Hai bisogno di aiuto? Contattaci
Il presente documento descrive le misure di sicurezza adottate da HEXTRA SRL ai fini della protezione delle informazioni e dei dati personali col fine principale di soddisfare i requisiti minimi di protezione dei dati previsti dalla disciplina di settore in tutti i mercati in cui HEXTRA opera. Questi requisiti sono in gran parte derivati dalla legislazione nazionale dei diversi mercati in cui HEXTRA opera e sono destinati a fornire un regime armonizzato e uno standard comune.
Il rispetto di queste misure di sicurezza non garantisce la circostanza che è stato fornito un adeguato livello di protezione, in quanto una valutazione olistica e globale di sicurezza dovrà essere effettuata secondo le circostanze, il tipo di dati e il tipo di trattamento da dover eseguire.
Le informazioni tecniche in materia di sicurezza e le minacce alla sicurezza sono in continua evoluzione. La sicurezza deve essere continuamente oggetto di valutazione alla luce delle circostanze specifiche per determinare il livello di protezione appropriato.
Secondo il modello di responsabilità condivisa la sicurezza dei datacenter, la loro manutenzione e la corretta messa in opera è in carico ad Amazon Web Services. Maggiori informazioni sono disponibili a questo link: https://aws.amazon.com/it/compliance/data-center/
Hextra è responsabile della sicurezza applicativa e delle corrette procedure di accesso, gestione dati e backup dei vari servizi offerti.
Sono autorizzati ad accedere ai Sistemi Informativi solo utenti autorizzati e adeguatamente formati per la gestione delle problematiche tecniche.
Tutti gli utenti effettuano l’acceso ai Sistemi Operativi mediante un identificativo personale (username) ed una password.
Le password dei sistemi informativi sono conformi allo standard minimo definito da HEXTRA SRL: minimo 8 caratteri, presenza di maiuscole, minuscole, caratteri speciale e/o numeri.
Le password dei sistemi informativi sono conservate in maniera crittografata su un sistema dedicato. Gli utenti autorizzati possono accedere a al database delle password in maniera sicura tramite un applicativo specifico ed utilizzando una password personale.
In fase di accesso ai sistemi informativi le password non vengono digitate sulla tastiera ma, attraverso l’utilizzo un software specifico, copiate in memoria, incollate nel relativo campo di input e automaticamente cancellate dalla memoria.
Per tutti i servizi erogati su Amazon Web Services è implementata l’autenticazione a due fattori.
Ogni accesso ai sistemi informativi viene registrato su appositi registri di Log che vengono conservati secondo la normativa vigente.
Sono stabilite procedure per fare copie di back-up e di ripristino dei dati. Queste procedure garantiscono che i file possono essere ripristinati nello stato in cui erano al momento della loro perdita o distruzione.
Vengono effettuate copie di backup a cadenza giornaliera con uno storico stabilito dalle policy interne di HEXTRA SRL (15 giorni di storico).
Il back-up viene effettuato a livello di macchina virtuale e viene salvato su bucket S3 ridondato in 3 datacenter differenti.
Tutti i dispositivi utilizzati dal reparto tecnico per collegarsi all’infrastruttura sono dotati di antivirus, antimalware e anticryptolocker.
L’accesso ai pannelli di controllo / gestione dei vari servizi offerti da HEXTRA SRL ed esposti su internet è protetto tramite protocollo HTTPS.
L’accesso al servizio di posta elettronica (Webmail, POP3, IMAP, SMTP) è protetto tramite protocollo SSL (obbligatorio per l’accesso alla Webmail, opzionale per i protocolli POP3, IMAP, SMTP).
Tutti i sistemi operativi delle macchine virtuali che forniscono i servizi di hosting presenti nell’infrastruttura vengono regolarmente aggiornate tramite i canali ufficiali dei produttori del sistema operativo (Windows Update per Microsoft, repository ufficiale per Linux).
Gli aggiornamenti, salvo quelli relativi alla correzione di gravi falle di sicurezza, vengono installati ogni 30 giorni.
Gli aggiornamenti definiti “critici”, ovvero che risolvono una grave falla di sicurezza, vengono installati appena possibile compatibilmente con la valutazione di impatto sui sistemi informativi.
Per i servizi VPS l’installazione delle patch di sicurezza/aggiornamenti dei sistemi è a carico del cliente. E’ possibile attivare un servizio a pagamento per la gestione degli aggiornamenti dei VPS, in questo caso il cliente dovrà fornire indicazioni sulle date/orari in cui effettuare gli aggiornamenti e le modalità con cui effettuarli (automatici o manuali con operatore collegato al VPS).
L’effettiva disponibilità dei servizi è monitorata tramite un servizio esterno che con cadenza di 5 minuti testa la raggiungibilità dei servizi forniti da Hextra Srl.
La disponibilità dei servizi è monitorata da 7 località differenti in Europa.
Cookie | Durata | Descrizione |
---|---|---|
cookielawinfo-checkbox-advertisement | 1 anno | Impostato dal plug-in GDPR Cookie Consent, questo cookie registra il consenso dell'utente per i cookie nella categoria "Pubblicità". |
cookielawinfo-checkbox-analytics | 11 mesi | Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Analytics". |
cookielawinfo-checkbox-functional | 11 mesi | Il cookie è impostato dal GDPR cookie consent per registrare il consenso dell'utente per i cookie nella categoria "Funzionali". |
cookielawinfo-checkbox-necessary | 11 mesi | Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Necessario". |
cookielawinfo-checkbox-others | 11 mesi | Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Altro. |
cookielawinfo-checkbox-performance | 11 mesi | Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Prestazioni". |
CookieLawInfoConsent | 1 anno | CookieYes imposta questo cookie per registrare lo stato predefinito del pulsante della categoria corrispondente e lo stato del CCPA. Funziona solo in coordinamento con il cookie primario. |
viewed_cookie_policy | 11 mesi | Il cookie è impostato dal plug-in GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale. |
Cookie | Durata | Descrizione |
---|---|---|
_ga | 1 anno 1 mese 4 giorni | Google Analytics imposta questo cookie per calcolare i dati su visitatori, sessioni e campagne e tenere traccia dell'utilizzo del sito per il rapporto di analisi del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato in modo casuale per riconoscere i visitatori unici. |
_ga_* | 1 anno 1 mese 4 giorni | Google Analytics imposta questo cookie per memorizzare e contare le visualizzazioni di pagina. |
Cookie | Durata | Descrizione |
---|---|---|
_fbp | 3 mesi | Facebook imposta questo cookie per visualizzare annunci pubblicitari su Facebook o su una piattaforma digitale alimentata dalla pubblicità di Facebook dopo aver visitato il sito web. |