1. Controllo degli accessi (fisico e digitale)

• I sistemi si trovano in un data center IONOS a Francoforte sul Meno (certificato ISO 27001).
• L’accesso è controllato e monitorato sotto la sola responsabilità del fornitore del servizio.

2. Controllo degli accessi (autorizzazioni)

• Le autorizzazioni di accesso vengono assegnate in base ai ruoli e al principio di accesso minimo, a seconda del compito specifico.
• Nessun account utente aggiuntivo verrà assegnato a terze parti.
• Agli sviluppatori esterni potrebbe essere concesso un accesso temporaneamente limitato, senza accesso ai dati personali.
• L'accesso ai server, all'hosting web e all'archiviazione WebDAV (rapporti di scansione) è concesso esclusivamente dall'operatore tramite dati di accesso personalizzati.
• L'accesso ai sistemi amministrativi avviene tramite autenticazione a due fattori, ove disponibile.
• I sistemi utilizzati per eseguire scansioni di vulnerabilità sono accessibili solo tramite VPN, operano in modo autonomo e non sono accessibili direttamente da Internet.

3. Sicurezza dell'accesso ai dati (archiviazione dati, software, rete)

• La trasmissione dei dati avviene esclusivamente tramite connessioni crittografate (HTTPS, SFTP, VPN).
• L'applicazione web (WordPress) utilizza plugin di sicurezza aggiornati e viene aggiornata regolarmente.
• Le connessioni tra WordPress e i sistemi di test vengono effettuate tramite accesso sicuro e API.
• Gli indirizzi IP e i dati di prova vengono memorizzati solo durante il processo di test e successivamente eliminati automaticamente.

4. Separazione dei dati

• I report di audit non vengono archiviati nel sistema WordPress, ma in un archivio WebDAV separato.
• I sistemi di audit e analisi memorizzano i dati solo temporaneamente, fino alla generazione del report. Dopodiché, vengono eliminati automaticamente.
• I dati dei clienti (ad esempio i dati di prenotazione) e i risultati tecnici sono separati logicamente e fisicamente.

5. Pseudonimizzazione / Crittografia

• L'archiviazione WebDAV gestita da IONOS si basa su un'infrastruttura crittografata.
• I file di audit e report sensibili vengono archiviati in modo sicuro su questo sistema.
• I sistemi di test funzionano indipendentemente l'uno dall'altro e comunicano solo in una direzione (modello push).

6. Backup e ripristino

• Il database di WordPress viene sottoposto a backup giornaliero; vengono mantenute 15 versioni di backup.
• Le funzionalità del sito web (file WordPress) vengono sottoposte a backup settimanalmente e a ogni aggiornamento; vengono mantenute tre versioni di backup.
• I report dei test vengono sottoposti a backup giornaliero ed è disponibile una versione del giorno precedente.
• In caso di perdita di dati, il controllo di sicurezza verrà eseguito nuovamente.

7. Disponibilità e resilienza

• I sistemi sono progettati in modo ridondante: se un sistema fallisce durante il test, viene implementata una nuova istanza.
• I componenti critici del sistema si trovano nell'ambiente di hosting ad alta disponibilità di IONOS.

8. Procedure per la revisione, la valutazione e la valutazione periodiche

• Aggiornamenti regolari e controlli di sicurezza dei sistemi da parte dell'operatore.
• In caso di modifica delle attività di trattamento, le misure tecniche e organizzative saranno riviste e, se necessario, adeguate.
• I registri rilevanti per la sicurezza vengono controllati regolarmente (ad esempio tentativi di accesso, utilizzo dell'API).
• Le modifiche critiche (ad esempio il coinvolgimento di sviluppatori esterni) sono documentate.

Tali misure tecniche e organizzative si basano su operazioni concrete e possono essere adattate in caso di modifiche. Non fanno parte di una certificazione ISO, ma servono ad adempiere all'art. 32 del GDPR.