Buon Compleanno Alchimie Digitali!

buon compleanno

Si fa presto a dire INFORMATICA! Noi di Alchimie Digitali sappiamo che le competenze necessarie per fare davvero ASSISTENZA INFORMATICA alle AZIENDE sono molteplici e fortemente integrate fra loro e da 17 anni, ormai, siamo al fianco di imprese e professionisti del territorio modenese (e non solo): per prenderci cura – con i nostri servizi su misura IT-CARE – della vostra sicurezza informatica, per analizzare e ottimizzare le vostre reti (anche wifi), per proteggere l’integrità dei vostri dati, per fornirvi una completa consulenza privacy e, se necessario, per tutelare i vostri interessi con i servizi di informatica forense.
Con gli anni siamo cresciuti, accogliendo visi nuovi e volti noti, abbracciando nuovi processi aziendali e consolidando le nostre conoscenze tecniche. Una grossa fetta della nostra torta di compleanno, quindi… è per voi: clienti, sostenitori ed amici. Grazie per averci stimolato, criticato, sostenuto e affiancato nel nostro cammino.

Attacco “hacker” globale o pessime scelte imprenditoriali? Facciamo un po’ di chiarezza

cybersecurity

Attacco “hacker” globale o pessime scelte imprenditoriali? Facciamo un po’ di chiarezza.

Sta facendo molto scalpore, in queste ore, la notizia di un presunto “gigantesco attacco hacker globale” a carico di server basati su “VMware ESXi” (un diffusissimo software di virtualizzazione) sparsi in tutto il mondo.

Cosa c’è di vero?

L’attacco è vero, ma le dimensioni reali – al di fuori dell’enfasi mediatica – sono tutto sommato modeste, interessando “solo” qualche migliaio di server su base mondiale.

Quanto è grave?

Per chi lo subisce è decisamente grave, probabilmente catastrofico… come tutti gli attacchi ransomware, peraltro. Tieni presente che, in generale, circa l’80% delle PMI che subiscono un attacco cyber perdono dati essenziali e hanno un’elevata probabilità di chiudere.

Come ti puoi difendere?

Come avrai già letto, l’attacco sfrutta la vulnerabilità CVE-2021-21974 dei server VMware ESXi, una “debolezza” identificata e risolta con una patch di sicurezza.

Una patch, è bene sottolinearlo, rilasciata da VMware ben 24 mesi fa: installarla era semplice e gratuito, una banale e quotidiana procedura di buona manutenzione. Chi l’ha installata, può stare tranquillo; chi non l’ha fatto, invece, invece, è ad alto rischio.

Quanto ti devi preoccupare?

Dipende!

  1. Se nella tua Azienda l’infrastruttura e i servizi IT sono visti come un investimento strategico essenziale e non solo come un “costo”;
  2. Se i tuoi server sono gestiti da personale esperto, con la corretta autonomia decisionale e un budget appropriato;
  3. Se hai licenze, apparati di sicurezza, applicativi e sistemi aggiornati e correttamente manutenuti

Allora è del tutto verosimile che la patch sia stata correttamente identificata e installata: puoi stare tranquillo.

Se, al contrario:

  1. nella tua Azienda l’infrastruttura e i servizi IT sono visto solo come un “costo” e non come un investimento strategico
  2. i tuoi server sono gestiti da collaboratori afflitti da insufficiente  autonomia decisionale e/o budget inadeguati;
  3. hai licenze, apparati di sicurezza, applicativi e sistemi non aggiornati

Beh! In questo caso non serve per forza un “attacco globale”, prima o poi la tua infrastruttura sarà “bucata”, si fermerà e probabilmente perderai i tuoi dati. E’ solo questione di tempo.

Qual è la soluzione?

Una sola: una diversa cultura imprenditoriale/manageriale.

E’ urgente e necessario che il management aziendale prenda finalmente consapevolezza che:

  • gli attacchi cyber sono oggi una quotidiana realtà per OGNI Azienda, a prescindere da dimensioni e criticità di informazioni trattate
  • le PMI che subiscono un attacco cyber spesso finiscono per chiudere
  • infrastruttura IT, cybersecurity e corretta protezione dei dati sono oggi asset strategici essenziali per la prosperità e la sopravvivenza aziendale

La nostra proposta: il servizio IT-Full Care

IT Full Care è un piano di assistenza e gestione IT modulare e flessibile, che si modella e adatta alle esigenze di ogni singola Azienda.

Quando in Azienda sono presenti un IT Manager o altri collaboratori che si occupano dei sistemi IT, il piano IT-Full Care si adatta e si integra con le risorse esistenti, sviluppandosi a seconda dei casi, in affiancamento e appoggio, in autonomia e collaborazione oppure in autonomia con compiti di coordinamento, in base alle specifiche esigenze e alle caratteristiche di ogni singola realtà aziendale.

Chiamateci, troviamo insieme la soluzione: quella giusta per voi.

Whistleblowing Webinar Gratuito

cybersecurity

Alla scoperta del WhistleBlowing
tra obblighi di legge, opportunità e tutele!!!

WEBINAR GRATUITO – MARTEDÌ 27 GIUGNO 2023 ORE 12.00

Il Whistleblowing è uno strumento di compliance, grazie al quale dipendenti e collaboratori possono segnalare in modo anonimo eventuali illeciti e criticità riscontrati in Azienda.

Ricordiamo che non si tratta di delatori,  ma di persone RESPONSABILI che proprio per TUTELARE l’Attività e chi la gestisce, segnalano situazioni potenzialmente pericolose, consentendo di scoprire eventuali criticità PRIMA che generino danni e/o responsabilità.

Il whistleblowing è obbligatorio:

  • dal 15 luglio 2023, per realtà con 250 o più dipendenti;
  • dal 17 dicembre 2023 per realtà con 50 o più dipendenti.

Whistle One

È una soluzione «chiavi in mano» che garantisce l’anonimato dei segnalatori, trasferendo le segnalazioni alle figure aziendali che le valuteranno e decideranno cosa fare.

● dimensionata per le PMI italiane

● largamente personalizzabile

● ampiamente collaudata sul campo

● attivabile nel giro di UNA GIORNATA lavorativa

Compila il modulo e iscriviti subito!

Cookie? No problem!

microsoft 365

Noi di Alchimie Digitali, ci occupiamo dell’implementazione dei servizi di gestione dei cookies su qualunque tipologia di piattaforma web un servizio completo “chiavi in mano”.

Essendo sempre attenti ad offrire ai nostri clienti un servizio completo, sicuro e stabile, per la gestione dei cookies abbiamo scelto Elmo.
Elmo è lo strumento di Privacy Lab che consente la verifica e la catalogazione dei cookies sia per la conformità al GDPR (normativa europea), sia per il sistema di USA e Australia.

Il suo Cookie inspector consente la gestione delle autorizzazioni e genera un registro consensi certificato.
Mettiti subito in regola con Alchimie Digitali.

La sanzione del garante a Roma Capitale e al fornitore di “TuPassi”

Un commento pratico alla sanzione del Garante nei confronti di Roma Capitale e del suo fornitore del servizio informatico “TuPassi”. Qualche spunto di riflessione per fare chiarezza sulla necessità di nomina a responsabile esterno per i fornitori di servizi informatici.

In breve:

Garante per la protezione dei dati personali dispone una sanzione sia nei confronti di Roma Capitale, rispetto al servizio “TuPassi”, sia nei confronti della società informatica fornitrice del servizio, che operava senza:

  • Nomina a responsabile esterno al trattamento
  • Nomina ad amministratore di sistema
  • Utilizzando in maniera assolutamente inappropriata la formula del “Titolare Autonomo”

Tutte le aziende che offrono questi servizi ( assistenza informatica, installazione/manutenzione gestionali) dovrebbero verificare di essere in regola rispetto agli adempimenti GDPR in ottica di accountability ed in particolare rispetto alla gestione delle nomine ricevute come responsabili esterni.

 

La vicenda.

 

Nella newsletter del 25 gennaio il Garante per la protezione dei dati personali riporta la sanzione di 500 mila euro disposta nei confronti di Roma Capitale per trattamento illecito di dati personali dei dipendenti e degli utenti, effettuato attraverso il sistema di prenotazione degli appuntamenti “TuPassi”.

Tale sistema consentiva di acquisire e memorizzare sui server di Roma Capitale numerosi dati degli utenti relativi alle prenotazioni (tipo di prestazione, canale utilizzato, data e ora della prenotazione) e del personale impiegato nella gestione degli appuntamenti. Tutte le operazioni possibili grazie a questo applicativo erano effettuate senza che né gli utenti né i dipendenti avessero ricevuto un’informativa completa sui trattamenti effettuati secondo quanto previsto dall’art. 13 GDPR.

 

Perché è importante per chi opera in campo informatico.

 

L’aspetto più interessante di questa sanzione, per noi e per tutti i professionisti e le società che forniscono servizi informatici, riguarda il fornitore del servizio “TuPassi” al quale Roma Capitale si affidava.

L’Autorità ha comminato, con un provvedimento separato, una sanzione di 40 mila euro alla società fornitrice del sistema per i trattamenti effettuati in qualità di autonomo titolare con riguardo, in particolare, alla prenotazione di servizi sanitari da parte degli utenti e alla manutenzione del sistema per conto dei clienti.

 

Il rapporto tra Roma Capitale e la società fornitrice del sistema di prenotazione non era stato disciplinato da nessun accordo.  Che cosa significa? Non c’era un contratto e, supponiamo, nemmeno una nomina? In effetti continuando la lettura sembra proprio essere questo il caso.

Durante l’attività istruttoria a carico di tale Società fornitrice è emerso, infatti, che

 

“nessuno dei clienti ha nominato la Società quale responsabile del trattamento per l’attività di assistenza e manutenzione” né quale “amministratore di sistema dei server dei clienti stessi, ai quali accede direttamente, da linea di comando, per l’attività di assistenza/manutenzione”.

 

Quando il fornitore deve essere nominato responsabile esterno?

 

Il fatto che un operatore informatico sia effettivamente titolare autonomo di un set di informazioni che raccoglie direttamente dall’utente, non esclude il fatto che per un set di dati ulteriore e/o per un diverso trattamento esso possa essere ANCHE responsabile esterno.

E questa seconda attività deve essere sempre gestita e, in nessun modo, può essere considerata di rango inferiore alle altre e dunque ignorata.

Nel caso di specie, se è vero che rispetto ai dati personali dei singoli utenti registrati sulla piattaforma “Tupassi” la Società trattava tali dati in qualità di titolare, nell’ambito dell’offerta del servizio di prenotazione effettuato allo sportello dagli utenti dei singoli enti bisogna evidenziare che, al contrario, i trattamenti di dati effettuati tramite “TuPassi” rientrano nella titolarità dei singoli enti, rendendo quindi obbligatoria la nomina a responsabile esterno ex art. 28 GDPR.

In aggiunta a questo occorre sottolineare che anche l’attività di assistenza e manutenzione, svolta dalla Società sul gestionale di prenotazione installato sui sistemi dei clienti, deve essere regolamentata andando a nominare la stessa quale responsabile del trattamento.

 

Come evidenzia il Garante nella sua ordinanza:

 

“Con riguardo all’attività di assistenza e manutenzione, svolta dalla Società sul gestionale di prenotazione installato sui sistemi dei clienti – attività che, quando non riguarda esclusivamente la componente hardware dei sistemi, ma include la possibilità che il personale autorizzato della Società fornitrice del servizio acceda al gestionale dei clienti, comporta inevitabilmente anche il trattamento di dati personali degli utenti –, la mancata adozione di atti idonei ad individuare la stessa quale responsabile del trattamento (art. 28 del Regolamento) risulta non conforme alla disciplina di protezione dati. Diversamente, tale regolamentazione non è dovuta nei casi nei quali la società svolga l’assistenza tecnica esclusivamente mediante un mero supporto (telefonico o via e-mail), senza accedere direttamente ai sistemi e ai dati personali in essi contenuti”.

 

È bene, quindi, ricordare che è permesso non nominare responsabile esterno il proprio fornitore di servizio qualora:

  • l’attività di assistenza informatica e manutenzione sia effettuata solamente sulla componente hardware dei sistemi;
  • l’assistenza informatica sia fornita esclusivamente tramite supporto telefonico o via e-mail, senza accesso a dati personali contenuti nei sistemi.

 

In tutte le altre occasioni, anche quando ad esempio un software è installato sui server del cliente e c’è la concreta possibilità che il fornitore possa accedere ai dati personali contenuti nel sistema, esso deve essere nominato responsabile esterno! Non farlo significa correre il rischio di imbattersi in sanzioni, anche rilevanti.

 

In conclusione.

 

Questo provvedimento ci fornisce una indicazione chiara e inequivocabile rispetto a tutte le aziende che si occupano di installare gestionali: anche se solo occasionalmente il loro personale autorizzato ha accesso al gestionale del cliente per fini di manutenzione, qualora tale accesso includa la possibilità di accedere ai dati presenti nel gestionale stesso, le aziende fornitrici devono essere assolutamente nominate responsabile esterno.

 

Se avete dubbi sulla necessità di nominare un vostro fornitore responsabile esterno non esitate a contattarci

Alchimie Digitali per tutti i servizi che prevedono la gestione dei dati per conto dei propri clienti si nomina sempre responsabile esterno!

 

Chiedi sempre la presenza di un consulente certificato a tutela della tua azienda!

 

Clicca qui per un preventivo gratuito!