(MADE Rev. 1 del 28 giugno 2021 POLICY DI SICUREZZA DEL PORTALE NUVOLA Premessa Madisoft SpA è impegnata costantemente a pianificare e monitorare le proprie azioni per la gestione dei dati e dei processi interni nell’ottica della salvaguardia dell’integrità e della disponibilità delle informazioni stesse. Madisoft SpA adotta tutti gli accorgimenti organizzativi, le soluzioni tecniche e procedurali idonee al ripristino delle condizioni di funzionamento e di operatività antecedenti ad eventuali eventi disastrosi ed è impegnata, con continuità, ad adottare tutte le misure di sicurezza che trovano fondamento e riferimento in un quadro normativo ampio e complesso (codice della privacy, t.u. sulla sicurezza del lavoro, regole tecniche del Codice dell'Amministrazione Digitale). Sicurezza delle informazioni. La politica del sistema di gestione è reso disponibile alle parti interessate esterne su richiesta. Il presente documento descrive la policy di Madisoft SpA in materia di sicurezza informatica, continuità operativa e trattamento dei dati personali contenuti negli archivi delle scuole fruitrici dei servizi web di Madisoft SpA Criteri di selezione delle server farm Madisoft SpA si affida esclusivamente a server farm di comprovata affidabilità ed esperienza in materia di sicurezza informatica, e comunque previa verifica delle misure fisiche, logiche e organizzative poste in capo all'infrastruttura informatica. Tipologia dei dati gestiti dalla Madisoft SpA | dati gestiti dalla Madisoft SpA riguardano i dati contenuti negli archivi delle scuole fruitrici del servizio Nuvola In riferimento a quest'ultimi, la natura dei dati varia in base alle caratteristiche del servizio attivato dalla scuola. Modalità di gestione dei dati e di erogazione del servizio Per quanto riguarda la gestione dei servizi e dei dati, Madisoft SpA garantisce vari livelli di ridondanza: sia le applicazioni che il database dell'infrastruttura principale sono replicati in maniera sincrona su un server della stessa infrastruttura (ossia i dati vengono specularmente memorizzati sui due server) e su un server dell'infrastruttura secondaria. Madisoft SpA effettuata a intervalli regolari copie di back-up La Madisoft SpA è inoltre dotata di uno strumento di monitoraggio continuo degli applicativi web che fornisce in tempo reale, indicatori sulle prestazioni degli stessi, inclusi eventuali picchi di carico. Modalità di trasmissione dei dati | dati viaggiano sulla rete criptati, secondo il protocollo SSL [omissis] che garantisce il massimo livello di sicurezza a protezione delle trasmissioni telematiche. La connessione è protetta a crittografia 256-bit. La connessione utilizza TLS 1.2. La connessione è crittografata utilizzando AES_256_CBC, con SHA1 per l'autenticazione dei messaggi e DHERSA come meccanismo principale di scambio delle chiavi. Risoluzione dei contratti e fruibilità dei dati (MAD In caso di risoluzione del contratto del servizio Nuvola, Madisoft SpA garantisce la reversibilità dei dati secondo le modalità indicate nel documento “Allegato C - Policy per la cancellazione e restituzione dei dati” rinvenibile nella sezione “Privacy e policy di sicurezza”.