Tale allegato ha il preciso scopo di descrivere come vengono protetti i dati personali e le relative risorse informatiche comprese le misure di sicurezza adeguate al rischio dirette a respingere tutte le eventuali minacce o intrusioni di terzi.
1. Qboxmail S.r.l. si impegna ad adottare quanto previsto dalla normativa Protezione dei dati personali, più nello specifico: D. Lgs. 196 del 2003 novellato dal D. Lgs. 101 del 2018; Regolamento (UE) 2016/679 (di seguito indicato anche come “GDPR”).
2. Qboxmail S.r.l. si impegna ad attuare le misure tecniche e organizzative adeguate al rischio ex art. 32 GDPR personalizzate per ogni servizio offerto, così come illustrate nel presente allegato.
3. Qboxmail S.r.l. si impegna a predisporre le procedure in materia di gestione dei diritti degli interessati ai sensi degli artt. da 15 a 22 GDPR.
4. Qboxmail S.r.l. si impegna a formalizzare in modo chiaro e specifico l’obbligo di non divulgazione e riservatezza di tutto il personale dipendente.
5. Qboxmail S.r.l. si impegna ad autorizzare per mezzo dell’atto di nomina ed istruire tramite le istruzioni tutto il personale dipendente, ai sensi dell’art. 29 GDPR.
6. Qboxmail S.r.l. si impegna a formare in materia di Protezione di dati personali tutto il personale dipendente ai sensi degli artt. 29 e 39 del GDPR.
7. Qboxmail S.r.l. applica un sistema di controllo degli accessi logici: a) password; b) Autenticazione a due fattori.
8. Qboxmail S.r.l. applica un’adeguata procedura di Backup.
9. Qboxmail S.r.l. esegue una manutenzione costante dell’infrastruttura attraverso: strumenti HW e SW, Data center certificato gestito da terzi (Welcome Italia S.p.A.).
10. Qboxmail applica una precisa politica di gestione delle postazioni: formazione del personale e aggiornamento, protezione fisica e degli accessi, logging, end point protection.
11. Qboxmail applica un sistema di controllo degli accessi fisici ai locali: porte chiuse, allarme e videosorveglianza.
12. Qboxmail S.r.l. possiede l’assicurazione stipulata con Intesa San Paolo Assicura.
13. Qboxmail S.r.l. rispetta le Linee Guida AGID per lo sviluppo del software sicuro e del Garante per la Protezione dei dati personali, garantendo quindi la conformità alle best practice.
14. Qboxmail S.r.l. ha effettuato la Valutazione d’impatto sulla protezione dei dati (DPIA) ai sensi dell’art. 35 GDPR e dell’ALLEGATO 1 AL PROVVEDIMENTO N. 467 DELL’11 OTTOBRE 2018, Pubblicato sulla Gazzetta Ufficiale n. 269 del 19 novembre 2018 denominato “Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto”. I trattamenti sui quali è stata effettuata la DPIA sono:
a) Accessi ai pannelli amministrativi;
b) Accesso ai server;
c) Accesso ai log degli utenti.
15. Qboxmail S.r.l. si impegna a adottare un sistema di Disaster Recovery, cioè un insieme di misure e di strutture, anche a livello organizzativo, che permettono agli apparati informatici di superare situazioni di emergenza, ovvero di impedire che imprevisti accidentali o incidenti possano compromettere il funzionamento delle strutture. Il Disaster Recovery attiene alla capacità di “recuperare” dati e funzionalità operative in presenza di “disastri” di qualsiasi tipo.
16. Qboxmail S.r.l. consente di poter utilizzare il servizio “accesso da remoto”, in occasione del quale il Titolare del trattamento potrà attivare o disattivare la possibilità che un operatore remoto possa prendere il controllo della macchina locale per finalità di assistenza e intervento esplicito. Tale trattamento di dati, come gli altri offerti da Qboxmail S.r.l., rispetterà i principi di correttezza, trasparenza e liceità.
17. Qboxmail S.r.l. si impegna ad attuare delle misure specifiche che possano rivelare i malware, tramite il monitoraggio costante delle vulnerabilità. In particolare, gli strumenti utilizzati sono:
a) Antivirus;
b) Firewall;
c) End Point Protection;
d) Next Generation Firewall;
e) Backup;
f) Formazione del personale.
18. Qboxmail S.r.l. si impegna ad attuare un’adeguata politica di gestione di eventuali incidenti di sicurezza e violazioni dei dati personali, gestendo eventi che potrebbero influire sulle libertà e sulla riservatezza degli interessati. Qboxmail S.r.l. adotta una procedura operativa per rilevare e gestire eventuali eventi di personal data breach.
19. Qboxmail S.r.l. rispetta il principio di tracciabilità dell’attività. A tal proposito mette a disposizione del Titolare del trattamento un documento che attesti le funzionalità che permettono di rispettare la normativa attualmente in vigore in ambito di protezione di dati personali.
20. Qboxmail S.r.l. rispetta i principi di Privacy by design e by default ex art. 25 GDPR, infatti in tutti i servizi offerti che prevedono il trattamento di dati personali, vengono considerati ab origine i requisiti di conformità al GDPR e vengono mantenuti fino alla loro cessazione.
21. Qboxmail S.r.l. possiede un adeguato sistema di tracciabilità, per rilevare tempestivamente incidenti relativi a dati personali e disporre di elementi utilizzabili per studiarli o per fornire prove nel contesto di indagini. Infatti, Qboxmail S.r.l. adotta una politica di registrazione degli eventi di data breach.
22. Qboxmail S.r.l. attua il principio di minimizzazione dei dati, poiché tratta i dati personali in modo adeguato, pertinente e limitato rispetto a quelle che sono le finalità. Qboxmail S.r.l. per poter soddisfare il principio di minimizzazione dei dati personali ex art. 5, par. 1, lett. c GDPR, applica le seguenti misure tecniche:
a) Riduzione della natura identificativa del dato;
b) Limitazione dell’accesso ai dati.