L’Unione Europea (UE) ha aggiornato la propria normativa sulla protezione dei dati. Questa nuova norma si chiama Regolamento generale sulla protezione dei dati (GDPR, di seguito), e si applica in generale a tutti i tipi di soggetti, dalle autorità pubbliche alle piccole e medie imprese, senza differenziare se il trattamento avviene all’interno dell’UE o all’esterno, purché riguardi cittadini europei. Per Acumbamail la sicurezza dei tuoi dati è la cosa più importante e per questo mettiamo tutta la nostra esperienza nella protezione dalle minacce e nella tutela della privacy.
La nostra infrastruttura e le nostre politiche di sicurezza sono state sottoposte a continue valutazioni per la conformità normativa. L'infrastruttura e le politiche di sicurezza di Acumbamail superano regolarmente audit ed esami che verificano che siano conformi alle normative sulla protezione dei dati.
Invii da server situati in Europa
Tutta la nostra infrastruttura si trova in Spagna, quindi c'è garanzia sul fatto che non avvengono trasferimenti internazionali di dati. Disponiamo inoltre delle necessarie misure di sicurezza per il livello di sicurezza relativo ai dati da noi gestiti, in conformità con le linee guida dell'Agenzia spagnola per la protezione dei dati
Prevenzione della perdita di dati (DLP)
Data Loss Prevention (DLP), prevenzione della perdita di dati, tradotto letteralmente. In Acumbamail, le politiche di prevenzione della perdita di dati sono essenziali e garantiscono che i dati e le informazioni più sensibili non possano essere condivisi senza autorizzazione.
I dati devono essere accessibili ai nostri clienti in modo rapido ed efficiente, in modo tale che possano consultarli, ma allo stesso tempo questi dati devono essere protetti in modo che non possano essere condivisi con persone non autorizzate.
Per questo, Acumbamail ha implementato una serie di misure tecniche e organizzative per prevenire l'accesso non autorizzato ai dati dei nostri clienti e offrire un'adeguata sicurezza.
Certificazioni
Il nostro data center ha le seguenti certificazioni: ISO 9001, ISO 27001 e ISO 22301.
Sicurezza fisica nel centro elaborazione dati (CED)
Il nostro centro di elaborazione dati (CED) ha le seguenti misure di sicurezza fisica:
Registrazione delle aree di accesso e delle aree server per circuito TVCC.
Registrazione di tutti i visitatori con i dati personali.
Accesso alle strutture tramite impronte digitali.
Sicurezza della rete
La nostra rete ha le seguenti misure di sicurezza:
Isolamento delle risorse critiche nelle reti private, senza accesso pubblico e controllo degli accessi tramite gateway dedicati nelle reti perimetrali.
Tutti i servizi di gestione dell'infrastruttura si trovano in reti private accessibili dal team di supporto e amministrazione tramite VPN.
Utilizzo di 2FA per l'autenticazione dell'utente di gestione e amministrazione del sistema.
Controllo del tempo di sessione e monitoraggio dell'orario di attività.
Sistema di prevenzione delle intrusioni (IPS). Controlla l'accesso al sistema attraverso una rete perimetrale che include regole di esclusione automatica.
Sistema di rilevamento delle intrusioni (IDS). Stabilisce controlli di integrità e monitoraggio dei processi attivi.
Mitigazione dell'impatto degli attacchi attraverso vulnerabilità sconosciute (Zero-Day) stabilendo politiche di privilegio minimo per utenti, processi e servizi in esecuzione.
Crittografia delle comunicazioni in entrata e in uscita tramite TLS.
Monitoraggio continuo
I nostri sistemi hanno un monitoraggio continuo:
Registrazione e archiviazione esterna, centralizzata e isolata dell'utilizzo delle risorse della macchina, dello stato del processo e delle sessioni attive.
Sistema automatico di analisi e diagnosi dei record archiviati relativi all'utilizzo delle risorse delle macchine, allo stato del processo e alle sessioni attive.
Alta disponibilità
La disponibilità media annuale (SLA) dei nostri sistemi è del 99%
Ridondanza di rete. Tutte le macchine sono collegate a due collegamenti 10G ciascuno (2x10G).
Storage di rete con tolleranza ai guasti con manutenzione e aggiornamenti senza interruzioni. Ciascun gruppo di dischi è configurato in RAID a doppia ridondanza. Una perdita di dati potrebbe verificarsi solo in caso di guasto simultaneo di 3 dischi in meno tempo del necessario per eseguire la loro sostituzione (circa 5 ore).
Nonostante la probabilità di perdita dei dati sia assolutamente remota data la ridondanza dello storage, ogni ora vengono stabilite copie mirror di ogni volume fisico sincronizzate in uno storage esterno a quello principale, in modo da poter ripristinare l'operatività in brevissimo tempo. Inoltre, gli snapshot di tutti i volumi virtuali vengono eseguiti ogni 6 ore e conservati per 4 giorni.
I contenuti multimediali sono distribuiti tramite CDN (Content Delivery Network), che riduce il più possibile la latenza.
Ciclo di vita dei supporti di memorizzazione
Sostituzione dei supporti fisici mediante cancellazione sicura degli stessi. In caso di sostituzione per guasto del supporto, viene effettuata la distruzione fisica dello stesso tramite fornitore autorizzato, rilasciando al termine del processo un certificato di distruzione.
Ciclo di vita dei supporti di memorizzazione
Avviso tempestivo di incidenti tramite strumenti di monitoraggio e diagnosi in tempo reale.
