Misure di sicurezza

Il presente documento descrive le misure di sicurezza adottate da HEXTRA SRL ai fini della protezione delle informazioni e dei dati personali col fine principale di soddisfare i requisiti minimi di protezione dei dati previsti dalla disciplina di settore in tutti i mercati in cui HEXTRA opera. Questi requisiti sono in gran parte derivati dalla legislazione nazionale dei diversi mercati in cui HEXTRA opera e sono destinati a fornire un regime armonizzato e uno standard comune.

Il rispetto di queste misure di sicurezza non garantisce la circostanza che è stato fornito un adeguato livello di protezione, in quanto una valutazione olistica e globale di sicurezza dovrà essere effettuata secondo le circostanze, il tipo di dati e il tipo di trattamento da dover eseguire.

Le informazioni tecniche in materia di sicurezza e le minacce alla sicurezza sono in continua evoluzione. La sicurezza deve essere continuamente oggetto di valutazione alla luce delle circostanze specifiche per determinare il livello di protezione appropriato.

Secondo il modello di responsabilità condivisa la sicurezza dei datacenter, la loro manutenzione e la corretta messa in opera è in carico ad Amazon Web Services. Maggiori informazioni sono disponibili a questo link: https://aws.amazon.com/it/compliance/data-center/

Hextra è responsabile della sicurezza applicativa e delle corrette procedure di accesso, gestione dati e backup dei vari servizi offerti.

MISURE ADOTTATE DA HEXTRA SRL

  • Autorizzazione

    Sono autorizzati ad accedere ai Sistemi Informativi solo utenti autorizzati e adeguatamente formati per la gestione delle problematiche tecniche.

  • Autenticazione

    Tutti gli utenti effettuano l’acceso ai Sistemi Operativi mediante un identificativo personale (username) ed una password.

    Le password dei sistemi informativi sono conformi allo standard minimo definito da HEXTRA SRL: minimo 8 caratteri, presenza di maiuscole, minuscole, caratteri speciale e/o numeri.

    Le password dei sistemi informativi sono conservate in maniera crittografata su un sistema dedicato. Gli utenti autorizzati possono accedere a al database delle password in maniera sicura tramite un applicativo specifico ed utilizzando una password personale.

    In fase di accesso ai sistemi informativi le password non vengono digitate sulla tastiera ma, attraverso l’utilizzo un software specifico, copiate in memoria, incollate nel relativo campo di input e automaticamente cancellate dalla memoria.

    Per tutti i servizi erogati su Amazon Web Services è implementata l’autenticazione a due fattori.

  • Log accessi

    Ogni accesso ai sistemi informativi viene registrato su appositi registri di Log che vengono conservati secondo la normativa vigente.

  • Backup

    Sono stabilite procedure per fare copie di back-up e di ripristino dei dati. Queste procedure garantiscono che i file possono essere ripristinati nello stato in cui erano al momento della loro perdita o distruzione.

    Vengono effettuate copie di backup a cadenza giornaliera con uno storico stabilito dalle policy interne di HEXTRA SRL (15 giorni di storico).

    Il back-up viene effettuato a livello di macchina virtuale e viene salvato su bucket S3 ridondato in 3 datacenter differenti.

  • Protezione da virus, malware e cryptolocker

    Tutti i dispositivi utilizzati dal reparto tecnico per collegarsi all’infrastruttura sono dotati di antivirus, antimalware e anticryptolocker.

  • Accesso ai servizi

    L’accesso ai pannelli di controllo / gestione dei vari servizi offerti da HEXTRA SRL ed esposti su internet è protetto tramite protocollo HTTPS.

    L’accesso al servizio di posta elettronica (Webmail, POP3, IMAP, SMTP) è protetto tramite protocollo SSL (obbligatorio per l’accesso alla Webmail, opzionale per i protocolli POP3, IMAP, SMTP).

  • Aggiornamento software

    Tutti i sistemi operativi delle macchine virtuali che forniscono i servizi di hosting presenti nell’infrastruttura vengono regolarmente aggiornate tramite i canali ufficiali dei produttori del sistema operativo (Windows Update per Microsoft, repository ufficiale per Linux).

    Gli aggiornamenti, salvo quelli relativi alla correzione di gravi falle di sicurezza, vengono installati ogni 30 giorni.

    Gli aggiornamenti definiti “critici”, ovvero che risolvono una grave falla di sicurezza, vengono installati appena possibile compatibilmente con la valutazione di impatto sui sistemi informativi.

    Per i servizi VPS l’installazione delle patch di sicurezza/aggiornamenti dei sistemi è a carico del cliente. E’ possibile attivare un servizio a pagamento per la gestione degli aggiornamenti dei VPS, in questo caso il cliente dovrà fornire indicazioni sulle date/orari in cui effettuare gli aggiornamenti e le modalità con cui effettuarli (automatici o manuali con operatore collegato al VPS).

  • Monitoraggio dei servizi

    L’effettiva disponibilità dei servizi è monitorata tramite un servizio esterno che con cadenza di 5 minuti testa la raggiungibilità dei servizi forniti da Hextra Srl.

    La disponibilità dei servizi è monitorata da 7 località differenti in Europa.