Valutazione del Rischi e Misure di sicurezza Piattaforma GDPR IusPrivacy

1. DEFINIZIONI

Al fine dell migliore comprensione delle misure di sicurezza di seguito sono descritte alcune definizioni:

• “Firewall”: Un firewall è un componente di sicurezza di rete che funge da barriera tra una rete interna o privata e una rete esterna o pubblica. Esamina il traffico di rete in entrata e in uscita e decide se consentire o bloccare determinate comunicazioni in base a un insieme di regole predefinite. Le regole del firewall specificano quali pacchetti di dati sono consentiti o rifiutati in base a criteri come indirizzi IP, porte, protocolli e altro; nella presente valutazione sono omessi la versione ed il nome del firewall utilizzati al fine di evitare la diffusione di potenziali informazioni preziose a terzi;
• Web Application Firewall (“WAF”): Un Web Application Firewall è un dispositivo o un'applicazione software che si trova tra un'applicazione web e il traffico di rete in ingresso. Il suo compito principale è rilevare, filtrare e bloccare minacce informatiche specifiche che mirano alle applicazioni web, come attacchi SQL injection, cross-site scripting (XSS), cross-site request forgery (CSRF) e altri; nella presente valutazione sono omessi la versione ed il nome del WAF utilizzati al fine di evitare la diffusione di potenziali informazioni preziose a terzi;
• Chiave di Cifratura: Per utilizzare l’algoritmo AES, è necessario specificare una chiave di cifratura. Questa chiave è una stringa segreta che viene utilizzata per crittografare e decrittografare i dati. È importante proteggere questa chiave con estrema cura poiché il suo accesso non autorizzato potrebbe compromettere la sicurezza dei dati.

2. MISURE PER ASSICURARE LA RISERVATEZZA DELLE INFORMAZIONI

• SPECIFICI RUOLI DI ACCESSO: l’accesso al Software è riservato esclusivamente al personale autorizzato (incaricati e responsabili al trattamento) in possesso di specifiche ed individuali credenziali di accesso anche mediante specifica designazione come previsto dalla normativa vigente in materia privacy;
• ACCESSO DEGLI AMMINISTRATORI DI SISTEMA: solo sempre tramite connessione protetta mediante protocollo SSH da IP espressamente autorizzati;
• FIREWALL: Presenza di un Firewall che operaio il filtraggio del traffico di rete, inclusi input, output e regole forward;
• WAF per la protezione dalle Vulnerabilità delle Applicazioni Web: Il WAF rileva e protegge dalle vulnerabilità comuni delle applicazioni web, come SQL injection, cross-site scripting (XSS), cross-site request forgery (CSRF) e molti altri attacchi web;
• WAF per il blocco delle Richieste Maliziose, compreso analisi di IP Reputation: Il WAF rileva e blocca automaticamente le richieste HTTP dannose o sospette prima che raggiungano l'applicazione web. Ciò include la protezione contro bot malevoli, scanner di vulnerabilità e attacchi di forza bruta;
• WAF per il controllo del Traffico: il WAF analizza il traffico HTTP in entrata e in uscita per individuare attività sospette o comportamenti anomali. Ciò consente di identificare e mitigare minacce in tempo reale;
• WAF per il rilevamento dei DDoS WAF include anche una protezione DDoS (Distributed Denial of Service) che può aiutare a mitigare gli attacchi DDoS contro il tuo server web;
• ANALISI DEI LOG CONTINUO al fine di rilevare eventuali attacchi di tipo SQL Injection o XSS;
• Sviluppo del Software secondo le migliori prassi, mediante anche l’utilizzo di PreparedStatement in Java, al fine di prevenire potenziali attacchi di tipo SQL e/o XSS Injection.

3. MISURE PER ASSICURARE LA DISPONIBILITA’ ED INTEGRITA’ DEI DATI

• Database distribuito, allineato in tempo reale su cluster con nodo master situato su due data center diversi: ServerPlan e Replica su Aruba;
• Backup CDP, effettuato tramite il software "R1Soft CDP", esegue un backup incrementale di tutto il disco della macchina e collocato su macchine diverse da quella di produzione;
• Backup FTP, sia dell’applicazione sia del database, trasferito su macchina diversa da quella di produzione.

4. FORNITORI (RESPONSABILI DEL TRATTAMENTO) INFRASTRUTTURE TECNOLOGICHE

I fornitori sono stati designati quali Responsabili del Trattamento ai sensi dell’Art. 28 del Regolamento UE 679/2016.

ServerPlan s.r.l.
Presidi di Sicurezza:	Sistema di rilevamento anti-intrusione; Presidio con agenti di vigilanza 24 ore su 24, per sette giorni su sette; Telecamere a circuito chiuso e archiviazione digitale delle riprese; Sistemi di rilevamento anti-fumo, anti-incendio e anti-allagamento; Alimentazioni multiple e indipendenti con percorsi diversificati; Sistema di raffreddamento a doppio circuito di alimentazione; 2 Gruppi elettrogeni in ambienti separati; Connettività verso internet 100Gbps multi operatore.
Certificazioni:	ISO 9001:2015, Sistemi di gestione per la qualità ambito Servizi di Web Hosting e servizi di registrazione domini, cloud storage, cloud computing, back up e disaster recovery. Servizi di posta e fatturazione elettronica, gestione e conservazione elettronica dei documenti e servizi informatici correlati ISO 27001:2013, Sistemi di gestione della sicurezza delle informazioni ambito Servizi di Web Hosting e servizi di registrazione domini, cloud storage, cloud computing, back up e disaster recovery. Servizi di posta e fatturazione elettronica, gestione e conservazione elettronica dei documenti e servizi informatici correlati. ISO 14001:2015, Server Plan è conforme allo standard ISO 14001:2015 per i servizi di Web Hosting e servizi di registrazione domini, cloud storage, cloud computing, back up e disaster recovery. Servizi di posta e fatturazione elettronica, gestione e conservazione elettronica dei documenti e servizi informatici correlati. ISO 27017:2015, Ambito Controlli di sicurezza per servizi cloud. I servizi cloud Server Plan hanno ottenuto la certificazione ISO/IEC 27017, che prevede misure di sicurezza rafforzati e controlli aggiuntivi sulle informazioni gestite. ISO 27018:2019, Ambito Protezione dei dati personali nei servizi Public Cloud. I servizi cloud Server Plan hanno ottenuto la certificazione ISO/IEC 27018 (che è un’espansione della Norma ISO 27001) con particolare riferimento alla gestione dei dati personali, ritenuta conforme agli standard internazionali. Certificazione AGENZIA PER LA CYBERSICUREZZA NAZIONALE Server Plan ha superato i controlli e le verifiche per essere parte del gruppo di fornitori cloud IaaS per la pubblica amministrazione.
Posizione dei Server:	Italia, Frosinone.

Aruba S.p.A.
Presidi di Sicurezza:	Sicurezza Fisica Perimetri di sicurezza con TVCC, sensori antintrusione e dissuasori veicolari, Bussole di accesso degli edifici con metal detector, Mantrap di sicurezza con doppi sistemi di autenticazione, Sistemi tecnologici anti-tailgating, Parcheggi separati dipendenti/visitatori Prevenzione dei Rischi Aree a basso rischio sismico ed idrogeologico, Separazione di impianti elettrici e batterie in edifici dedicati, Impianti monitorati, refrigerati e protetti contro gli incendi, Sistemi automatici di rilevamento fumi e liquidi posizionati in tutte le aree sensibili, Sistemi di spegnimento a gas inerte e di interruzione del carburante in caso di incendio Continuità del Servizio UPS, gruppi elettrogeni e unità di raffreddamento ridondati, Dotazione di due PDU (Power Distribution Unit) per ciascun armadio rack, Gruppi elettrogeni di emergenza con autonomia a pieno carico di 48 ore senza rifornimento, Net Operation Center presidiati 24/7 e collegati costantemente tra loro, Sistemi di connettività ultra-ridondati grazie agli accordi con numerosi operatori.
Certificazioni:	ISO 9001:2015, La certificazione ISO 9001 è volta a migliorare la gestione organizzativa di un'impresa, mediante l'impiego di risorse, procedure ed istruzioni ispirate ai principi di semplificazione, efficienza ed efficacia. L'organizzazione dei processi interni, adottata con il Sistema di Qualità Certificato (SGQ), consente di offrire al Cliente un servizio più efficiente e competitivo dando reale dimostrazione della qualità dei prodotti Aruba.it, progettati, realizzati ed erogati nell'ottica di un continuo miglioramento. ISO 27001:2013, La certificazione ISO 27001 è volta ad assicurare il rispetto di determinati standard di sicurezza nella gestione dei dati e delle informazioni aziendali, preservandone l'integrità, la riservatezza e la disponibilità. L'adozione di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) consente di poter garantire ai propri Clienti l'utilizzo di processi ed applicazioni sicure in termini di confidenzialità, integrità, autenticità e disponibilità dei dati e delle informazioni trattate, idonee a prevenire e ridurre le vulnerabilità e gli impatti che minacce di accesso non autorizzato o di perdita possono avere sui dati e le informazioni gestite. ISO 27017:2015 Lo standard ISO/IEC 27017 definisce dei controlli di sicurezza supplementari e rinforzati per indirizzare le misure di sicurezza messe in atto dai provider di servizi Cloud. Si attesta quindi che tali controlli sono stati integrati all’interno del nostro sistema di Gestione delle Informazioni. ISO 27018:2015 Lo standard ISO/IEC 27018 è un’espansione della Norma ISO 27001 che, nello specifico, riguarda la gestione dei dati personali in relazione alle soluzioni cloud in modalità IaaS, PaaS e SaaS. La gestione dei dati personali trattati all’interno dei nostri servizi cloud è stata valutata conforme a questo standard internazionale nei suoi aspetti tecnici, organizzativi e contrattuali. ISO 37001:2019 La certificazione ISO 37001 conferma il nostro impegno nel contrastare e prevenire eventuali condotte corruttive interne ed esterne al Gruppo, adottando un sistema di gestione per la prevenzione della corruzione in conformità alla norma ISO 37001:2016.
Posizione dei Server:	Italia, Arezzo.

5. Metodologia di calcolo del rischio residuo

SOFTWARE - La Piattaforma IusPrivacy è una tecnologia interamente sviluppata e di proprietà di WRP srl. La Piattaforma IusPrivacy, non deriva da applicazioni open source, ed è stata realizzata in linguaggio JAVA, allocata su servlet Container Tomcat. I dati personali ed informazioni sono annotati all’interno di database MySql. Java è progettato con un'attenzione particolare alla sicurezza. La JVM impone restrizioni rigorose sull'accesso alla memoria e al database e offre meccanismi di sicurezza come la gestione delle eccezioni, che aiutano a prevenire molti tipi di errori e vulnerabilità comuni. Tomcat è un server web Java EE che supporta servlets e JSP (JavaServer Pages). Questi componenti offrono un'ampia flessibilità nel gestire la logica lato server delle web application.

Java è progettato con un'attenzione particolare alla sicurezza. La JVM impone restrizioni rigorose sull'accesso alla memoria e al database e offre meccanismi di sicurezza come la gestione delle eccezioni, che aiutano a prevenire molti tipi di errori e vulnerabilità comuni. Tomcat è un server web Java EE che supporta servlets e JSP (JavaServer Pages). Questi componenti offrono un'ampia flessibilità nel gestire la logica lato server delle web application.

HARDWARE - L’applicazione è allocata su cloud server del fornitore ServerPlan con SO Unix/Linux.è la soluzione che permette di ottenere rapidamente un hosting performante con risorse scalabili. Il Cloud Server è una macchina che, attraverso il processo di virtualizzazione, riesce a mettere in comune con altre macchine le proprie risorse in termini di RAM, spazio e processore.

Il cloud server adotta dischi enterprise SSD NVMe che garantiscono le migliori performance per l'applicazione. La soluzione in Cloud Server è allocata su Infrastruttura cloud ridondata con migrazione su altro nodo in caso di necessità e senza alcuna interruzione del servizio.

INFRASTRUTTURA - La Piattaforma è allocata su Data Center di ServerPlan in Italia: l’infrastruttura è realizzata con prodotti di fascia enterprise e tecnologia certificata. ServerPlan, e Aruba, adottano le migliori soluzioni disponibili sul mercato per garantire sempre le prestazioni più alte per velocità, stabilità e sicurezza.

Serverplan garantisce per la connettività di tutti i sistemi il 99.95% di uptime e assicura che tutti i dispositivi di routing siano accessibili. Possono verificarsi alcuni eventi non garantiti dalla sla, come, ad esempio, la manutenzione programmata della rete. In tal caso l’utente riceverà una notifica via e-mail in cui è indicata la data fissata per l’intervento.
Al fine di offrire elevati standard di sicurezza e di disponibilità del servizio, la Piattaforma WhistleBlowing è interamente replicata, su un server, diverso da quello di Serverplan, del fornitore Aruba S.p.A.