Security & Compliance
SLA, sicurezza operativa, trattamento dati e adempimenti GDPR per servizi di gestione server Linux
Ultimo aggiornamento: 1 Gennaio 2026
Sicurezza Enterprise per Web Agency
SysExperts implementa standard di sicurezza di livello enterprise: accessi segregati, backup immutabili, monitoring H24/7, incident response documentata e compliance GDPR completa con DPA disponibile su richiesta.
1. Service Level Agreement (SLA)
Disponibilità Garantita
99.9%
Uptime mensile target
43m
Downtime massimo/mese
8h 45m
Downtime massimo/anno
* Misurato su base calendario mensile per ciascun nodo gestito
* Esclude manutenzioni programmate comunicate con ≥24h anticipo
Tempi di Risposta per Priorità
| Priorità | Casistica | Prima Risposta | Risoluzione Target |
|---|---|---|---|
| CRITICO | Server down, perdita ordini e-commerce, attacco DDoS in corso, data loss | 30 minuti H24/7 | 4 ore |
| ALTO | Performance degradate (>3s TTFB), email non consegnate, SSL in scadenza <7gg< /td> | 4 ore lavorative | 24 ore |
| MEDIO | Richieste info, ottimizzazioni, aggiornamenti non urgenti, audit sicurezza | 1 giorno lavorativo | 5 giorni lavorativi |
Penali per Mancato Rispetto SLA
Se la disponibilità mensile scende sotto il 99.9% per downtime imputabile a SysExperts (configurazioni errate, interventi non autorizzati) e superiore a 30 minuti totali/mese, viene riconosciuto:
Credito = 1 canone mensile del nodo/servizio interessato
(massimo pari al canone del mese in oggetto)
Esclusioni:
- Disservizi causati da provider cloud/hosting, CDN, DNS esterni, gateway di pagamento
- Force majeure (eventi naturali, interruzioni elettriche regionali, attacchi hacker su infrastrutture non gestite)
- Manutenzioni pianificate comunicate con ≥24h anticipo
- Errori applicativi del Cliente o modifiche non autorizzate
2. Sicurezza Operativa
Accessi e Segregazione
- ▸ Account nominativi o segregati per ogni operatore
- ▸ Autenticazione SSH con chiavi pubbliche (no password)
- ▸ MFA (Multi-Factor Authentication) su pannelli critici
- ▸ Principio del least privilege (privilegi minimi necessari)
- ▸ Rotazione credenziali su richiesta Cliente
Backup e Continuità
- ▸ Backup immutabili (Borg + S3 Glacier WORM)
- ▸ Crittografia AES-256 + deduplicazione automatica
- ▸ Retention configurabile: 7/30/90 giorni
- ▸ Test di restore mensili automatici
- ▸ RTO 4 ore per restore completo
Monitoring H24/7
- ▸ Agent Prometheus + Grafana su ogni nodo
- ▸ Alert real-time: CPU, RAM, disco, rete, servizi down
- ▸ Analisi log automatica: errori HTTP 5xx, tentativi intrusione
- ▸ Verifica SSL in scadenza (<30 giorni)
- ▸ Escalation automatica per garantire SLA
Incident Response
- ▸ Playbook certificati per DDoS, compromissioni, data loss
- ▸ Isolamento container/servizi compromessi entro 15 minuti
- ▸ Analisi forensic post-incidente con report dettagliato
- ▸ Comunicazione tempestiva al Cliente (email + ticket)
- ▸ Post-mortem e azioni correttive documentate
3. Compliance GDPR
Data Processing Addendum (DPA)
SysExperts agisce come Responsabile del Trattamento (Data Processor) per i dati tecnici relativi ai server gestiti. Forniamo un Data Processing Addendum (DPA) completo che disciplina:
Ruoli e Responsabilità
Definizione chiara di Titolare (Cliente) e Responsabile (SysExperts)
Misure Tecniche e Organizzative
Crittografia, accessi segregati, backup, audit trail
Sub-Responsabili
Elenco provider cloud/monitoring con garanzie GDPR
Tempi di Conservazione
Policy retention dati e procedure di cancellazione
Conservazione e Cancellazione Dati
I dati operativi (log, configurazioni, credenziali) sono conservati solo per il tempo necessario all'erogazione dei servizi e per adempiere a obblighi di legge. Su richiesta vengono cancellati o anonimizzati secondo policy condivise con il Cliente.
Sub-Processor (Responsabili Esterni)
Utilizziamo solo fornitori leader di mercato con garanzie GDPR verificate:
| Provider | Servizio | Location |
|---|---|---|
| Hetzner Online GmbH | Hosting VPS/Ded. | DE/FI (EU) |
| OVHcloud SAS | Storage Backup | FR/DE (EU) |
| Cloudflare Inc. | CDN/Security | Global (SCC Decision 2021/914) |
| Wasabi Tech. | S3 Storage | NL (EU) |
Data Breach Notification
In caso di violazione dati, SysExperts notifica il Cliente (Titolare) entro 24-48 ore dalla scoperta.
Spetta poi al Cliente valutare l'eventuale obbligo di notifica al Garante Privacy (entro 72h) e agli interessati, in base alla gravità dell'incidente.
4. Audit Trail e Tracciabilità
Manteniamo log completi e immutabili di tutte le operazioni sistemistiche per garantire piena tracciabilità:
Accessi SSH
Timestamp, user, IP origine, comandi eseguiti
Modifiche Config
Diff versioning, changelog, rollback disponibili
Backup/Restore
Job ID, dimensioni, checksum, esito operazione
Incident
Timeline completa, azioni eseguite, esiti
Alert Monitoring
Soglie superate, notifiche inviate, ACK
Ticketing
Richieste Cliente, tempi risposta, chiusure
Log e configurazioni sono disponibili su richiesta per audit interni o certificazioni del Cliente.
5. Contatti per Sicurezza e Compliance
Segnalazione Vulnerabilità / Incidenti
Per segnalare vulnerabilità di sicurezza o incidenti critici:
[email protected]Oggetto: "Security Incident" o "Responsible Disclosure"
Richiesta DPA / Documentazione Compliance
Per ricevere DPA, certificazioni, audit trail:
[email protected]Oggetto: "Richiesta DPA" o "Documentazione Compliance"
Domande su SLA o Compliance?
Il nostro team è disponibile per approfondimenti su sicurezza, SLA e adempimenti GDPR: