Sicurezza e Conformità
La sicurezza dei tuoi dati non è un optional: è il fondamento di ogni servizio che offriamo. MSP In Cloud progetta, configura e gestisce VPS, siti WordPress e servizi gestiti con un approccio rigoroso alla protezione delle informazioni, basato su infrastruttura interamente europea e su pratiche allineate ai principali standard internazionali. In questa pagina spieghiamo, in modo trasparente e verificabile, dove risiedono i tuoi dati, come li proteggiamo e quali normative rispettiamo.
1. Il nostro approccio alla sicurezza
Adottiamo un modello di security-by-design: la sicurezza è parte integrante di ogni servizio fin dalla sua configurazione iniziale, non un'aggiunta successiva. Ogni server gestito viene consegnato con una configurazione irrobustita (hardening), aggiornamenti applicati e accessi controllati.
- Infrastruttura europea: utilizziamo esclusivamente datacenter situati nell'Unione Europea, in Germania.
- Principio del privilegio minimo: gli accessi amministrativi sono limitati al personale strettamente necessario.
- Difesa a più livelli: combiniamo sicurezza fisica del datacenter, sicurezza di rete, hardening del sistema operativo e gestione continua degli aggiornamenti.
- Miglioramento continuo: rivediamo periodicamente configurazioni, procedure e fornitori per mantenere alto il livello di protezione.
2. Dove sono i tuoi dati
Una delle domande più importanti quando si affida un servizio in cloud è semplice: dove finiscono fisicamente i miei dati? La nostra risposta è chiara.
- I tuoi dati sono ospitati su datacenter situati in Germania, all'interno dell'Unione Europea.
- Garantiamo la residenza dei dati nell'UE: i dati dei servizi gestiti restano all'interno dell'area europea.
- Nessun trasferimento extra-UE dei dati come parte ordinaria dell'erogazione del servizio. Non spostiamo i tuoi dati verso paesi terzi privi di un livello di protezione adeguato.
- Anche le copie di backup off-site sono mantenute all'interno dell'Unione Europea.
Questo significa che i tuoi dati restano soggetti al diritto europeo e alle tutele del GDPR, senza le incertezze legate ai trasferimenti internazionali.
3. ISO/IEC 27001
Vogliamo essere precisi e onesti su questo punto, perché è importante.
Datacenter certificati ISO/IEC 27001
La nostra infrastruttura è ospitata su datacenter certificati ISO/IEC 27001 in Germania (Unione Europea). Questi datacenter applicano lo standard internazionale per la gestione della sicurezza delle informazioni e adottano misure di sicurezza fisica e operativa tra cui:
- Controllo degli accessi fisici e sorveglianza video continua (CCTV) 24/7;
- Alimentazione elettrica ridondata e sistemi di raffreddamento ridondati;
- Sistemi di protezione antincendio e monitoraggio ambientale;
- Personale tecnico presente in sede per una risposta rapida agli incidenti.
Le nostre pratiche allineate allo standard
MSP In Cloud non è, ad oggi, certificata ISO/IEC 27001. Tuttavia adottiamo pratiche di sicurezza allineate allo standard ISO/IEC 27001 nella gestione dei servizi che eroghiamo. In particolare:
- Controllo degli accessi: accessi amministrativi limitati, autenticazione robusta e gestione delle credenziali secondo il principio del privilegio minimo;
- Cifratura in transito: connessioni protette tramite TLS/HTTPS e protocolli sicuri per l'amministrazione dei server;
- Backup regolari: copie periodiche dei dati e dei sistemi gestiti;
- Hardening dei sistemi: configurazioni irrobustite di sistema operativo e servizi, riduzione della superficie d'attacco;
- Gestione delle patch: applicazione tempestiva degli aggiornamenti di sicurezza per ridurre l'esposizione alle vulnerabilità note.
4. GDPR — Protezione dei dati personali
MSP In Cloud opera nel pieno rispetto del Regolamento Generale sulla Protezione dei Dati (GDPR, Reg. UE 2016/679). La conformità al GDPR non è per noi una semplice dichiarazione, ma un insieme concreto di obblighi e tutele.
- Ruoli chiari: il cliente è titolare del trattamento dei dati gestiti tramite i propri servizi; MSP In Cloud agisce, dove pertinente, in qualità di responsabile del trattamento per conto del cliente.
- Base giuridica: trattiamo i dati personali solo in presenza di una base giuridica valida (esecuzione del contratto, obbligo legale, consenso o legittimo interesse, a seconda dei casi).
- Diritti dell'interessato: garantiamo l'esercizio dei diritti di accesso, rettifica, cancellazione, limitazione, portabilità e opposizione.
- Accordo sul trattamento (DPA): rendiamo disponibile, su richiesta, un accordo sul trattamento dei dati (Data Processing Agreement) che disciplina il rapporto titolare-responsabile.
- Minimizzazione dei dati: raccogliamo e trattiamo solo i dati strettamente necessari all'erogazione del servizio.
- Conservazione e cancellazione: i dati sono conservati per il tempo necessario alle finalità del servizio o agli obblighi di legge, e successivamente cancellati o resi anonimi.
- Sub-responsabili: ci avvaliamo di sub-responsabili selezionati (ad esempio il fornitore dell'infrastruttura datacenter in UE), vincolati da adeguate garanzie contrattuali in materia di protezione dei dati.
5. NIS2 — Gestione del rischio e resilienza
La direttiva NIS2 (UE 2022/2555) rafforza i requisiti di cybersicurezza per molti soggetti che operano nel digitale. In qualità di fornitore di servizi gestiti, adottiamo misure in linea con i requisiti della direttiva NIS2, pur senza dichiarare adempimenti formali o registrazioni che non risultino dovuti o completati. Concretamente questo significa:
- Gestione del rischio: identificazione, valutazione e mitigazione dei rischi di sicurezza sui sistemi che gestiamo;
- Sicurezza della supply chain: selezione di fornitori affidabili (datacenter certificati in UE) e valutazione delle garanzie di sicurezza dei partner;
- Gestione e notifica degli incidenti: procedure per rilevare, contenere e gestire gli incidenti di sicurezza e per informare tempestivamente i clienti interessati;
- Continuità operativa: backup, ridondanza dell'infrastruttura e procedure di ripristino per garantire la continuità dei servizi.
6. Monitoraggio e trasparenza
Crediamo nella trasparenza totale su ciò che installiamo sui tuoi server. Per questo dichiariamo apertamente che sulle VPS gestite preinstalliamo un agente di monitoraggio leggero (Netdata), uno strumento open source che ci permette di controllare in tempo reale la salute e le prestazioni del server e di intervenire in modo proattivo prima che un problema diventi un disservizio.
Quali metriche raccoglie
- Utilizzo della CPU;
- Utilizzo della memoria (RAM);
- Spazio e attività del disco;
- Traffico e stato della rete;
- Stato dei principali servizi di sistema.
Cosa NON raccoglie
L'agente di monitoraggio raccoglie esclusivamente metriche tecniche di sistema. Non legge, non raccoglie e non trasmette i contenuti utente: non accede ai tuoi file, ai tuoi database, alle email o ai dati dei tuoi siti e applicazioni.
Sempre sotto il tuo controllo
Il monitoraggio è pensato per offrirti un servizio migliore, ma resta una tua scelta. Puoi richiedere in qualsiasi momento la disattivazione o la rimozione completa dell'agente Netdata dai tuoi server, senza necessità di giustificazione. Ti basta contattarci.
7. Backup e continuità
Un dato senza backup è un dato a rischio. Per questo applichiamo principi consolidati di protezione e ripristino.
- Regola 3-2-1: manteniamo almeno tre copie dei dati, su due tipologie di supporto diverse, con almeno una copia off-site.
- Backup off-site in UE: le copie off-site sono conservate all'interno dell'Unione Europea, mantenendo la residenza dei dati in area europea.
- Procedure di ripristino: testiamo e manteniamo procedure di ripristino per garantire la continuità del servizio in caso di guasto o incidente.
- Ridondanza infrastrutturale: l'infrastruttura datacenter offre alimentazione, raffreddamento e connettività ridondati.
8. Come segnalare un problema di sicurezza
La sicurezza è una responsabilità condivisa. Se individui una vulnerabilità, un comportamento anomalo o un possibile incidente che riguarda i nostri servizi, ti chiediamo di segnalarcelo con responsabilità.
- Scrivi a security@mspincloud.it descrivendo il problema riscontrato.
- Includi, se possibile, i dettagli tecnici utili a riprodurre e comprendere il problema.
- Ti chiediamo di non divulgare pubblicamente la vulnerabilità prima che abbiamo avuto modo di analizzarla e risolverla (divulgazione responsabile).
Prendiamo sul serio ogni segnalazione e ci impegniamo a fornire un riscontro nel più breve tempo possibile.
Documenti collegati
Questi documenti fanno parte del quadro contrattuale e informativo di MSP In Cloud. Sono bozze in fase di validazione legale.