qualsiasi causa intervenuto, i dati strutturati sono memorizzati all’interno di un database MongoDB nel formato nativo previsto da tale applicativo per un periodo di 90 (novanta) giorni.

I dati, ancorché gestiti da Hubenture S.r.l., sono e rimangono di esclusiva proprietà e titolarità del licenziatario che ne può richiedere la restituzione in un formato di uso comune.

Access Policy

Accesso al portale web

La policy di accesso ad Utopia ed ai dati ivi contenuti è stringente:

Credenziali univoche e password complesse;
Blocco temporaneo account utente a seguito di 3 tentativi di accesso;
Scadenza della password dopo inattività di 6 mesi.

Accesso da parte di Dilaxia all’ambiente ove sono conservati i dati

La policy di accesso ad Utopia da parte del personale tecnico di Hubenture S.r.l. è altrettanto stringente:

Ai server che gestiscono l’applicazione si accede unicamente dall’IP pubblico di Hubenture S.r.l., associato alla connettività locale dell’Azienda;
Per accedere alla base dati, bisogna autenticarsi tramite credenziali personali di accesso.
Elencazione dei System & Database Admin per il personale con tale funzione, con revisione periodica delle autorizzazioni e permessi.

L’accesso da parte del personale tecnico di Hubenture S.r.l. avviene attraverso un sistema di autenticazione a due fattori.

Amministratori di sistema

Le utenze amministrative (System & Database Administrator) sono gestite da parte di Hubenture S.r.l. in ossequio alle prescrizioni imposta dal Provvedimento 27 novembre 2008 del Garante per la Protezione dei Dati Personali e s.m.i., con particolare riferimento all'individuazione, qualificazione e designazione scritta dei singoli Amministratori di Sistema e Database e all’assegnazione univoca e sicura di credenziali di autenticazione complesse.

Hubenture S.r.l. è disponibile a fornire un elenco aggiornato dei propri Amministratori di Sistema e Database di Utopia.

Log Access di Hubenture

L’attività degli Amministratori di Sistema e Database di Hubenture S.r.l. è tracciata tramite sistema di Access Log, con le seguenti caratteristiche:

Completezza
Inalterabilità
Integrità con possibile verifica ex post
Riferimenti temporali (timestamp) e descrizione sintetica dell’evento (log-in e log-out, success or failed).

Backup & Disaster Recovery Policy

Il Piano di Backup di Utopia prevede:

Backup Continuo

Tempo di Conservazione (Retention Time): 4 settimane
‍RPO (Recovery Point Objective): 1 minuto
‍Regione Primaria: EU-West-1
‍Regione Secondaria: questo backup non è ridondato su una regione secondaria

Questo tipo di backup viene effettuato continuamente e i dati vengono conservati per 4 settimane. L'obiettivo è di avere una copia molto recente dei dati, con un RPO di soli 60 secondi. La regione unica per questo backup è EU-West-1.

Backup Giornaliero

Tempo di Conservazione (Retention Time): 4 settimane
‍RPO (Recovery Point Objective): 24 ore
‍Regione Primaria: EU-West-1
‍Regione Secondaria: EU-Central-1

Questo tipo di backup viene effettuato ogni giorno e i dati vengono conservati per quattro settimane. L'obiettivo è di avere una copia giornaliera dei dati, con un RPO di 24 ore. Le copie dei dati sono presenti sia nella regione primaria (EU-West-1) che in una regione secondaria (EU-Central-1) per garantire il disaster recovery.

Backup Mensile

Tempo di Conservazione (Retention Time): 12 mesi
‍RPO (Recovery Point Objective): 1 mese
‍Regione Primaria: EU-West-1
‍Regione Secondaria: EU-Central-1

Questo tipo di backup viene effettuato mensilmente e i dati vengono conservati per 12 mesi. L'obiettivo è di avere una copia mensile dei dati, con un RPO di 1 mese. Le copie dei dati sono presenti sia nella regione primaria (EU-West-1) che in una regione secondaria (EU-Central-1) per garantire il disaster recovery.

‍

Misure organizzative

Il ruolo di Hubenture

HUBENTURE S.R.L., quale soggetto che ha ingegnerizzato di Utopia, in conseguenza delle attività di sviluppo e manutenzione effettuate sull’applicativo, agisce in qualità di responsabile del trattamento, così come previsto dall’art. 28 del Reg. UE 2016/679, per conto del licenziatario del SaaS.

Il licenziatario di Utopia può essere qualificato autonomo titolare del trattamento, ai sensi dell’art. 4 par. 1 n. 7, del Reg. UE 1026/679, dei dati personali trattati per la gestione degli obblighi derivanti dalla normativa applicabile in materia ovvero può essere inquadrato quale (primo o altro) responsabile del trattamento per conto di diversi e autonomi titolari del trattamento (ci si riferisce, ad esempio, al caso di un consulente che utilizza Utopia per le proprie organizzazioni clienti). In questo caso, Hubenture S.r.l. ricopre la qualifica di altro (Sub-)Responsabile del trattamento dei dati personali, ai sensi e per gli effetti dell’art. 28, par. 4, Reg. UE 2016/679, trattati dal licenziatario per conto del titolare del trattamento.

Hubenture S.r.l., sebbene non abbia alcuna titolarità dei dati trattati attraverso il SaaS, quale responsabile o altro responsabile del trattamento ex art. 28 Reg. UE 2016/679, è in grado di garantire che l’applicativo sia tecnicamente adeguato al rispetto dei requisiti di sicurezza e protezione stabiliti dalla normativa applicabile in materia di protezione di dati personali, comunitaria e nazionale, e che sull’applicativo siano implementate adeguate tecnologie di protezione, fisiche e logiche, dei dati ivi contenuti.

Compliance del SaaS Utopia

Utopia è conforme alla normativa in materia di protezione dei dati personali di cui al Regolamento UE 2016/679 e al D.Lgs n. 196/2003 e s.m.i., nonché - nello specifico - ai principi di privacy by design e by default rispetto alla:

Adeguatezza, pertinenza e minimizzazione delle informazioni richieste;
Gestione profilata degli utenti e controllo degli accessi;
Salvataggio e backup dei dati;
Adeguatezza delle misure di sicurezza, tecniche ed organizzative, ex art. 32 Reg. UE 2016/679.

Registro Pubblico del Software presso SIAE

Utopia è registrato presso il Registro Pubblico Speciale per i Programmi per Elaboratore istituito presso la Società Italiana degli Autori ed Editori (SIAE).

ISO 9001:2015 e ISO 27001:2022

Hubenture S.r.l., alla data del presente documento, è certificata ISO 9001:2015 e ISO 27001:2022 nei seguenti campi di applicazione:

Progettazione e sviluppo di soluzioni software.
Erogazione prodotti in ambito software.
Fornitura di prodotti software ed erogazione di servizi in modalità Cloud.

Estensioni ISO 27017 e ISO 27018

Hubenture S.r.l., alla data del presente documento, è certificata ISO 27017 e ISO 27018 nel seguente campo di applicazione:

Fornitura di prodotti software ed erogazione di servizi in modalità Cloud. (IAF33)

Agenzia per la Cybersicurezza Nazionale (ACN)

Hubenture S.r.l., alla data del presente documento, ha in corso il rinnovo della certificazione ACN.

Modello Organizzativo Privacy di Hubenture

In aggiunte alle misure organizzative a protezione dei dati personali trattati quali, a titolo esemplificativo ma non esaustivo, redazione del Registro delle attività di trattamento, sottoscrizione Data processing Agreement con responsabili e profili autorizzativi con il personale tecnico, così come stabilite dalla normativa applicabile in materia, Hubenture S.r.l. ha adottato le seguenti ulteriori misure:‍

Team Compliance

Hubenture S.r.l. usufruisce di figure professionali specializzate in ambito giuridico ed informatico che formano il Team Legal, Privacy & Compliance di Dilaxia S.p.A.

Il Team può essere contattato scrivendo a [email protected]

Data Protection Officer

Hubenture S.r.l., al fine di sorvegliare sull’osservanza del rispetto dei principi sulla protezione dei dati personali nei propri processi di trattamento di dati personali in Azienda, ha ritenuto strategico dotarsi di un Data Protection Officer, con le competenze di cui agli artt. 37 e seg. Reg. UE 2016/679.

Il DPO del Gruppo Dilaxia è contattabile all’indirizzo [email protected]

Diritti degli interessati

Hubenture S.r.l. è in grado di gestire e riscontrare, nei termini previsti dalla normativa applicabile in materia di protezione dei dati personali, le richieste che dovessero prevenire dagli interessati coinvolti nel trattamento dei dati personali.

È stato implementato un canale di comunicazione dedicato: [email protected]

Responsabili di Hubenture

Hubenture S.r.l. si serve dei servizi di:

Amazon (Amazon Web Services).
‍Atlas (Mongo DataBase)
‍Heroku (Cloud Application Platform)
‍Fornitori esterni, per lo sviluppo di determinate funzionalità limitate a particolari sezioni dell’applicativo (eventuale).

Ogni fornitore di servizi è stato qualificato quale Responsabile/Sub-Responsabile del trattamento, ai sensi e per gli effetti dell’art. 28 del Reg. UE 2016/679, attraverso la sottoscrizione di specifici accordi (Data Processing Agreement).

Breach Management

Responsabilità sui dati personali trattati

Il modello di responsabilità per le soluzioni basate sui servizi AWS è il seguente:

Immagine che contiene screenshotDescrizione generata automaticamente — *http://aws.amazon.com/compliance/data-privacy-faq/*

In estrema sintesi:

Il licenziatario di Utopia è responsabile del primo strato: “Customer Data”, pertanto è l’utilizzatore del tool che deve garantire la genuinità del dato personale e/o particolare inserito e poi conservato in Utopia;
Hubenture S.r.l. è responsabile per i sottostanti strati blu: Platform, Applications (Logic and Storage), Operating System, Encryption, Network Traffic Protection,
AWS, Sub-Responsabile, è responsabile degli strati arancioni: compute, storage, database, networking, global infrastructure.

Quali sono le procedure di notifica degli incidenti di sicurezza di AWS?

AWS informa attraverso la Service Health Dashboard delle eventuali interruzioni temporanee di servizio o perdita di dati (https://status.aws.amazon.com/#EU_block).

Hubenture S.r.l. ha inoltre sottoscritto il relativo feed RSS che la informa delle eventuali interruzioni di servizio o perdita di dati sulla zona di riferimento, in modo attivo.

Quali sono le procedure di comunicazione del data breach da parte di Hubenture?

Hubenture S.r.l., nel proprio ruolo di Responsabile o Sub-Responsabile del trattamento dei dati personali, ha l’obbligo di informare senza indebito ritardo il Titolare o il Responsabile del trattamento dopo essere venuto a conoscenza di un evento di violazione dei dati personali.

Hubenture S.r.l., al fine di garantire una tempestiva gestione di ogni eventuale evento di violazione di sicurezza sui dati personali trattati, ha implementato specifiche politiche interne e procedure operative.

Qui di seguito si riporta brevemente una sintesi della procedura di Data Breach Management attualmente adottata da Hubenture S.r.l.:

‍Operazioni preliminari

Hubenture S.r.l. ha individuato nel Team Privacy di Dilaxia S.p.A. quale Responsabile deputato alla gestione delle Violazioni dei dati personali (Data Breach) - [email protected]

Per Data Breach o Violazione dei Dati Personali si intende una “violazione di sicurezza che comporta - accidentalmente o in modo illecito - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.

Hubenture S.r.l. ha istruito il personale dipendente che, ogni qualvolta si presenti il sospetto che si sia verificata una violazione di dati, deve tempestivamente inoltrare una segnalazione al Team di lavoro dedicato alla gestione dell’evento.

Qui di seguito, a titolo esemplificativo ma non esaustivo, vengono illustrate le principali casistiche di Data Breach:

l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
il furto o la perdita di dispositivi informatici contenenti dati personali;
la deliberata alterazione di dati personali;
l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
la divulgazione non autorizzata dei dati personali.
Sospetto di accesso non autorizzato nel proprio PC
Comportamento anomalo del proprio PC o dispositivo informatico

‍Operazioni procedurali

Il Team, ricevuta la segnalazione, valuta preliminarmente se la segnalazione possa avere i contorni e le caratteristiche di una violazione dei dati personali trattati da Hubenture S.r.l.

Il Team in caso l’indagine preliminare dia esito negativo può chiudere la procedura.

Nel caso in cui l’evento possegga le caratteristiche di un Data Breach, deve procedere come segue:

Coinvolgere il Responsabile di funzione avviando un’analisi finalizzata alla raccolta delle informazioni concernenti l'incidente, all’uopo utilizzando la “Scheda Evento Data Breach”, contenente tutte le informazioni necessarie all’analisi.
Coinvolgere il Data Protection Officer
Il Team, analizzato l’evento, produce una relazione sulle conseguenze del Breach evidenziando all’interno del documento le azioni correttive e/o migliorative che verranno intraprese.
Il Team dovrà annotare l’evento all’interno del Registro delle violazioni, ex art. 33 GDPR.

Conclusioni

Hubenture S.r.l., società del Gruppo Dilaxia, attraverso l’implementazione delle su estese misure tecniche e organizzative, vuole garantire ai licenziatari dei propri software un elevato standard di sicurezza delle informazioni e protezione dei dati personali trattati attraverso i propri applicativi digitali.

Il presente documento esprime il livello di compliance e competitività di Hubenture S.r.l. e dei propri prodotti SaaS nel rispetto dei principi di accountability, privacy by design e by default di cui al Regolamento Europeo 2016/679 e al D.Lgs n. 196/2003 e s.m.i.