managedvps.it

Sicurezza e Compliance

Ultimo aggiornamento: 19 maggio 2026

Questa pagina riassume il nostro approccio a sicurezza e compliance, i documenti che mettiamo a disposizione dei clienti e i principi operativi che seguiamo nella gestione delle infrastrutture.

Approccio alla sicurezza

Dietro managedvps.it c'è esperienza sistemistica maturata in oltre 20 anni su infrastrutture Linux enterprise, dalla messa in sicurezza alla continuità operativa di server in produzione.

La gestione della sicurezza segue un metodo strutturato: analisi del rischio, definizione di misure tecniche e organizzative, verifica periodica. Non vendiamo la sicurezza come un prodotto da installare una volta, ma la trattiamo come un processo continuo.

Infrastruttura e data residency

Non rivendiamo hosting: l'infrastruttura gestita resta di proprietà del cliente, presso il provider che il cliente sceglie. I sistemi che utilizziamo per l'erogazione del servizio (monitoraggio, comunicazioni, email) sono ospitati su data center nell'Unione Europea. La data residency dei dati del cliente dipende dal provider scelto dal cliente e viene valutata insieme in fase di audit.

Livelli di servizio

Comunichiamo un target di disponibilità e un tempo di prima risposta rapido, sostenuto da alerting automatico. Non pubblichiamo garanzie contrattuali sui tempi di risoluzione: dipendono dalla natura del problema. Il dettaglio dell'approccio è nella pagina Livelli di servizio.

Strategia di backup

Dove rientra nel perimetro concordato, applichiamo la strategia 3-2-1 come baseline minima:

  • 3 copie dei dati (produzione più 2 backup)
  • 2 supporti di storage diversi
  • 1 copia off-site geograficamente distante

Dove richiesto aggiungiamo una copia immutabile (object lock) per la protezione dal ransomware. Il valore di un backup sta nella possibilità di ripristinarlo: per questo i ripristini vengono testati periodicamente.

Incident response

Per ogni cliente definiamo un piano di incident response che include percorso di escalation, matrice di comunicazione e runbook per gli scenari tipici (compromissione, data breach, ransomware, DDoS). Dopo ogni incidente forniamo un post-mortem scritto con causa radice, cronologia, rimedi e lezioni apprese.

GDPR e protezione dei dati

Operiamo come Responsabili del trattamento ai sensi dell'art. 28 GDPR per i dati personali eventualmente presenti sui server gestiti. Mettiamo a disposizione:

  • DPA (Data Processing Agreement): atto di nomina a Responsabile del trattamento ai sensi dell'art. 28 GDPR, parte integrante del contratto.
  • Lista dei sub-responsabili: disponibile su richiesta, con notifica anticipata delle modifiche.
  • Notifica di data breach: procedura documentata, notifica al cliente entro 24 ore dalla presa di conoscenza.
  • Esercizio dei diritti degli interessati: supporto operativo al cliente per le richieste ex artt. 15-22 GDPR.

Valutazione d'impatto (DPIA)

Una valutazione d'impatto sulla protezione dei dati (DPIA, art. 35 GDPR) è obbligatoria solo quando un trattamento può presentare un rischio elevato per i diritti degli interessati. Il trattamento svolto tramite questo sito riguarda dati di contatto aziendali B2B forniti volontariamente: non comporta monitoraggio sistematico su larga scala, né trattamento su larga scala di categorie particolari di dati, e non rientra quindi tra i casi che rendono la DPIA obbligatoria.

La gestione dei server dei clienti comporta invece l'accesso a credenziali e a dati tecnici dell'infrastruttura: per questo motivo tale attività è documentata, regolata dal DPA e coperta da misure di sicurezza specifiche (controllo degli accessi, cifratura in transito, audit log). Qualora un singolo incarico presentasse caratteristiche di rischio elevato, la necessità di una DPIA viene valutata caso per caso insieme al cliente, Titolare del trattamento.

Audit log e trasparenza

Manteniamo audit log strutturati di tutti gli accessi e gli interventi sui server gestiti. I log vengono conservati per almeno 12 mesi e sono accessibili al cliente su richiesta, per eventuali audit interni o verifiche di compliance.

Responsabilità sui dati del cliente

Il cliente è l'unico titolare e responsabile dei propri dati, configurazioni e contenuti presenti sui sistemi oggetto di intervento. Prima di concedere accessi tecnici, il cliente è tenuto a disporre di backup completi, verificati e ripristinabili. Per il dettaglio delle limitazioni di responsabilità si rimanda ai Termini di Servizio.

Contatti compliance

Per richieste relative a DPA, lista dei sub-responsabili, questionari di security o audit: privacy@managedvps.it