Accordo sul Trattamento dei Dati Marzipan

Allegato A: Standard di Sicurezza Marzipan

Questa è una traduzione fornita a solo scopo informativo. La versione inglese è il testo ufficiale e legalmente vincolante; in caso di discrepanza, la versione inglese prevale.

I termini in maiuscolo non altrimenti definiti nel presente documento hanno il significato loro attribuito nel DPA (Accordo sul Trattamento dei Dati).

Il presente Allegato A descrive le misure tecniche e organizzative, compresi i presidi operativi e le misure di sicurezza tecnica, che Marzipan adotta per (a) proteggere i Dati del Cliente da perdita, accesso o divulgazione accidentali o illeciti; (b) identificare i rischi ragionevolmente prevedibili e interni alla sicurezza e all'accesso non autorizzato ai Servizi, incluso l'account Marzipan del Cliente; e (c) ridurre al minimo i rischi per la sicurezza, anche attraverso la valutazione del rischio e test regolari. Marzipan designerà uno o più dipendenti responsabili di rispondere a qualsiasi domanda relativa alle pratiche e alle misure di sicurezza delle informazioni descritte di seguito.

  1. Modello di Responsabilità Condivisa

    Marzipan gestisce applicazioni basate su cloud su marzipan.co, labls.co e labls.io rispettivamente, la cui infrastruttura e i dati associati sono ospitati su server gestiti dai seguenti fornitori di servizi cloud: (1) UpCloud Oy ("UpCloud") presso il proprio data center DE-FRA1 a Francoforte, Germania; (2) Hetzner Online GmbH ("Hetzner Online") presso i propri data center a Norimberga e Falkenstein, Germania; (3) Scaleway SAS ("Scaleway") presso il proprio data center a Parigi. Ciò significa che il Servizio Marzipan viene erogato via internet secondo un modello Software as a Service ("SaaS").

    Tra UpCloud, Hetzner Online e Scaleway, UpCloud ospita la versione di produzione attiva delle applicazioni Marzipan e i relativi dati, e fornisce la potenza di calcolo che consente al Cliente di accedere ai Servizi senza la necessità di installare fisicamente una copia delle applicazioni. Scaleway fornisce servizi di posta elettronica transazionale. Hetzner Online, dal canto suo, mette a disposizione di Marzipan un server dedicato su cui Marzipan ospita versioni di staging (ossia di test) delle applicazioni, al fine di testare nuovo codice, funzionalità e aggiornamenti in un ambiente controllato prima della messa in produzione.

    Il modello SaaS stabilisce una divisione dei compiti in merito all'implementazione delle misure tecniche e organizzative necessarie a proteggere i Dati del Cliente. In qualità di titolare del trattamento, Marzipan è responsabile della progettazione degli strumenti di gestione degli accessi e degli strumenti di sicurezza di rete secondo cui i Dati del Cliente vengono archiviati nel cloud — la sicurezza nel cloud. In qualità di fornitori di servizi cloud e responsabili del trattamento, UpCloud, Hetzner Online e Scaleway sono responsabili, ciascuno per quanto di propria competenza, del mantenimento della sicurezza dell'ambiente cloud sottostante e dei server fisici in cui i Dati del Cliente sono archiviati, inclusa l'implementazione di misure tecniche e fisiche a protezione dall'accesso non autorizzato ai propri data center e all'architettura di rete — la sicurezza del cloud.

    In termini più dettagliati, ciò significa che Marzipan è responsabile della gestione della sicurezza del software applicativo di Marzipan (compresi aggiornamenti e patch di sicurezza per le applicazioni Marzipan e Labls), nonché della configurazione di eventuali funzionalità di sicurezza che UpCloud, Hetzner Online e Scaleway mettono a disposizione nell'ambito delle loro offerte di servizi cloud. A loro volta, UpCloud, Hetzner Online e Scaleway gestiscono e controllano (ove applicabile) i componenti del sistema applicativo di Marzipan e il livello di virtualizzazione, fino alla sicurezza fisica delle strutture in cui opera il servizio applicativo di Marzipan e in cui vengono archiviati i relativi dati.

    Definiamo questo approccio 'Modello di Responsabilità Condivisa', poiché oltre ad adottare sostanziali misure tecniche e organizzative proprie, ci affidiamo agli estesi meccanismi di sicurezza di UpCloud, Hetzner Online e Scaleway.

    Ulteriori informazioni sulle misure di sicurezza fisica, di rete e dei sistemi adottate rispettivamente da UpCloud, Hetzner Online e Scaleway per proteggere i propri data center e i dati in essi archiviati sono disponibili qui per UpCloud, qui per Hetzner e qui per Scaleway.

  2. Server UpCloud e Hetzner Online

    UpCloud

    Ai sensi dell'articolo 28, paragrafo 3, lettera c) del UK GDPR, Marzipan è tenuta a scegliere un responsabile del trattamento in ambito cloud computing che offra garanzie sufficienti in merito alla propria capacità di soddisfare le misure di sicurezza dei dati previste dall'articolo 32 del UK GDPR.1

    We have selected UpCloud to be our principal hosting provider, infrastructure partner and cloud computing processor for the production versions of the Marzipan and Labls applications based on a careful selection process, considering legal, organisation and technical measures. We chose UpCloud because their IT architecture and infrastructure has been certified as being designed and managed in accordance with industry-leading best practises and security standards including:

    • ISO 9001 Gestione della qualità
    • ISO 14001 Gestione ambientale
    • ISO 22301 Sicurezza e resilienza
    • ISO 27001 Gestione della sicurezza delle informazioni
    • ISO 50001 Gestione dell'energia
    • SOC 2 Type II Sicurezza e privacy dei dati
    • PCI-DSS Sicurezza delle informazioni

    Per garantire la conformità alla sentenza 'Schrems II' della Corte di Giustizia dell'UE (CGUE) del luglio 2020, tutti i Dati dei Clienti ospitati su UpCloud sono conservati presso il data center DE-FRA1 di UpCloud a Francoforte, Germania.

    Hetzner

    Marzipan ha scelto Hetzner Online come partner affidabile per la fornitura di spazio server dedicato aggiuntivo. Hetzner Online è certificata secondo gli standard DIN ISO/IEC 27001. Lo standard internazionale per la sicurezza delle informazioni attesta inoltre che Hetzner Online ha istituito e implementato un adeguato Sistema di Gestione della Sicurezza delle Informazioni ("ISMS").

    Hetzner Online utilizza l'ISMS nella propria infrastruttura e nelle proprie operazioni in entrambe le sedi tedesche dei data center in cui Marzipan affitta spazio server dedicato, ovvero i data center park di Norimberga e Falkenstein. L'ente di certificazione terzo FOX Certification ha verificato e certificato i processi ISMS dei data center park di Hetzner Online.

    Scaleway

    Marzipan utilizza Scaleway per ospitare i servizi di posta elettronica transazionale dell'applicazione Marzipan. Scaleway è certificata secondo gli standard ISO/IEC 27001:2022. Scaleway è certificata "Hébergeur de Données de Santé" (Gestore di Dati Sanitari) dal luglio 2024. Gestito dall'Agenzia Nazionale Francese per la Salute Digitale (ANS), sotto la supervisione del Ministero della Salute, il framework di certificazione HDS è uno dei più esigenti a cui i fornitori di servizi digitali devono conformarsi per ospitare e gestire dati sanitari in Francia. La certificazione di Scaleway conferma l'adozione di rigorose misure tecniche e organizzative per la protezione dei dati sanitari, la conformità ai requisiti normativi e di legge, nonché la sottoposizione ad audit periodici per garantire un elevato livello di sicurezza dei dati sanitari.

  3. Crittografia

    Un elemento fondamentale delle misure di sicurezza di Marzipan è la crittografia dei dati sia a riposo che in transito. Tutte le comunicazioni di rete esterne tra i clienti e l'applicazione Marzipan su reti pubbliche avvengono tramite Transport Layer Security ("TLS") versione 1.2 o superiore. I Dati del Cliente archiviati sui server UpCloud, Scaleway e Hetzner Online di Marzipan sono crittografati con AES 256 o superiore.

    Marzipan utilizza i rispettivi servizi di crittografia di UpCloud, Scaleway e Hetzner Online per cifrare i Dati del Cliente.

    Il sistema di crittografia di UpCloud è progettato in modo che nessuno, inclusi i dipendenti di Marzipan o di UpCloud, possa accedere alle chiavi di crittografia in chiaro. UpCloud utilizza moduli di sicurezza hardware ("HMS") validati o in corso di validazione secondo lo standard FIPS 140-2, per proteggere la riservatezza delle chiavi in chiaro utilizzate per cifrare i Dati del Cliente. Tutte le chiavi crittografiche vengono ruotate automaticamente una volta all'anno.

    La crittografia completa del disco di Hetzner Online utilizza algoritmi di cifratura AES 256 e processi di autenticazione obbligatori per cifrare tutte le unità software e hardware archiviate sui suoi server dedicati. Ciò riduce al minimo il rischio di perdita di dati e di accesso non autorizzato ai Dati del Cliente.

    I sistemi di Marzipan utilizzano la crittografia in transito ogni volta che i dati devono essere trasferiti su una rete non sicura o pubblica. L'interfaccia web e tutte le API collegate all'applicazione Marzipan sono accessibili esclusivamente tramite connessioni HTTPS, e i sistemi client devono utilizzare almeno TLS 1.2 per accedere al sistema Marzipan.

  4. Limitazione delle sedi dei server allo SEE/UE

    Marzipan archivia i dati esclusivamente nel SEE, precisamente nei data center di UpCloud a Francoforte, Germania, nei data center di Hetzner Online a Norimberga e Falkenstein, Germania, e nel data center di Scaleway a Parigi.

    Ciò al fine di garantire nella misura migliore possibile che i dati dei clienti non possano essere utilizzati o divulgati senza autorizzazione, in particolare alla luce della sentenza Schrems II della Corte di Giustizia dell'Unione Europea del 16 luglio 2020 e delle preoccupazioni degli esperti di protezione dei dati riguardo all'adozione di leggi sulla divulgazione forzata dei dati negli Stati Uniti e in altre giurisdizioni extra-SEE.

  5. Registrazione/Audit Trail (registro delle attività)

    Marzipan utilizza la registrazione nei propri ambienti UpCloud per diverse aree. Queste includono:

    • Eventi di sistema;
    • Registrazione degli errori;
    • Attività degli utenti;
    • Accessi e richieste ai sistemi di database;
    • Altri eventi correlati alla sicurezza/registrazione di audit.

  6. Monitoraggio

    Marzipan utilizza vari strumenti di monitoraggio per garantire la massima disponibilità e le massime prestazioni dei sistemi e dell'applicazione Marzipan. Questi monitorano almeno i seguenti parametri:

    Disponibilità

    • Accessibilità dell'applicazione
    • Accessibilità dei sistemi e dei servizi di backend

    Risorse

    • Utilizzo della CPU
    • Utilizzo delle interfacce di rete
    • Utilizzo delle interfacce persistenti e volatili

    Prestazioni

    • Tempi di risposta dell'applicazione
    • Tempi di risposta dei sistemi di back-end
    • Tempi di query per i contenuti del database MySQL

    Sicurezza

    • Prestazioni DS
    • Stato degli aggiornamenti dei sistemi

    Monitoraggio

    • Log degli errori
    • Log degli accessi

    Oltre a questo monitoraggio automatico, i dipendenti di Marzipan monitorano i media online e i blog pertinenti (incluso l'aggiornamento OWASP citato sopra) per poter reagire tempestivamente.

  7. Controllo degli accessi

    Marzipan assegna ai propri dipendenti e collaboratori diversi livelli di controllo degli accessi per i propri sistemi e servizi sui server di UpCloud e Hetzner Online. Questi sono gestiti tramite i rispettivi sistemi di Identity and Access Management (IAM) di UpCloud e Hetzner Online, che consentono una granularità fine degli accessi ai diversi servizi.

    Il principio fondamentale di Marzipan nell'assegnazione dei diritti al proprio personale è il "need-to-know" (necessità di conoscere). In pratica, ciò significa che il personale di Marzipan ha accesso esclusivamente alle funzioni necessarie per svolgere il proprio lavoro. L'accesso ai sistemi di back-end è possibile solo tramite connessioni sicure e autenticate. La pubblicazione pubblica dei sistemi di back-end è vietata. Solo un numero strettamente limitato di dipendenti di Marzipan ha accesso al sistema che archivia i dati dei clienti. Questo accesso diretto è destinato esclusivamente all'analisi degli errori ed è monitorato.

  1. L'articolo 32 del UK GDPR richiede ai titolari e ai responsabili del trattamento di adottare un approccio basato sul rischio per la sicurezza dei dati. Esso richiede ai titolari e ai responsabili di "garantire un livello di sicurezza adeguato al rischio". Lo scopo di un approccio basato sul rischio è valutare i potenziali rischi insiti in una determinata attività e identificare e implementare tecniche di mitigazione per controllare e ridurre al minimo i potenziali impatti.

Non fidarti solo della nostra parola

“Siamo passati da WooCommerce a una soluzione personalizzata basata su Marzipan. Gestire i nostri ordini è semplicissimo e la flessibilità dell'API per le sottoscrizioni ci ha permesso di migliorare la nostra offerta di adozione dei vigneti storici.”

Katie Jones con in mano un rastrello Tuchan
Katie Jones
Owner, Domaine Jones

“Marzipan è incredibilmente facile da usare, estremamente flessibile e configurabile. Rende i wine club in abbonamento ricorrente molto più semplici rispetto a qualsiasi altro sistema che abbia mai utilizzato, e riesce a gestire praticamente tutto ciò che gli abbiamo sottoposto.”

Justin Howard-Sneyd, MW
Justin Howard-Sneyd, MW
Owner, Domaine of the Bee