SECURITY SCHEDULE - Antherica Srl

  1. Home
  2. SECURITY SCHEDULE

ALLEGATO F

SECURITY SCHEDULE

AnthericaMail Security Controls Framework

Versione 1.0

1. SCOPO

Il presente Security Schedule descrive il framework di sicurezza adottato da Antherica S.r.l. per la protezione dei dati personali trattati tramite la piattaforma AnthericaMail.

Le misure descritte integrano il Data Processing Agreement e le Technical and Organisational Measures (TOMs).

2. OBIETTIVI DI SICUREZZA

Le misure di sicurezza sono progettate per garantire:

  • Riservatezza (Confidentiality)

  • Integrità (Integrity)

  • Disponibilità (Availability)

  • Resilienza (Resilience)

  • Tracciabilità (Accountability)

3. CLASSIFICAZIONE DEGLI ASSET

Livello 1 – Critico

Comprende:

  • database clienti;

  • mailing list;

  • configurazioni SMTP;

  • credenziali amministrative;

  • backup.

Requisiti:

  • accesso limitato;

  • monitoraggio continuo;

  • backup obbligatori.

Livello 2 – Importante

Comprende:

  • statistiche campagne;

  • log applicativi;

  • configurazioni utente.

Requisiti:

  • accesso controllato;

  • monitoraggio periodico.

Livello 3 – Ordinario

Comprende:

  • documentazione pubblica;

  • materiali informativi;

  • contenuti non riservati.

4. CONTROLLO ACCESSI

Principi applicati

Antherica adotta:

  • Least Privilege

  • Need To Know

  • Separation of Duties

Utenti Applicativi

Ogni utente dispone di:

  • account individuale;

  • password personale;

  • profilo autorizzativo dedicato.

MFA

La piattaforma rende disponibile l'autenticazione multifattore.

L'attivazione è raccomandata per tutti gli account amministrativi.

5. ACCESSO AMMINISTRATIVO

L'accesso amministrativo è consentito esclusivamente a personale autorizzato.

Gli accessi vengono concessi sulla base delle effettive esigenze operative.

Revoca Accessi

Gli accessi vengono revocati:

  • in caso di cessazione del rapporto;

  • in caso di cambio mansione;

  • in caso di revoca dell'autorizzazione.

6. GESTIONE PASSWORD

Le password devono:

  • essere sufficientemente robuste;

  • non essere condivise;

  • essere custodite in modo sicuro.

Sono vietate credenziali generiche condivise ove tecnicamente evitabile.

7. SICUREZZA DEL CODICE

Lo sviluppo software segue principi di:

  • Secure Development Lifecycle;

  • Privacy by Design;

  • Privacy by Default.

Revisione del codice

Le modifiche applicative possono essere sottoposte a:

  • test funzionali;

  • verifiche tecniche;

  • controlli di qualità.

8. PATCH MANAGEMENT

Antherica mantiene procedure per:

  • aggiornamento sistemi operativi;

  • aggiornamento middleware;

  • aggiornamento framework;

  • aggiornamento componenti software.

Priorità vulnerabilità

Critica

Intervento prioritario.

Alta

Intervento accelerato.

Media

Intervento pianificato.

Bassa

Intervento secondo normale ciclo di manutenzione.

9. VULNERABILITY MANAGEMENT

Le vulnerabilità possono essere identificate mediante:

  • monitoraggio tecnico;

  • segnalazioni;

  • controlli periodici;

  • fonti pubbliche di sicurezza.

10. SICUREZZA DELLE RETI

Sono implementati:

  • firewall;

  • filtri di accesso;

  • segmentazione logica;

  • sistemi di monitoraggio.

11. WEB APPLICATION FIREWALL

La piattaforma utilizza meccanismi WAF finalizzati a:

  • prevenzione SQL Injection;

  • prevenzione XSS;

  • protezione da attacchi automatizzati;

  • mitigazione attività malevole.

12. PROTEZIONE SMTP

Il motore SMTP proprietario implementa:

  • autenticazione;

  • logging eventi;

  • monitoraggio reputazionale;

  • gestione bounce;

  • gestione unsubscribe.

13. LOG MANAGEMENT

Sono mantenuti log relativi a:

  • autenticazioni;

  • eventi amministrativi;

  • errori applicativi;

  • attività infrastrutturali.

Conservazione Log

I log vengono conservati per il periodo necessario alle finalità:

  • operative;

  • investigative;

  • di sicurezza.

14. BACKUP POLICY

Frequenza

Backup periodici dei sistemi e dei dati.

Conservazione

Retention massima:

30 giorni.

Protezione

I backup sono conservati in ambienti protetti e accessibili esclusivamente a personale autorizzato.

15. DISASTER RECOVERY

Sono mantenute procedure finalizzate al ripristino dei servizi.

Le procedure vengono aggiornate periodicamente.

16. BUSINESS CONTINUITY

Le attività di continuità operativa mirano a:

  • ridurre il downtime;

  • garantire la disponibilità dei servizi;

  • minimizzare la perdita di dati.

17. RPO E RTO

Recovery Point Objective (RPO)

Obiettivo massimo:

24 ore.

Recovery Time Objective (RTO)

Obiettivo indicativo:

48 ore.

I valori possono variare in funzione della natura dell'incidente.

18. INCIDENT RESPONSE

Il processo di gestione incidenti comprende:

  1. Rilevazione

  2. Classificazione

  3. Contenimento

  4. Analisi

  5. Mitigazione

  6. Ripristino

  7. Revisione

19. DATA BREACH RESPONSE

In caso di Data Breach:

  • viene attivata la procedura interna;

  • viene effettuata la valutazione dell'impatto;

  • il Cliente viene informato senza ingiustificato ritardo;

  • vengono documentate le azioni correttive.

20. ONBOARDING DEL PERSONALE

Prima dell'accesso ai sistemi:

  • definizione delle autorizzazioni;

  • attribuzione credenziali;

  • istruzioni operative;

  • obblighi di riservatezza.

21. OFFBOARDING DEL PERSONALE

Alla cessazione del rapporto:

  • revoca credenziali;

  • revoca autorizzazioni;

  • restituzione strumenti aziendali;

  • verifica chiusura accessi.

22. REVISIONE PERIODICA

Le autorizzazioni vengono periodicamente riesaminate per verificarne la necessità.

23. AUDIT E VERIFICHE

Antherica può effettuare verifiche interne sulle misure di sicurezza adottate.

I risultati possono essere utilizzati per migliorare il livello di protezione.

24. MIGLIORAMENTO CONTINUO

Le misure di sicurezza sono soggette a revisione continua in funzione:

  • dell'evoluzione tecnologica;

  • delle minacce emergenti;

  • delle esigenze operative;

  • degli aggiornamenti normativi.

25. CONTATTI SICUREZZA E PRIVACY

Antherica S.r.l.

Via Passo Buole n. 82
42123 Reggio Emilia (RE)

Email Privacy:
privacy@antherica.it

Email DPO:
dpo@antherica.it

Sito web:
https://www.antherica.com

Fine del Security Schedule.

Informativa

Utilizziamo cookie o tecnologie simili per finalità tecniche e, con il tuo consenso, anche per altre finalità come specificato nella cookie policy.

Puoi acconsentire all'utilizzo di tali tecnologie utilizzando il pulsante "Accetta tutti". Fino a che non sceglierai una opzione utilizzeremo solo i cookie tecnici e necessari.