Sicurezza

Politica di Sicurezza

Come proteggiamo i tuoi dati e garantiamo la sicurezza della piattaforma

Ultimo aggiornamento: 19 marzo 2026

1. Il nostro impegno per la sicurezza

La sicurezza dei dati è una priorità fondamentale per PRESSsenze. Trattiamo dati sensibili relativi alla presenza e all'attività lavorativa dei dipendenti, e ci impegniamo ad applicare le migliori pratiche di sicurezza informatica per proteggere ogni informazione gestita dalla piattaforma.

2. Sicurezza dell'infrastruttura

Crittografia TLS 1.3

Tutte le comunicazioni tra il dispositivo dell'utente e i nostri server sono protette da crittografia TLS 1.3, il protocollo più recente e sicuro per la trasmissione dei dati.

Crittografia End-to-End

Le comunicazioni nella messaggistica interna sono protette da crittografia end-to-end, garantendo che solo mittente e destinatario possano leggere i messaggi.

Backup Automatici

I dati sono sottoposti a backup automatici regolari con procedure di ripristino testate periodicamente per garantire la continuità del servizio.

Hosting Sicuro

I server sono situati in data center certificati all'interno dell'Unione Europea, conformi agli standard di sicurezza fisica e logica.

3. Autenticazione e controllo degli accessi

3.1 Autenticazione sicura

  • Token di sessione sicuri — l'autenticazione è gestita tramite Laravel Sanctum con token crittograficamente robusti.
  • Protezione brute-force — dopo un numero configurabile di tentativi di accesso falliti, l'account viene bloccato temporaneamente. L'endpoint di login è protetto da rate limiting (massimo 10 tentativi al minuto).
  • Scadenza password — le password possono essere configurate per scadere periodicamente, richiedendo il rinnovo da parte dell'utente.
  • Timeout di sessione — le sessioni inattive vengono terminate automaticamente dopo un periodo configurabile dall'amministratore.

3.2 Controllo degli accessi basato sui ruoli (RBAC)

La piattaforma implementa un sistema di controllo degli accessi granulare basato su quattro ruoli:

Ruolo Livello di accesso Visibilità dati
Amministratore Completo Tutte le strutture, enti e dipartimenti
Resp. Struttura Gestione Enti e dipartimenti della propria struttura
Resp. Ente Supervisione Dipartimenti e operatori del proprio ente
Operatore Base Solo i propri dati personali

Ogni azione sulla piattaforma viene verificata lato server rispetto ai permessi del ruolo dell'utente. Le policy di autorizzazione (Laravel Gates e Policies) garantiscono che nessun utente possa accedere a dati o funzionalità non previste per il proprio ruolo.

4. Protezione dei dati

4.1 Principio di minimizzazione

Raccogliamo e trattiamo esclusivamente i dati strettamente necessari alle finalità della piattaforma, nel rispetto del principio di minimizzazione previsto dall'art. 5(1)(c) del GDPR.

4.2 Geolocalizzazione responsabile

  • I dati GPS sono rilevati solo al momento della timbratura, mai in modo continuativo
  • La rilevazione richiede il consenso esplicito dell'utente tramite il browser
  • Il sistema di geofencing verifica la posizione rispetto al perimetro configurato per la sede
  • Algoritmi anti-spoofing rilevano tentativi di manipolazione dei dati GPS
  • I dati di geolocalizzazione sono conservati per un massimo di 24 mesi

4.3 Protezione CSRF e XSS

Ogni richiesta alla piattaforma è protetta da token CSRF (Cross-Site Request Forgery). I dati in output sono sanificati per prevenire attacchi XSS (Cross-Site Scripting).

4.4 Rate Limiting

Tutti gli endpoint API sono protetti da rate limiting per prevenire abusi:

  • Endpoint di login: massimo 10 richieste al minuto
  • Endpoint API autenticati: massimo 120 richieste al minuto

5. Audit e monitoraggio

5.1 Audit log immutabile

Ogni azione significativa sulla piattaforma viene registrata in un audit log immutabile che include:

  • Identità dell'utente che ha eseguito l'azione
  • Tipo di azione (creazione, modifica, cancellazione, approvazione)
  • Timestamp preciso dell'azione
  • Indirizzo IP di origine
  • Dettaglio dei dati modificati (valore precedente e nuovo valore)

I log di audit sono consultabili esclusivamente dall'Amministratore e sono conservati per 5 anni.

5.2 Monitoraggio continuo

La piattaforma include strumenti di monitoraggio per rilevare anomalie, tentativi di accesso sospetti e comportamenti irregolari, consentendo una risposta rapida a potenziali minacce.

6. Gestione degli incidenti di sicurezza

In caso di violazione dei dati personali (data breach), ci impegniamo a:

  1. Contenimento immediato — isolare e bloccare la minaccia entro le prime ore dalla rilevazione.
  2. Valutazione dell'impatto — determinare la natura, l'estensione e la gravità della violazione.
  3. Notifica al Garante — comunicare la violazione all'Autorità Garante per la Protezione dei Dati Personali entro 72 ore dalla scoperta, ai sensi dell'art. 33 del GDPR.
  4. Comunicazione agli interessati — informare gli utenti coinvolti senza ingiustificato ritardo qualora la violazione presenti un rischio elevato per i loro diritti e libertà (art. 34 GDPR).
  5. Azioni correttive — implementare le misure necessarie per prevenire il ripetersi dell'incidente.
  6. Documentazione — registrare l'incidente nel registro delle violazioni con tutti i dettagli e le azioni intraprese.

7. Sicurezza dell'applicazione

  • Framework aggiornato — la piattaforma è sviluppata con Laravel 12, che riceve aggiornamenti di sicurezza regolari.
  • Dipendenze monitorate — le librerie di terze parti sono aggiornate regolarmente e monitorate per vulnerabilità note.
  • Validazione degli input — tutti i dati in ingresso sono validati e sanificati sia lato client che lato server.
  • Query parametrizzate — l'utilizzo dell'ORM Eloquent previene attacchi di SQL Injection.
  • Header di sicurezza — le risposte HTTP includono header di sicurezza appropriati (X-Content-Type-Options, X-Frame-Options, ecc.).

8. Responsabilità condivisa

La sicurezza è una responsabilità condivisa. Mentre noi ci occupiamo della sicurezza della piattaforma e dell'infrastruttura, chiediamo agli utenti di:

  • Utilizzare password robuste e non riutilizzarle su altri servizi
  • Non condividere le proprie credenziali con altri
  • Mantenere aggiornato il proprio browser e sistema operativo
  • Segnalare immediatamente attività sospette all'Amministratore
  • Effettuare il logout su dispositivi condivisi
  • Non installare estensioni del browser non verificate durante l'uso della piattaforma

9. Segnalazione vulnerabilità

Se ritieni di aver individuato una vulnerabilità di sicurezza nella piattaforma, ti invitiamo a segnalarla in modo responsabile contattando l'Amministratore della tua organizzazione, che inoltrerà la segnalazione al nostro team tecnico.

Ci impegniamo a:

  • Confermare la ricezione della segnalazione entro 48 ore
  • Valutare e classificare la vulnerabilità
  • Risolvere il problema con la massima priorità
  • Comunicare l'esito della segnalazione al segnalante

10. Conformità normativa

La piattaforma PRESSsenze è progettata per essere conforme a:

  • GDPR — Regolamento (UE) 2016/679 sulla protezione dei dati personali
  • D.Lgs. 196/2003 — Codice in materia di protezione dei dati personali (come modificato dal D.Lgs. 101/2018)
  • D.Lgs. 66/2003 — Norme sull'orario di lavoro
  • L. 300/1970 — Statuto dei Lavoratori (in particolare l'art. 4 sul controllo a distanza, come modificato dal D.Lgs. 151/2015)
  • Provvedimenti del Garante Privacy — in materia di geolocalizzazione dei lavoratori e bilanciamento tra esigenze aziendali e dignità dei dipendenti
Nota: L'utilizzo del sistema di geolocalizzazione per la rilevazione delle presenze è subordinato, ove previsto, all'accordo sindacale o all'autorizzazione dell'Ispettorato del Lavoro ai sensi dell'art. 4 dello Statuto dei Lavoratori.