Descrizione della sicurezza

Descrizione della sicurezza dei server e dei data server utilizzati da Apprix Oy

Informazioni generali

I data server utilizzati da Apprix Oy sono i data server di Hetzner Online GmbH che sono situati nei pressi di Helsinki, in Finlandia.

Hetzner è uno dei principali fornitori di servizi hosting in Europa.

I Server

Il Server Center è certificato secondo lo standard ISO/IEC 27001

Protezione fisica:

• Ambiente server ad alta sicurezza,
• Include, ad esempio: videosorveglianza, controllo elettronico degli accessi, raffreddamento, alimentazione di backup.

Sicurezza della rete dati:

• Connessioni multilivello sicure

Sicurezza dei server:

• Prevenzione degli attacchi DDoS (Distribuided Denial of Service)
• Firewall
  • Sono aperte solo porte accuratamente selezionate
  • Restrizioni IP in uso
• Identificazione delle vulnerabilità
• Prevenzione delle intrusioni
• Antivirus
• Prevenzione di intrusioni nei database (es. SQL injection)

Aggiornamenti del software dei server:

• Aggiornamenti automatici
• Server certificati secondo lo standard di sicurezza “Common Criteria EAL2”
• Processi e ruoli definiti per gli aggiornamenti regolari dei server

Gestione dei server:

• Gestione server centralizzata
• Accesso alla manutenzione del server solo tramite connessione VPN.
• Connessioni SSH/TSL protette dei server utilizzati dagli amministratori designati da Apprix Oy
• Controlli regolari delle prestazioni dei server in stile Heartbeat

Software implementato da Apprix Oy

Sicurezza della trasmissione dei dati

• Tutto il traffico che attraversa l’interfaccia web è crittografato (https, SHA-256).
• La crittografia viene utilizzata anche per tutte le altre trasmissioni dati nei server.

Backup e ripristino dei dati

• Tutto il codice del programma è memorizzato nella versione di controllo, da dove può essere ripristinato alla versione più recente o precedente.
• Il backup del database e del server dove sono memorizzate le applicazioni viene eseguito automaticamente una volta al giorno
  • I dati sono conservati per 7 giorni.
  • Inoltre, viene conservato un backup mensile.
• Copie dei dischi del server sincronizzati dalla IAAS, da cui è possibile avviare rapidamente un nuovo server identico, ad esempio in caso di errore hardware.
• Backup manuale facile da implementare.
• Il recupero dei dati viene testato regolarmente su base trimestrale.

Service Portability

• Se concordato, il servizio può essere installato (database e software) su un nuovo server compatibile

Ubicazione delle informazioni dei servizi, includono: dati personali e restrizioni di trasferimento

• Il servizio e le sue informazioni, vedi ad esempio i dati personali, si trovano nella sala computer di Hetzner Ag in Finlandia.
• La direttiva GDPR è applicata
  • I dati non saranno comunicati al di fuori dell’UE in nessun momento del loro trattamento, manutenzione o trasferimento.

Cancellazione dei dati

• I dati verranno eliminati dal system server e dai server di backup al termine del contratto.

Audit per la sicurezza delle attività

• L’audit per la sicurezza delle attività è gestito da un organismo professionale esterno.

Gestione dei servizi, utenti, ruoli e responsabilità

• L’amministratore principale è la persona responsabile del servizio assegnata da Apprix Oy.
  • L’amministratore principale ha il diritto di accedere e gestire tutte le sezioni e i dati del servizio.
• Gli amministratori del cliente hanno accesso a tutte le sezioni e le informazioni che sono state create per loro.
• Gli amministratori possono concedere un accesso limitato al sistema, basato sui ruoli, tramite le funzioni di controllo degli accessi.
  • Tutte le credenziali sono personali, le credenziali condivise non sono utilizzate.
• Tutti i sistemi dispongono di un controllo degli accessi basato sulla password di ogni utente.

Accordi relativi alla sicurezza

Accordo di riservatezza (NDA)

• Tra Apprix Oy ed il cliente viene stipulato l’obbligo reciproco di riservatezza delle informazioni
• Ogni dipendente di Apprix, (dipendenti interni e subappaltatori) che gestisce le informazioni dei clienti, ha firmato un contratto di NDA (Non-Disclosure Agreement).

Accordo per il trattamento dei dati personali (DPA)

• Per quanto riguarda i dati personali, siamo tenuti ad osservare il regolamento europeo sulla protezione dei dati (GDPR).
• Un accordo DPA è in vigore tra Apprix Oy e Hetzner Online GmbH.
• Qualora si elaborino dati personali, accordi DPA verranno stipulati con il cliente.

Accordo sul livello di servizio (SLA)

• L’accordo sul livello di servizio stipulato tra Apprix Oy ed il cliente definisce il livello di supporto (ad es. tempi di risposta in situazioni eccezionali) e fissa i livelli target SLA.