Chiarimenti in merito al GDPR
Chiarimenti in merito al GDPR per i nostri clienti
Facendo seguito a diverse email che abbiamo ricevuto da nostri clienti riguardo l'applicazione del nuovo regolamento sulla protezione dei dati ed il funzionamento dei nostri servizi cloud, pubblichiamo alcuni chiarimenti tecnici.
Cos'è il GDPR?
Dietro la sigla GDPR si celano le parole General Data Protection Regulation, ovvero Regolamento Generale per la Protezione dei Dati. Il GDPR in pratica mette in atto tutta una serie di norme concernenti il modo in cui un’azienda (pubblica o privata) raccoglie dati sui cittadini. L’obiettivo è regolamentare il modo in cui le informazioni vengono memorizzate e le modalità in cui i proprietari possano accedere a tali informazioni, con l’intento di verificarle, modificarle o richiederne la cancellazione. Le sanzioni per chi non rispetta la normativa sono salatissime ed entreranno in vigore dal 25 maggio 2018. Il cuore del regolamento non è la protezione dei dati in sé, ma la protezione dei diritti dei proprietari dei dati (inteso come persona fisica a cui quei dati si riferiscono, non l’azienda che li ha raccolti).
Il GDPR non richiede specifiche azioni da intraprendere “a norma di legge” ma si basa sui concetti di responsabilizzazione e misure adeguate.
È necessario quindi per le aziende eseguire una valutazione del rischio ed intraprendere azioni commisurate al contesto: il tutto si esprime mediante nomine e procedure con l'ausilio di adeguati apparati tecnologici.
Dati da proteggere
Uno dei concetti più difficili da comprendere è che il GDPR, trattando di privacy, riguarda solo i dati sensibili ovvero quei dati che riguardano informazioni personali riconducibili ad una persona fisica. Il GDPR pertanto non riguarda le informazioni riguardanti le aziende.
Per fare un esempio spicciolo, se si memorizzano nell'home banking informazioni riguardo i dati (ragione sociale, P.IVA, indirizzo, IBAN, etc..) dei propri clienti/fornitori non si tratta di dati sensibili.
Sempre per fare un esempio comprensibile, se si memorizzano nello stesso sistema dati riguardo i propri dipendenti (nome, congnome, IBAN, etc...) si tratta di dati sensibili che devono essere gestiti secondo normativa.
Il titolare del trattamento
Semplificando estremamente il concetto, il "Titolare del trattamento dei dati" è il cliente di WebDesignProduction Srls che utilizza sistemi informativi per memorizzare o gestire tali dati.
Un esempio semplice riguarda il sito web aziendale: se è presente un modulo per la richiesta di preventivi ed in questo modulo si raccolgono dati sensibili (nome, cognome, email, etc..) allora l'azienda deve avere una informativa sulla privacy sul proprio sito ed identificare chiaramente chi è il titolare del trattamento.
Il Titolare del trattamento non gestisce in prima persona i dati (è il Responsabile che li gestisce) e non è una figura tecnica. E' però una figura di garanzia e responsabilità giuridica.
Maggiori informazioni riguardo la figura del Titolare del trattamento sono disponibili su Wikipedia.
Responsabile del trattamento
Qualora fosse necessario il Titolare può identificare uno o più Responsabili del trattamento. Tali soggetti sono dei tecnici che si occupano di fornire idonee garanzie in merito a come i dati sensibili sono memorizzati e condivide parte dei rischi inerenti il trattamento dei dati con il Titolare.
Noi di WebDesignProduction Srls, in qualità di fornitori del servizio di hosting di applicativi web possiamo essere incaricati come Responsabili del trattamento dei dati, limitatamente al servizio fornito e solo previa accettazione da parte nostra. Tale incarico può essere quindi assunto da WebDesignProduction Srls ma deve essere richiesto e può comportare l'aumento dei canoni di servizio.
Maggiori informazioni riguardo la figura del Responsabile del trattamento sono disponibili su Wikipedia.
Se è vostro desiderio incaricarci Resposabili del trattamento dei dati vi invitiamo ad inviare una mail a info@wdpro.it
Caratteristiche tecniche dei nostri servizi
Di seguito esponiamo le caratteristiche "minime" di garanzia di tutti i servizi che sono erogati tramite il nostro Datacenter. Alcuni servizi potrebbero beneficiare di ulteriori garanzie che sono di volta in volta definite nel contratto di fornitura.
Le caratteristiche sotto esposte sono pertanto valide per tutti i servizi di web hosting e mail hosting (es. Hostkit), file server (es. FTP), gestione DNS, fornitura di server dedicati ed applicativi web erogati in modalità CLOUD.
Non si intendono compresi in questo elenco i servizi erogati tramite Datacenter di terze parti (es. Amazon, TIM, Cloud Ocean, Cloud Italia, etc...).
Datacenter
I nostri principali servizi come l’email, l’hosting e cloud sono ospitati oltre che in Italia, anche all’interno del nostro network Europeo.
L'accesso fisico all'infrastruttura è sottoposto a rigidi criteri di controllo ed accreditamento. L'accesso virtuale all'infrastruttura può essere eseguito solo in VPN con opportune credenziali di accesso.
L'hardware utilizzato è di ultima generazione e sottoposto a continuo monitoraggio e manutenzione.
Backup
Tutti i server sono sottoposti a sistemi di backup con rotazione settimanale. I backup sono eseguiti su infrastruttura locata nello stesso fabbricato ma in ambiente separato.
Firewall
L'infrastruttura informatica è protetta da firewall in alta affidabilità su connettività non filtrata. Il nostro reparto tecnico ha la responsabilità di monitorare ed aggiornare continuamente tale infrastruttura. La configurazione di tali apparati non può essere in alcun modo modificata dai nostri clienti.
Antivirus ed antispam
Tutti i nostri servizi di posta elettronica sono protetti da sistemi di antivirus ed antispam.
L'hosting web è erogato su server che eseguono ad intervalli regolari controlli antivirus ed antimalware.
Memorizzazione dei dati
Tutti i dati sono memorizzati su dischi configurati in RAID e pertanto ridondati. Su richiesta, per i servizi CLOUD è possibile attivare la criptazione dei dischi stessi.
I database utilizzati sono protetti da password sicure e gli accessi ai servizi sono tutti consentiti solo tramite credenziali che vengono affidate ai nostri clienti al momento dell'attivazione del servizio.
Su richiesta, per determinati servizi CLOUD è possibile chiedere la criptazione o l'offuscamento dei dati memorizzati.
Gestione dei log
Tutti i server sono sottoposti a memorizzazione dei log di accesso e funzionamento su infrastruttura dedicata. L'accesso su tale infrastruttura è consentito in sola lettura ed i dati sono memorizzati con una retention minima di 3 mesi.
Accesso sicuro
Per ogni servizio è fonito sempre un accesso protetto da criptazione (HTTPS, IMAPS, SMTPS, etc..) che il nostro cliente può utilizzare per prevenire la possibilità di attacchi DDOS.
WebDesignProduction Srls
Via Po 18
53049 Torrita di Siena SI
P.Iva: 01478060526 - R.E.A. SI-150959
Registrar ccTLD .it: WDPRO-REG
Registrar accreditato del Registro .it
http://www.nic.it/registrar/wdpro-reg
PDR-PublicDomainRegistry Partner
PDR Ltd. d/b/a PublicDomainRegistry.com is an ICANN Accredited Registrar
https://www.icann.org/registrar-reports/accredited-list.html