Hai bisogno di aiuto? Contattaci!

Misure di sicurezza

Misure di sicurezza

Il presente documento descrive le misure di sicurezza adottate da HEXTRA SRL ai fini della protezione delle informazioni e dei dati personali col fine principale di soddisfare i requisiti minimi di protezione dei dati previsti dalla disciplina di settore in tutti i mercati in cui HEXTRA opera. Questi requisiti sono in gran parte derivati dalla legislazione nazionale dei diversi mercati in cui HEXTRA opera e sono destinati a fornire un regime armonizzato e uno standard comune.

Il rispetto di queste misure di sicurezza non garantisce la circostanza che è stato fornito un adeguato livello di protezione, in quanto una valutazione olistica e globale di sicurezza dovrà essere effettuata secondo le circostanze, il tipo di dati e il tipo di trattamento da dover eseguire.

Le informazioni tecniche in materia di sicurezza e le minacce alla sicurezza sono in continua evoluzione. La sicurezza deve essere continuamente oggetto di valutazione alla luce delle circostanze specifiche per determinare il livello di protezione appropriato.

Le misure elencate si limitano all’infrastruttura virtuale utilizzata da Hextra per erogare i propri servizi (accesso, manutenzione e verifica funzionamento ottimale) nel proprio Datacenter. Per i servizi erogati su Amazon Web Services fare riferimento a: https://aws.amazon.com/it/compliance/data-center/

Sono autorizzati ad accedere ai Sistemi Informativi solo utenti autorizzati e adeguatamente formati per la gestione delle problematiche tecniche.

Solo il personale debitamente autorizzato può avere accesso fisico ai locali dove vengono conservati i Sistemi informativi. L’accesso al Datacenter è controllato per mezzo di un lettore transponder a badge sottile il cui utilizzo viene registrato su appositi file di log. Ogni utente dispone di un badge personale. E’ inoltre installato un sistema televisivo a circuito chiuso (TVCC) con telecamere con caratteristiche specifiche in funzione della tipologia di ripresa, per il controllo del locale e dell’accesso.

Tutti gli utenti effettuano l’acceso ai Sistemi Operativi mediante un identificativo (username) ed una password.

Le password dei sistemi informativi sono conformi allo standard minimo definito da HEXTRA SRL: minimo 8 caratteri, presenza di maiuscole, minuscole, caratteri speciale e/o numeri.

Le password dei sistemi informativi sono conservate in maniera crittografata su un sistema dedicato. Gli utenti autorizzati possono accedere a al database delle password in maniera sicura tramite un applicativo specifico ed utilizzando una password personale.

In fase di accesso ai sistemi informativi le password non vengono digitate sulla tastiera ma, attraverso l’utilizzo un software specifico, copiate in memoria, incollate nel relativo campo di input e automaticamente cancellate dalla memoria.

Per i servizi erogati su Amazon Web Services è implementata l’autenticazione a due fattori.

Ogni accesso ai sistemi informativi viene registrato su appositi registri di Log che vengono conservati secondo la normativa vigente.

Sono stabilite procedure per fare copie di back-up e di ripristino dei dati. Queste procedure garantiscono che i file possono essere ripristinati nello stato in cui erano al momento della loro perdita o distruzione.

Vengono effettuate copie di backup a cadenza giornaliera con uno storico stabilito dalle policy interne di HEXTRA SRL (15 giorni di storico).

Il back-up viene effettuato a livello di macchina virtuale e viene salvato su unità esterna collegata all’infrastruttura di virtualizzazione e situata nello stesso datacenter.

E’ possibile attivare un servizio aggiuntivo a pagamento per realizzare policy di backup dedicato con cadenza e storico personalizzati e salvataggio backup offsite nel datacenter della Pepinière di Aosta (distanza 40 km).

Tutta l’infrastruttura è protetta da un Firewall UTM (unified threat management). Relativamente ai servizi esposti su internet vengono consentite solo le connessioni ai servizi necessari.
In maniera sintetica le protezioni attive sono:
– Packet inspection sulle connessioni
– Intrusion prevention (protezione in tempo reale dalle minacce di rete, compreso lo spyware, le iniezioni SQL, gli script cross-site e l’overflow del buffer).
– Antivirus (identifica e blocca le fonti note di spyware, virus, cavalli di Troia, worm, rogueware e minacce combinate, comprese le nuove varianti dei virus già noti).
– Antispam (protezione efficace indipendentemente dalla lingua, dal formato o dai contenuti del messaggio).
– Antimalware (utilizza una sandbox di ultima generazione per rilevare e bloccare gli attacchi più sofisticati, compresi il ransomware, le minacce zero-day e altri malware avanzati ideati per sfuggire alle protezioni della sicurezza di rete tradizionali).
– Prevenzione delle minacce basata sulla reputazione.
– Anti DDOS

Tutti i dispositivi utilizzati dal reparto tecnico per collegarsi all’infrastruttura sono dotati di antivirus, antimalware e anticryptolocker.

6.2 La disponibilità dei servizi erogati dalla HEXTRA viene monitorata tramite un servizio esterno che verifica la raggiungibilità dei servizi ogni 5 minuti da 7 località differenti situate in Europa. I dati forniti da questo servizio saranno gli unici considerati attendibili in caso di contestazione sulla disponibilità dei servizi erogati dalla HEXTRA.

Tutti i sistemi operativi delle macchine virtuali che forniscono i servizi di hosting presenti nell’infrastruttura vengono regolarmente aggiornate tramite i canali ufficiali dei produttori del sistema operativo (Windows Update per Microsoft, repository ufficiale per Linux).

Gli aggiornamenti, salvo quelli relativi alla correzione di gravi falle di sicurezza, vengono installati ogni 30 giorni.

Gli aggiornamenti di versione della piattaforma di virtualizzazione, dei firmware dei dispositivi di rete e del firmware dei dispositivi fisici (server e storage) vengono effettuati con cadenza semestrale, salvo necessità di risoluzione di gravi falle di sicurezza.

Gli aggiornamenti definiti “critici”, ovvero che risolvono una grave falla di sicurezza, vengono installati appena possibile compatibilmente con la valutazione di impatto sui sistemi informativi.

Per i servizi VPS l’installazione delle patch di sicurezza/aggiornamenti dei sistemi è a carico del cliente. E’ possibile attivare un servizio a pagamento per la gestione degli aggiornamenti dei VPS, in questo caso il cliente dovrà fornire indicazioni sulle date/orari in cui effettuare gli aggiornamenti e le modalità con cui effettuarli (automatici o manuali con operatore collegato al VPS).

7.2 In nessun caso HEXTRA sarà ritenuta responsabile del malfunzionamento dei servizi derivante da responsabilità delle linee telefoniche, elettriche e di reti mondiali e nazionali, quali guasti, sovraccarichi, interruzioni, ecc.
7.3 Nessun risarcimento danni potrà essere richiesto ad HEXTRA per danni diretti e/o indiretti causati dall’utilizzazione o mancata utilizzazione dei servizi. Potrà essere richiesto solo il rimborso del prezzo pagato per l’eventuale periodo di cui non si è usufruito il servizio stesso.
7.4 HEXTRA non potrà essere ritenuta responsabile per inadempimenti alle proprie obbligazioni che derivino da cause al di fuori della sfera del proprio prevedibile controllo o da cause di forza maggiore.
7.5 HEXTRA non potrà essere ritenuta responsabile per inadempimenti di terzi che pregiudicano il funzionamento dei servizi telematici messi a disposizione dell’utente, compresi, in via esemplificativa, i rallentamenti di velocità o il mancato funzionamento delle linee telefoniche e degli elaboratori che gestiscono il traffico telematico fra l’utente ed il sistema.
7.6 L’utente si obbliga di tenere indenne da tutte le perdite, danni, responsabilità, costi, oneri e spese ivi comprese le eventuali spese legali che dovessero essere subite o sostenute dalla HEXTRA quale conseguenza di qualsiasi inadempimento agli obblighi assunti e garanzie prestate dall’utente con la sottoscrizione del presente contratto o modulo di adesione e comunque connesse alla immissione delle informazioni nello spazio fornito dalla HEXTRA, anche in ipotesi di risarcimento danni pretesi da terzi a qualunque titolo.
7.7 Con rispetto per i termini della fornitura dei servizi previsti, l’utente prende atto che HEXTRA non fornisce alcuna garanzia sul fatto che il servizio si adatti perfettamente a scopi particolari. Inoltre, per la struttura specifica di Internet, in cui molte entità sono coinvolte, nessuna garanzia può essere data riguardo alla costante fruibilità del servizio. In questo senso l’utente concorda nel non ritenere HEXTRA responsabile nel caso di perdite o danneggiamenti di qualunque tipo risultanti dalla perdita di dati, dalla impossibilità di accesso ad Internet, dalla impossibilità di trasmettere o ricevere informazioni, causate da, o risultanti da, ritardi, trasmissioni annullate o interruzioni del servizio.

L’accesso ai pannelli di controllo / gestione dei vari servizi offerti da HEXTRA SRL ed esposti su internet è protetto tramite protocollo HTTPS.

L’accesso al servizio di posta elettronica (Webmail, POP3, IMAP, SMTP) è protetto tramite protocollo SSL (obbligatorio per l’accesso alla Webmail, opzionale per i protocolli POP3, IMAP, SMTP).

Sono stabilite procedure di replica di tutte le macchine virtuali presenti nell’infrastruttura con cadenza giornaliera e uno storico stabilito dalle policy interne di HEXTRA SRL.

La replica viene effettuata su sistemi storage dedicati collegati all’infrastruttura virtuale e posizionati nello stesso Datacenter.

L’effettiva disponibilità dei servizi è monitorata tramite un servizio esterno che con cadenza di 5 minuti testa la raggiungibilità dei servizi forniti da Hextra Srl.

La disponibilità dei servizi è monitorata da 7 località differenti in Europa.

 

Hextra effettua con cadenza bimestrale dei penetration test di livello 1 per verificare tutti i servizi esposti su internet ed erogati dal datecenter.

Hextra effettua con cadenza bimestrale dei vulnerability assessment su tutti i server fisici e virtuali per analizzare lo stato di integrità dei sistemi.

In base ai risultati ottenuti dal penetration test e dal vulnerability assessment vengono pianificate le attività necessarie per sanare eventuali vulnerabilità riscontrate.

Tutte le apparecchiature hardware utilizzate per l’erogazione dei servizi di Hextra vengono dismesse al verificarsi di almeno una delle seguenti condizioni:

– Termine del supporto da parte del produttore (nessun ulteriore rilascio di firmware/aggiornamenti softwre/patch di sicurezza e/o termine del supporto tecnico)
– Termine della compatibilità certificata da parte del produttore del software installato sull’hardware (es. Vmware)

HEXTRA SRL ha richiesto una RELAZIONE ANALISI E VALUTAZIONE RISCHI relativamente alla propria infrastruttura ad un soggetto certificato.

Il risultato di tale valutazione dei rischi è la seguente:

“le contromisure di sicurezza adottate rispondono all’esigenza del cliente di avere la garanzia di un funzionamento affidabile e continuativo dei sistemi installati presso il Datacenter, nonché alla previsione dell’art. 31 d.lgs. 196/2003 che prescrive l’obbligo di ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme dei dati e degli strumenti di elaborazione”.

La relazione in originale è disponibile su richiesta del cliente.

Hextra supporta Immuni. Scaricala per iOS e Android. Un piccolo gesto che può fare la differenza.