La nostra missione consiste nel supportare le organizzazioni a proteggere al meglio le loro infrastrutture informative, gli assets IT ed i dati; questo non solo per raggiungere la compliance alle regolamentazioni vigenti, ma per essere maggiormente resilienti alle innumerevoli minacce che costantemente si presentano durante il normale trattamento dei dati, e non solo queli personali.
Oggigiorno è essenziale prevenire una violazione dei dati (data breach), non solo per proteggere la reputazione aziendale, ma anche per garantire la continuità operativa; a questo scopo, occorrono regole, misure, controlli ma soprattutto strategie, prevenzione ma soprattutto valutazione e gestione costante del rischio che incombe sui sistemi.
Le nostre attività principali.
Data Protection Officer DPO – Responsabile Protezione Dati RPD – siamo disponibili, per aziende ed organizzazioni motivate a raggiungere la compliance alla normativa di protezione dei dati personali, a svolgere il ruolo di RPD – DPO esterno; per tali ruoli abbiamo sottoscritto una specifica polizza DPO presso una primaria compagnia assicurativa.
General Data Protection Regulation GDPR Compliance Assessment – supporto in tutte le fasi di adeguamento alla Normativa Privacy e/o Regolamento Generale sulla Protezione dei Dati Personali EU 679/2016.
Definizione del Sistema di Gestione Privacy – Sistema di Gestione per la Protezione dei Dati Personali – su misura per ogni specifica organizzazione, anche integrato con il modello organizzativo 231/01 ed ISO 27000.
Stesura del Regolamento per il corretto utilizzo del sistema informativo aziendale su misura delle specifiche della organizzazione e predisposizione regole di compliance alla normativa vigente.
D.P.I.A. Data Protection Impact Assessment – Valutazione d’Impatto sulla Protezione dei Dati – articolo 35 regolamento UE 2016/679 e valutazioni sulle tipologie di trattamenti soggetti.
Consulenza sul nuovo Regolamento DORA (Digital Operational Resilience Act) entrato in vigore dal 16 gennaio 2023, con piena applicazione dal prossimo 17 gennaio 2025; supporto alle definizione delle procedure di risk management, incident response; verifiche di resilienza delle infrastruttura informative, security assessment, penetration test.
Consulenza sulla direttiva NIS2 (in vigore dal 16 ottobre 2024) per tutte le attività di verifica preliminare di rientrare nei soggetti interessati, la valutazioni dello stato attuale rispetto a quello richesto, la valutazione dei rischi, le ulteriori misure di sicurezza, la valutazione della supply chain, le notifiche degli incidenti di sicurezza.
Conformità al framework di sicurezza PCI-DSS – Payment Card Industry Data Security Standard, e modello organizzativo integrato di sicurezza dei dati personali e delle carte di credito GDPR / PCI-DSS per piccole realtà e-commerce.
Formazione di incaricati, GDPR UE 679/2016 e D.Lgs. 196/03 novellato dal D.Lgs. 101/18 – formazione di “incaricati” – persone autorizzate al trattamento dei dati personali”; formazione di referenti privacy, tramite corsi o seminari in presenza, oppure a distanza con strumenti di telepresenza o tramite la nostra piattaforma LMS (Moodle).
Formazione Data Protection Officer (D.P.O.) G.D.P.R. 2016/679 – procedure per la selezione, nomina o formazione del nuovo ruolo di Responsabile della Protezione dei Dati, introdotto all’art. 37 G.D.P.R.
Consulenza e supporto nelle procedure di certificazione privacy delle organizzazioni agli schemi UNI PdR 43:2018 e ISDP©10003.
Privacy Audit – attività di auditing di tutti i processi aziendali, dei trattamenti di dati e dei loro flussi, per valutare il grado di conformità alle normative cogenti, anche adottando le recenti Prassi di Riferimento UNI PdR 43:2018.
Disaster Recovery – valutazioni rischi, impatto disastri, tipologie, misure di controllo preventive – reportistiche – correttive, misure tecniche , strategie di riduzione del rischio, piano di disaster recovery, sistemi di backup e ripristino.
Business Continuity – definizione architetture di continuità operativa, business continuity plan, piano di continuità operativa, per pubblica amministrazione, banche, aziende sanitarie, organizzazioni.
Amministratori di Sistema – architetture di secure logging e reporting per la compliance al provvedimento del Garante Privacy “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – 27 novembre 2008”.
Privacy by Design & Privacy by Default – definizione di architetture, processi, sistemi, software Privacy-Designed e Privacy-Oriented.
Sicurezza GDPR – Adeguamento e/o riprogettazione di architetture informative e/o procedure si trattamento in adeguamento alla misure indicate all’art. 32 G.D.P.R. (Pseudonimizzazione, Cifratura, Hardening, Backup & Restore, Verifiche & Assessments).
Cookie Law – Provvedimento dell’8 maggio 2014 – Autorità Garante per la protezione dei dati personali Italiano – normativa in materia di cookies sul web; cookies assessment (valutazione congruenza cookies alla informativa cookies).
Website Check – adeguamento siti web alla normativa di protezione, sicurezza ed handening dei siti web e dei webservers.
MailServer Security – misure di sicurezza ed hardening di server e-mail, protocoli di crittografia smtps – pop3s – imaps, certificati digitali, procedure di controllo, alerting e ban automatico, Sicurezza delle chiavi dns SPF-DKIM-DMARC del mailserver per la protezione da attacchi e-mail spoofing.
S.L.A. Service Level Agreements – valutazione, definizione, controllo degli accordi sul livello di servizio con/verso terzi.
WhistleBlowing – operatività e competenze tecnologiche su piattaforma open source GlobaLeaks – adottante TOR – The Onion Routing – per la realizzazione del canale per le segnalazioni anonime e corsi di formazione whistleblowing per i dipendenti.
Ci occupiamo inotre di cyber-security, per tutte le attività tecnico-informatiche di alto livello, quali security assessments, penetration test, hardening perimetrali, computer forensic, ecc. In questo ambito, abbiamo recentemente sviluppato una metodologia proprietaria per valutare la resilienza di un qualsiasi web-server allo specifico attacco DDOS chiamato Slow HTTP attack, verso server Apache, NGINX , IIS ed altri, come il promettente OpenLiteSpeed; abbiamo esteso tale metodologia per ricomprendere il nuovissimo attacco HTTP2 Rapid Reset.
Ci occupiamo inoltre di hardening di siti web e varie piattaforme C.M.S. come WordPress e Drupal; abbiamo anche esperienza di installazioni sicure della piattaforma LMS Moodle.
ISO/IEC 27701:2024 – un SGPDP autonomo
Con la futura pubblicazione della ISO/IEC 27701:2024, la gestione della protezione dei dati personali subirà…
Penetration Test vs Vulnerability Assessment
In ambito sicurezza informatica, i termini “penetration test” e “vulnerability assessment” vengono spesso usati in…
Migliori AntiVirus 2024
Durante i vari tavoli tecnici ai quali partecipiamo, talvolta si accendono diatribe sul miglior prodotto…
Australia Introduce il Cyber Security Bill 2024
L’Australia ha presentato il Cyber Security Bill 2024, un disegno di legge che rappresenta un’importante…
Autenticità, il 4° pilastro della sicurezza
Sinora, gli aspetti della sicurezza delle informazioni hanno sempre avuto come pilastri la terna RID…
GDPR e 231
Abbiamo già detto che la protezione dei dati personali non è più (non lo è…