ISO9001
Protezione dei dati
Sicurezza
La protezione dei dati è centrale nel nostro business. La nostra politica di sicurezza si articola in quattro elementi principali.
Sicurezza fisica: strumenti e procedure che proteggono fisicamente le apparecchiature contro i rischi esogeni a cui possono essere esposte.
Sicurezza informatica: strumenti e procedure che proteggono i dati che circolano e che sono memorizzati sugli apparati, oltre a proteggere il software che implementa le funzioni che permettono di utilizzarli.
Procedure operative: definiscono i modelli per tutte le nostre attività di produzione e per i nostri SLA.
Procedure speciali di continuità del servizio e di ripresa dell'attività (dette "di resilienza") che si attivano quando un rischio si verifica e puo' provocare dei danni.
Questa politica viene continuamente controllata, misurata e attestata annualmente da due certificazioni:
- La certificazione ISO 9001-2015 IAF33 "Data center e hosting" analizza e certifica le nostre procedure operative, il nostro piano di qualità e le misure adottate per tenere conto delle minacce.
- La certificazione PCI DSS Level 1, capitoli 9 e 12, che analizza e certifica:
- le nostre procedure di protezione fisica delle strutture, di protezione dei dati e di resilienza;
- la nostra politica generale di sicurezza delle informazioni e la sua condivisione da parte di tutto il personale.
- La certificazione ISO / IEC 27001: 2017 "Progettazione, fornitura e gestione di servizi di hosting e hosting di data center e trattamento di dati personali e sanitari" che esamina:
- Il nostro SGSI (Sistema di gestione della sicurezza delle informazioni)
- Le nostre procedure per il miglioramento continuo della sicurezza delle informazioni
- La certificazione HDS: 2018 Hosting Data Health, sia come hosting che outsourcing. I campi di applicazione della certificazione sono:
- L'edificio fisico che ospita i dati
- L'infrastruttura hardware che ospita i dati
- La piattaforma che consente di sfruttare i dati
- Il sistema di gestione della sicurezza delle informazioni e più precisamente le procedure che ci consentono di gestire i dati
Certificato Health Data Hosting
GDPR
Il Regolamento generale di protezione dei dati è un regolamento della Comunità Europea che si applica in tutta Europa. Riguarda la protezione dei dati dei cittadini europei, sia che gli operatori interessati si trovino in Europa, sia nel caso in cui siano ubicati in altre parti del mondo.
Gli operatori interessati sono tutte le organizzazioni che, in un qualsiasi momento del loro processo, raccolgono, archiviano, elaborano e restituiscono dati personali, sia su carta sia in forma digitale. È chiaro che tutte le imprese, grandi e piccole, sono interessate dal regolamento.
In qualità di fornitore di servizi di hosting di dati, la normativa europea ci attribuisce un ruolo di fornitore "elaboratore" dei dati, subappaltatore del cliente che rimane proprietario e "responsabile del trattamento" che applica ai dati.
Concretamente, questo significa che i nostri clienti devono stabilire una mappatura dei dati personali che raccolgono, memorizzano, elaborano e restituiscono. Deve essere mantenuto un registro per attestare la tracciabilità delle operazioni. Tutti i processi di trattamento dei dati personali devono essere progettati fin dall'inizio secondo il principio della "privacy by design" che consente di rispettare tale normativa.
Da parte nostra, dobbiamo essere in grado di certificare in qualsiasi momento che anche la nostra politica di sicurezza delle informazioni è conforme a queste norme. Ad esempio, dobbiamo sapere esattamente dove sono memorizzati i dati che ospitiamo e dobbiamo essere in grado di presentare le nostre procedure di protezione, resilienza e reversibilità delle informazioni in ogni momento.
Il livello di protezione "Tier 4" del nostro data center principale di Sophia Antipolis e le procedure di sicurezza implementate da TAS Group, in particolare per le nostre certificazioni, sono in linea con i requisiti di questo regolamento per l'ambito che ci riguarda.
Tuttavia, la condivisione delle responsabilità con i nostri clienti "responsabili del trattamento" dei dati rimane un punto di vigilanza costante, soprattutto quando la gestione dei server è affidata a noi. La protezione delle informazioni è un compito permanente che non può essere ottemperato una volta per tutte, soprattutto a causa degli errori umani che possono verificarsi anche in processi altamente automatizzati.
I nostri servizi di hosting sono formalizzati da contratti personalizzati che tengono conto del contesto specifico di ogni cliente.
Backup - PRA - PCA
Offriamo a tutti i nostri clienti procedure di backup e ripristino dei dati che ospitiamo.
Le nostre soluzioni consentono, inoltre, di includere nell'ambito del backup i dati che non sono memorizzati in TAS Group, ad esempio su server remoti o dispositivi mobili.
In tutti i casi, invitiamo i nostri clienti a definire una politica di backup (criticità dei dati, frequenza di backup, localizzazione dei backup, durata di conservazione dei dati, tempi di ripristino accettabili ecc.) e a interrogarsi sulle loro esigenze in termini di continuità operativa in caso d’incidente.
Utilizziamo le migliori soluzioni sul mercato, come ad esempio Asigra Cloud Backup per salvare e ricostruire i dati in qualsiasi circostanza, indipendentemente dalla piattaforma e dal sistema operativo su cui vengono utilizzati i dati: server fisico, virtuale, contenitore, workstation, tablet, smartphone.
Le nostre soluzioni consentono inoltre di includere il backup dei dati non archiviati in TAS, ad esempio su server remoti o dispositivi mobili.
I nostri clienti più sensibili ed esigenti ci chiedono servizi veloci e disponibili in ogni circostanza, 24 ore su 24, 7 giorni su 7, 365 giorni all'anno.
In questo caso realizziamo architetture multi-server e multi-sito con un livello di ridondanza che consenta agli utenti di continuare la normale attività senza una significativa interruzione del servizio nel caso in cui si verifichi un incidente rilevante sulla loro rete.
