TECHNICAL AND ORGANISATIONAL MEASURES (TOMs) - Antherica Srl

  1. Home
  2. TECHNICAL AND ORGANISATIONAL MEASURES (TOMs)

ALLEGATO B

TECHNICAL AND ORGANISATIONAL MEASURES (TOMs)

Allegato al Data Processing Agreement (DPA)

AnthericaMail

Versione 1.0

1. INTRODUZIONE

Il presente Allegato descrive le misure tecniche e organizzative adottate da Antherica S.r.l. per garantire un livello di sicurezza adeguato al rischio ai sensi dell'articolo 32 del Regolamento (UE) 2016/679 ("GDPR").

Le misure descritte sono soggette a periodica revisione e aggiornamento sulla base:

  • dell'evoluzione tecnologica;

  • delle minacce emergenti;

  • delle modifiche infrastrutturali;

  • dei risultati delle attività di monitoraggio e valutazione del rischio.

2. GOVERNANCE DELLA SICUREZZA

Antherica adotta procedure interne volte a garantire:

  • protezione dei dati personali;

  • continuità operativa;

  • disponibilità dei servizi;

  • riservatezza delle informazioni;

  • integrità dei sistemi.

Le attività di sicurezza sono coordinate dalla Direzione aziendale e dai soggetti autorizzati alla gestione dell'infrastruttura.

3. SICUREZZA FISICA

3.1 Datacenter

I servizi AnthericaMail sono ospitati presso infrastrutture cloud Akamai (Linode).

Ubicazione primaria dei dati:

Francoforte (Germania)

all'interno dello Spazio Economico Europeo (SEE).

3.2 Protezione fisica

Il datacenter implementa:

  • controllo degli accessi fisici;

  • autenticazione degli operatori autorizzati;

  • videosorveglianza;

  • monitoraggio H24;

  • sistemi antintrusione;

  • registrazione degli accessi;

  • presidi di sicurezza.

3.3 Continuità energetica

Sono presenti:

  • alimentazione ridondata;

  • gruppi di continuità (UPS);

  • generatori di emergenza;

  • sistemi di monitoraggio ambientale.

3.4 Protezione ambientale

Sono implementati:

  • rilevazione incendi;

  • sistemi automatici antincendio;

  • controllo temperatura e umidità;

  • ridondanza degli impianti critici.

4. SICUREZZA INFRASTRUTTURALE

4.1 Segmentazione logica

I dati dei clienti sono separati logicamente all'interno dell'infrastruttura.

L'accesso ai dati è consentito esclusivamente tramite procedure autorizzate.

4.2 Firewall

Sono utilizzati firewall di rete per:

  • filtrare il traffico;

  • limitare le connessioni non autorizzate;

  • ridurre la superficie di attacco.

4.3 Protezione DDoS

L'infrastruttura beneficia dei sistemi di protezione messi a disposizione dal provider cloud per la mitigazione degli attacchi distribuiti.

4.4 Monitoraggio

I sistemi sono monitorati al fine di rilevare:

  • anomalie operative;

  • tentativi di accesso non autorizzato;

  • eventi di sicurezza;

  • degradi delle prestazioni.

5. SICUREZZA APPLICATIVA

5.1 Web Application Firewall (WAF)

La piattaforma è protetta mediante sistemi WAF finalizzati a:

  • bloccare attacchi HTTP;

  • limitare attività malevole;

  • filtrare richieste anomale;

  • ridurre il rischio di compromissione applicativa.

5.2 Hardening

I sistemi vengono configurati secondo criteri di minimizzazione della superficie di attacco.

Sono disabilitati servizi non necessari all'erogazione della piattaforma.

5.3 Gestione vulnerabilità

Antherica effettua:

  • aggiornamenti software;

  • aggiornamenti di sicurezza;

  • correzione delle vulnerabilità identificate;

  • verifica periodica dei componenti installati.

6. CONTROLLO DEGLI ACCESSI

6.1 Account individuali

Ogni soggetto autorizzato dispone di credenziali personali.

L'utilizzo di account condivisi è evitato ove tecnicamente possibile.

6.2 Principio del minimo privilegio

I privilegi di accesso vengono assegnati sulla base delle effettive necessità operative.

6.3 Gestione credenziali

Le credenziali:

  • devono essere mantenute riservate;

  • possono essere revocate in qualsiasi momento;

  • vengono disabilitate in caso di cessazione dell'autorizzazione.

6.4 Multi-Factor Authentication

La piattaforma rende disponibile l'autenticazione multifattore (MFA).

7. ACCESSO AI DATI DEI CLIENTI

Antherica non accede ordinariamente ai dati dei clienti.

L'accesso può avvenire esclusivamente:

  • su richiesta del cliente;

  • per attività di supporto tecnico;

  • per risoluzione di malfunzionamenti;

  • per motivi di sicurezza.

Gli accessi sono limitati al personale autorizzato.

8. CIFRATURA E PROTEZIONE DELLE COMUNICAZIONI

Le comunicazioni tra client e server sono protette tramite protocolli TLS.

Le connessioni non sicure possono essere rifiutate o reindirizzate verso connessioni cifrate.

9. LOGGING E TRACCIABILITÀ

Sono mantenuti log tecnici relativi a:

  • accessi;

  • eventi di sistema;

  • operazioni amministrative;

  • errori applicativi.

I log sono utilizzati esclusivamente per:

  • sicurezza;

  • troubleshooting;

  • monitoraggio operativo;

  • analisi incidenti.

10. BACKUP

10.1 Backup operativi

Vengono effettuati backup periodici dei dati necessari alla continuità del servizio.

10.2 Conservazione

I backup vengono conservati per un periodo massimo di:

30 giorni

salvo necessità tecniche o obblighi normativi.

10.3 Ripristino

Sono previste procedure di recupero finalizzate al ripristino dei dati in caso di incidente.

11. BUSINESS CONTINUITY E DISASTER RECOVERY

Antherica mantiene procedure operative finalizzate a:

  • garantire la disponibilità dei servizi;

  • ridurre i tempi di interruzione;

  • ripristinare i sistemi in caso di guasto.

Le procedure sono aggiornate periodicamente.

12. GESTIONE DEGLI INCIDENTI

È mantenuto un processo interno di gestione degli incidenti che comprende:

  • identificazione;

  • classificazione;

  • contenimento;

  • analisi;

  • risoluzione;

  • revisione post-evento.

13. DATA BREACH

In caso di violazione dei dati personali:

  • viene avviata una procedura interna di gestione;

  • viene effettuata la valutazione dell'impatto;

  • il Cliente viene informato senza ingiustificato ritardo;

  • vengono adottate misure correttive e preventive.

14. FORMAZIONE E RISERVATEZZA

Le persone autorizzate al trattamento:

  • sono vincolate da obblighi di riservatezza;

  • ricevono istruzioni adeguate;

  • operano esclusivamente nei limiti delle autorizzazioni ricevute.

15. PRIVACY BY DESIGN E BY DEFAULT

Lo sviluppo della piattaforma AnthericaMail tiene conto dei principi di:

  • minimizzazione dei dati;

  • limitazione delle finalità;

  • sicurezza per impostazione predefinita;

  • protezione dei dati fin dalla progettazione.

16. REVISIONE DELLE MISURE

Le presenti misure sono soggette a revisione periodica.

Antherica si riserva di modificare o integrare le misure descritte per mantenere un livello di sicurezza adeguato all'evoluzione tecnologica e alle minacce emergenti.

Informativa

Utilizziamo cookie o tecnologie simili per finalità tecniche e, con il tuo consenso, anche per altre finalità come specificato nella cookie policy.

Puoi acconsentire all'utilizzo di tali tecnologie utilizzando il pulsante "Accetta tutti". Fino a che non sceglierai una opzione utilizzeremo solo i cookie tecnici e necessari.