PROVALA

Come l’infrastruttura MailUp garantisce la compliance con il GDPR?

La sicurezza delle informazioni e le adeguate politiche di gestione dei dati rappresentano la nostra priorità, con continui investimenti in tecnologia.

  1. Data Protection Impact Analysis
  2. Data Center localizzato in Europa
  3. Data Loss Prevention (DLP)
  4. Disponibilità del servizio
  5. Tecniche di mitigazione
  6. Crittografia
  7. Threat Protection
  8. Multi-Factor Authentication e firewall
  9. Monitoraggio e controllo accessi
  10. Vulnerability Assessment
  11. Incident Management
  12. Sicurezza fisica dei data center
  13. Disponibilità e integrità dei dati personali
  14. Asset management
  15. Sviluppo sicuro
  16. Formazione
  17. Background check
  18. Classificazione dei dati
  19. Valutazione del rischio
  20. Gestione dei fornitori
  21. Tracciamento e smaltimento dell’hardware
  22. Fornitori

    Prima emissione: 16 dicembre 2024

    Ultimo aggiornamento: 28 maggio 2026

    Per molti settori, il GDPR rappresenta un’importante innovazione sociale, infatti, chiarisce e permette di gestire la propria privacy ai singoli individui. TeamSystem vanta una notevole esperienza nella protezione dalle minacce, nella tutela della privacy e nella conformità alle diverse normative. Operiamo una politica di trasparenza e miriamo a fornirti le informazioni di cui hai bisogno per sentirti sicuro nell’utilizzare la piattaforma. Ogni giorno rinnoviamo l’impegno di rispettare i nostri principi di fiducia nel cloud, nella protezione e nella sicurezza dei dati.

    • Impegni contrattuali: i rapporti con TeamSystem sono supportati da impegni contrattuali per i nostri servizi, inclusi standard di sicurezza, supporto e notifiche tempestive in conformità con i nuovi requisiti GDPR.
    • Condivisione della nostra esperienza: condivideremo le informazioni che raccogliamo attraverso varie autorità per la protezione dei dati e altre organizzazioni rispettabili, in modo da poter adattare ciò che abbiamo appreso per aiutarti a creare il percorso migliore per la tua organizzazione.

    Come previsto dal regolamento la nostra infrastruttura e le politiche di sicurezza sono state oggetto di una valutazione di adeguatezza e di impatto preliminare sulla protezione dei dati. Queste valutazioni continueranno ad essere effettuare regolarmente per stare sempre al passo con i più alti standard di conformità in materia di protezione dei dati.

  1. Data Protection Impact Analysis

    Come richiesto dai regolamenti, la nostra infrastruttura e le nostre politiche di sicurezza sono state sottoposte a una valutazione per valutare l’adeguatezza e l’impatto preliminare sulla protezione dei dati. Queste valutazioni continueranno ad essere condotte regolarmente per mantenere i più alti standard di conformità alla protezione dei dati.

  2. Data Center localizzato in Europa

    Per salvaguardare la riservatezza, l’integrità e la disponibilità dei dati, la piattaforma MailUp utilizza soluzioni in Cloud su Azure (Microsoft) e su AWS (Amazon Web Services) localizzate nell’Unione Europea.

  3. Data Loss Prevention (DLP)

    MailUp crede che le funzioni di prevenzione della perdita dei dati sono di importanza critica in quanto impediscono che le informazioni sensibili vengano condivise senza autorizzazione. I dati di un’organizzazione sono fondamentali per il suo successo, essi devono essere immediatamente disponibili per consentire l’elaborazione di decisioni, ma allo stesso tempo devono essere protetti per impedire che vengano condivisi con destinatari non autorizzati ad accedervi. Per questo motivo abbiamo implementato una serie di misure organizzative e tecniche che ci permettono di poter garantire ai nostri clienti non solo la prevenzione da accessi non autorizzati, ma anche una sicurezza adeguata – in relazione alla classificazione del dato trattato – per tutti gli accessi autorizzati.

  4. Disponibilità del servizio

    TeamSystem si obbliga a rendere disponibile la Piattaforma MailUp® con un tasso di disponibilità up-time del 99% su base annua, da intendersi quindi per 24 ore giornaliere e per 365 giorni all’anno per ciascuna annualità di durata del Contratto.

    L’infrastruttura di sicurezza a protezione dell’applicazione web si avvale di un sistema firewall di livello enterprise, il quale non si limita alle tradizionali funzionalità di filtraggio del traffico di rete, ma integra anche avanzate capacità di Intrusion Prevention System (IPS). Questo componente rappresenta un elemento critico della architettura multilivello di TeamSystem. Il sistema analizza in tempo reale il traffico in ingresso e in uscita, verificando i pacchetti di dati per identificare pattern di attacco noti e comportamenti anomali potenzialmente pericolosi. La componente IPS del firewall è progettata per neutralizzare diverse categorie di minacce informatiche, fra cui tentativi di injection, attacchi di cross-site scripting e altri. Il sistema è inoltre efficace nel contrastare attacchi volumetrici come i Distributed Denial of Service (DDoS), limitando il traffico eccessivo e bloccando le richieste provenienti da indirizzi IP identificati come malevoli. Attraverso feed di intelligence periodici, il sistema IPS riceve regolarmente nuove firme di attacco e indicatori di compromissione, garantendo una protezione proattiva e continua nel tempo.

    Il firewall opera anche come protezione contro il data exfiltration, monitorando e bloccando tentativi non autorizzati di estrarre informazioni sensibili dall’ambiente protetto verso destinazioni esterne potenzialmente malevole.

  5. Tecniche di mitigazione

    L’infrastruttura è progettata per risultare resiliente agli attacchi di tipo DDoS (Distributed Denial of Service) attraverso sistemi di mitigazione DDoS in grado di rilevare e filtrare automaticamente il traffico in eccesso inserendo scalabilità per gestire volumi imprevisti di traffico utilizzando appositi bilanciatori di carico.

  6. Crittografia

    • A livello fisico proteggiamo i nostri dati attraverso una metodologia che, in caso di furto di supporti di memoria fisici, non permette l’estrazione di dati sensibili. La tecnologia utilizzata per la memorizzazione di dati su supporti fisici ha lo scopo di aumentare le performance, rendere il sistema resiliente alla perdita di uno o più dischi e poter rimpiazzare i supporti senza interrompere il servizio.
    • A livello applicativo, mettiamo al sicuro  i dati contenuti nei database clienti con un criptaggio di dati a riposo.
    • I database dell’infrastruttura MailUp applicano la cifratura at rest, abilitata di default. I protocolli per la connessione all’interfaccia web, alle cartelle FTP e alle API sono sempre cifrati (https con TLS 1.2 o superiore, sFTP). Le connessioni ai server SMTP in ingresso supportano la cifratura mediante STARTTLS, spetta poi al chiamante (cliente) la scelta di utilizzare o meno questa possibilità.
    • Utilizziamo i protocolli crittografici TLS / SSL che utilizzano la crittografia simmetrica basata su una chiave condivisa per fornire la sicurezza nella comunicazione garantendo l’integrità dei dati sulla rete.
    • Per essere ancora più sicuri utilizziamo all’interno del TLS / SSL un algoritmo di cifratura a blocchi chiamato AES-256 (Advanced Encryption Standard) che sostituisce la tecnologia di crittografia a chiave pubblica DES (Data Encryption Standard) e RSA 2048.

  7. Threat Protection

    • Impieghiamo sistemi avanzati per la ricerca di virus nella posta elettronica (sia in entrata che in uscita), di spoofing (utilizzo di mittenti contraffatti) e abbiamo una chiara policy antispam.
      • Strumenti di analisi anti-phishing e protezione avanzata dalle minacce avanzate come spear phishing.
    • Identificazione e blocco file dannosi nella nostra rete interna grazie all’utilizzo di sistemi antivirus e proxy.
    • La difesa dalle minacce si avvale di soluzioni anti-malware e anti-phishing che, attraverso l’impiego di tecnologie basate su machine learning, sono in grado di rilevare e neutralizzare le minacce in tempo reale. A supporto di questa strategia, sono implementate soluzioni di mitigazione DDoS che garantiscono la continuità operativa anche durante attacchi volumetrici.
    • Verifichiamo regolarmente e automaticamente che tutti i nostri server siano aggiornati e abbiano le ultime patch di sicurezza installate.
    • Abbiamo introdotto strumenti di monitoraggio e gestione remota che permettono di supervisionare con maggiore efficienza tutte le postazioni utente, introducendo altresì scansioni antimalware automatizzate e report specifici.
    • Abbiamo introdotto un Security Operations Center (SOC) al fine di migliorare il rilevamento e la gestione degli attacchi informatici.

  8. Multi-Factor Authentication e firewall

    L’infrastruttura aziendale è protetta da firewall per applicazioni web e dispositivi IDS (Intrusion Detection System) che vengono utilizzati per il monitoraggio delle risorse informatiche (pattern). Grazie a puntuali analisi del traffico dati svolte dal nostro personale altamente specializzato è possibile rilevare attacchi alla rete o ai computer dove gli Intrusion Detection System fungono da “antifurto”. Sono inoltre presenti misure di autenticazione multi-fattore, ovverosia un sistema di autenticazione che richiede più di un metodo di verifica e con il quale viene aggiunto almeno un secondo livello di sicurezza per accessi e transazioni degli utenti. Questo metodo è utilizzato dagli amministratori di sistema e sui servizi Cloud. L’infrastruttura firewall è in alta affidabilità e costantemente aggiornata.

  9. Monitoraggio e controllo accessi

    • Visibilità avanzata sulle chiamate API.
    • Opzioni di aggregazione dei log per ottimizzare le indagini e la reportistica di conformità.
    • Definizione, applicazione e gestione di policy di accesso degli utenti su tutti i servizi.
    • Il monitoraggio degli accessi sospetti consente di rilevare possibili intrusioni mediante funzioni di machine learning molto solide.
    • Notifiche di avviso programmabili in caso di superamento soglie o verifica di eventi.
    • I diritti e i livelli di accesso dei dipendenti si basano sulla mansione e sul ruolo lavorativo che hanno, utilizzando i principi del “least-privilege” e “need-to-know”, in funzione delle responsabilità definite per il dipendente.
    • Le richieste di ulteriore accesso seguono un processo formale che prevede l’approvazione da parte del proprietario dei dati o del sistema oppure da parte di responsabili o altri dirigenti, a seconda dei criteri di sicurezza stabiliti.
    • Implementazione di Group Policies per Windows Active Directory che permettono maggiori controlli di sicurezza automatizzando una configurazione standard per l’ambiente di lavoro di utenti e dispositivi.

  10. Vulnerability Assessment

    • Vengono eseguiti tramite fornitori terzi con cadenza annuale test di vulnerabilità (WAPT – Web Application Penetration Testing) su tutto il perimetro TeamSystem delle applicazioni critiche.
    • I test prevedono test di penetrazione dei server ad alto livello, test approfonditi per le vulnerabilità all’interno dell’applicazione e esercitazioni di ingegneria sociale.
    • Infine, su richiesta, è possibile autorizzare un vulnerability assessment da parte di terzi.

  11. Incident Management

    • Abbiamo un rigoroso processo di gestione degli incidenti (incident management) per eventi di sicurezza che possono influire sulla riservatezza, integrità o disponibilità di sistemi o dati.
    • MailUp utilizza strumenti di scansione e monitoraggio (EDR, SIEM, SOC) che permettono di rilevare e segnalare minacce e di intervenire.
    • Se si verifica un incidente, il team di sicurezza registra e stabilisce la priorità in base alla gravità. Gli eventi che hanno un impatto diretto sui clienti hanno la priorità più alta.
    • Il monitoraggio e il controllo sono implementati attraverso sistemi di log management centralizzati che registrano in maniera dettagliata ogni attività eseguita sulle piattaforme e sulle API, permettendo così un’analisi forense e audit periodici. Questi sistemi sono strettamente integrati con meccanismi di alert automatici, che, in caso di anomalie o comportamenti sospetti, attivano immediatamente le procedure di incident response coordinate dal Security Operations Center (SOC).

  12. Sicurezza fisica dei data center

    I nostri servizi sono ospitati su infrastrutture cloud fornite da Microsoft Azure e Amazon Web Services (AWS), che garantiscono standard di sicurezza fisica e ambientale di livello enterprise. Le strutture sono progettate per proteggere i dati e le risorse da accessi non autorizzati e da eventi fisici.

    • Protezione fisica e accessi controllati
      I data center Azure e AWS sono monitorati 24/7 con sistemi di videosorveglianza, controlli biometrici e badge di sicurezza. Solo personale autorizzato dei provider può accedere alle strutture, seguendo rigorose procedure di verifica.
    • Sistemi ambientali e antincendio
      Entrambi i provider utilizzano sistemi avanzati di raffreddamento e ridondanza per mantenere condizioni operative ottimali. Sono presenti dispositivi di rilevamento e soppressione incendi, con allarmi e sistemi di risposta automatica per prevenire danni alle apparecchiature.
    • Certificazioni e conformità
      Microsoft Azure e AWS sono conformi a standard internazionali di sicurezza e privacy, tra cui ISO 27001, SOC 1/2/3 e altri framework di settore. Maggiori dettagli sono disponibili nella documentazione ufficiale di Microsoft Azure e AWS.

  13. Disponibilità e integrità dei dati personali

    Per assicurare la disponibilità dei dati, a fronte di malfunzionamenti dell’hardware, per i server più critici sono previste copie di backup con cadenza minima giornaliera e con conservazione sicura delle copie per una settimana su backup vault che forniscono garanzie di protezione anche in caso di ransomware (es. cryptolocker). Tali backup vengono verificati periodicamente, sono organizzati in maniera tale da garantire la separazione dei dati per ciascun cliente e sono criptati in maniera sicura, per garantire la massima confidenzialità dei dati.

  14. Asset management

    Tutti gli asset fisici e logici vengono continuamente monitorati. L’organizzazione applica delle politiche aziendali e delle procedure operative stringenti in materia di asset management, al fine di verificarne la correttezza e nell’utilizzo e la funzionalità lungo l’intero ciclo di vita della risorsa. Tale ciclo di vita inizia con la sua acquisizione, segue con l’installazione e il controllo degli applicativi software (rigorosamente aggiornati e approvati), fino alla sua messa fuori servizio ed eventuale distruzione. Si segnala, inoltre, che sono utilizzati strumenti di monitoraggio e gestione remota che permettono di supervisionare con maggiore efficienza tutte le postazioni utente, introducendo altresì scansioni antimalware automatizzate e report specifici.

  15. Sviluppo sicuro

    Tutte le applicazioni sviluppate da MailUp seguono le linee guida OWASP per lo sviluppo di codice sicuro e di Data Protection By Design. Il processo di sviluppo software adottato in MailUp è caratterizzato da una massiva fase di test che deve essere completata con successo prima di poter procedere con il rilascio del software nell’ambiente di produzione. I nostri professionisti altamente specializzati sviluppano i test tenendo conto non solo di use case identificati ma, bensì, anche di abuse case in modo da verificare il corretto funzionamento sia in caso di interazioni lecite sia in caso di interazioni malevole. MailUp dispone di strumenti all’avanguardia per garantire la correttezza e la sicurezza dei propri servizi, infatti ogni modifica al codice sorgente viene analizzata tramite l’utilizzo di strumenti di analisi statica del codice. Le modifiche al codice sorgente sono altresì sottoposte a una fase di code review utile all’approvazione dello stesso. Tutto il nostro personale impegnato in tutte le fasi di development e deployment viene continuamente formato e aggiornato sulle best practice derivanti dai principali standard internazionali in materia.

  16. Formazione

    In MailUp crediamo che la formazione continua sia l’unico modo per rimanere al passo con lo stato dell’arte, migliorarsi e innovare. MailUp fornisce a tutti i suoi dipendenti gli strumenti necessari per la propria crescita professionale. Ogni anno vengono altresì pianificato piani di formazione specifica per ciascun reparto aziendale.

  17. Background check

    Tutto i nostri professionisti sono stati assunti dopo un rigoroso screening in termini di competenze e capacità. Viene effettuato un controllo sul background dei candidati prima dell’assunzione in maniera tal da verificare i requisiti di sicurezza, il percorso di carriera e la motivazione. L’organizzazione ha stabilito delle policy e delle procedure aziendali per far sì che l’intero ciclo di vita del dipendente venga disciplinato al fine di garantire i diritti giuslavoristici e la sicurezza delle risorse assegnate.

  18. Classificazione dei dati

    Tutti i dati e le informazioni trattate dall’organizzazione sono classificati in relazione alla propria criticità declinata in termini di riservatezza, disponibilità, tracciabilità e integrità.

  19. Valutazione del rischio

    Sono in essere delle politiche e delle procedure aziendali specifiche per la valutazione del rischio avverso le principali minacce informatiche. L’implementazione delle nostre misure di sicurezza tecniche e organizzative è il risultato di una continua e costante valutazione in termini di verosimiglianza ed impatto sulla riservatezza, disponibilità e integrità dei dati e delle informazioni da noi trattate, proprie e dei nostri clienti. L’organizzazione persegue l’approccio risk based in ogni ambito della propria attività e per l’implementazione dei propri modelli tecnico organizzativi, così come disposto dalle normative facenti parte dei framework di data protection e cybersecurity.

  20. Gestione dei fornitori

    I nostri fornitori e le terze parti sono continuamente controllati. Viene effettuata una valutazione del rischio sul fornitore e di verifica circa le proprie misure tecniche e organizzative. Tale verifica viene svolta in conformità con l’art.28 del GDPR nel caso di trattamenti di dati personali presso un fornitore nominato Responsabile del Trattamento. Gli accordi con tutti i nostri fornitori sono continuamente monitorati e controllati al fine di verificare i livelli di servizio (SLA).

  21. Tracciamento e smaltimento dell’hardware

    • Il controllo parte all’acquisizione, segue l’installazione, fino alla dismissione ed eventuale distruzione.
    • Per lo smaltimento dell’hardware eseguiamo la distruzione del disco e l’eliminazione del dato secondo una procedura interna ben codificata.

  22. Fornitori

    Dove previsto, ci avvaliamo di fornitori di servizi solo dopo aver verificato che possano fornire un adeguato livello di sicurezza, di privacy e precise garanzie sulla possibilità di gestire il trattamento dei dati interamente in Europa. Tra i quali:

    • Amazon Inc. per la fornitura di servizi di rete di supporto e l’archiviazione delle immagini caricate dai clienti, inclusi i servizi CDN (Content Delivery Network) e di Web proxy;
    • Microsoft Ireland Operations, Ltd. con sede legale in South County Business Park, Leopardstown, Dublin 18, D18 P521, Ireland per la conservazione e l’hosting dei dati personali su server cloud all’interno della regione europea.

    Per informazioni sulle policy generali sul trattamento dei dati e sulla sicurezza degli altri prodotti TeamSystem potete fare riferimento a questa pagina: https://www.teamsystem.com/dpa/