Data aggiornamento: 13/12/2022

Misure di sicurezza per la protezione dei dati personali

 

Per garantire la protezione dei dati personali, Passepartout S.p.A. applica le misure di sicurezza organizzative e tecniche di seguito descritte; dove necessario, vengono inseriti rimandi alle misure di sicurezza di AWS - Amazon Web Services, Partner strategico presso i cui Data center, siti nello Spazio Economico Europeo, sono ospitati i servizi cloud Passepartout.

MISURE DI SICUREZZA ORGANIZZATIVE

Certificazioni - Conformità

Passepartout S.p.A. ha ottenuto e mantiene attive le seguenti certificazioni e conformità:

  • certificazione integrata ISO 9001:2015 - ISO IEC 27001:2013 per i seguenti campi di applicazione:
    • ISO 9001:2015: Progettazione e sviluppo di software gestionale per piccole e medie imprese, commercialisti, operatori dell’ospitalità, del benessere e della vendita al dettaglio. Erogazione di servizi di assistenza e formazione ai partner ed agli utenti finali. PDF
    • ISO IEC 27001:2013: Progettazione, sviluppo ed erogazione di servizi, in modalità SaaS, per la gestione di fatture ed altri documenti elettronici (emissione, trasmissione, ricezione) e per la conservazione digitale. Erogazione di servizi di assistenza correlati.
  • Certified OSSTMM 3.0 Security Test Audit Report per l'ambito: Passhub Web, Passhub Servizi
  • conformità allo standard PCI DSS (Payment Card Industry Data Security Standard) per la memorizzazione e la trasmissione dei dati delle carte di pagamento forniti a garanzia delle prenotazioni alberghiere effettuate tramite sistemi GDS (es. portali OTA) attraverso il modulo Smart Booking Manager del software Welcome

Per le certificazioni e conformità di AWS - Amazon Web Services si rimanda a https://aws.amazon.com/it/compliance/.

Policy di sicurezza

Tutto il personale ha l'obbligo di rispettare il Regolamento aziendale nel quale sono precisate specifiche prassi e disposizioni in materia di protezione e sicurezza dei dati, nelle loro differenti forme (verbale, cartaceo, elettronico).

Per la sicurezza delle informazioni è formalizzata una specifica politica da parte della Direzione aziendale.

Formazione

Tutto il personale partecipa a sessioni formative periodiche sul corretto trattamento dei dati personali, sostenendo al termine corrispondente test di apprendimento.

Procedure operative sulla protezione dei dati

Conformemente agli standard sulla sicurezza delle informazioni e alle normative sulla protezione dei dati personali, Passepartout S.p.A.:

  • ha definito una propria metodologia per la valutazione dei rischi sulla protezione dei dati; tale valutazione, condotta periodicamente, porta alla formalizzazione e all'attuazione di un piano di trattamento dei rischi considerati non accettabili;
  • ha definito e mette in atto specifiche procedure di gestione degli incidenti sulla sicurezza delle informazioni e di violazione dei dati personali.

Accessi logici

Per il personale aziendale, l'accesso alle informazioni si basa sul principio del "need to know" ed è gestito in funzione del ruolo aziendale e delle necessità operative dell'utente. L’accesso ai sistemi è consentito unicamente tramite credenziali nominative, per una garanzia di univoca identificazione; l'accesso per il singolo soggetto viene impostato preferibilmente in base all’appartenenza ad un determinato gruppo di utenti. Solo determinati utenti godono di accesso privilegiato ai sistemi ed ai servizi. Gli accessi privilegiati ai sistemi in produzione sono ristretti agli Amministratori di sistema. I profili di autorizzazione sono verificati periodicamente.

Per accedere alle applicazioni software Passepartout, il Cliente riceve le credenziali iniziali di Amministratore del sistema, che ha la responsabilità di modificare al primo accesso e di custodire. L'Amministratore dell'applicazione ha la facoltà di creare le utenze dei diversi operatori e di assegnare le corrispondenti credenziali e privilegi d’accesso.

Accessi fisici - Protezione fisica

L'accesso del personale nei locali aziendali avviene tramite tesserino magnetico, che abilita i varchi accessibili in base al ruolo e alle specifiche necessità lavorative. L’accesso al Data center di sede è consentito solo al personale specializzato autorizzato.

Sono attivi diversi sistemi di protezione e controllo nei locali aziendali e nel Data center di sede, tra cui:

  • sistema di videosorveglianza
  • sistema antiintrusione
  • servizio di vigilanza
  • rivelatori di fumo e monitoraggio costante della temperatura nel Data center
  • sistema antincendio a saturazione d’ambiente impiegante gas Argon nel Data center
  • UPS ridondati e gruppo elettrogeno dedicato al Data Center
  • efficiente servizio di allarmistica (es. per temperatura sopra soglia, guasto ai componenti, discontinuità energia elettrica).

La misure di sicurezza fisica dei data center di AWS - Amazon Web Services sono consultabili alla pagina https://aws.amazon.com/it/compliance/data-center/controls/

Servizi di assistenza

Durante l'attività di assistenza vengono trattati i soli dati necessari all'esecuzione del servizio, in conformità alle policy e ai regolamenti aziendali.  

Conservazione dei dati

Passepartout S.p.A. ha definito ed applica una specifica data retention policy; è prevista l'eliminazione dei dati non più necessari dai sistemi.

MISURE DI SICUREZZA TECNICHE

Protezione di reti e applicazioni

Tutti i server sono protetti da Firewall che impediscono intrusioni esterne e garantiscono il totale isolamento; tali sistemi sono costantemente mantenuti aggiornati.

Sulle applicazioni ospitate nel Data center di sede è attivo un sistema di protezione del traffico AntiDDOS.

Tutte le componenti essenziali dell’infrastruttura sono completamente ridondate: Firewall, Switch, Server, compresi processori, alimentatori e schede di rete.

Viene effettuato l'aggiornamento periodico dei sistemi operativi e degli applicativi, con particolare attenzione alle patch di sicurezza.

Linee di comunicazione

La connettività è garantita in fibra ottica e da ponti radio interconnessi su due “dorsali” Internet differenti. Gli apparati di trasmissione e ricezione garantiscono la ridondanza tra i servizi di connettività forniti dai maggiori provider nazionali. 

Viene utilizzato il protocollo TLS e la cifratura end-to-end delle email in trasmissione.

Il colloquio tra client e server nelle applicazioni Passepartout utilizzate dai Clienti utilizza il protocollo crittografico TLS.

Protezione da malware

I sistemi sono protetti da accessi non consentiti tramite antivirus e antimalware, aggiornati periodicamente.

Credenziali di autenticazione

I meccanismi di autenticazione ai sistemi aziendali e alle applicazioni software Passepartout si basano su userID associato a password.

Per il servizio Passhub è attiva l'autenticazione a più fattori (MFA - Multi Factor Authentication).

Le password per accedere ai sistemi rispettano i criteri minimi di sicurezza quali ad es. l'obbligo di modifica al primo accesso, le regole di lunghezza-complessità-robustezza, la scadenza, la gestione dei tentativi di accesso.

L'utente a cui sono affidate le credenziali di accesso ai sistemi e alle applicazioni è istruito in merito alla gestione e alla custodia delle password.

Logging

Sono applicati sistemi di logging per la registrazione degli accessi e, ove appropriato, delle operazioni svolte dagli utenti.

Backup e Restore

Vengono effettuati con cadenza giornaliera backup automatici dei dati conservati nei sistemi aziendali.

Il Cliente che usufruisce dei servizi cloud Passepartout può richiedere il ripristino di eventuali dati in caso di necessità.

Passepartout S.p.A. ha definito un piano di continuità operativa per le attività necessarie al ripristino dei sistemi e della disponibilità dei dati anche a seguito di un eventuale evento negativo che provochi l'interruzione dei servizi.

La virtualizzazione completa dei Server, l’adozione di sistemi di iperconvergenza di ultimissima generazione garantiscono elevatissimi livelli di Business Continuity e capacità di Disaster Recovery.

Auditing

Sui sistemi esposti in rete, vengono effettuate periodiche analisi di esposizione alle vulnerabilità (Vulnerability Assessment) e simulazioni di intrusioni (Penetration test), a cui segue un esame puntuale degli esiti e l'intervento correttivo se necessario.

Alta affidabilità

Passepartout S.p.A. eroga i servizi ritenuti business critical in un'infrastruttura ad Alta affidabilità (HA - High Availability), ancor più performante in termini di resilienza e continuità operativa; in questo caso infatti i servizi sono attivi contemporaneamente su tre Availability Zone di AWS, garantendo livelli eccellenti di RPO (Recovery Time Objective) e RTO (Recovery Point Objective).

Tali servizi sono: Passhub, Booking Engine, Channel Manager, CRM Welcome. Passdelivery.

 

A completamento delle informazioni di cui sopra, si rimanda anche alla pagina Il Cloud di Passepartout.