1. Data Center e Sicurezza della Rete.
a) Data Center.
Infrastruttura. Per l'erogazione di VOXmail, Void Labs mantiene una infrastruttura dislocata fra Italia e Francia. I fornitori di servizi di data center di riferimento sono OVH, Aruba e Seeweb. Questi fornitori risultano certificati ISO 27001:2013 o successive.
Ridondanza. Tutti i fornitori garantiscono design atto a minimizzare l'impatto di rischi ambientali, eliminando i single point of failure. Doppie linee di alimentazione, ridondanza di rete e altri mezzi aiutano ad ottenere questo scopo. Rimandiamo alla documentazione di garanzia dei fornitori per ulteriori dettagli.
Energia. I sistemi di alimentazione dei data center sono disegnati per essere ridondanti e manutenibili senza impatto sulla continuità dell'operatività, 24 ore al giorno, 7 giorni alla settimana.
Oltre alle doppie linee di alimentazione, sono previsti sistemi di emergenza per il mantenimento dell'operatività (tramite UPS e generatori diesel). Rimandiamo alla documentazione di garanzia dei fornitori per ulteriori dettagli.
Sistemi Operativi dei Server. Void Labs utilizza server basati su distribuzione Linux, manutenuta e configurata per corrispondere ai più elevati standard di sicurezza. Vengono effettuati test periodici per la verifica della sicurezza di ogni singolo server.
Continuità dei Dati. Void Labs replica i dati su sistemi multipli, per massimizzare la disponibilità degli stessi e minimizzarne la perdita o la distruzione accidentali.
b) Rete e Trasmissione.
Trasmissione dei Dati. I dati vengono scambiati fra i server attraverso protocolli di rete criptati SSL, per evitare che i dati siano letti, copiati, alterati o rimossi senza autorizzazione durante il trasferimento elettronico. I protocolli utilizzati sono standard Internet.
Superficie di attacco esterno. Void Labs impiega meccanismi di rilevamento intrusione per proteggere la propria superficie esterna di attacco. Void Labs considera i potenziali vettori di attacco e mette in campo le opportune strategie e tecnologie per affrontarle.
Risposta agli incidenti. Void Labs monitora una serie di canali di comunicazione per gli incidenti di sicurezza, e il personale di sicurezza di Void Labs reagirà prontamente a ogni nuovo avviso di incidente.
Tecnologie di crittografia. Void Labs lavora su canali criptati HTTPS (conosciuti anche come connessioni SSL o TLS). I server Void Labs supportano lo scambio chiavi basato su crittografia ephemeral elliptic curve Diffie-Hellman firmato con RSA e ECDSA. Questa tecnica di "perfect forward secrecy" (PFS) aiuta a proteggere il traffico e minimizza l'impatto di una chiave compromessa, oppure di un forzatura della crittografia.
2. Accesso e controlli sul posto.
a) Politiche di Accesso ai Data Center e Controlli sul posto.
I nostri fornitori garantiscono opportune politiche di accesso e di controllo on site dei data center. Rimandiamo alle documentazioni dei fornitori per ulteriori dettagli:
- OVH - Certificazioni e sicurezza
- ARUBA - Certificazioni e sicurezza
- SEEWEB - Certificazioni e sicurezza
b) Controllo Accessi.
Personale di sicurezza dell'infrastruttura. Void Labs ha, e mantiene, una policy di sicurezza per il suo personale e richiede un training specifico sulla sicurezza. Il personale di sicurezza dell'infrastruttura è responsabile per il monitoraggio dell'infrastruttura di sicurezza, lo stato dei servizi e risponde agli incidenti di sicurezza.
Controllo Accessi e Gestione dei Privilegi. Sia il personale Void Labs, sia i clienti accedono ai servizi attraverso un sistema di autenticazione centrale oppure attraverso un singolo sistema di login. Ogni applicazione controlla credenziali e privilegi per decidere quali dati mostrare.
Gestione interna dei Dati e Policy di accesso. I processi e le policy di accesso ai dati da parte del personale Void Labs sono pensate e realizzate per evitare che persone o sistemi non autorizzati possano ottenere accesso ai sistemi usati per il trattamento dei dati personali.
Void Labs mira a fare in modo che i suoi sistemi:
- consentano l'accesso ai dati unicamente al personale autorizzato a farlo;
- assicurino che i dati personali non possano essere letti, copiati, alterati o cancellati senza autorizzazione preventiva al processo.
I sistemi sono progettati per individuare qualsiasi accesso inappropriato. Void Labs usa un controllo centrale degli accessi per controllare l'accesso del personale ai server di produzione e garantisce tale accesso ad un numero limitato di personale esplicitamente autorizzato.
Void Labs richiede l'uso di una user ID personale unica, password complesse e monitora attentamente la lista degli accessi per prevenire l'uso non autorizzato degli account.
A meno di esigenze specifiche, l’accesso ai dati personali da parte di Void Labs, è sempre realizzato in forma pseudo anonimizzata.
La modifica o l'aggiunta di diritti di accesso è basata su: responsabilità di lavoro del personale; necessità legate allo specifico compito di lavoro preventivamente autorizzato; oppure sulla base di una necessità di conoscenza.
Questa modifica o aggiunta di diritti deve anche tenere conto delle policy interne di Void Labs e del training del personale.
L'accesso ai sistemi è loggato per creare una traccia di audit per permettere la definizione delle responsabilità. Quando sono utilizzate password per l'autenticazione, le policy di definizione delle stesse seguono le raccomandazioni e gli standard di mercato.
3. Dati.
a) Immagazzinamento Dati, autenticazione e isolamento.
Void Labs memorizza i dati su server condivisi tra i Clienti. I dati, i database di servizio e l'architettura del file system sono replicati su diversi data center. Void Labs isola i dati dei singoli Utenti/Clienti a livello applicativo. Void Labs isola logicamente i dati di ogni cliente e utente, e i dati del singolo cliente non vengono mai mostrati ad un altro cliente. La sicurezza del sistema viene mantenuta anche grazie ad un sistema centrale di autenticazione.
b) Policy di cancellazione dischi
Dischi e unità di immagazzinamento dati che dimostrino problemi di performance, errori o fallimenti hardware verranno ritirati. Tutti i dischi ritirati saranno soggetti ad una serie di procedure di distruzioni dati, come previsto dalle policy dei nostri fornitori di server dedicati.
4. Sicurezza del personale.
Al personale Void Labs è richiesto di comportarsi in maniera consistente con le indicazioni dell'azienda riguardanti riservatezza, etica, uso appropriato e standard professionali. Void Labs conduce controlli ragionevolmente appropriati sul background del personale, in maniera legalmente ammissibile e in accordo con le convenzioni locali riguardanti le leggi del lavoro e i rapporti sindacali.
Al personale è richiesta la firma di un accordo di riservatezza, in accordo con le politiche di riservatezza dell'azienda. Al personale è fornita l'opportuna formazione di sicurezza. I dipendenti Void Labs non processano i dati dei Clienti senza preventiva autorizzazione.
5. Sicurezza di altri Responsabili.
Prima di rivolgersi ad altro Responsabile per il trattamento dei dati dei Clienti, Void Labs conduce una estesa indagine sulle politiche di sicurezza e privacy dello stesso e verifica che corrispondano ai livelli minimi richiesti per il tipo di trattamento dei dati che dovrà implementare.