IT e Data Security Policy

Atlas - MongoDb

Il Data Center Atlas, Fornitore/Responsabile di Dilaxia per la gestione dei Database MongoDB, è sito in Irlanda. (Region eu-west-1).

Le specifiche sulla sicurezza e protezione dei sistemi forniti da Atlas sono consultabili all’indirizzo:  

• https://www.mongodb.com/security

Informazioni raccolte

All’interno del file di log sarà possibile trovare le seguenti informazioni:

• Tipologia di operazione eseguita
• Entità interessata
• Utente loggato
• Orario dell’operazione

Singoli dati o informazioni

La cancellazione di specifiche informazioni o dati da parte dell’Utente attraverso le funzionalità previste dall’applicativo, considerata la finalità di utilizzo della Suite Forwork (assolvimento degli obblighi di cui al D.Lgs n. 81/2008), non è una cancellazione definitiva perché è una operazione reversibile tramite intervento tecnico di Dilaxia: tale intervento soggiace a determinate condizioni.

Database

La cancellazione dell’intera base di dati, strutturata e non strutturata, non può essere eseguita autonomamente da parte del licenziatario ma viene eseguita da parte di Dilaxia, a fronte di preventiva autorizzazione per iscritto da parte del licenziatario dell’applicativo, e comporta:

• Drop della base dati MongoDB con gli appositi comandi irreversibili messi a disposizione da MongoDB

• Cancellazione dei backup locali di Atlas tramite appositi software di cancellazione sicura. Il singolo dato verrà definitivamente rimosso anche dai backup a distanza di 7 giorni dalla data di scrittura.
• Cancellazione degli allegati dal file system tramite appositi software di cancellazione sicura
• Cancellazione, tramite le procedure previste da Amazon, dei dati conservati su Amazon Glacier (http://docs.aws.amazon.com/amazonglacier/latest/dev/deleting-an-archive.html)

Accesso al portale web

La policy di accesso alla Suite Forwork ed ai dati ivi contenuti è stringente:

a) Credenziali univoche e password complesse;
b) Scadenza password ogni 3 mesi;
c) Disattivazione temporanea account utente a seguito di 3 tentativi di accesso;
d) Scadenza della password dopo inattività account di 6 mesi.

Two factor Authentication

A richiesta, è possibile attivare la modalità di autenticazione a due fattori per l’accesso alla Suite Forwork.  

Per effettuare il login sarà necessario installare sul proprio smartphone l’applicazione di Google Authenticator.

Dopo aver inserito le proprie credenziali sul portale web di Forwork, verrà richiesto l’inserimento di un codice alfanumerico generato dall’applicazione di Google Authenticator sullo smartphone dell’utente. Questo consentirà un maggiore controllo sugli accessi degli utenti a Forwork.

Accesso da parte di Dilaxia all'ambiente ove sono conservati i dati

La policy di accesso alla Suite Forwork da parte del personale tecnico di Dilaxia è altrettanto stringente:

1. Ai server che gestiscono l’applicazione si accede unicamente dall’IP pubblico di Dilaxia, associato alla connettività locale dell’azienda;
2. Per accedere alla base dati, bisogna autenticarsi tramite credenziali personali di accesso.  
3. Elencazione dei System & Database Admin per il personale con tale funzione, con revisione periodica delle autorizzazioni e permessi.

La su estesa procedura è residuale in quanto il deploy delle nuove funzionalità avviene attraverso il pannello di controllo di AWS senza accedere al server.  

L’accesso da parte del personale tecnico di Dilaxia avviene attraverso un sistema di autenticazione a due fattori.  

Policy di disattivazione Utenti applicazione

In conformità alle policy di sicurezza applicate ai processi gestionali e operativi del licenziatario, le credenziali di autenticazione degli utenti dell’applicativo, non più autorizzati ad accedervi, sono disattivate autonomamente dal Cliente attraverso l’apposita funzionalità prevista dall’applicativo ovvero, a richiesta, da parte di Dilaxia.  

Le credenziali di autenticazione non utilizzate dall’utente da almeno 6 mesi vengono automaticamente disattivate  

Policy di disattivazione Utenti sistema

In relazione alle policy di sicurezza applicate ai processi gestionali e operativi di Dilaxia, le credenziali di autenticazione dei tecnici che accedono all’ambiente Site Forwork vengono disattivate dalla data di cessazione del rapporto lavorativo.

In questo modo, l’ex dipendente non può più accedere alla rete interna di Dilaxia e, di conseguenza, ai server e ai database legati all’applicazione.

Elenco degli Amministratori di Sistema

Dilaxia è disponibile a fornire un elenco aggiornato dei propri Amministratori di Sistema e Database della Suite Forwork.

Trattamento di dati personali e particolari

Preliminarmente, è utile distinguere i trattamenti di dati personali comuni (ad es. anagrafica del lavoratore) dal trattamento di dati sanitari (i.e. referti medici) e valutare le responsabilità nascenti da tali trattamenti effettuati attraverso la Suite Forwork da parte del licenziatario, del Medico competente da questo designato e da parte di Dilaxia.  

Il Licenziatario, quale Datore di lavoro, è titolare del trattamento dei dati personali comuni dei propri lavoratori per la gestione degli obblighi di cui al D.Lgs n. 81/2008 nonché di particolari categorie di dati personali afferenti alla sfera sanitaria dell’interessato del lavoratore limitatamente agli eventuali giudizi di inidoneità emessi dal Medico Competente.  

I dati relativi alle cartelle sanitarie e di rischio dei lavoratori non dovrebbero mai finire nella disponibilità di un Datore di lavoro.  

Il Medico Competente, invece, quale professionista in possesso dei requisiti di cui all’art. 38 della citata disposizione normativa, è autonomo titolare dei dati personali particolari (i.e. sanitari) dei lavoratori in quanto unico soggetto legittimato a trattare tale tipologia di dati per le finalità indicate dal D.Lgs n. 81/2008.  

Questo aspetto è stato ribadito dal Garante per la protezione dei dati personali nella propria Relazione annuale del 2019, paragrafo 13.14: “[…] Sulla base di tali valutazioni, il Garante ha tradizionalmente considerato il medico competente un autonomo titolare e, nonostante gli accertamenti volti a verificare l’idoneità̀ alla mansione specifica del dipendente siano obbligatori per legge e svolti a spese e a cura del Datore di lavoro (artt. 39, comma 5 e 41, comma 4, d.lgs. n. 81/2008), essi devono essere effettuati esclusivamente tramite il professionista. Egli è, infatti, l’unico soggetto legittimato a trattare i dati sanitari dei lavoratori per le finalità̀ indicate dalla disciplina di settore, come chiarito dal Garante in un provvedimento […]”.

Dilaxia, quale sviluppatore dell’applicativo Suite Forwork, è Responsabile del trattamento, ai sensi e per gli effetti dell’art. 28 del Reg. UE 2016/679, dei dati personali dei lavoratori (anagrafiche, giudizi di idoneità/inidoneità etc.) per conto del Titolare-Datore di lavoro per finalità di gestione, manutenzione e sviluppo del software in esecuzione del contratto di licenza del SaaS.  

Al contempo, Dilaxia è Responsabile del trattamento dei dati personali comuni e sanitari dei lavoratori per conto di un diverso e autonomo titolare: il Medico Competente designato dal Datore di lavoro.  

Il Medico Competente, pertanto, quale autonomo titolare del trattamento dei dati sanitari dei lavoratori che si devono sottoporre a sorveglianza sanitaria in ossequio agli obblighi in capo al Datore di lavoro di cui al D.Lgs n. 81/2008, e quale soggetto tenuto ad applicare e rispettare la normativa in materia di protezione dei dati personali, è il soggetto dal quale può discendere la legittimazione del Responsabile del trattamento-Dilaxia a trattare i dati personali sanitari dei lavoratori del Datore di lavoro.

Dilaxia, pertanto, riveste il duplice ruolo di Responsabile del trattamento per conto del licenziatario-Datore di lavoro per le attività di gestione e manutenzione del SaaS, con esclusione di quella porzione di dati (sanitari) e funzionalità di cui la titolarità è in capo al Medico Competente. Per queste ultime funzionalità e informazioni, Dilaxia riveste un ulteriore ruolo di Responsabile del trattamento per conto del Medico Competente.  

Data Processing Agreement - Medico Competente

Al fine di agevolare la ripartizione delle responsabilità nascenti dal trattamento di dati personali da parte dei soggetti utilizzatori del SaaS Forwork, in ottica di accountability, Dilaxia ha voluto introdurre una specifica funzionalità all’interno del proprio applicativo.  

Al primo accesso dell’”Utenza Medico Competente” viene sottoposto al Medico Competente, e da quest’ultimo accettato tramite apposita spunta, un Data Processing Agreement ex art. 28 Reg. UE 2016/679 con il quale il MC designa Dilaxia quale Responsabile del trattamento dei dati sanitari dei lavoratori per le finalità di gestione e conservazione della cartella sanitaria e di rischio associata all’anagrafica del lavoratore.

Interpello 4/2019 - Ministero del Lavoro

In relazione al quesito posto dalla Federazione Nazionale degli Ordini dei Medici Chirurghi e degli Odontoiatri (FNOMCeO) nell’Interpello 4/2019 depositato avanti al Ministero del Lavoro, «è giustificata la richiesta al Medico Competente di inserire dati sanitari in un data base aziendale complesso? Non sarebbe più opportuno limitare l’inserimento al giudizio di idoneità ed alle limitazioni, lasciando ad altri files, nelle uniche disponibilità del Medico, i dati più “personali”? E’ lecito che l’Amministrazione di sistema sia lo stesso Datore di lavoro od un lavoratore dipendente dallo stesso individuato?”, per quanto attiene all’accesso da parte di Dilaxia ai dati sanitari conservati e trattati nella propria infrastruttura informatica in qualità di Amministratore del sistema, l’interpretazione dell’Interpello 4 deve muovere dalla riflessione sul fatto che il Titolare dei dati sanitari del lavoratore non è il Datore di Lavoro, bensì il Medico Competente dallo stesso designato (cfr. Punto 8.1.1).  

Dilaxia è conforme a quanto indicato nell’interpello 4/2019 del Ministero del Lavoro nella misura in cui non è Responsabile del trattamento con funzioni di Amministratore del Sistema (interno o esterno) per conto del Datore di lavoro per i trattamenti attinenti ai dati sanitari dei lavoratori in quanto la titolarità su tali dati compete esclusivamente al Medico Competente.

Dilaxia è altresì conforme all’interpello citato perché consente l’accesso ai dati sanitari dei lavoratori unicamente al Medico Competente designato dal Datore di lavoro.

Il Datore di lavoro (ovvero un lavoratore dipendente da quest’ultimo designato AdS) non ha accesso ai dati sanitari dei propri lavoratori in quanto questo non è consentito dalle logiche dell’applicativo Suite Forwork.  

Registro Pubblico del Software presso SIAE

La Suite Forwork è registrata presso il Registro Pubblico Speciale per i Programmi per Elaboratore istituito presso la Società Italiana degli Autori ed Editori (SIAE).  

Numero Registrazione: D000015304 del 04/07/2021.  

ISO 9001:2015

Dilaxia è certificata ISO 9001:2015 - Sistemi di Gestione della Qualità nei seguenti campi di applicazione:

1. Progettazione e sviluppo di soluzioni software
2. Erogazione prodotti in ambito software
3. Progettazione, realizzazione e manutenzione di infrastrutture informatiche
4. Servizi di consulenza e formazione nel settore informatico, a corredo dei servizi erogati

Ente Certificatore: Bureau Veritas Italia S.p.A.  

Team Compliance interno

Dilaxia si è dotata di figure professionali specializzate in ambito giuridico ed informatico che formano il Team Legal, Privacy & Compliance.

Il team può essere contattato scrivendo a privacy@dilaxia.com

Data Protection Officer

Dilaxia, al fine di sorvegliare sull’osservanza del rispetto dei principi sulla protezione dei dati personali nei propri processi di trattamento di dati personali in Azienda, ha ritenuto strategico dotarsi di un Data Protection Officer, con le competenze di cui agli artt. 37 e seg. Reg. UE 2016/679.

Il DPO è contattabile all'indirizzo dpo@dilaxia.com

Diritti degli interessati

Dilaxia è in grado di gestire e riscontrare, nei termini previsti dalla normativa applicabile in materia di protezione dei dati personali, le richieste che dovessero prevenire dagli interessati coinvolti nel trattamento dei dati personali.  

È stato implementato un canale di comunicazione dedicato: privacy@dilaxia.com

Responsabilità sui dati personali trattati

Il modello di responsabilità per le soluzioni basate sui servizi AWS è il seguente:

In estrema sintesi:

• Il licenziatario della Suite Forwork è responsabile del primo strato: “Customer Data”, pertanto è l’utilizzatore del tool che deve garantire la genuinità del dato personale e/o particolare inserito e poi conservato nella Suite Forwork ;
• Dilaxia è responsabile per i sottostanti strati blu: Platform, Applications (Logic and Storage), Operating System, Encryption, Network Traffic Protection,  
• AWS, Sub-Responsabile, è responsabile degli strati arancioni: compute, storage, database, networking, global infrastructure

Quali sono le procedure di notifica degli incidenti di sicurezza AWS?

AWS informa attraverso la Service Health Dashboard delle eventuali interruzioni temporanee di servizio o perdita di dati (https://status.aws.amazon.com/#EU_block).  

Dilaxia ha inoltre sottoscritto il relativo feed RSS che la informa delle eventuali interruzioni di servizio o perdita di dati sulla zona di riferimento, in modo attivo.

Quali sono le procedure di comunicazione del data breach da parte di Dilaxia?

Dilaxia, nel proprio ruolo di Responsabile o Sub-Responsabile del trattamento dei dati personali, ha l’obbligo di informare senza indebito ritardo il Titolare o il Responsabile del trattamento dopo essere venuto a conoscenza di un evento di violazione dei dati personali.  

Dilaxia, al fine di garantire una tempestiva gestione di ogni eventuale evento di violazione di sicurezza sui dati personali trattati, ha implementato specifiche politiche interne e procedure operative.  

Qui di seguito si riporta brevemente una sintesi della procedura di Data Breach Management attualmente adottata da Dilaxia:

Operazioni preliminari

Dilaxia ha individuato nel Team Privacy quale Responsabile interno all’azienda deputato alla gestione delle Violazioni dei dati personali (Data Breach) -  privacy@dilaxia.com

Per Data Breach o Violazione dei Dati Personali si intende una “violazione di sicurezza che comporta - accidentalmente o in modo illecito - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.  

Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.

Dilaxia ha istruito il personale dipendente che, ogni qualvolta si presenti il sospetto che si sia verificata una violazione di dati, deve tempestivamente inoltrare una segnalazione al Team di lavoro dedicato alla gestione dell’evento.  

Qui di seguito, a titolo esemplificativo ma non esaustivo, vengono illustrate le principali casistiche di Data Breach:

1. l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
2. il furto o la perdita di dispositivi informatici contenenti dati personali;
3. la deliberata alterazione di dati personali;
4. l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;  
5. la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
6. la divulgazione non autorizzata dei dati personali.
7. Sospetto di accesso non autorizzato nel proprio PC
8. Comportamento anomalo del proprio PC o dispositivo informatico

Operazioni procedurali

Il Team, ricevuta la segnalazione, valuta preliminarmente se la segnalazione possa avere i contorni e le caratteristiche di una violazione dei dati personali trattati da Dilaxia

Il Team in caso l’indagine preliminare dia esito negativo può chiudere la procedura.  

Nel caso in cui l’evento possegga le caratteristiche di un Data Breach, deve procedere come segue:

1. Coinvolgere il Responsabile di funzione avviando un’analisi finalizzata alla raccolta delle informazioni concernenti l'incidente, all’uopo utilizzando la “Scheda Evento Data Breach”, contenente tutte le informazioni necessarie all’analisi.
2. Coinvolgere il Data Protection Officer
3. Il Team, analizzato l’evento, produce una relazione sulle conseguenze del Breach evidenziando all’interno del documento le azioni correttive e/o migliorative che verranno intraprese.  
4. Il Team dovrà annotare l’evento all’interno del Registro delle violazioni, ex art. 33 GDPR.

Indice di rischio

Dal grafico si evince che il rischio più impattante (A), considerata la probabilità di accadimento e la gravità in caso di effettiva realizzazione, è quello afferente all’accesso illegittimo ai dati.

Il rischio di cui all’accesso illegittimo ai dati, di per sé quello con un indice di rischiosità più importante, è mitigato sia come probabilità di accadimento che per la gravità che ne potrebbe derivare in caso di realizzazione dalle misure di sicurezza implementate a protezione della Suite Forwork. La probabilità di accadimento è conseguente ad una possibile condotta illecita da parte di dipendenti di Dilaxia, dei fruitori finali dell’applicativo ovvero di un attacco informatico ad opera di terzi.  

Ai dipendenti di Dilaxia sono state impartite precise policy di accesso e fruizione dei dati nonché specifici profili autorizzativi e obblighi di riservatezza.  

Il rischio di un possibile accesso non autorizzato al sistema da parte di terzi alla pagina web di log-in risulta mitigato dalle policy di scadenza, non ripetibilità e complessità delle credenziali di acceso nonché dai risultati (nulli) dei test di VA/PT eseguiti nel tempo.  

L’accesso ai server dell’applicazione è stato configurato mediante profili autorizzativi di System Admin che prevedono credenziali di accesso che hanno le caratteristiche di complessità previste dalle policy interne di Dilaxia.  

Il personale tecnico di Dilaxia, sviluppatori e sistemisti, garantiscono specifiche qualifiche professionali ed elevati standard di sviluppo supportati da una costante e continuativa formazione.  

Un eventuale accesso illegittimo è stato pertanto valutato sia che esso possa derivare da un’azione dolosa o colposa umana, da parte di soggetti interni a Dilaxia che esterni quali gli utilizzatori dell’applicativo, sia da un attacco informatico da fonte umana o non umana.  

È stata inoltre presa in analisi la possibile verificazione di bug di sistema, quali eventi imprevedibili, all’applicativo Suite Forwork .  

A mitigazione di eventuali bug che dovessero occorrere all’applicativo, Dilaxia ha introdotto una ulteriore fase di test mediante l’attività di una figura professionale di Quality Assurance dedicata e di Delivery Management.  

In questo senso, il rischio maggiormente impattante è, per i motivi sopra esposti, basso considerate le adeguate misure di sicurezza e protezione implementate da Dilaxia a mitigazione dello stesso.

Calcolo dell'indice di rischio

Indice Probabilità (P):  
Basso: 1          Medio: 2           Alto: 3           Elevato: 4

Indice Gravità (G):
Basso: 1          Medio: 2           Alto: 3           Elevato: 4

Indice di rischio (G*P):
Trascurabile: 1          Basso: 2           Medio: 3-8           Elevato: 9-16

Risultati
‍

‍‍