Torna al Login

Conformità GDPR

Misure di sicurezza e conformità al Regolamento Europeo sulla Protezione dei Dati

Ultimo aggiornamento: 07/03/2026 | Versione 1.0

1. Introduzione

Hestia Properties Srl, in quanto fornitore del Gestionale Sicurezza Lavoro, è pienamente impegnata a garantire la conformità al Regolamento (UE) 2016/679 (GDPR) e alle normative italiane in materia di protezione dei dati personali.

✓ Conformità GDPR Certificata

La nostra piattaforma è stata progettata sin dall'origine per rispettare tutti i requisiti del GDPR, adottando un approccio "Privacy by Design" e "Privacy by Default".

Questo documento illustra le misure tecniche, organizzative e procedurali adottate per garantire:

  • Protezione dei dati personali trattati
  • Conformità ai principi di liceità, correttezza e trasparenza
  • Sicurezza contro accessi non autorizzati, perdite o distruzioni
  • Rispetto dei diritti degli interessati

2. Principi GDPR Applicati

Il Gestionale Sicurezza Lavoro è progettato per rispettare tutti i principi fondamentali del GDPR (Art. 5):

Liceità, Correttezza, Trasparenza

I dati sono trattati in modo lecito, corretto e trasparente. Le informative privacy sono chiare e accessibili.

Limitazione della Finalità

I dati sono raccolti per finalità determinate, esplicite e legittime (gestione documenti sicurezza lavoro, D.Lgs. 81/2008).

Minimizzazione dei Dati

Raccogliamo solo i dati strettamente necessari alle finalità (no campi superflui o non pertinenti).

Esattezza

Gli utenti possono aggiornare e rettificare i dati in qualsiasi momento. Procedure per cancellare dati inesatti.

Limitazione della Conservazione

I dati sono conservati solo per il tempo necessario. Cancellazione automatica dopo cessazione abbonamento.

Integrità e Riservatezza

Misure tecniche e organizzative adeguate per garantire sicurezza contro trattamenti non autorizzati o illeciti.

Responsabilizzazione (Accountability)

Dimostriamo attivamente la conformità tramite documentazione, audit, registro trattamenti e certificazioni.

3. Misure Tecniche di Sicurezza (Art. 32 GDPR)

Abbiamo implementato misure tecniche avanzate per proteggere i dati personali:

3.1 Crittografia End-to-End

  • In transito:
    • HTTPS/TLS 1.3 obbligatorio per tutte le comunicazioni
    • Certificato SSL/TLS con crittografia AES-256
    • HSTS (HTTP Strict Transport Security) abilitato
    • Protezione contro MITM (Man-in-the-Middle attacks)
  • A riposo (at rest):
    • Database criptato con AES-256
    • Backup criptati con chiavi rotanti
    • File storage con encryption trasparente
    • Password utenti hashate con bcrypt (cost factor 12, non reversibile)

3.2 Controllo Accessi e Autenticazione

  • Policy password robuste:
    • Minimo 8 caratteri
    • Complessità richiesta (maiuscole, minuscole, numeri)
    • Verifica contro database password comuni (Have I Been Pwned)
  • Gestione sessioni sicure:
    • Token CSRF per tutte le operazioni critiche
    • Timeout automatico dopo 30 minuti di inattività
    • Logout automatico su cambio IP sospetto
    • Session hijacking prevention
  • Principio del minimo privilegio:
    • Accesso ai dati basato su ruoli (RBAC)
    • Operatori vedono solo aziende clienti di competenza
    • Admin di sistema con privilegi limitati (sudo only when needed)

3.3 Sicurezza Applicativa

  • Protezione SQL Injection: prepared statements e parametrized queries
  • Protezione XSS: output escaping e Content Security Policy (CSP)
  • Protezione CSRF: token univoci per ogni sessione
  • Validazione input: whitelist-based validation lato server
  • Rate limiting: protezione contro brute-force e DDoS
  • Sanitizzazione file upload:
    • Controllo estensioni consentite (whitelist)
    • Scansione antivirus/antimalware automatica
    • Rinomina file con UUID casuali
    • Storage separato dall'applicazione

3.4 Infrastruttura di Rete

  • Firewall perimetrale: regole restrittive allow-list based
  • IDS/IPS: rilevamento e prevenzione intrusioni
  • WAF: Web Application Firewall con regole OWASP Top 10
  • DDoS Protection: mitigazione automatica attacchi volumetrici
  • Network Segmentation: ambienti separati (prod/test/dev)

3.5 Logging e Monitoraggio

  • Log centralizzati: conservati 12 mesi (Provv. Garante 467/2018)
  • Tracciamento accessi: chi, cosa, quando, da dove (IP)
  • Anomaly detection: allerta automatica per comportamenti sospetti
  • SIEM: Security Information and Event Management
  • Alerting real-time: notifiche immediate per eventi critici

3.6 Backup e Disaster Recovery

  • Backup giornalieri automatici: ore 02:00 (UTC+1)
  • Retention: 30 giorni con rotazione automatica
  • Crittografia backup: AES-256 con chiavi separate
  • Test ripristino: trimestrali con report documentato
  • Backup geograficamente distribuito: data center secondario
  • RTO (Recovery Time Objective): 24 ore
  • RPO (Recovery Point Objective): 24 ore

4. Misure Organizzative

4.1 Governance Privacy

  • Data Protection Officer (DPO): nominato e contattabile (dpo@gestionale-sicurezza.cloud)
  • Privacy Team: team dedicato a conformità GDPR
  • Comitato Privacy: riunioni trimestrali per review conformità
  • Policy documentate:
    • Information Security Policy
    • Data Retention Policy
    • Incident Response Plan
    • Business Continuity Plan
    • Acceptable Use Policy

4.2 Gestione del Personale

  • Clausole riservatezza: NDA firmati da tutti dipendenti e collaboratori
  • Background check: verifica referenze per ruoli critici
  • Autorizzazioni formali: nomina soggetti autorizzati al trattamento (Art. 29 GDPR)
  • Limitazione accessi: principio "need to know" rigorosamente applicato
  • Revoca accessi: immediata alla cessazione rapporto

4.3 Fornitori e Sub-Responsabili

  • Due diligence: valutazione conformità GDPR prima nomina
  • DPA firmati: Data Processing Agreement con tutti i sub-responsabili
  • Audit periodici: verifica annuale sub-responsabili
  • Clausole contrattuali: responsabilità, riservatezza, sicurezza

4.4 Gestione Incidenti (Incident Response)

  • Incident Response Team: team dedicato disponibile H24
  • Procedure documentate: playbook per tipologia incidente
  • Escalation matrix: chi notificare e quando
  • Post-mortem obbligatori: analisi cause e azioni correttive
  • Simulazioni: test annuali Data Breach simulation

5. Infrastruttura e Data Center

5.1 Ubicazione

✓ Dati conservati ESCLUSIVAMENTE in Unione Europea

Data Center Primario: Aruba S.p.A. - Arezzo, Italia

Nessun dato sensibile viene trasferito fuori dall'UE.

5.2 Sicurezza Fisica Data Center

I server sono ospitati in data center certificati con le seguenti misure:

  • Accesso fisico:
    • Controllo accessi multi-livello
    • Videosorveglianza H24 con registrazione 90 giorni
    • Guardie di sicurezza presidio permanente
    • Man-trap (doppie porte di sicurezza)
  • Alimentazione:
    • UPS (Uninterruptible Power Supply) ridondanti
    • Generatori diesel per alimentazione prolungata
    • Uptime 99,99% garantito
  • Raffreddamento:
    • Sistemi HVAC ridondanti
    • Controllo temperatura e umidità H24
  • Antincendio:
    • Sistema early warning detection
    • Estinzione automatica gas inerte (no danni hardware)

5.3 Ridondanza e Alta Disponibilità

  • Server ridondati: configurazione multi-server con failover automatico
  • Storage replicato: RAID 10 + replica geografica
  • Connettività: carrier multipli con BGP routing
  • Load balancing: distribuzione carico automatica

6. Certificazioni e Standard

6.1 Certificazioni Aruba (Hosting Provider)

  • ISO/IEC 27001: Sistema di Gestione Sicurezza Informazioni
  • ISO/IEC 27017: Sicurezza servizi cloud
  • ISO/IEC 27018: Protezione dati personali nel cloud
  • Tier III+ Data Center: disponibilità 99,982%

6.2 Certificazioni Stripe (Payment Processing)

  • PCI-DSS Level 1: massimo livello sicurezza pagamenti
  • SOC 1, SOC 2 Type II: controlli interni certificati

6.3 Conformità Normative

  • ✓ GDPR (Regolamento UE 2016/679)
  • ✓ D.Lgs. 196/2003 (Codice Privacy italiano) come modificato dal D.Lgs. 101/2018
  • ✓ Provvedimenti Garante Privacy applicabili
  • ✓ D.Lgs. 81/2008 (Sicurezza Lavoro)
  • ✓ Linee guida EDPB (European Data Protection Board)

7. Privacy by Design e by Default

Il Gestionale Sicurezza Lavoro è stato progettato fin dall'inizio integrando la protezione dei dati:

7.1 Privacy by Design

  • Minimizzazione dati: solo campi strettamente necessari
  • Pseudonimizzazione: ID numerici invece di nomi in log e URL
  • Crittografia default: dati sensibili sempre criptati
  • Segregazione dati: ogni utente vede solo i propri dati
  • Security by default: configurazioni sicure di default (no weak crypto, no default passwords)

7.2 Privacy by Default

  • Visibilità minima: dati non pubblici se non esplicitamente autorizzato
  • Consensi granulari: checkbox separate per finalità diverse
  • Opt-in marketing: newsletter solo con consenso esplicito
  • Cancellazione facilitata: funzione "Elimina account" in area riservata

7.3 Data Protection Impact Assessment (DPIA)

Abbiamo condotto valutazioni d'impatto per trattamenti ad alto rischio:

  • Trattamento dati sensibili (certificati medici, idoneità sanitaria)
  • Profilazione automatica (se implementata in futuro)

8. Valutazione d'Impatto sulla Protezione dei Dati (DPIA)

In conformità all'Art. 35 GDPR, abbiamo effettuato DPIA per i seguenti trattamenti:

8.1 Trattamento Dati Relativi alla Salute

Rischio identificato: Accesso non autorizzato a certificati medici, violazioni riservatezza sanitaria

Misure di mitigazione:

  • Crittografia AES-256 per file documenti
  • Accesso limitato solo a utenti autorizzati dal Titolare
  • Log di tutti gli accessi ai documenti sanitari
  • Formazione specifica personale su dati sensibili

Rischio residuo: Basso

8.2 Consultazione Garante

Non è stata necessaria consultazione preventiva del Garante Privacy (Art. 36 GDPR) in quanto i rischi residui sono stati ridotti a livello accettabile tramite misure adeguate.

9. Registro delle Attività di Trattamento (Art. 30 GDPR)

Hestia Properties Srl mantiene un Registro delle Attività di Trattamento costantemente aggiornato, contenente:

  • Nome e dati di contatto del titolare/responsabile
  • Finalità del trattamento
  • Categorie di interessati e di dati personali
  • Categorie di destinatari
  • Trasferimenti verso paesi terzi (ove applicabile)
  • Termini di cancellazione previsti
  • Descrizione misure di sicurezza tecniche e organizzative

Il Registro è disponibile per ispezioni da parte del Garante Privacy.

Accesso al Registro:

Gli utenti abbonati (Titolari del trattamento) possono richiedere copia della sezione del Registro relativa ai trattamenti effettuati per loro conto contattando il DPO.

10. Formazione del Personale

Tutto il personale di Hestia Properties Srl riceve formazione obbligatoria su privacy e sicurezza:

10.1 Programma Formazione

  • Onboarding (neo-assunti):
    • Modulo GDPR basics (4 ore)
    • Politiche aziendali sicurezza
    • Firma NDA e autorizzazione trattamento
  • Formazione annuale (tutti):
    • Aggiornamenti normativi GDPR
    • Nuove minacce informatiche
    • Procedure Data Breach
    • Test finale con certificazione interna
  • Formazione specialistica:
    • Sviluppatori: secure coding, OWASP Top 10
    • Sysadmin: hardening server, incident response
    • Supporto: gestione richieste esercizio diritti

10.2 Sensibilizzazione Continua

  • Newsletter mensile su security awareness
  • Simulazioni phishing trimestrali
  • Security tips regolari
  • Incident lessons learned condivise

11. Trasparenza e Accountability

Dimostriamo attivamente la nostra conformità GDPR attraverso:

11.1 Documentazione Disponibile

11.2 Audit e Controlli

  • Audit interni trimestrali di sicurezza
  • Penetration test annuali da parte di società esterne
  • Vulnerability assessment mensili
  • Review conformità GDPR semestrale

11.3 Reporting e Comunicazione

  • Trasparency Report annuale: statistiche Data Breach, richieste autorità, richieste esercizio diritti
  • Changelog pubblico: modifiche a informative e DPA
  • Security Advisory: comunicazioni proattive su vulnerabilità rilevanti

11.4 Contatti Privacy

Data Protection Officer

Email: dpo@gestionale-sicurezza.cloud

Per richieste privacy, audit, Data Breach

Security Team

Email: security@gestionale-sicurezza.cloud

Per segnalare vulnerabilità (Responsible Disclosure)

11.5 Miglioramento Continuo

Ci impegniamo a:

  • ✓ Monitorare costantemente evoluzione normativa
  • ✓ Implementare best practice emergenti
  • ✓ Aggiornarci su nuove minacce e tecnologie di protezione
  • ✓ Ascoltare feedback utenti su privacy e sicurezza

Il nostro impegno:

La conformità GDPR non è un obbligo burocratico, ma un valore fondamentale. Lavoriamo ogni giorno per garantire che i tuoi dati e quelli dei tuoi clienti siano protetti al massimo livello possibile.