Scopo

Il presente documento descrive le misure di sicurezza adottate da HEXTRA SRL ai fini della protezione delle informazioni e dei dati personali col fine principale di soddisfare i requisiti minimi di protezione dei dati previsti dalla disciplina di settore in tutti i mercati in cui HEXTRA opera. Questi requisiti sono in gran parte derivati dalla legislazione nazionale dei diversi mercati in cui HEXTRA opera e sono destinati a fornire un regime armonizzato e uno standard comune.

Il rispetto di queste misure di sicurezza non garantisce la circostanza che è stato fornito un adeguato livello di protezione, in quanto una valutazione olistica e globale di sicurezza dovrà essere effettuata secondo le circostanze, il tipo di dati e il tipo di trattamento da dover eseguire.

Le informazioni tecniche in materia di sicurezza e le minacce alla sicurezza sono in continua evoluzione. La sicurezza deve essere continuamente oggetto di valutazione alla luce delle circostanze specifiche per determinare il livello di protezione appropriato.

Le misure elencate si limitano all’infrastruttura virtuale utilizzata da Hextra per erogare i propri servizi (accesso, manutenzione e verifica funzionamento ottimale).

Misure Tecniche

  • Autorizzazione

Sono autorizzati ad accedere ai Sistemi Informativi solo utenti autorizzati e adeguatamente formati per la gestione delle problematiche tecniche.
Accesso fisico ai Dati

Solo il personale debitamente autorizzato può avere accesso fisico ai locali dove vengono conservati i Sistemi informativi. L’accesso al Datacenter è controllato per mezzo di un lettore transponder a badge sottile il cui utilizzo viene registrato su appositi file di log. Ogni utente dispone di un badge personale. E’ inoltre installato un sistema televisivo a circuito chiuso (TVCC) con telecamere con caratteristiche specifiche in funzione della tipologia di ripresa, per il controllo del locale e dell’accesso.

  • Autenticazione

Tutti gli utenti effettuano l’acceso ai Sistemi Operativi mediante un identificativo (username) ed una password.

Le password dei sistemi informativi sono conformi allo standard minimo definito da HEXTRA SRL: minimo 8 caratteri, presenza di maiuscole, minuscole, caratteri speciale e/o numeri.

Le password dei sistemi informativi sono conservate in maniera crittografata su un sistema dedicato. Gli utenti autorizzati possono accedere a al database delle password in maniera sicura tramite un applicativo specifico ed utilizzando una password personale.

In fase di accesso ai sistemi informativi le password non vengono digitate sulla tastiera ma, attraverso l’utilizzo un software specifico, copiate in memoria, incollate nel relativo campo di input e automaticamente cancellate dalla memoria.

  • Controlli dell’accesso

Ogni accesso ai sistemi informativi viene registrato su appositi registri di Log che vengono conservati secondo la normativa vigente.

  • Conservazione, copie di Back-up e recupero

Sono stabilite procedure per fare copie di back-up e di ripristino dei dati. Queste procedure garantiscono che i file possono essere ripristinati nello stato in cui erano al momento della loro perdita o distruzione.

Vengono effettuate copie di backup a cadenza giornaliera con uno storico stabilito dalle policy interne di HEXTRA SRL (15 giorni di storico).

Il back-up viene effettuato a livello di macchina virtuale e viene salvato su unità esterna collegata all’infrastruttura di virtualizzazione e situata nello stesso datacenter.

E’ possibile attivare un servizio aggiuntivo a pagamento per realizzare policy di backup dedicato con cadenza e storico personalizzati e salvataggio backup offsite nel datacenter della Pepinière di Aosta (distanza 40 km).

  • Rilevamento antivirus e intrusioni

Tutta l’infrastruttura è protetta da un Firewall UTM (unified threat management). Relativamente ai servizi esposti su internet vengono consentite solo le connessioni ai servizi necessari.
In maniera sintetica le protezioni attive sono:
– Packet inspection sulle connessioni
– Intrusion prevention (protezione in tempo reale dalle minacce di rete, compreso lo spyware, le iniezioni SQL, gli script cross-site e l’overflow del buffer).
– Antivirus (identifica e blocca le fonti note di spyware, virus, cavalli di Troia, worm, rogueware e minacce combinate, comprese le nuove varianti dei virus già noti).
– Antispam (protezione efficace indipendentemente dalla lingua, dal formato o dai contenuti del messaggio).
– Antimalware (utilizza una sandbox di ultima generazione per rilevare e bloccare gli attacchi più sofisticati, compresi il ransomware, le minacce zero-day e altri malware avanzati ideati per sfuggire alle protezioni della sicurezza di rete tradizionali).
– Prevenzione delle minacce basata sulla reputazione.
– Anti DDOS

Tutti i dispositivi utilizzati dal reparto tecnico per collegarsi all’infrastruttura sono dotati di antivirus, antimalware e anticryptolocker.

  • Aggiornamento software

Tutti i sistemi operativi delle macchine virtuali che forniscono i servizi di hosting presenti nell’infrastruttura vengono regolarmente aggiornate tramite i canali ufficiali dei produttori del sistema operativo (Windows Update per Microsoft, repository ufficiale per Linux e VMWARE).

Gli aggiornamenti, salvo quelli relativi alla correzione di gravi falle di sicurezza, vengono installati ogni 30 giorni.

Gli aggiornamenti di versione della piattaforma di virtualizzazione, dei firmware dei dispositivi di rete e del firmware dei dispositivi fisici (server e storage) vengono effettuati con cadenza semestrale, salvo necessità di risoluzione di gravi falle di sicurezza.

Gli aggiornamenti definiti “critici”, ovvero che risolvono una grave falla di sicurezza, vengono installati appena possibile compatibilmente con la valutazione di impatto sui sistemi informativi.

Per i servizi VPS l’installazione delle patch di sicurezza/aggiornamenti dei sistemi è a carico del cliente. E’ possibile attivare un servizio a pagamento per la gestione degli aggiornamenti dei VPS, in questo caso il cliente dovrà fornire indicazioni sulle date/orari in cui effettuare gli aggiornamenti e le modalità con cui effettuarli (automatici o manuali con operatore collegato al VPS).

  • Accesso ai servizi

L’accesso ai pannelli di controllo / gestione dei vari servizi offerti da HEXTRA SRL ed esposti su internet è protetto tramite protocollo HTTPS.

L’accesso al servizio di posta elettronica (Webmail, POP3, IMAP, SMTP) è protetto tramite protocollo SSL (obbligatorio per l’accesso alla Webmail, opzionale per i protocolli POP3, IMAP, SMTP).

  • Misure per ridurre al minimo le interruzioni di servizio

Sono stabilite procedure di replica di tutte le macchine virtuali presenti nell’infrastruttura con cadenza giornaliera e uno storico stabilito dalle policy interne di HEXTRA SRL.

La replica viene effettuata su sistemi storage dedicati collegati all’infrastruttura virtuale e posizionati nello stesso Datacenter.

  • Monitoraggio disponibilità dei servizi

L’effettiva disponibilità dei servizi è monitorata tramite un servizio esterno che con cadenza di 5 minuti testa la raggiungibilità dei servizi forniti da Hextra Srl.

La disponibilità dei servizi è monitorata da 7 località differenti in Europa.

  • Penetration test e vulnerability assessment

Hextra effettua con cadenza bimestrale dei penetration test di livello 1 per verificare tutti i servizi esposti su internet ed erogati dal datecenter.

Hextra effettua con cadenza bimestrale dei vulnerability assessment su tutti i server fisici e virtuali per analizzare lo stato di integrità dei sistemi.

In base ai risultati ottenuti dal penetration test e dal vulnerability assessment vengono pianificate le attività necessarie per sanare eventuali vulnerabilità riscontrate.

  • Valutazione dei rischi

HEXTRA SRL ha richiesto una RELAZIONE ANALISI E VALUTAZIONE RISCHI relativamente alla propria infrastruttura ad un soggetto certificato.

Il risultato di tale valutazione dei rischi è la seguente:

“le contromisure di sicurezza adottate rispondono all’esigenza del cliente di avere la garanzia di un funzionamento affidabile e continuativo dei sistemi installati presso il Datacenter, nonché alla previsione dell’art. 31 d.lgs. 196/2003 che prescrive l’obbligo di ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme dei dati e degli strumenti di elaborazione”.

La relazione in originale è disponibile su richiesta del cliente.