Conformité légale et règlementaire

RGPD

Lo RGPD (General Data Protection Regulation) è il nuovo quadro europeo per il trattamento e la circolazione dei dati personali. Questo testo, applicabile dal 25 maggio 2018, che uniforma la legislazione degli Stati membri dell’Unione europea in materia di dati personali, ha lo scopo di dare a tutti i residenti dell’Unione europea un maggiore controllo sui loro dati personali, di rendere più responsabili i responsabili del trattamento dei dati riducendo le loro formalità preliminari con le autorità di regolamentazione e di rafforzare il ruolo delle autorità di protezione dei dati.

Questa conformità è stata verificata e convalidata dallo studio legale Racine, specializzato nel campo digitale.
Il Gabinetto Racine agisce anche come DPO (Data Protection Officer) delegato di Pineappli. Questo nuovo giocatore, previsto dagli articoli 37 e seguenti del RGPD, è obbligatorio.
Le sue missioni sono le seguenti:
– informare e consigliare i membri dell’entità sugli obblighi legali relativi al trattamento dei dati
– per monitorare il rispetto del RGPD
– consigliare, su richiesta, sulle valutazioni d’impatto sulla privacy e verificare la loro esecuzione
– cooperare con l’autorità competente per la protezione dei dati
– essere il punto di contatto con l’autorità competente per la protezione dei dati su questioni relative al trattamento, compresa la consultazione sulle valutazioni d’impatto sulla privacy
– essere il punto di contatto degli interessati per qualsiasi domanda relativa al trattamento dei loro dati e all’esercizio dei loro diritti.

ISO 270001

Pineappli è molto orgogliosa di essere certificata ISO!

Per coloro che non hanno familiarità con la certificazione AFAQ ISO/IEC 27001: dimostra che avete implementato un efficace Sistema di Gestione della Sicurezza delle Informazioni (ISMS) costruito sulla base dello standard internazionale di riferimento, l’ISO 27001. Definisce una metodologia per identificare le minacce informatiche, controllare i rischi associati alle informazioni critiche della vostra organizzazione e mettere in atto misure di protezione appropriate per garantire la riservatezza, la disponibilità e l’integrità delle informazioni.

I principali benefici che contribuiscono a una politica aziendale sana e sicura:
– Aumento della resilienza aziendale
– Allineamento con i requisiti del cliente
– Miglioramento dei processi aziendali e integrazione con le strategie di rischio aziendale
– Maggiore affidabilità e sicurezza dei sistemi e delle informazioni
– Miglioramento della fiducia dei clienti e dei partner commerciali

La politica di controllo degli accessi contiene le regole per l’accesso a sistemi, attrezzature, strutture e informazioni. Queste regole sono progettate per dare una visione chiara di chi ha accesso a quale rete e/o servizio. L’accesso a tutti i sistemi è conforme alla politica di controllo degli accessi, il che significa che l’accesso è protetto da procedure di login sicure e che l’accesso al codice sorgente è altamente sicuro.
Gli strumenti software che danno accesso alle informazioni (sensibili) sono riservati agli amministratori di sistema e sono accessibili solo sotto supervisione e in certe (rare) situazioni. Gli utenti devono registrarsi nel nostro sistema informativo e hanno accesso a certe aree secondo i loro privilegi.
Le regole della politica di sicurezza IT determinano come gli utenti mantengono la riservatezza dei loro dati di autenticazione.
Ottenendo la certificazione ISO 27001,

abbiamo ridotto il rischio di violazioni della sicurezza delle informazioni.
Il sistema di gestione dei servizi IT (ISMS) assicura un’adeguata gestione dei rischi ed è in atto per lo sviluppo, la manutenzione, la gestione e l’hosting.

È la garanzia che la sicurezza annunciata dall’azienda certificata è reale!
Questa certificazione dipende dall’ISO, l’organizzazione internazionale degli standard, e quindi ha una portata e un riconoscimento internazionale.
Si può ottenere solo attraverso l’intervento di un’organizzazione accreditata da organizzazioni nazionali come la COFRAC in Francia.
Questo richiede molto lavoro e organizzazione interna per soddisfare tutti i requisiti, sia tecnici che organizzativi.
L’ottenimento di questa certificazione dimostra l’impegno e l’importanza che l’azienda attribuisce alla sicurezza delle informazioni e rappresenta una reale garanzia di serietà per le aziende con cui lavoriamo.

Questa certificazione dà luogo a un certificato rilasciato dall’ente certificatore e autorizza l’uso di un logo che permette di verificare la realtà di questa certificazione.

Respect des lois et des normes en vigueur :

• Pineappli è stato appena certificato ISO 27001. Questa certificazione garantisce che i requisiti di sicurezza sono presi in considerazione nella gestione della soluzione Pineappli. Uno standard internazionale per rafforzare la fiducia dei giocatori digitali, il ISO 27001 è anche sinonimo di affidabilità e competitività. Questa certificazione è un’indicazione della nostra serietà e del nostro livello di competenza nel campo della sicurezza dei sistemi informativi.
• Conformità alla norma RGPD e tecnologia all’avanguardia.
• Applicazione al regolamento europeo eIDAS di luglio 2014 e la legge monegasca del dicembre 2019 “Per un Principato digitale”.
• La conformità di Pineappli in termini di crittografia è stata anche convalidata da ADACIS, essa stessa certificata PASSI (1) dall’ANSSI (2).
(1) PASSI: fornitore di servizi di audit di sicurezza dei sistemi informatici
(2) ANSSI: Agenzia nazionale per la sicurezza dei sistemi informativi
• La certificazione è anche in corso con l’AMSN (3), per l’archiviazione elettronica, la cassaforte elettronica e la digitalizzazione con valore probatorio, conformemente alla legge monegasca del dicembre 2019.
(3) AMSN: Agenzia monegasca per la sicurezza digitale

Due conseguenze importanti per le aziende grazie alla rigida applicazione delle leggi:

• In caso di controversia, Pineappli permette di fornire le prove richieste: un gestore di prove molto prezioso!
Pineappli può essere visto come un fornitore di servizi di gestione delle prove nella misura in cui integra tutti i servizi direttamente legati agli ambienti di fiducia. Pineappli è quindi in grado di fornire un ricco percorso digitale che copre tutte le esigenze dei suoi clienti nel rigoroso rispetto della legge. Il suo sistema di tracciabilità del valore probatorio (vedi gestione dei log di seguito) permette di provare l’esecuzione di ogni azione referenziata, quando e da quale utente.

• Pineappli è una delle poche aziende ad offrire la digitalizzazione con valore probatorio: cioè la cancellazione della carta dopo la digitalizzazione dei documenti!
La soluzione Pineappli ha un sistema di digitalizzazione del valore probatorio che rispetta la legge del dicembre 2019 “per un Principato digitale”, il che significa che nessuna carta viene conservata dopo la digitalizzazione. Quest’ultimo deve essere realizzato nel rispetto delle condizioni richieste e bisogna assicurarsi che la conservazione dei documenti digitalizzati soddisfi le condizioni per l’archiviazione elettronica con valore probatorio,
Questo è il caso delle casseforti Pineappli.

Il nostro brevetto è stato depositato dal signor Jean-Marc Rietsch l’8 giugno 2015 e riguarda la “messa in sicurezza dei dati digitali”,
recante il numero di registrazione nazionale 15 01179 e il numero di registrazione europeo 3304409 e rilasciato il 7 aprile 2020 negli Stati Uniti con il numero 10.614.230.

Questo brevetto è una vera garanzia di affidabilità e innovazione per gli utenti.

HDS

Hosting Health Data (HDS), una garanzia di qualità per proteggere i dati sanitari.
I dati sanitari personali sono dati particolarmente sensibili. Il loro accesso è quindi regolato dalla legge per proteggere i diritti degli individui. Di conseguenza, l’hosting di questi dati deve essere effettuato in condizioni di sicurezza adeguate alla loro criticità. Il regolamento definisce i termini e le condizioni previste.

“Qualsiasi persona fisica o giuridica che ospita dati sanitari personali raccolti nel corso di attività di prevenzione, diagnosi, cura o monitoraggio medico-sociale per conto di persone fisiche o giuridiche all’origine della produzione o raccolta di questi dati o per conto del paziente stesso, deve essere approvato o certificato a questo scopo.

La certificazione Health Data Hosting (HDS) è richiesta per entità come i fornitori di servizi cloud che ospitano dati sanitari personali regolati dalla legge francese e raccolti per fornire servizi di prevenzione, diagnosi e altri servizi sanitari. Il regolamento HDS è stato emesso da ASIP SANTÉ che, sotto l’egida del Ministero della Salute francese, è responsabile della promozione delle soluzioni di e-health in Francia.

L’hosting dei dati sanitari è regolato dalla legge francese e dal codice della sanità pubblica francese (articolo L.1111-8), che stabilisce che qualsiasi organizzazione sanitaria (ospedali, aziende farmaceutiche, laboratori) che gestisce dati medici personali deve utilizzare un fornitore di servizi certificato HDS.
La certificazione HDS richiede che i fornitori di servizi adottino misure che garantiscano la sicurezza, la riservatezza e l’accessibilità dei dati sanitari personali dei pazienti. Queste misure includono procedure di autenticazione e autorizzazione forti, sistemi di backup affidabili e metodi di crittografia forti. HDS specifica anche le disposizioni obbligatorie da includere nei contratti con il fornitore di servizi cloud. Questi requisiti si applicano indipendentemente da dove i dati vengono memorizzati.
Come ISO 27001, questa certificazione può essere ottenuta solo attraverso organismi accreditati.

L’ente certificatore rilascia un certificato e utilizza un logo per verificare che la certificazione sia autentica.
L’azienda appare anche nell’elenco degli organismi certificati sul sito dell’ASIP Santé.

eiDAS

La conformità con i requisiti dello standard EN 319-401 fornisce una presunzione di conformità con i requisiti del regolamento europeo eIDAS Capitolo III TRUST SERVICES e l’articolo 24, “Requisiti per i fornitori di servizi fiduciari qualificati” e in particolare

  • L’uso di sistemi e prodotti affidabili, la sicurezza e l’affidabilità dei processi
  • Avere un piano di continuità aziendale per i servizi offerti dal fornitore

Il fatto di essere un fornitore di servizi fiduciari qualificato porta una presunzione di affidabilità dei servizi offerti. Ciò significa che, in caso di controversia, spetterà all’azienda che contesta la soluzione dimostrare che il servizio non è stato fornito in conformità con i requisiti.
Questo è in contrasto con la situazione più comune in cui, in caso di controversia, spetta all’azienda colpevole dimostrare la qualità del servizio fornito. Questo è noto come l’inversione dell’onere della prova.

Anche questa certificazione può essere ottenuta solo attraverso l’intervento di organismi accreditati che sono, inoltre, riconosciuti dall’organismo nazionale di controllo nel senso EIDAS del termine, cioè l’AMSN per Monaco e l’ANSSI per la Francia.

Dà luogo a un certificato rilasciato dall’ente certificatore e all’uso di un logo che permette di verificare la realtà di questa certificazione.