Specifiche tecniche QSA.net SaaS

PREMESSA
QSA.net è un software Cloud professionale, nato per le Aziende e fornito in modalità “Software as a Service” (SaaS) attraverso l’infrastruttura Cloud offerta in partnership con Telecom Italia Spa. 

Il presente documento fornisce informazioni tecniche in merito al servizio offerto, con un particolare focus sulle tematiche di sicurezza dei dati ed in riferimento alla guida predisposta dal Garante per la Protezione dei dati Personali “Cloud Computing – Proteggere i dati per non cadere dalle nuvole” consultabile al seguente indirizzo:

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1894499

I titoli di seguito riportati riprendono i medesimi capitoli della guida del Garante, al fine di facilitarne il raffronto e la comprensione.

NUVOLE DIVERSE PER ESIGENZE DIVERSE
QSA.net è una applicazione che fa parte di una tipologia di Cloud denominata “Private Cloud” ed offerta attraverso il modello di servizio denominato SaaS (Software as a Service – Software come servizio).

Tipo di Cloud
Private Cloud: la “nuvola privata” è una infrastruttura informatica (rete di computer collegati per offrire servizi) per lo più dedicata alle esigenze di una singola organizzazione, ubicata nei suoi locali o affidata in gestione ad un terzo (nella tradizionale forma dell’hosting dei server), nei confronti del quale il titolare dei dati può esercitare un controllo puntuale. Le “nuvole private” possono essere paragonate ai tradizionali “data center” nei quali, però, sono usati degli accorgimenti tecnologici che permettono di ottimizzare l’utilizzo delle risorse disponibili e di potenziarle agevolmente in caso di necessità.

Modello di servizio
Software as a service (SaaS): il fornitore eroga via internet una serie di servizi applicativi (QSA.net) ponendoli a disposizione degli utenti finali (Cliente).

IL QUADRO GIURIDICO
La sfida internazionale
La tecnologia Cloud procede molto più velocemente dell’attività del legislatore non solo in Italia ma in tutto il mondo. A livello Europeo è entrato in vigore nel Maggio del 2016 il Regolamento 679-2016, completamente operativo a partire dal Maggio 2018, data da cui tutta la normativa nazionale deve essere allineata a tale documento. Il regolamento concerne prevalentemente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati, ma include novità per imprese ed enti. Il Garante della Privacy ha predisposto una guida informativa in proposito.

Il Titolare e il Responsabile del Trattamento (Data Protection Officer)
L’azienda “Titolare del trattamento dei dati personali” che trasferisca in tutto o in parte il trattamento sulle ”nuvole” deve procedere a designare il fornitore dei servizi cloud “Responsabile del trattamento”.
Questo significa che il cliente dovrà sempre prestare molta attenzione a come saranno utilizzati e conservati i dati personali caricati sulla “nuvola” e rivolgersi solo ai fornitori che offrono maggiori garanzie, in particolare per il rispetto della normativa sulla protezione dei dati senza dimenticarsi di esercitare un controllo nei confronti del fornitore di servizi in merito alla corretta esecuzione delle istruzioni impartite in relazione ai dati personali trattati.

Trasferimento dei dati fuori dell’Unione Europea
Al fine di non incrementare il livello di complessità della materia QSA.net si avvale di datacenter Telecom Italia Spa, che garantisce il fatto che i dati non escano in nessun caso dai confini nazionali.

Sicurezza dei dati
In materia di sicurezza dei dati ed a tutela del Cliente il servizio QSA.net è erogato secondo misure tecniche e organizzative volte a ridurre al minimo i rischi di distruzione o perdita dei dati, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, di modifica in conseguenza di interventi non autorizzati, affinché i dati siano sempre disponibili e riservati. A tale scopo anche la trasmissione dei dati dal dispositivo del Cliente al punto di archiviazione avviene mediante tecniche di cifratura.

Le misure minime di sicurezza sono coerenti con le finalità per cui il Servizio QSA.net è stato progettato. QSA.net declina ogni responsabilità per un utilizzo improprio del Servizio quale per esempio l'utilizzo dello stesso per la gestione di dati sensibili o per una archiviazione sostitutiva di documenti:   QSA.net non adotta tecniche di criptazione idonee a garantire il trattamento di dati sensibili quali, a titolo di esempio, dati sanitari. Il Servizio offerto inoltre non adotta tecnologie di firma digitale e non è pertanto conforme ai requisiti normativi necessari per una archiviazione sostitutiva legalmente riconosciuta.

 

I diritti dell’interessato
Al fine di permettere al Cliente di avere un adeguato controllo sulle attività di gestione dei dati Consind si impegna a richiedere preventiva autorizzazione al Cliente prima di consentire l’accesso dei dati a subfornitori. Fa eccezione Telecom Italia Spa, che ha formalmente accettato l’incarico di Responsabile per il trattamento dei dati per conto di Consind relativamente ai dati in gestione presso i propri Datacenter.

VALUTAZIONE DEI RISCHI, DEI COSTI E DEI BENEFICI

È opportuno scegliere bene il tipo di cloud e il modello di servizio più adatto alle proprie esigenze. Nessuna azienda lascerebbe in deposito la propria liquidità ad un perfetto sconosciuto. Né affiderebbe il proprio libro mastro o i contratti stipulati con clienti e fornitori a un commercialista sconosciuto che gli promette di risparmiare. La voce “risparmio” non deve quindi essere l’unico fattore di scelta.
Per questo motivo QSA.net si avvale di Telecom Italia come fornitore di cloud computing, leader in Italia per infrastruttura ed offerta.
Prima di optare per un certo tipo di “nuvola”, è comunque opportuno che l’utente verifichi la quantità e l’effettiva rilevanza per il business dei dati che intende esternalizzare (ad esempio i documenti di un Sistema di Gestione per la Qualità), valutando gli eventuali rischi e le possibili conseguenze derivanti da tale scelta.
Anche in questo caso l’offerta QSA.net è volta a fornire la massima protezione attraverso clausole “pro-privacy” ed include misure minime basate sulle garanzie di servizio offerte da Telecom Italia, che includono, fra le altre cose, la certificazione ISO 27001 (Gestione della sicurezza delle informazioni) dei propri datacenter.

Sicurezza
Quali sono le misure minime di sicurezza adottate per proteggere i dati gestiti con QSA.net? QSA.net è rivolto alle aziende ed al mondo professionale, per questo il servizio offerto fa della sicurezza uno dei suoi punti cardine. I dati, che restano di proprietà del nostro Cliente in ogni fase del servizio, vengono salvaguardati attraverso misure di protezione fisiche e logiche:

  • doppio livello di autenticazione per l'accesso, decidi tu quali dispositivi abilitare.
  • connessione con chiave crittografata, massima sicurezza nel trasferimento di documenti e dati
  • antivirus Deep Security di Trendmicro
  • advanced adaptive firewall
  • back-up effettuati esternamente ai server con cadenza giornaliera
  • database e spazi dedicati su infrastruttura di Private Cloud virtuale VMWare certificata ISO 27000 e ISO 9001 e Tier III

L’infrastruttura Cloud garantita da TIM prevede inoltre:

  • sorveglianza presente 24 ore su 24
  • protezione perimetrale
  • locali e sale sistemi con alimentazione ridondata
  • sistemi di controllo all’avanguardia
  • architettura completamente ridondata sia in termini di infrastruttura fisica che di rete, per eliminare la possibilità di downtime per fault hardware
  • hypervisor con servizi di alta affidabilità (HA) VMware
  • bilanciamento automatico dei carichi di lavoro (VMware DRS) garantisce le performance necessarie anche durante i picchi di utilizzo delle applicazioni del Cliente.
  • Server di classe enterprise con cpu da 2,2 GHz.
  • risorse elaborative (server, SAN e storage) ridondate abilitando così caratteristiche di prestazioni e affidabilità.

Ruoli e responsabilità
Chi è il reale fornitore del servizio che si sta acquisendo? QSA.net è un servizio offerto da Consind E.A. Srl con sede in Saronno (Va), Partner IT-IS Telecom Italia Spa. Consind è l’unico titolare della progettazione e dell’erogazione del servizio di cui mantiene il pieno controllo in tutte le fasi. L’infrastruttura Telecom Italia a cui Consind ha pieno accesso è gestita direttamente da Telecom Italia per quanto concerne tutti gli aspetti di sicurezza, aggiornamento ed assistenza tecnica. Il contratto di fornitura del servizio viene pertanto stipulato fra il Cliente (Titolare dei dati) e Consind (Responsabile del Trattamento dei dati), la quale ha a sua volta un regolare contratto di fornitura con Telecom, incaricata al trattamento dei dati e che ha assunto formalmente il ruolo di Responsabile del Trattamento dei dati.

Disponibilità del servizio e piano di emergenza
In caso di problemi al collegamento internet è comunque possibile continuare a usufruire dei servizi senza l’accesso al cloud? In quanto tempo può essere ripristinato il sistema? Esistono piani di emergenza per i servizi essenziali? L’utilizzo di QSA.net richiede che il Cliente disponga di una connessione veloce ad internet (ISDN, ADSL, Fibra), anche mobile (HDSL – 4G) senza la quale non è possibile usufruire del servizio. Lato fornitore, il datacenter Telecom dispone di un collegamento ridondato con velocità nominale di 100Mb. Il contratto fra Consind e Telecom Italia prevede uno SLA del 99.90% di uptime del servizio. Tale SLA è il dato di targa offerto contrattualmente ai clienti QSA.net. La gestione degli incidenti ed i relativi piani di emergenza sono parte integrante del sistema di Gestione certificato ISO 27001 di Telecom Italia. Maggiori informazioni sulle certificazioni è disponibile sul sito www.qsanet.it. Per quanto remota possa essere la possibilità di temporanea inacessibilità a servizio per cause imputabili a Consind o a Telecom Italia occorre quindi che il Cliente valuti bene le conseguenze sulla propria società dell’eventuale interruzione del servizio al fine di considerare i costi diretti e indiretti dell’inaccessibilità ai dati.

Recupero dei dati
E’ possibile che i dati sul Cloud possano essere distrutti? La presenza di un provider di servizi Cloud quale Telecom Italia, il livello di protezione offerto dalle misure di sicurezza fisiche e logiche del Servizio e l’architettura ridondata dell’infrastruttura, offrono un grado di protezione e sicurezza in grado di minimizzare i rischi e di poter disporre di procedure di recupero dei dati. Ciononostante esistono sempre rischi residui che potrebbero compromettere il funzionamento dei data center: è pertanto indispensabile che il Cliente quantifichi il possibile impatto economico e organizzativo dell’eventuale perdita o cancellazione di dati presenti solo sul Cloud, al fine di valutare la possibilità di adottare ulteriori sistemi di sicurezza e protezione dei propri dati e di richiedere ulteriori specifici servizi a Consind.

Confidenzialità
Esistono garanzie di riservatezza dei dati nel caso in cui un concorrente condivida gli stessi servizi Cloud? Le Condizioni generali di Fornitura del servizio prevedono le dovute garanzie in merito alla proprietà ed alla riservatezza delle informazioni trasferite e gestite mediante il servizio QSA.net.

Collocazione dei server
In quale stato sono conservati i dati caricati sulla “nuvola”? E’ possibile scegliere di usufruire di servizi collocati solo in territorio nazionale o in paesi della UE? Il servizio QSA.net offerto a Clienti Italiani mediante il dominio qsanet.it viene erogato esclusivamente attraverso l’infrastruttura Telecom Italia Spa e più specificatamente attraverso i data center di Cesano Maderno (MI) e Rozzano (MI). Non è pertanto necessario richiedere nulla in fase di acquisto in quanto il servizio prevede già che i servizi non vengano erogati in nessuna delle loro componenti al di fuori dei confini nazionali. Questa scelta è stata adottata per offrire maggiore trasparenza e tutela ai propri Clienti in merito alla normativa applicabile in caso di contenzioso, in relazione alle disposizioni nazionali che disciplinano il trattamento, l’archiviazione e la sicurezza dei dati.

Migrazione
La tecnologia utilizzata da QSA.net è di tipo proprietario? I dati possono essere esportati facilmente? QSA.net adotta tecnologie standardizzate che favoriscono la migrazione e l’interscambio di dati ma soprattutto consentono al Cliente di migrare semplicemente i dati nel caso di fine servizio. Ogni Cliente inoltre dispone di uno spazio Web e di un database dedicato, che permette di garantire la perfetta rintracciabilità dei documenti e dei dati di cui è proprietario. In qualsiasi momento il Cliente decida di terminare il servizio tutti i documenti caricati sulla piattaforma QSA.net vengono restituiti nella forma originaria con cui sono stati caricati (doc, pdf, xls, jpg, etc) insieme con tutti i dati caricati a livello di database. QSA.net adotta un database Microsoft SQL pertanto facilmente esportabile, convertibile in altri formati e consultabile senza over acquistare onerosi software proprietari. Questa portabilità dei dati è una ulteriore garanzia verso il Cliente della trasparenza e della serietà del servizio offerto.
Assicurazione sul danno
Nel caso in cui si accerti una violazione o la perdita dei dati, viene corrisposto un risarcimento del danno? Il Contratto di fornitura prevede esplicitamente che non sono previsti risarcimenti per una eventuale temporanea interruzione del servizio. Eventuali controversie derivanti da una accertata violazione delle disposizioni di legge quali perdita o sottrazione di dati è competente il foro di Milano. Consind dispone di una copertura assicurativa a tutela dei propri Clienti a fronte di eventuali risarcimenti e compensazioni.

IL DECALOGO PER UNA SCELTA CONSAPEVOLE

  1. Effettuare una verifica sull’affidabilità del fornitore. Consind E.A. Srl offre servizi certificati a norme ISO 9001:2015 e la massima trasparenza nei confronti dei propri Clienti. Referenze e ulteriori informazioni sono disponibili al sito www.qsanet.it. Consind è disponibile a ricevere Audit da parte dei propri Clienti e a rispondere a specifiche richieste attraverso il Servizio di Supporto raggiungibile all’indirizzo Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo..
  2. Privilegiare servizi che favoriscono la portabilità dei dati. QSA.net adotta standard Microsoft e consente la portabilità dei dati.
  3. Assicurarsi la disponibilità dei dati in caso di necessità. Il servizio QSA.net prevede un upload time del 99,90%, dato derivante dalle SLA previste dal contratto stipulato con Telecom Italia Spa. A fronte di specifiche esigenze, inoltre, è offerta al cliente la possibilità di disporre localmente di una copia dei documenti e dei dati allocati sul cloud.
  4. Selezionare i dati da inserire nella nuvola. La natura del Servizio QSA.net non prevede di dover gestire documenti aventi un elevato livello di confidenzialità e di criticità, trattandosi tipicamente di documenti e dati facenti parti di Sistemi di Gestione condivisi con i dipendenti aziendali e enti esterni (per esempio fornitori, enti di controllo, consulenti). Il Cliente è sempre tenuto a fare opportune valutazioni e a formulare esplicite richieste in forma scritta a Consind qualora abbia particolari esigenze o ritiene vi siano specifiche criticità che esulino il normale utilizzo del Servizio QSA.net.
  5. Non perdere di vista i dati. Con QSA.net i dati non si muovono. Dove li metti stanno. Sempre. I dati non verranno spostati senza una preventiva comunicazione al Cliente che potrà sempre e comunque decidere se continuare il servizio o interromperlo, richiedendone la restituzione e la cancellazione.
  6. Informarsi su dove risiederanno concretamente i dati. I dati gestiti dal servizio QSA.net confluiscono nel Datancenter Telecom Italia Spa di Cesano Maderno (MI) e sono ridondati sul Datacenter Telecom Italia Spa di Rozzano (MI). In nessun caso è previsto che possano essere trasferiti all’estero.
  7. Attenzione alle clausole contrattuali. Le condizioni Generali di Fornitura, insieme con la presente Scheda Tecnica del Servizio, sono scritti con l’intento di offrire la massima trasparenza in merito alle condizioni di servizio ed alla sicurezza e protezione dei dati.
  8. Verificare tempi e modalità di conservazione dei dati. Salvo quanto previsto dalla legge, i dati gestiti mediante il servizio QSA.net vengono cancellati dopo aver ricevuto dal Cliente conferma dell’avvenuto download del materiale messo a disposizione a seguito del termine del servizio. Una volta che il cliente è rientrato in possesso di tutti i propri documenti e dati e i dati archiviati in Cloud sono stati eliminati, QSA.net termina il proprio ruolo di Responsabile dei dati e non è più in grado di garantire al Cliente cessato ulteriori copie di tali documenti.
  9. Esigere adeguate misure di sicurezza. Le misure di sicurezza offerte da QSA.net includono la trasmissione crittografata delle informazioni e un doppio livello di autenticazione.
  10. Formare adeguatamente il personale. QSA.net e Telecom Italia Spa dispongono di personale qualificato al fine di garantire la corretta applicazione delle misure di sicurezza e un adeguato livello di servizio. QSA.net propone inoltre servizi di formazione per il personale del Cliente.

CARATTERISTICHE MINIME RICHIESTE per l’uso di QSA.net SaaS

L’utilizzo di QSA.net versione Saas richiede che il Cliente disponga:

  • di un accesso a internet a banda larga
  • di un browser internet a scelta fra Internet Explorer (versione 7 o superiore), Firefox (versione 3.5 o superiore), Google Chrome, Safari.
  • Plug in Adobe Reader.