Tale allegato ha il preciso scopo di descrivere come vengono protetti i dati personali e le relative risorse informatiche comprese le misure di sicurezza adeguate al rischio dirette a respingere tutte le eventuali minacce o intrusioni di terzi.

  1. Keliweb S.r.l. si impegna ad adottare quanto previsto dalla normativa Protezione dei dati personali, più nello specifico: D. Lgs. 196 del 2003 novellato dal D. Lgs. 101 del 2018; Regolamento (UE) 2016/679 (di seguito indicato anche come “GDPR”).
  2. Keliweb S.r.l. ha nominato un Responsabile della protezione dei dati personali (RDP/DPO) in conformità con quanto previsto dalla vigente normativa in materia di Privacy e Protezione dei dati personali. Tale figura può essere contattata ai seguenti indirizzi: Tel: 3441062288, mail: f.meduri@keliweb.it, PEC: meduri@kelipec.it.
  3. Keliweb S.r.l. possiede le seguenti certificazioni: a) ISO 27001, b) ISO 27017 – 27018, c) ISO 9001. 
  4. Keliweb S.r.l. si impegna ad attuare le misure tecniche e organizzative adeguate al rischio ex art. 32 GDPR personalizzate per ogni servizio offerto.
  5. Keliweb S.r.l. si impegna a predisporre le procedure in materia di gestione dei diritti degli interessati ai sensi degli artt. da 15 a 22 GDPR.
  6. Keliweb S.r.l. si impegna a formalizzare in modo chiaro e specifico l’obbligo di non divulgazione e riservatezza di tutto il personale dipendente.
  7. Keliweb S.r.l. si impegna ad autorizzare per mezzo dell’atto di nomina ed istruire tramite le istruzioni tutto il personale dipendente, ai sensi dell’art. 29 GDPR.
  8. Keliweb S.r.l. adotta una corretta politica di gestione delle postazioni interne all’azienda per ridurre la possibilità che le caratteristiche del software (sistemi operativi, applicazioni aziendali, software per ufficio, impostazioni ecc.) vengano sfruttate per danneggiare i dati personali. Per tutelare tale aspetto, Keliweb S.r.l. applica una serie di misure, come ad esempio: aggiornamento continuo di tutto il personale sulla normativa di riferimento, protezione fisica e degli accessi nei luoghi aziendali, lavoro su uno spazio di rete protetto, controlli di integrità, logging, ecc…
  9. Keliweb S.r.l. applica un sistema di controllo degli accessi fisici ai locali, quali:
    1. Zonizzazione;
    2. Accompagnamento visitatori;
    3. Assegnazione di badge;
    4. Porte chiuse;
    5. Accesso controllato;
    6. Allarme.
  10. Keliweb S.r.l esegue una manutenzione costante dell’infrastruttura sia sugli strumenti Hardware e Software, sia sui locali dei Data Center.
  11. Keliweb S.r.l. applica un sistema di controllo degli accessi logici, quali:
    1. Password;
    2. Blocco accessi dopo vari tentativi;
    3. Autenticazione 2FA.
  12. Keliweb S.r.l. assicura la presenza di tutte le misure di sicurezza fisiche che hanno il preciso scopo di rafforzare la sicurezza dei locali che ospitano le infrastrutture IT e le apparecchiature di rete, come di seguito riportato (a titolo esemplificativo e non esaustivo):
    1. l’accesso ai locali di Keliweb S.r.l. è controllato;
    2. sono stati installati sistemi di allarme antintrusione che vengono controllati periodicamente;
    3. sono stati installati rilevatori di fumo e strumenti antincendio che vengono controllati periodicamente;
    4. è garantita la sicurezza delle chiavi e dei codici di allarme che permettono l’accesso ai locali;
    5. sono state separate le aree degli edifici di Keliweb S.r.l. in base ai rischi;
    6. è presente un elenco aggiornato delle persone o dei dipendenti specificamente autorizzati ad accedere a ciascuna area;
    7. Sono state stabilite delle regole e dei metodi specifici per controllare l’accesso dei visitatori;
    8. vengono protette fisicamente le apparecchiature IT tramite metodi specifici (sistema di prevenzione incendi dedicato, attrezzatura di sollevamento contro possibili alluvioni, alimentazione elettrica e/o ridondanza del condizionamento d’aria, ecc…).
  13. Keliweb S.r.l. possiede l’assicurazione sul danno da violazione o perdita di dati.
  14. Keliweb S.r.l. consente al Titolare del trattamento di poter stabilire il periodo di data retention al termine del quale i dati verranno cancellati, anonimizzati o pseudonimizzati. In particolare, in caso di Anonimizzazione: nel momento in cui i dati non devono più essere conservati, Keliweb S.r.l. permette al Titolare del trattamento (in alternativa alla cancellazione), di poterli rendere anonimi eliminando gli identificativi in modo irrecuperabile ed in modo che non siano più collegabili ad altri elementi di identificazione. Mentre, in caso di Pesudonimizzazione: i dati personali trattati non potranno più essere attribuiti ad un interessato specifico senza l’utilizzo di informazioni aggiuntive. Tali informazioni aggiuntive, inoltre, devono essere conservate separatamente e soggette a misure tecniche e organizzative tali da garantire che i dati personali non siano attribuiti ad una persona fisica identificata o identificabile.
  15. Keliweb S.r.l. rispetta le Linee Guida AGID per lo sviluppo del software sicuro e del Garante per la Protezione dei dati personali, garantendo quindi la conformità alle best practice.
  16. Keliweb S.r.l. applica un’adeguata procedura di Backup.
  17. Keliweb S.r.l. effettua i vulnerability assessment (VA) ed i penetration test (PT), i quali saranno pianificati ed eseguiti ogni tre mesi.
  18. Keliweb S.r.l. ha effettuato la Valutazione d’impatto sulla protezione dei dati (DPIA) ai sensi dell’art. 35 GDPR e dell’ALLEGATO 1 AL PROVVEDIMENTO N. 467 DELL’11 OTTOBRE 2018, Pubblicato sulla Gazzetta Ufficiale n. 269 del 19 novembre 2018 denominato “Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto”.
  19. Keliweb S.r.l. si impegna a adottare un sistema di Disaster Recovery, cioè un insieme di misure e di strutture, anche a livello organizzativo, che permettono agli apparati informatici di superare situazioni di emergenza, ovvero di impedire che imprevisti accidentali o incidenti possano compromettere il funzionamento delle strutture. Il Disaster Recovery attiene alla capacità di “recuperare” dati e funzionalità operative in presenza di “disastri” di qualsiasi tipo.
  20. Keliweb S.r.l. consente di poter utilizzare il servizio “accesso da remoto”, in occasione del quale il Titolare del trattamento potrà attivare o disattivare la possibilità che un operatore remoto possa prendere il controllo della macchina locale per finalità di assistenza e intervento esplicito. Tale trattamento di dati, come gli altri offerti da Keliweb S.r.l., rispetterà i principi di correttezza, trasparenza e liceità.
  21. Keliweb S.r.l. si impegna ad attuare delle misure specifiche che possano rivelare i malware, tramite il monitoraggio costante delle vulnerabilità. Inoltre, l’azienda dispone di strumenti per la lotta ai malware, quali antivirus e firewall.
  22. Keliweb S.r.l. si impegna ad attuare un’adeguata politica di gestione di eventuali incidenti di sicurezza e violazioni dei dati personali, gestendo eventi che potrebbero influire sulle libertà e sulla riservatezza degli interessati. Keliweb S.r.l. adotta una procedura operativa per rilevare e gestire eventuali eventi di personal data breach.
  23. Keliweb S.r.l. rispetta il principio di tracciabilità dell’attività.
  24. Keliweb S.r.l. rispetta i principi di Privacy by design e by default ex art. 25 GDPR, infatti in tutti i servizi offerti che prevedono il trattamento di dati personali, vengono considerati ab origine i requisiti di conformità al GDPR e vengono mantenuti fino alla loro cessazione.
  25. Keliweb S.r.l. applica una corretta e ben organizzata modalità di archiviazione dei dati personali.
  26. Keliweb S.r.l. possiede un adeguato sistema di tracciabilità, per rilevare tempestivamente incidenti relativi a dati personali e disporre di elementi utilizzabili per studiarli o per fornire prove nel contesto di indagini. Infatti, Keliweb S.r.l. adotta una politica di registrazione degli eventi di data breach.
  27. In base a quanto previsto dal Considerando n. 101 del GDPR, Keliweb S.r.l. dà la possibilità al Titolare del trattamento di scegliere l’infrastruttura dove attivare il proprio servizio nel network di Data Center Keliweb S.r.l. in Italia ed Europa.
  28. Keliweb S.r.l. utilizza strumenti green per la produzione di energia elettrica, oltre a strumenti di sicurezza atti a proteggerli.
  29. Keliweb S.r.l. utilizza strumenti di backup per il mantenimento della temperatura nel Data Center.
  30. Keliweb S.r.l. attua il principio di minimizzazione dei dati, poiché tratta i dati personali in modo adeguato, pertinente e limitato rispetto a quelle che sono le finalità. Keliweb S.r.l. per poter soddisfare il principio di minimizzazione dei dati personali ex art. 5, par. 1, lett. c GDPR, applica le seguenti misure tecniche:
    1. Filtraggio e rimozione;
    2. Riduzione del potenziale identificativo attraverso trasformazione;
    3. Riduzione della natura identificativa del dato;
    4. Riduzione dell’accumulazione dei dati;
    5. Limitazione dell’accesso ai dati.