IT e Data Security Policy
Premessa
Ai sensi di quanto previsto dall’art. 32 del Reg. UE 2016/679 (di seguito, anche GDPR), Hubenture S.r.l. ha l’obbligo, sia che tratti i dati personali in qualità di Titolare ovvero di Responsabile, di adottare “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.
Il presente documento ha lo scopo di indicare le misure tecniche ed organizzative, strutturali e tecnologiche, che sono implementate da parte di Hubenture S.r.l. sulla Suite Forwork, dedicata alla gestione degli adempimenti di cui al D.Lgs 81/2008 in materia di sorveglianza sanitaria e sicurezza sul lavoro, composta dai Software as a Service Medwork, Safework e Trainwork, al fine di garantire un adeguato livello di sicurezza e protezione dei dati personali conservati e trattati tramite l’applicativo.
Forwork Suite
La Suite Forwork – https://www.forwork.com/ è composta dai Software as a Service: Medwork, Trainwork e Safework.
Medwork: la Sorveglianza Sanitaria
Medwork – https://www.forwork.com/medwork/ è il software dedicato alla gestione della medicina del lavoro in azienda, di cui al D. lgs 81/2008 e s.m.i.
Trainwork: la Formazione
Trainwork – https://www.forwork.com/trainwork/ è il software per la formazione legata alla sorveglianza sanitaria ed alla sicurezza sul lavoro.
Safework: la Sicurezza sul lavoro
Safework – https://www.forwork.com/safework/ è il software per la gestione degli adempimenti sulla sicurezza sui luoghi di lavoro.
Misure tecniche
Data Management
Hubenture S.r.l. si serve di datacenter ubicati esclusivamente in UE.
Amazon Web Services
Il Data Center Amazon Web Services (di seguito, AWS), Fornitore/Responsabile del trattamento di Hubenture S.r.l., appartenente alla “Regione EU-west-1″ è ubicato in Irlanda.
Per meglio comprendere il significato del termine “Regione”, secondo l’interpretazione data da AWS, si rimanda alla seguente link:
Per comodità di lettura, si riporta di seguito un estratto.
Attraverso la console del servizio EC2 di AWS, al quale fanno capo i server virtuali acquistati da Hubenture S.r.l. e utilizzati da quest’ultima per fornire i servizi relativi alla Suite Forwork, è possibile verificare in quale Regione l’ambiente venga eseguito.
AWS garantisce contrattualmente che i dati non vengono trasferiti dalla Regione di archiviazione prescelta attraverso la console di amministrazione in uso di Hubenture S.r.l..
Atlas – MongoDb
Il Data Center Atlas, Fornitore/Responsabile di Hubenture S.r.l. per la gestione dei Database MongoDB, è sito in Irlanda. (Region eu-west-1).
Le specifiche sulla sicurezza e protezione dei sistemi forniti da Atlas sono consultabili all’indirizzo:
Data Storage
I dati personali e le informazioni inserite nella Suite Forwork vengono trascritte all’interno di un Database MongoDB, ospitato in una infrastruttura Atlas in UE.i esclusivamente in UE.
Sistemi Operativi e Software utilizzati
L’infrastruttura che ospita la Suite Forwork è costituita da:
• Sistema operativo Linux (versione AWS)
• Applicativi Medwork, Safework e Trainwork
• Web Server NodeJs
• Loopback
All’interno di una infrastruttura separata, è presente il Database Atlas su cui vengono conservati e archiviati informazioni e dati personali.
Auditing & Penetration Test
- Hubenture S.r.l., quale sviluppatore della Suite Forwork:
a) a cadenza almeno annuale, da mandato ad una terza parte di eseguire una specifica attività di Vulnerability Assessment & Penetration Test.
A richiesta del licenziatario, Hubenture S.r.l. può fornire un estratto dell’ultimo report con i risultati del test di VA/PT effettuato sulla Suite Forwork.b) anche quale Responsabile del trattamento, accetta, così come previsto dall’art. 28, par. 3 lett. h) e 3, GDPR, l’eventuale esecuzione da parte dei licenziatari della Suite Forwork di ispezioni e di audit, riservandosi di verificare caso per caso la praticabilità e/o ragionevolezza degli stessi.
- AWS disciplina le modalità per la praticabilità di Penetration Test: http://aws.amazon.com/security/penetration-testing/
Inoltre, il servizio di sicurezza previsto da AWS invia ad Hubenture S.r.l., attraverso un sistema di allert, qualsiasi tentativo non autorizzato di intrusione.
Blocco degli Utenti loggati
Nel caso in cui, per motivi di necessità ed urgenza, sia necessario inibire l’accesso alla Suite Forwork di determinati utenti, è possibile utilizzare la seguente procedura:
• Accedere al software con ruolo di Amministratore e recarsi alla sezione Impostazioni > Utenti
• Selezionare gli utenti interessati e de-selezionare il flag “Attivo”
Concluso il motivo/evento che ha comportato il blocco degli utenti, sarà possibile riattivare gli utenti stessi con una procedura analoga ed inversa.
Policy per l’estrazione dei dati dall’applicativo
Sulla base delle logiche con le quali la Suite Forwork è stata sviluppata, sono state create specifiche funzionalità per l’estrazione, in qualsiasi momento, di informazioni e documenti contenuti nell’applicativo.
L’estrazione di dati e informazioni dall’applicativo è una operazione sottoposta a logging, cfr. successivo punto 6.3
Log Access attività Utenti
Ogni azione eseguita dall’Utente all’interno dell’ambiente della Suite Forwork, relativa ad una determinata “entità” (Aziende, Lavoratori, Accertamenti, ecc.) è registrata attraverso un sistema di logging.
Tali informazioni verranno mantenute in un applicativo separato, con una relativa funzione di storage, con conservazione almeno semestrale.
Le azioni che vengono registrate sono:
• Login / Logout utente
• Inserimento nuovo elemento
• Modifica elemento esistente
• Cancellazione elemento esistente
Per ogni attività vengono registrati i dati relativi a:
• Utente che ha eseguito l’operazione
• Orario dell’operazione
• Tipologia dell’operazione
Informazioni raccolte
All’interno del file di log sarà possibile trovare le seguenti informazioni:
• Tipologia di operazione eseguita
• Entità interessata
• Utente loggato
• Orario dell’operazione
Cancellazione dei dati e informazioni
Singoli dati o informazioni
La cancellazione di specifiche informazioni o dati da parte dell’Utente attraverso le funzionalità previste dall’applicativo, considerata la finalità di utilizzo della Suite Forwork (assolvimento degli obblighi di cui al D.Lgs n. 81/2008), non è una cancellazione definitiva perché è una operazione reversibile tramite intervento tecnico di Hubenture S.r.l.: tale intervento soggiace a determinate condizioni.
Database
La cancellazione dell’intera base di dati, strutturata e non strutturata, non può essere eseguita autonomamente da parte del licenziatario ma viene eseguita da parte di Hubenture S.r.l., a fronte di preventiva autorizzazione per iscritto da parte del licenziatario dell’applicativo, e comporta:
- Drop della base dati MongoDB con gli appositi comandi irreversibili messi a disposizione da MongoDB
- Cancellazione dei backup locali di Atlas tramite appositi software di cancellazione sicura. Il singolo dato verrà definitivamente rimosso anche dai backup a distanza di 7 giorni dalla data di scrittura.
- Cancellazione degli allegati dal file system tramite appositi software di cancellazione sicura
- Cancellazione, tramite le procedure previste da Amazon, dei dati conservati su Amazon Glacier (http://docs.aws.amazon.com/amazonglacier/latest/dev/deleting-an-archive.html)
Restituzione dei dati e informazioni
Per quanto attiene ai dati in formato strutturato, il licenziatario ha la possibilità in qualsiasi momento di utilizzare la funzione di download prevista nel SaaS.
Al termine del rapporto contrattuale con Hubenture S.r.l., per qualsiasi causa intervenuto, i dati strutturati sono memorizzati all’interno di un database MongoDB nel formato nativo previsto da tale applicativo.
Gli allegati sono conservati, in forma cifrata, su file system.
I dati, ancorché gestiti da Hubenture S.r.l., sono e rimangono di esclusiva proprietà e titolarità del licenziatario che ne può richiedere la restituzione.
• Per quanto riguarda i dati strutturati, questi potranno essere forniti in un formato di uso comune;
• Invece, per quanto attiene agli allegati (Referti, Giudizi etc.), questi potranno essere forniti in chiaro e con una tabella di corrispondenza file – dato strutturato di afferenza, in un formato di uso comune.
Infine, in relazione ai dati in formato non strutturato, al termine del rapporto contrattuale con Hubenture S.r.l., il Cliente potrà richiedere la restituzione di tali dati. L’attività soggiace ad ulteriori condizioni.
Portabilità dei dati e informazioni
Al termine del rapporto contrattuale con Hubenture S.r.l., per qualsiasi causa intervenuto, i dati strutturati di titolarità del licenziatario saranno resi disponibili, a scelta di quest’ultimo, attraverso una delle seguenti modalità:
- Download di archivio cifrato via connessione https e consegna separata della chiave di cifratura;
- Spedizione assicurata di supporto fisico con contenuto cifrato e consegna separata della chiave di cifratura.
Migrazione dei dati
Al termine del rapporto contrattuale con Hubenture S.r.l., per qualsiasi causa intervenuto, al fine di migrare i dati e le informazioni conservate nella Suite Forwork ad altro sistema applicativo, trasferendo in questo modo l’intera base di dati strutturata e non strutturata, è necessario:
- Richiedere estrazione preliminare dei dati strutturati e non strutturati
- Mettere a punto opportune procedure di importazione nel nuovo sistema informativo
- Richiedere l’esportazione definitiva dei dati strutturati e non strutturati
- Procedere alla importazione definitiva nel nuovo sistema informativo
- Richiedere la cancellazione “sicura” dei dati a Hubenture S.r.l.
L’attività di migrazione dei dati ad altro sistema applicativo soggiace ad ulteriori condizioni.
Access Policy
Accesso al portale web
La policy di accesso alla Suite Forwork ed ai dati ivi contenuti è stringente:
a) Credenziali univoche e password complesse;
b) Scadenza password ogni 3 mesi;
c) Disattivazione temporanea account utente a seguito di 3 tentativi di accesso;
d) Scadenza della password dopo inattività account di 6 mesi.
Two factor Authentication
A richiesta, è possibile attivare la modalità di autenticazione a due fattori per l’accesso alla Suite Forwork.
Per effettuare il login sarà necessario installare sul proprio smartphone l’applicazione di Google Authenticator.
Dopo aver inserito le proprie credenziali sul portale web di Forwork, verrà richiesto l’inserimento di un codice alfanumerico generato dall’applicazione di Google Authenticator sullo smartphone dell’utente. Questo consentirà un maggiore controllo sugli accessi degli utenti a Forwork.
Accesso da parte di Hubenture all’ambiente ove sono conservati i dati
La policy di accesso alla Suite Forwork da parte del personale tecnico di Hubenture S.r.l. è altrettanto stringente:
- Ai server che gestiscono l’applicazione si accede unicamente dall’IP pubblico di Hubenture S.r.l., associato alla connettività locale dell’azienda;
- Per accedere alla base dati, bisogna autenticarsi tramite credenziali personali di accesso.
- Elencazione dei System & Database Admin per il personale con tale funzione, con revisione periodica delle autorizzazioni e permessi.
La su estesa procedura è residuale in quanto il deploy delle nuove funzionalità avviene attraverso il pannello di controllo di AWS senza accedere al server.
L’accesso da parte del personale tecnico di Hubenture S.r.l. avviene attraverso un sistema di autenticazione a due fattori.
Disattivazione degli Utenti
Policy di disattivazione Utenti applicazione
In conformità alle policy di sicurezza applicate ai processi gestionali e operativi del licenziatario, le credenziali di autenticazione degli utenti dell’applicativo, non più autorizzati ad accedervi, sono disattivate autonomamente dal Cliente attraverso l’apposita funzionalità prevista dall’applicativo ovvero, a richiesta, da parte di Hubenture S.r.l..
Le credenziali di autenticazione non utilizzate dall’utente da almeno 6 mesi vengono automaticamente disattivate
Policy di disattivazione Utenti sistema
In relazione alle policy di sicurezza applicate ai processi gestionali e operativi di Hubenture S.r.l., le credenziali di autenticazione dei tecnici che accedono all’ambiente Site Forwork vengono disattivate dalla data di cessazione del rapporto lavorativo.
In questo modo, l’ex dipendente non può più accedere alla rete interna di Hubenture S.r.l. e, di conseguenza, ai server e ai database legati all’applicazione.
Amministratori di Sistema
Le utenze amministrative (System & Database Administrator) sono gestite da parte di Hubenture S.r.l. in ossequio alle prescrizioni imposta dal Provvedimento 27 novembre 2008 del Garante per la Protezione dei Dati Personali e s.m.i., con particolare riferimento all’individuazione, qualificazione e designazione scritta dei singoli Amministratori di Sistema e Database e all’assegnazione univoca e sicura di credenziali di autenticazione complesse.
Elenco degli Amministratori di Sistema
Hubenture S.r.l. è disponibile a fornire un elenco aggiornato dei propri Amministratori di Sistema e Database della Suite Forwork.
Log Access di Hubenture S.r.l.
L’attività degli Amministratori di Sistema e Database di Hubenture S.r.l. è tracciata tramite sistema di Access Log, con le seguenti caratteristiche:
a) Completezza
b) Inalterabilità
c) Integrità con possibile verifica ex post
d) Riferimenti temporali (timestamp) e descrizione sintetica dell’evento (log-in e log-out, success or failed).
Cifratura Allegati ed ID Lavoratore
La documentazione medica che può essere caricata all’interno della Suite Forwork viene sottoposta, by default, ad una procedura di cifratura prima di essere salvata sullo storage.
La cifratura dei record viene eseguita dall’applicazione prima di essere salvata sul Database.
Le informazioni relative alle entità collegate ai Dipendenti (Aziende, Accertamenti, Giudizi, ecc.) vengono registrate in tabelle logicamente separate del Database.
Inoltre, i riferimenti ai lavoratori (ID Lavoratore) vengono cifrati all’interno delle tabelle che contengono dati particolari (sanitari).
Nel caso in cui si verificasse un accesso non autorizzato al Database, non sarebbe in ogni caso possibile ricostruire i collegamenti tra ID Lavoratore ed i rispettivi dati particolari-sanitari, in ragione dell’algoritmo di cifratura che è incluso nel codice dell’applicazione Suite Forwork Suite.
Backup & Disaster Recovery Policy
Il Piano di Backup della Suite Forwork prevede:
- Backup di Atlas eseguito:
– ogni 12 ore con retention di 7 giorni;
– ogni settimana con retention di 1 mese;
– ogni mese con retention di 1 anno con possibilità di recupero dei dati in tempo reale fino a 90 giorni precedenti
- Backup remoto in tempo reale degli allegati sul servizio Amazon S3 (http://aws.amazon.com/s3/);
- Tutti i file soggetti a backup sono criptati nativamente da Amazon.
Hubenture S.r.l. ha inoltre adottato una specifica politica per il ripristino dei dati in caso di evento disastroso.
In particolare, sono stati definiti:
- RPO (Recovery Point Objective) -> 12 ore
- RTO (Recovery Time Objective) -> 2 giorni
Need to Know
In ossequio a quanto previsto dalla normativa applicabile in materia di protezione dei dati personali nonché di quella in materia di salute e sicurezza sul lavoro di cui al D.Lgs n. 81/2008, la Suite Forwork consente, by default, la consultazione dei dati particolari relativi allo stato di salute degli interessati esclusivamente all’utente Medico Competente.
In caso eccezionali, a fronte di espressa richiesta da parte del licenziatario, la consultazione di dati particolari relativi allo stato di salute degli interessati può essere concessa ad altre tipologie di utenti, che potrebbero avere ruoli applicativi autorizzati alla visione degli stessi.
Misure organizzative
Ruolo di Hubenture
Hubenture S.r.l., quale sviluppatore della Suite Forwork, in conseguenza delle attività di sviluppo e manutenzione effettuate sull’applicativo, agisce in qualità di Responsabile del trattamento, così come previsto dall’art. 28 del Reg. UE 2016/679, per conte del licenziatario della Suite Forwork.
Il licenziatario della Suite Forwork può essere qualificato quale Titolare del trattamento, ai sensi dell’art. 4 par. 1 n. 7, del Reg. UE 1026/679, dei dati personali trattati per la gestione degli obblighi derivanti dalla sorveglianza sanitaria ovvero può essere inquadrato quale (primo o altro) Responsabile del trattamento per conto di diversi e autonomi Titolari del trattamento (ci si riferisce, ad esempio, al caso di una Società di servizi sulla medicina del lavoro – responsabile – nei confronti del Datore di lavoro – titolare). In questo caso, Hubenture S.r.l. ricopre la qualifica di altro (Sub-)Responsabile del trattamento dei dati personali, ai sensi e per gli effetti dell’art. 28, par. 4, Reg. UE 2016/679, trattati dal licenziatario per conto del titolare del trattamento.
Hubenture S.r.l., sebbene non abbia alcuna titolarità dei dati trattati attraverso la Suite Forwork, quale Responsabile o altro Responsabile del trattamento ex art. 28 Reg. UE 2016/679, è in grado di garantire che la Suite Forwork sia tecnicamente adeguata al rispetto dei requisiti di sicurezza e protezione stabiliti dalla normativa applicabile in materia di protezione di dati personali, comunitaria e nazionale, e che sull’applicativo siano implementate adeguate tecnologie di protezione, fisiche e logiche, dei dati ivi contenuti.
Trattamento di dati personali e particolari
Preliminarmente, è utile distinguere i trattamenti di dati personali comuni (ad es. anagrafica del lavoratore) dal trattamento di dati sanitari (i.e. referti medici) e valutare le responsabilità nascenti da tali trattamenti effettuati attraverso la Suite Forwork da parte del licenziatario, del Medico competente da questo designato e da parte di Hubenture S.r.l..
Il Licenziatario, quale Datore di lavoro, è titolare del trattamento dei dati personali comuni dei propri lavoratori per la gestione degli obblighi di cui al D.Lgs n. 81/2008 nonché di particolari categorie di dati personali afferenti alla sfera sanitaria dell’interessato del lavoratore limitatamente agli eventuali giudizi di inidoneità emessi dal Medico Competente.
I dati relativi alle cartelle sanitarie e di rischio dei lavoratori non dovrebbero mai finire nella disponibilità di un Datore di lavoro.
Il Medico Competente, invece, quale professionista in possesso dei requisiti di cui all’art. 38 della citata disposizione normativa, è autonomo titolare dei dati personali particolari (i.e. sanitari) dei lavoratori in quanto unico soggetto legittimato a trattare tale tipologia di dati per le finalità indicate dal D.Lgs n. 81/2008.
Questo aspetto è stato ribadito dal Garante per la protezione dei dati personali nella propria Relazione annuale del 2019, paragrafo 13.14: “[…] Sulla base di tali valutazioni, il Garante ha tradizionalmente considerato il medico competente un autonomo titolare e, nonostante gli accertamenti volti a verificare l’idoneità̀ alla mansione specifica del dipendente siano obbligatori per legge e svolti a spese e a cura del Datore di lavoro (artt. 39, comma 5 e 41, comma 4, d.lgs. n. 81/2008), essi devono essere effettuati esclusivamente tramite il professionista. Egli è, infatti, l’unico soggetto legittimato a trattare i dati sanitari dei lavoratori per le finalità̀ indicate dalla disciplina di settore, come chiarito dal Garante in un provvedimento […]”.
Hubenture S.r.l., quale sviluppatore dell’applicativo Suite Forwork, è Responsabile del trattamento, ai sensi e per gli effetti dell’art. 28 del Reg. UE 2016/679, dei dati personali dei lavoratori (anagrafiche, giudizi di idoneità/inidoneità etc.) per conto del Titolare-Datore di lavoro per finalità di gestione, manutenzione e sviluppo del software in esecuzione del contratto di licenza del SaaS.
Al contempo, Hubenture S.r.l. è Responsabile del trattamento dei dati personali comuni e sanitari dei lavoratori per conto di un diverso e autonomo titolare: il Medico Competente designato dal Datore di lavoro.
Il Medico Competente, pertanto, quale autonomo titolare del trattamento dei dati sanitari dei lavoratori che si devono sottoporre a sorveglianza sanitaria in ossequio agli obblighi in capo al Datore di lavoro di cui al D.Lgs n. 81/2008, e quale soggetto tenuto ad applicare e rispettare la normativa in materia di protezione dei dati personali, è il soggetto dal quale può discendere la legittimazione del Responsabile del trattamento-Hubenture S.r.l. a trattare i dati personali sanitari dei lavoratori del Datore di lavoro.
Hubenture S.r.l., pertanto, riveste il duplice ruolo di Responsabile del trattamento per conto del licenziatario-Datore di lavoro per le attività di gestione e manutenzione del SaaS, con esclusione di quella porzione di dati (sanitari) e funzionalità di cui la titolarità è in capo al Medico Competente. Per queste ultime funzionalità e informazioni, Hubenture S.r.l. riveste un ulteriore ruolo di Responsabile del trattamento per conto del Medico Competente.
Data Processing Agreement – Medico Competente
Al fine di agevolare la ripartizione delle responsabilità nascenti dal trattamento di dati personali da parte dei soggetti utilizzatori del SaaS Forwork, in ottica di accountability, Hubenture S.r.l. ha voluto introdurre una specifica funzionalità all’interno del proprio applicativo.
Al primo accesso dell’”Utenza Medico Competente” viene sottoposto al Medico Competente, e da quest’ultimo accettato tramite apposita spunta, un Data Processing Agreement ex art. 28 Reg. UE 2016/679 con il quale il MC designa Hubenture S.r.l. quale Responsabile del trattamento dei dati sanitari dei lavoratori per le finalità di gestione e conservazione della cartella sanitaria e di rischio associata all’anagrafica del lavoratore.
Interpello 4/2019 – Ministero del Lavoro
In relazione al quesito posto dalla Federazione Nazionale degli Ordini dei Medici Chirurghi e degli Odontoiatri (FNOMCeO) nell’Interpello 4/2019 depositato avanti al Ministero del Lavoro, «è giustificata la richiesta al Medico Competente di inserire dati sanitari in un data base aziendale complesso? Non sarebbe più opportuno limitare l’inserimento al giudizio di idoneità ed alle limitazioni, lasciando ad altri files, nelle uniche disponibilità del Medico, i dati più “personali”? E’ lecito che l’Amministrazione di sistema sia lo stesso Datore di lavoro od un lavoratore dipendente dallo stesso individuato?”, per quanto attiene all’accesso da parte di Hubenture S.r.l. ai dati sanitari conservati e trattati nella propria infrastruttura informatica in qualità di Amministratore del sistema, l’interpretazione dell’Interpello 4 deve muovere dalla riflessione sul fatto che il Titolare dei dati sanitari del lavoratore non è il Datore di Lavoro, bensì il Medico Competente dallo stesso designato (cfr. Punto 8.1.1).
Hubenture S.r.l. è conforme a quanto indicato nell’interpello 4/2019 del Ministero del Lavoro nella misura in cui non è Responsabile del trattamento con funzioni di Amministratore del Sistema (interno o esterno) per conto del Datore di lavoro per i trattamenti attinenti ai dati sanitari dei lavoratori in quanto la titolarità su tali dati compete esclusivamente al Medico Competente.
Hubenture S.r.l. è altresì conforme all’interpello citato perché consente l’accesso ai dati sanitari dei lavoratori unicamente al Medico Competente designato dal Datore di lavoro.
Il Datore di lavoro (ovvero un lavoratore dipendente da quest’ultimo designato AdS) non ha accesso ai dati sanitari dei propri lavoratori in quanto questo non è consentito dalle logiche dell’applicativo Suite Forwork.
Compliance della Suite Forwork
Forwork Suite è conforme alla normativa vigente in tema di sicurezza nei luoghi di lavoro di cui al D.lg. 81/08 e s.m.i., alla normativa in materia di protezione dei dati personali di cui al Regolamento UE 2016/679 e al D.Lgs n. 196/2003 e s.m.i., nonché – nello specifico – ai principi di privacy by design e by default rispetto alla:
- Adeguatezza, pertinenza e minimizzazione delle informazioni richieste;
- Separazione logica dei dati personali comuni dai dati particolari;
- Gestione profilata degli utenti e controllo degli accessi;
- Salvataggio e backup dei dati;
- All’art. 53 D. D.lg. 81/08 e s.m.i.;
- Adeguatezza delle misure di sicurezza, tecniche ed organizzative, ex art. 32 GDPR.
Registro Pubblico del Software presso SIAE
La Suite Forwork è registrata presso il Registro Pubblico Speciale per i Programmi per Elaboratore istituito presso la Società Italiana degli Autori ed Editori (SIAE).
Numero Registrazione: D000015304 del 04/07/2021.
ISO 9001:2015 e ISO 27001:2022
Hubenture S.r.l., alla data del presente documento, è certificata ISO 9001:2015 e ISO 27001:2022 nei seguenti campi di applicazione:
- Progettazione e sviluppo di soluzioni software
- Erogazione prodotti in ambito software
- Fornitura di prodotti software ed erogazione di servizi in modalità Cloud
Hubenture S.r.l., alla data del presente documento, è certificata ISO 27017 e ISO 27018 nel seguente campo di applicazione:
- Fornitura di prodotti software ed erogazione di servizi in modalità Cloud (IAF33)
Hubenture S.r.l., alla data del presente documento, ha in corso il rinnovo della certificazione ACN della propria soluzione SaaS Forwork Suite.
Modello Organizzativo Privacy di Hubenture
In aggiunte alle misure organizzative a protezione dei dati personali trattati quali, a titolo esemplificativo ma non esaustivo, redazione del Registro delle attività di trattamento, sottoscrizione Data processing Agreement con responsabili e profili autorizzativi con il personale tecnico, così come stabilite dalla normativa applicabile in materia, Hubenture S.r.l. ha adottato le seguenti ulteriori misure:
Team Compliance
Hubenture S.r.l. usufruisce di figure professionali specializzate in ambito giuridico ed informatico che formano il Team Legal, Privacy & Compliance di Dilaxia S.p.A.
Il team può essere contattato scrivendo a privacy@dilaxia.com
Data Protection Officer
Hubenture S.r.l., al fine di sorvegliare sull’osservanza del rispetto dei principi sulla protezione dei dati personali nei propri processi di trattamento di dati personali in Azienda, ha ritenuto strategico dotarsi di un Data Protection Officer, con le competenze di cui agli artt. 37 e seg. Reg. UE 2016/679.
Il DPO è contattabile all’indirizzo dpo@dilaxia.com
Diritti degli interessati
Hubenture S.r.l. è in grado di gestire e riscontrare, nei termini previsti dalla normativa applicabile in materia di protezione dei dati personali, le richieste che dovessero prevenire dagli interessati coinvolti nel trattamento dei dati personali.
È stato implementato un canale di comunicazione dedicato: privacy@dilaxia.com
Responsabili di Hubenture
Hubenture S.r.l. si serve dei servizi di:
- Amazon (Amazon Web Services).
- Atlas (Mongo DataBase)
- Fornitori esterni, per lo sviluppo di determinate funzionalità limitate a particolari sezioni dell’applicativo (eventuale).
Ogni Fornitore è stato qualificato quale Responsabile/Sub-Responsabile del trattamento, ai sensi e per gli effetti dell’art. 28 del Reg. UE 2016/679, attraverso la sottoscrizione di specifici accordi (Data Processing Agreement).
Breach Management
Responsabilità sui dati personali trattati
Il modello di responsabilità per le soluzioni basate sui servizi AWS è il seguente:
In estrema sintesi:
- Il licenziatario della Suite Forwork è responsabile del primo strato: “Customer Data”, pertanto è l’utilizzatore del tool che deve garantire la genuinità del dato personale e/o particolare inserito e poi conservato nella Suite Forwork ;
- Hubenture S.r.l. è responsabile per i sottostanti strati blu: Platform, Applications (Logic and Storage), Operating System, Encryption, Network Traffic Protection,
- AWS, Sub-Responsabile, è responsabile degli strati arancioni: compute, storage, database, networking, global infrastructure
Quali sono le procedure di notifica degli incidenti di sicurezza AWS?
AWS informa attraverso la Service Health Dashboard delle eventuali interruzioni temporanee di servizio o perdita di dati (https://status.aws.amazon.com/#EU_block).
Hubenture S.r.l. ha inoltre sottoscritto il relativo feed RSS che la informa delle eventuali interruzioni di servizio o perdita di dati sulla zona di riferimento, in modo attivo.
Quali sono le procedure di comunicazione del data breach da parte di Hubenture?
Hubenture S.r.l., nel proprio ruolo di Responsabile o Sub-Responsabile del trattamento dei dati personali, ha l’obbligo di informare senza indebito ritardo il Titolare o il Responsabile del trattamento dopo essere venuto a conoscenza di un evento di violazione dei dati personali.
Hubenture S.r.l., al fine di garantire una tempestiva gestione di ogni eventuale evento di violazione di sicurezza sui dati personali trattati, ha implementato specifiche politiche interne e procedure operative.
Qui di seguito si riporta brevemente una sintesi della procedura di Data Breach Management attualmente adottata da Hubenture S.r.l.:
Operazioni preliminari
Hubenture S.r.l. ha individuato nel Team Privacy quale Responsabile interno all’azienda deputato alla gestione delle Violazioni dei dati personali (Data Breach) – privacy@dilaxia.com
Per Data Breach o Violazione dei Dati Personali si intende una “violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.
Hubenture S.r.l. ha istruito il personale dipendente che, ogni qualvolta si presenti il sospetto che si sia verificata una violazione di dati, deve tempestivamente inoltrare una segnalazione al Team di lavoro dedicato alla gestione dell’evento.
Qui di seguito, a titolo esemplificativo ma non esaustivo, vengono illustrate le principali casistiche di Data Breach:
- l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
- il furto o la perdita di dispositivi informatici contenenti dati personali;
- la deliberata alterazione di dati personali;
- l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
- la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
- la divulgazione non autorizzata dei dati personali.
- Sospetto di accesso non autorizzato nel proprio PC
- Comportamento anomalo del proprio PC o dispositivo informatico
Operazioni procedurali
Il Team, ricevuta la segnalazione, valuta preliminarmente se la segnalazione possa avere i contorni e le caratteristiche di una violazione dei dati personali trattati da Hubenture S.r.l.
Il Team in caso l’indagine preliminare dia esito negativo può chiudere la procedura.
Nel caso in cui l’evento possegga le caratteristiche di un Data Breach, deve procedere come segue:
- Coinvolgere il Responsabile di funzione avviando un’analisi finalizzata alla raccolta delle informazioni concernenti l’incidente, all’uopo utilizzando la “Scheda Evento Data Breach”, contenente tutte le informazioni necessarie all’analisi.
- Coinvolgere il Data Protection Officer
- Il Team, analizzato l’evento, produce una relazione sulle conseguenze del Breach evidenziando all’interno del documento le azioni correttive e/o migliorative che verranno intraprese.
- Il Team dovrà annotare l’evento all’interno del Registro delle violazioni, ex art. 33 GDPR.
Data Protection Impact Assessment
La Valutazione di Impatto Privacy (Data Protection Impact Assessment), ai sensi dell’art. 35 GDPR e deve essere redatta allorquando il trattamento di dati personali presenti un rischio concreto ed elevato per i diritti e le libertà degli interessati coinvolti.
Ai sensi dell’art. 35, par. 3, GDPR, la DPIA si rende necessaria e obbligatoria in presenza delle seguenti tipologie di trattamento:
- di una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato;
- di un trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati;
- di una sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
In ottica di accountability ed a seguito dell’attività di audit e assessment svolta sui propri processi di trattamento, Hubenture S.r.l. ha deciso di predisporre una DPIA inerente al trattamento di dati particolari appartenenti alla sfera sanitaria dell’interessato conseguente allo sviluppo della Suite Forwork per la sorveglianza sanitaria in azienda.
Il trattamento di dati particolari conseguente all’utilizzo della Suite Forwork da parte di Hubenture S.r.l. consiste nell’accesso e consultazione, conservazione e archiviazione per finalità di sviluppo e manutenzione dell’applicativo.
I dati particolari trattati afferiscono alla sfera sanitaria dell’interessato (referti medici) in relazione agli obblighi imposti al Datore di lavoro in materia di sorveglianza sanitaria obbligatoria ex D.Lgs n. 81/08.
La redazione della DPIA si è reso necessario in ossequio all’art. 35, c. 3 lett. b), GDPR alla luce della numerosità dei soggetti coinvolti nel trattamento ed il carattere c.d. sensibile dei dati trattati, nonché strategico per Hubenture S.r.l. al fine di valutare l’adeguatezza delle misure, tecniche e organizzative, atte a garantire la sicurezza e protezione di tali tipologie di dato personale.
Al fine di stabilire se un trattamento sia effettuato su “larga scala”, il WP29 ha predisposto i seguenti criteri:
- Il numero di soggetti interessati in proporzione alla popolazione di riferimento;
- Il volume dei dati e la tipologia di quest’ultimi (cfr. immagini soggetti minorenni);
- La durata e persistenza del trattamento;
- La dislocazione geografica di trattamento.
In questo senso, per il numero degli interessati coinvolti (due/trecentomila lavoratori), per la durata e la persistenza del trattamento e per la tipologia di dati trattati (dati personali comuni e dati particolari afferenti allo stato di salute dell’interessato) si è ritenuto obbligatorio e oltremodo utile redigere una DPIA al fine di condurre un’analisi sui potenziali rischi derivanti dal trattamento di tali dati in relazione ai possibili e gravi pregiudizi per i diritti e le libertà degli interessati coinvolti, conseguenti vieppiù ad eventuali incidenti di sicurezza che dovessero verificarsi sugli stessi o sui sistemi informativi utilizzati.
La prima versione della DPIA è stata redatta il 15 febbraio 2019 dal Team Privacy e viene aggiornato e verificato a cadenza prestabilita.
La seconda revisione della DPIA è occorsa in data 23 giugno 2020.
La terza revisione della DPIA è del 26 agosto 2022.
L’attività afferente alla DPIA si è concretizzata in un’analisi specifica inerente ai rischi rilevati per i diritti e le libertà degli interessati finalizzata alla mitigazione degli stessi.
Sono stati analizzati i diversi elementi che compongono il rischio rilevato, tra le quali le forme in cui viene effettuato il trattamento dei dati, il contesto e le finalità, le misure di sicurezza e le eventuali azioni che mitigano le possibilità di avveramento.
La Valutazione contiene gli elementi stabiliti dall’Art. 35, c. 7, GDPR e pertanto:
- una descrizione sistematica dei trattamenti e delle finalità previsti;
- una valutazione sulla necessità e proporzionalità dei trattamenti in relazione alle finalità
- una valutazione sui rischi per gli interessati
- le misure previste per affrontare i rischi rilevati.
La Valutazione di Impatto Privacy è stata condotta anche attraverso Utopia, software dedicato alla privacy compliance sviluppato e di proprietà di Hubenture S.r.l.: https://www.utopiathesoftware.com/
Indice di rischio
Dal grafico si evince che il rischio più impattante (A), considerata la probabilità di accadimento e la gravità in caso di effettiva realizzazione, è quello afferente all’accesso illegittimo ai dati.
Il rischio di cui all’accesso illegittimo ai dati, di per sé quello con un indice di rischiosità più importante, è mitigato sia come probabilità di accadimento che per la gravità che ne potrebbe derivare in caso di realizzazione dalle misure di sicurezza implementate a protezione della Suite Forwork. La probabilità di accadimento è conseguente ad una possibile condotta illecita da parte di dipendenti di Hubenture S.r.l., dei fruitori finali dell’applicativo ovvero di un attacco informatico ad opera di terzi.
Ai dipendenti di Hubenture S.r.l. sono state impartite precise policy di accesso e fruizione dei dati nonché specifici profili autorizzativi e obblighi di riservatezza.
Il rischio di un possibile accesso non autorizzato al sistema da parte di terzi alla pagina web di log-in risulta mitigato dalle policy di scadenza, non ripetibilità e complessità delle credenziali di acceso nonché dai risultati (nulli) dei test di VA/PT eseguiti nel tempo.
L’accesso ai server dell’applicazione è stato configurato mediante profili autorizzativi di System Admin che prevedono credenziali di accesso che hanno le caratteristiche di complessità previste dalle policy interne di Hubenture S.r.l..
Il personale tecnico di Hubenture S.r.l., sviluppatori e sistemisti, garantiscono specifiche qualifiche professionali ed elevati standard di sviluppo supportati da una costante e continuativa formazione.
Un eventuale accesso illegittimo è stato pertanto valutato sia che esso possa derivare da un’azione dolosa o colposa umana, da parte di soggetti interni a Hubenture S.r.l. che esterni quali gli utilizzatori dell’applicativo, sia da un attacco informatico da fonte umana o non umana.
È stata inoltre presa in analisi la possibile verificazione di bug di sistema, quali eventi imprevedibili, all’applicativo Suite Forwork .
A mitigazione di eventuali bug che dovessero occorrere all’applicativo, Hubenture S.r.l. ha introdotto una ulteriore fase di test mediante l’attività di una figura professionale di Quality Assurance dedicata e di Delivery Management.
In questo senso, il rischio maggiormente impattante è, per i motivi sopra esposti, basso considerate le adeguate misure di sicurezza e protezione implementate da Hubenture S.r.l. a mitigazione dello stesso.
Calcolo dell’indice di rischio
Indice Probabilità (P):
Basso: 1 Medio: 2 Alto: 3 Elevato: 4
Indice Gravità (G):
Basso: 1 Medio: 2 Alto: 3 Elevato: 4
Indice di rischio (G*P):
Trascurabile: 1 Basso: 2 Medio: 3-8 Elevato: 9-16
Risultati
Conclusioni
Hubenture S.r.l., attraverso l’implementazione delle su estese misure tecniche e organizzative, vuole garantire ai licenziatari dei propri software un elevato standard di sicurezza delle informazioni e protezione dei dati personali trattati attraverso i propri applicativi digitali.
Il presente documento esprime il livello di compliance e competitività di Hubenture S.r.l.. e dei propri prodotti SaaS nel rispetto dei principi di accountability, privacy by design e by default di cui al Regolamento Europeo 2016/679 e al D.Lgs n. 196/2003 e s.m.i.
Infrastruttura
- Tutti i nostri servizi funzionano nel cloud. Forwork non gestisce propri router, sistemi di bilanciamento del carico, server DNS o server fisici.
- AWS è un servizio di hosting certificato secondo standard e codici di condotta rigorosi e riconosciuti a livello internazionale: ISO/IEC 27001:2013, 27017:2015 e 27018:2014.
- Tutti i nostri servizi e dati sono ospitati negli stabilimenti di Amazon Web Services (AWS) in Europa.
- Tutta la nostra infrastruttura risiede nel data center AWS / Ireland (zona di disponibilità eu-west-1).
- Tutti i nostri server sono all’interno del nostro cloud privato virtuale (VPC) con liste di controllo dell’accesso alla rete (ACL) che impediscono l’accesso alle richieste non autorizzate alla nostra rete interna.
- Forwork utilizza la soluzione di backup di MongoDB Atlas per datastore contenenti i dati dei clienti. Effettuiamo uno snapshot giornaliero che rendiamo disponibile per 7 giorni, uno snapshot settimanale che rendiamo disponibile per 4 settimane ed infine uno mensile che rendiamo disponibile per 12 mesi.
- Il nostro team implementa tutte le procedure e best practice necessarie per raggiungere e garantire un tasso di disponibilità del sistema pari al 100% (SLA).
- Tuttavia l’up-time reale garantito è pari al 99.99%. Da questa % sono escluse tutte le interruzioni programmate del servizio volte al rilascio di nuove feature, correzioni di malfunzionamenti e ottimizzazioni del sistema.
Dati e diritto all’oblio
- Tutti i dati dei clienti sono archiviati in Europa.
- I dati dei clienti sono archiviati in database multi-tenant. Non abbiamo database individuali per ogni cliente. Esistono tuttavia controlli accurati sulla privacy nel codice applicativo pensati per garantire la riservatezza dei dati e impedire a un cliente di accedere a dati di altri. Abbiamo scritto molti test di unità e d’integrazione per garantire che questi controlli funzionino come previsto. Tali test sono eseguiti ogni volta che il codice viene aggiornato e anche a fronte di un singolo fallimento il nuovo codice non è rilasciato in produzione.
- I dati sono di proprietà del cliente che al termine del contratto potrà in qualsiasi momento esportarli in formato CSV.
- Forwork garantisce il diritto all’oblio (right to be forgotten). In qualsiasi momento, i clienti possono richiedere la distruzione dei propri dati dai nostri sistemi (compresi quelli di backup). Per motivi di sicurezza, la richiesta dovrà avvenire tramite mail inviata da part del proprietario del dominio interessato.
Trasferimento dei dati
- Tutti i dati inviati da o verso Forwork sono crittografati durante il transito utilizzando la crittografia a 256 bit.
- Le nostre API e gli endpoint delle applicazioni utilizzano solo i protocolli TLS / SSL.
Autenticazione
- Forwork è servito al 100% su https.
- L’autenticazione è basata su singolo fattore e prevede l’inserimento di una password che rispetti il seguente criterio di robustezza: minimo 8 caratteri alfabetici, almeno 1 carattere tra !$%&?@#, un numero e una lettera maiuscola