Allegato 3 – Misure Tecniche e Organizzative

Documento aggiornato il 30/12/2022

Il presente allegato contiene la descrizione delle misure tecniche e organizzative messe in atto da Unbound (comprese le eventuali certificazioni pertinenti) per garantire un adeguato livello di sicurezza, tenuto conto della natura, dell'ambito di applicazione, del contesto e della finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche.

1. Gestione Condivisa delle Misure di Sicurezza

Unbound si avvale di diversi Partner tecnologici.

Fra i principali troviamo Amazon Web Service EMEA SARL (“AWS”) per i servizi di archiviazione e hosting, quale responsabile dell’infrastruttura in cui sono archiviati i dati. AWS garantisce i più alti standard di sicurezza attualmente possibili, essendo certificata secondo standard della famiglia ISO 27000, SOC e altri. Per maggiori informazioni visita il sito: https://aws.amazon.com/it/security/

Un altro fornitore importante è 8x8 UK Ltd. (“8x8”) per i servizi di Videoconferenza fino a 20 utenti. 8x8 si è utilizzata elevati standard di sicurezza e adotta un meccanismo di cifratura End-to-End nell’ambito dell’erogazione del Servizio, per garantire la sicurezza e la riservatezza delle comunicazioni. Per maggiori informazioni visita il sito: https://www.8x8.com/products/apis/security

2. Misure tecniche e organizzative implementate per garantire la Riservatezza dei dati

In aggiunta ai controlli previsti da Partner, Unbound ha posto in essere ulteriori misure di sicurezza che consentono di garantire la protezione da accessi non autorizzati ai dati, quali:

  • Sistemi di autenticazione con username e password, quest’ultima impostata con controlli relativi a robustezza e complessità, nonché della scadenza, anche per i dispositivi mobili e formalizzati in policy e regolamenti aziendali
  • Cifratura delle password e gestione delle chiavi di cifratura secondo politiche verificate
  • Autenticazione a due fattori
  • Utilizzo di certificati digitali per l’autenticazione
  • Sistemi di Single Sign On
  • Sistemi di blocco account dopo numero predefinito di tentativi falliti
  • Time-out sessione per le applicazioni
  • Procedure di assegnazione degli account con ruoli e autorizzazioni basati sul principio della necessità di accesso ai dati (segregation of duty, need to know e last privilege), sottoposti a riesame periodico
  • Inventario aggiornato degli account
  • Cancellazione o disabilitazione degli account non utilizzati dopo un periodo di tempo definito
  • Formazione del personale sull’uso account aziendali
  • Procedure di azzeramento o ripristino password
  • Configurazione dei file server con aree ad accesso limitato in base alle autorizzazioni assegnate
  • Configurazione delle applicazioni per l’assegnazione di privilegi minimi per eseguire l’attività assegnata all’utente
  • Individuazione degli account con privilegi amministrativi individuali ed utilizzati solo quando necessario, nonché monitorati tramite un sistema di registrazione (log) dell'accesso ai sistemi, applicazioni e database
  • Utilizzo di https nei sistemi web based
  • Protocolli TLS 1.2 o successivi su web server
  • Utilizzo di crittografia nei server FTP (FTPS o SFTP)

3. Misure tecniche e organizzative implementate per garantire l’Integrità dei dati

Per garantire la conservazione completa della documentazione relativa alla gestione delle modifiche e alla manutenzione dei dati, la tracciabilità e la documentazione del trattamento, Unbound ha messo in atto specifiche misure di sicurezza che consentono la revisione successiva, mediante sistemi di registrazione, al fine di determinare i dettagli relativi all’immissione, la modifica o la rimozione di dati. A tal fine sono previsti sistemi di autorizzazione da parte di supervisori per la modifica o la cancellazione dei dati ed avvisi di conferma (double-check) per la modifica o la cancellazione dei dati nelle applicazioni.

Tutto il loro ciclo di vita i dati personali raccolti o gestiti, dal momento dell’acquisizione e fino alla loro cancellazione, è garantito mediante misure che limitano il più possibile la possibilità di errore, quali:

  • Applicazioni con campi predefiniti o sistemi di controllo nell’inserimento dei dati
  • Procedure di validazione dei dati
  • Immediato aggiornamento / rettifica dei dati su tutti i sistemi in caso di segnalazione / rilevamento di errori o necessità di aggiornamento in uno specifico dataset

4. Misure tecniche e organizzative implementate per garantire la Disponibilità dei dati

Unbound adotta le misure tecniche e organizzative necessarie per garantire la disponibilità dei dati. I dati sono protetti dalla distruzione o dalla perdita accidentale (ad esempio dovuta a blackout, incidenti o eventi naturali). A Tal fine Unbound ricorre ai menzionati servizi dei propri Partner che garantiscono la disponibilità dei dati tramite sistemi ridondati e garantiti dal fornitore, il backup è garantito e monitorato nella sua interezza e il trasferimento dei dati utilizza sistemi di crittografia (SSL/TLS).

In aggiunta Unbound mette in atto politiche e procedure di backup e di ripristino che garantiscono il recupero del sistema e dei dati, prevedendo un sistema di disaster revocery con piattaforme DRaaS in cloud e SLA definiti contrattualmente con i fornitori in relazione alla fornitura hardware.

Unbound garantisce una gestione globale e attiva di tutti gli strumenti utilizzati per il trattamento dei dati, compresi gli strumenti non direttamente attivi nel trattamento ma connessi alle reti o ai sistemi utilizzati per la conservazione, il transito o l’elaborazione dei dati.

Parimenti sono gestiti attivamente tutto i software (sistemi operativi e applicazioni) sulla rete in modo che solo i software autorizzati possano essere installati ed eseguiti, adottando politiche o misure per impedire l’istallazione o l‘esecuzione di software non autorizzato, attraverso:

  • Strumenti di rilevamento passivo delle risorse connesse alla/e rete/i
  • Sistemi di aggiornamento automatico del software
  • Vulnerability assessment periodici
  • Procedure per l’aggiornamento e l’applicazione delle correzioni di sicurezza nei software
  • Verifica periodica bollettini di sicurezza per le vulnerabilità rilevate

5. Politiche e procedure per la gestione della tutela dei dati personali, per l’esame periodico del sistema di trattamento, la valutazione e la verifica su base regolare

Unbound ha implementato un proprio sistema di tutela dei dati personali che include:

  • Una struttura organizzativa vigente per la protezione dei dati con responsabilità definite (inclusa la nomina di un responsabile della protezione dei dati DPO)
  • Conformità a tutti i requisiti legali per la protezione dei dati personali
  • Sistema di gestione dei contratti vigente per la conservazione di tutti gli accordi relativi alla protezione dei dati (accordi per il trattamento dei dati, accordi con sub-responsabili del trattamento ecc.)
  • Formazione sulla tutela dei dati personali per i dipendenti
  • Accordi sulla riservatezza dei dati personali per i dipendenti
  • Una procedura che garantisca i diritti dei soggetti interessati
  • Un processo per segnalare violazioni della protezione dei dati personali ed una procedura per la gestione degli incidenti che possono comportare violazioni dei dati personali che comprende la tenuta di un registro degli eventi

Unbound mette in atto misure tecniche e organizzative a partire dalle fasi iniziali della progettazione delle operazioni di trattamento, in modo da rispettare i principi della privacy e della protezione dei dati fin dall'inizio. Inoltre, garantisce che i dati personali vengano trattati con il massimo livello di protezione, in modo che i dati personali non siano accessibili a un numero indefinito di persone by default, adottando sistemi di controllo preventivo per la minimizzazione dei dati in fase di raccolta, elaborazione e comunicazione.

Tutte le misure sopra elencate vengono periodicamente verificate, valutate e testate, tramite audit periodici documentati, al fine di garantire la sicurezza del trattamento.