Come l’infrastruttura MailUp garantisce la compliance con il GDPR?

La sicurezza delle informazioni e le adeguate politiche di gestione dei dati rappresentano la nostra priorità, con continui investimenti in tecnologia.

Per molti settori, il GDPR rappresenta un’importante innovazione sociale infatti chiarisce e permette di gestire la propria privacy ai singoli individui. MailUp vanta una notevole esperienza nella protezione dalle minacce, nella tutela della privacy e nella conformità alle diverse normative.

Operiamo una politica di trasparenza e miriamo a fornirti le informazioni di cui hai bisogno per sentirti sicuro nell’utilizzare la piattaforma.

Ogni giorni rinnoviamo l’impegno di rispettare i nostri principi di fiducia nel cloud, nella protezione e nella sicurezza dei dati.

  • Impegni contrattuali: i rapporti con MailUp sono supportati da impegni contrattuali per i nostri servizi, inclusi standard di sicurezza, supporto e notifiche tempestive in conformità con i nuovi requisiti GDPR.
  • Condivisione della nostra esperienza: condivideremo le informazioni che raccogliamo attraverso varie autorità per la protezione dei dati e altre organizzazioni rispettabili, in modo da poter adattare ciò che abbiamo appreso per aiutarti a creare il percorso migliore per la tua organizzazione.

Come previsto dal regolamento la nostra infrastruttura e le politiche di sicurezza sono state oggetto di una valutazione di adeguatezza e di impatto preliminare sulla protezione dei dati. Queste valutazioni continueranno ad essere effettuare regolarmente per stare sempre al passo con i più alti standard di conformità in materia di protezione dei dati.

Data Center localizzato in Europa

Per salvaguardare la riservatezza, l’integrità e la disponibilità dei dati, la piattaforma MailUp si appoggia ad un data center fisico localizzato in Italia accessibile dal nostro personale sia fisicamente (con controllo biometrico) che tramite rete privata virtuale.

Data Loss Prevention (DLP)

MailUp crede che le funzioni di prevenzione della perdita dei dati sono di importanza critica in quanto impediscono che le informazioni sensibili vengano condivise senza autorizzazione.

I dati di un’organizzazione sono fondamentali per il suo successo, essi devono essere immediatamente disponibili per consentire l’elaborazione di decisioni, ma allo stesso tempo devono essere protetti per impedire che vengano condivisi con destinatari non autorizzati ad accedervi.

Per questo motivo abbiamo implementato una serie di misure organizzative e tecniche che ci permettono di poter garantire ai nostri clienti non solo la prevenzione da accessi non autorizzati, ma anche una sicurezza adeguata – in relazione alla classificazione del dato trattato – per tutti gli accessi autorizzati.

Tecniche di mitigazione

L’infrastruttura è progettata per risultare resiliente agli attacchi di tipo DDoS (Distributed Denial of Service) attraverso sistemi di mitigazione DDoS in grado di rilevare e filtrare automaticamente il traffico in eccesso inserendo scalabilità per gestire volumi imprevisti di traffico utilizzando appositi bilanciatori di carico.

Crittografia

  • A livello fisico proteggiamo i nostri dati attraverso una metodologia che, in caso di furto di supporti di memoria fisici, non permette l’estrazione di dati sensibili. La tecnologia utilizzata per la memorizzazione di dati su supporti fisici ha lo scopo di aumentare le performance, rendere il sistema resiliente alla perdita di uno o più dischi e poter rimpiazzare i supporti senza interrompere il servizio.
  • A livello applicativo, abbiamo la possibilità di mettere al sicuro i dati contenuti nei database clienti con un criptaggio di dati a riposo.
  • A livello di trasporto, i dati sono vulnerabili agli accessi non autorizzati mentre viaggiano attraverso Internet o all’interno delle reti. Per questo motivo, la protezione dei dati in transito possiede un’alta priorità.
  • Utilizziamo i protocolli crittografici TLS / SSL che utilizzano la crittografia simmetrica basata su una chiave condivisa per fornire la sicurezza nella comunicazione garantendo l’integrità dei dati sulla rete.
  • Per essere ancora più sicuri utilizziamo all’interno del TLS / SSL un algoritmo di cifratura a blocchi chiamato AES-256 (Advanced Encryption Standard) che sostituisce la tecnologia di crittografia a chiave pubblica DES (Data Encryption Standard) e RSA 2048.

Threat Protection

  • Impieghiamo sistemi avanzati per la ricerca di virus nella posta elettronica (sia in entrata che in uscita), di spoofing (utilizzo di mittenti contraffatti) e abbiamo una chiara policy antispam.
  • Strumenti di analisi anti-phishing e protezione avanzata dalle minacce avanzate come spear phishing e qualsiasi Zero Day Attack.
  • Identificazione e blocco file dannosi nella nostra rete interna grazie all’utilizzo di sistemi antivirus e proxy.
  • Verifichiamo regolarmente e automaticamente che tutti i nostri server siano aggiornati e abbiano le ultime patch di sicurezza installate.

Multi-Factor Authentication e firewall

  • L’infrastruttura aziendale è protetta da diversi firewall di rete integrati.
  • Vi sono inoltre firewall per applicazioni web e dispositivi IDS (Intrusion Detection System) che vengono utilizzati per il monitoraggio delle risorse informatiche (pattern). Anche grazie a puntuali analisi del traffico dati svolte dal nostro personale altamente specializzato è possibile rilevare attacchi alla rete o ai computer dove gli Intrusion Detection System fungono da “antifurto”.
  • L’autenticazione multi-fattore è un metodo di autenticazione che richiede più di un metodo di verifica e con il quale viene aggiunto almeno un secondo livello di sicurezza per accessi e transazioni degli utenti. Questo metodo è utilizzato dagli amministratori di sistema e sui servizi Google e Amazon.

Monitoraggio e controllo accessi

  • Visibilità avanzata sulle chiamate API.
  • Opzioni di aggregazione dei log per ottimizzare le indagini e la reportistica di conformità.
  • Definizione, applicazione e gestione di policy di accesso degli utenti su tutti i servizi.
  • Il monitoraggio degli accessi sospetti consente di rilevare possibili intrusioni mediante funzioni di machine learning molto solide.
  • Notifiche di avviso programmabili in caso di superamento soglie o verifica di eventi.
  • I diritti e i livelli di accesso dei dipendenti si basano sulla mansione e sul ruolo lavorativo che hanno, utilizzando i principi del “least-privilege” e “need-to-know”, in funzione delle responsabilità definite per il dipendente.
  • Le richieste di ulteriore accesso seguono un processo formale che prevede l’approvazione da parte del proprietario dei dati o del sistema oppure da parte di responsabili o altri dirigenti, a seconda dei criteri di sicurezza stabiliti.

Vulnerability Assessment

  • MailUp esegue ciclicamente test di vulnerabilità su tutti i sistemi dell’infrastruttura e sui client collegati ad essa.
  • Eseguiamo regolarmente test di penetrazione della sicurezza, utilizzando diversi fornitori.
  • I test prevedono test di penetrazione dei server ad alto livello, test approfonditi per le vulnerabilità all’interno dell’applicazione e esercitazioni di ingegneria sociale.
  • Infine, su richiesta, è possibile autorizzare un vulnerability assessment da parte di terzi.

Incident Management

  • Abbiamo un rigoroso processo di gestione degli incidenti (incident management) per eventi di sicurezza che possono influire sulla riservatezza, integrità o disponibilità di sistemi o dati.
  • Se si verifica un incidente, il team di sicurezza registra e stabilisce la priorità in base alla gravità. Gli eventi che hanno un impatto diretto sui clienti hanno la priorità più alta.

Sicurezza fisica dei data center

  • I nostri data center sono monitorati 24/7 da telecamere interne ed esterne ad alta risoluzione, in grado di rilevare e monitorare gli intrusi. I registri di accesso, i registri delle attività e le riprese della telecamera sono disponibili nel caso si verifichi un incidente.
  • I centri dati sono anche regolarmente sorvegliati da guardie di sicurezza esperte, che hanno ricevuto rigorosi controlli di background e addestramento.
  • Avvicinandosi al data center, aumentano anche le misure di sicurezza. L’accesso al data center è regolato dall’utilizzo di un badge di sicurezza personale e solo dipendenti approvati con ruoli specifici possono accedere.
  • Non bisogna dimenticare che i nostri avanzati sistemi di raffreddamento mantengono una temperatura operativa costante per server e altri hardware, riducendo il rischio di interruzioni del servizio. Le apparecchiature di rilevamento e soppressione degli incendi invece aiutano a prevenire danni all’hardware. Calore, fuoco e rilevatori di fumo attivano allarmi udibili e visibili nella zona interessata, nelle console per le operazioni di sicurezza e negli sportelli di monitoraggio remoto.

Disponibilità e integrità dei dati personali

Per assicurare la disponibilità dei dati, a fronte di malfunzionamenti dell’hardware, per i server più critici sono previste copie di backup con cadenza minima giornaliera. Tali dati vengono salvati su sistemi installati in un backup site dedicato.

MailUp mantiene una copia di backup dei database caricati dai clienti per il tempo necessario specificato nella policy di data retention e poi vengono cancellati automaticamente.
Tali backup vengono verificati periodicamente, sono organizzati in maniera tale da garantire la separazione dei dati per ciascun cliente e sono criptati in maniera sicura, per garantire la massima confidenzialità dei dati.

Tracciamento e smaltimento dell’hardware

  • Il controllo parte all’acquisizione, segue l’installazione, fino alla dismissione ed eventuale distruzione.
  • Per lo smaltimento dell’hardware ci affidiamo a un fornitore altamente qualificato ed esperto che garantisce la distruzione del disco e l’eliminazione del dato a fronte di un documento di avvenuta distruzione.

Partner

Dove previsto, ci avvaliamo di fornitori di servizi/partner solo dopo aver verificato che possano fornire un adeguato livello di sicurezza, di privacy e precise garanzie sulla possibilità di gestire il trattamento dei dati interamente in Europa.

I nostri partner sono:

  • Amazon AWS

    Per la fornitura di servizi di rete di supporto e l’archiviazione delle immagini caricate dai clienti, inclusi i servizi CDN (Content Delivery Network) e di Web Proxy.
    Amazon AWS è conforme a molti standard internazionali e specifici del settore.
    Maggiori informazioni possono essere trovate direttamente alla pagina di compliance AWS

  • Google

    Strumenti per la produttività e la sicurezza aziendale.
    La piattaforma Google è conforme a molti standard internazionali e specifici del settore, maggiori informazioni alla loro pagina di sicurezza e compliance.