Privacy, caratteristiche tecniche e sicurezza di DigitalSafe

Privacy

DigitalSafe opera in piena conformità con:

  • Swiss Federal Act on Data Protection (FADP),
  • Freedom of Information and Protection of Privacy (FOIPPA),
  • Personal Information Portability and Accountability Act (PIPEDA),
  • Health Insurance Portability and Accountabilty Act (HIPPA),
  • Payment Card Industry Data Security Standards (PCI-DSS).
  • Tutti i dati vengono archiviati in Svizzera!
  • Sicurezza svizzera e riservatezza assicurata al 100%!

Caratteristiche Tecniche

Sistemi supportati

DigitalSafe supporta qualsiasi sistema operativo o computer in grado di utilizzare i seguenti browser web:

  • Internet Explorer 7 o più recente
  • Firefox 3 o più recente
  • Safari 4 o più recente
  • Chrome 4 o più recente

Tra i sistemi operativi supportati (32bit and 64bit):

  • Windows XP
  • Windows Vista
  • Windows 7
  • Mac OS X
  • Linux
  • FreeBSD

Infrastruttura del centro dati

Architettura hardware con certificazione PCI-DSS che include:

  • Monitoraggio in tempo reale di tutti i server, dei dispositivi e degli ambienti network da parte di terzi
  • Server di applicazioni web completamente ridondanti con capacità di failover del 100%
  • Server di database completamente ridondanti con capacità di failover del 100%
  • Connessioni di rete failover
  • Accesso biometrico per tutte le sedi
  • Telecamere con sistema di rilevazione dei movimenti
  • Sistema di backup interno completamente automatizzato per permettere il ripristino rapido nella rara eventualità che si verifichi un errore irreversibile
  • Sedi dei centri dati solide e pulite: il centro dati svizzero utilizza al 100% energie pulite
  • Verifica dei trascorsi personali per tutti gli impiegati (incluso il personale amministrativo)
  • Tutti i dati sono archiviati in un centro dati di livello 3 in Svizzera.
  • Il centro dati ha ricevuto la certificazione ISO 9001:2000 da parte di SGS
  • Il centro dati aderisce alle linee guida stabilite dalla commissione federale delle banche svizzere (Swiss Federal Banking)
  • SLA del 99.999%
  • Sicurezza svizzera e riservatezza assicurata!

Crittografia

Tutti i dati, incluse le informazioni di verifica dell'utente, vengono trasmessi su Internet e conservati presso i nostri server sotto forma crittografata.

Tutte le connessioni con i nostri server e per tutti gli utenti sono protette da crittografia SSL da 2048bit.

Password

Le password vengono criptate con algoritmo BCrypt. Per prevenire che la password venga indovinata, il conto viene bloccato dopo un numero predefinito di tentativi di accesso non riusciti . A causa della natura della crittografia bcrypt, non è possibile indovinare le password.

Quando la sessione attuale scade, nel caso in cui il computer non sia utilizzato il browser ritorna alla pagina d'accesso.

Note

Le note vengono criptate utilizzando la crittografia AES-256 e archiviate nel server. La chiave crittografica viene archiviata su un altro server non accessibile tramite Internet.

Per un livello di sicurezza e di riservatezza ancora più elevato, gli utenti possono scegliere l'utilizzo della loro stessa password per criptare i dati. In tal caso, non è possibile decriptare i dati personali dell'utente senza conoscere la password. Nemmeno il personale di DigitalSafe è in grado di decriptare i dati.

Tuttavia, ciò significa che la password dell'utente non può essere resettata e, in caso di smarrimento della password, i dati andranno persi per sempre.

Sicurezza fisica

L'applicazione sicura delle note personali online di DigitalSafe archivia le informazioni in un data warehouse di prim'ordine con sede in Svizzera che offre standard e controllo della qualità rigorosi. DigitalSafe possiede l'ambiente fisico necessario per mantenere i server in funzionamento 24 su 24, anche nell'eventualità di black out o dei disastri naturali più gravi.

Queste strutture sono state create appositamente con pavimenti rialzati, sistemi HVAC di controllo della temperatura con zone di raffreddamento separate e rack installati con misure antisismiche. Esse offrono un'ampia gamma di dispositivi di sicurezza fisica: un sistema di rilevazione di fumi ed un sistema antincendio all'avanguardia, sensori di movimento, accesso controllato 24 ore su 24, sorveglianza CCTV e allarmi antifurto.

Sicurezza del network

In conformità con lo standard della Payment Card Industry Data Security Standard (PCI DSS), la nostra infrastruttura di rete viene sottoposta ad un controllo attivo 24 ore su 24 da parte di terzi, per evitare qualsiasi possibile vulnerabilità delle applicazioni e del servizio. Tutti gli aspetti del sistema vengono controllati durante la verifica annuale in loco, della durata di alcuni giorni: dallo sviluppo del software e dell'hardware alla gestione del personale e delle password. Per mantenere un livello di conformità adeguato, DigitalSafe deve attenersi ad oltre 200 requisiti.

Livello di Sicurezza delle Applicazioni

DigitalSafe è stato sviluppato per soddisfare le linee guida dell'Open Web Application Security Project (OWASP). Tutti gli sviluppatori completano un corso su OWASP. Come da requisiti del PCI DSS, DigitalSafe affrontano le 10 maggiori vulnerabilità di OWASP.

Nessuna archiviazione in virtù del USA PATRIOT Act

DigitalSafe è fiera di archiviare i tuoi dati in Svizzera, un paese politicamente ed economicamente stabile e neutrale. La Svizzera non si attiene a quanto stabilito dall'USA PATRIOT Act. Ciò garantisce la sicurezza dei tuoi dati da predatori concorrenti o da agenzie ed entità con motivazioni personali che desiderino invadere la tua privacy e rubare i tuoi dati senza che tu ne sia a conoscenza.

Abbiamo compilato una breve lista di siti web e di estratti per fornirti informazioni dettagliate sull'USA PATRIOT Act. DigitalSafe non possiede nessun server all'interno del territorio statunitense. TUTTI i nostri server sono ubicati in Svizzera, paese in cui operiamo la nostra piattaforma di caveau digitali di backup online.

USA PATRIOT Act – come influisce sul tuo business:

(Tutte le informazioni pubblicate sono estratte da varie fonti, i cui link sono visibili su ciascuna sezione)

http://en.wikipedia.org/wiki/USA_PATRIOT_Act

L'USA PATRIOT Act (comunemente denominato “Patriot Act”) è una legge statunitense firmata dall'ex presidente George W. Bush il 26 ottobre 2001. Il titolo della legge è un acronimo di "Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act".

Questa legge ha ridotto significativamente le restrizioni imposte alle forze dell'ordine in materia di ricerca di numeri di telefono, comunicazioni tramite email, dati medici, finanziari e altri tipi di documenti, ha facilitato la raccolta di intelligence straniera nel territorio degli Stati Uniti, ha aumentato i poteri del Segretario al Tesoro in materia di regolamentazione di transazioni finanziare, soprattutto quelle che coinvolgono soggetti ed entità straniere e ha aumentato la discrezione delle forze dell'ordine e degli enti d'immigrazione nel detenere e deportare immigrati sospettati di azioni collegate con attività terroristiche. La legge ha inoltre esteso la definizione di terrorismo includendo il terrorismo interno, aumentando così il numero di attività alle quali i poteri estesi delle forze dell'ordine stabiliti dall'USA PATRIOT act possono essere applicati.

http://en.wikipedia.org/wiki/USA_PATRIOT_Act

Titolo II - Procedure di sorveglianza

Articolo principale: USA PATRIOT Act, Titolo II

Il Titolo II è chiamato "Procedure di sorveglianza intensificate" e copre tutti gli aspetti della sorveglianza di sospetti terroristi, di soggetti sospettati di partecipare in attività fraudolente o abusi digitali oppure di agenti di paesi stranieri che partecipino ad attività clandestine. E' principalmente composto da emendamenti del FISA e dell'ECPA e molti degli aspetti dell'USA PATRIOCT Act più discussi sono contenuti in questo titolo. In particolare, il titolo permette alle agenzie governative di raccogliere "informazioni di spionaggio straniero" sia da cittadini statunitensi che da stranieri e ha modificato il FISA per renderne l'acquisizione di intelligence straniera un importante obiettivo di sorveglianza, mentre in precedenza ne era l'obiettivo principale.[37] Il cambio di definizione è stato creato per rimuovere un "muro" legale tra le indagini penali e la sorveglianza al fine della raccolta di intelligence straniera, che intralciava tali indagini in caso in cui la sorveglianza criminale e straniera coincidesse.[38] Tuttavia, secondo la Federal Surveillance Courte of Review, l'esistenza di questo muro non era altro che un errore di interpretazione perpetuato nel tempo da parte delle agenzie governative. Inoltre, è stato eliminato anche il requisito secondo il quale il governo dovesse provare che l'obiettivo della sorveglianza FISA fosse un cittadino non statunitense ed un agente di una potenza straniera, nonostante proibisse indagini relative a cittadini che portassero a termine attività protette dal Primo Emendamento. [39] Il titolo ha altresì aumentato la durata degli ordini di perquisizioni fisiche e sorveglianza[40] e ha permesso alle autorità di condividere con altre agenzie le informazioni raccolte davanti ad un gran giurì federale.[41]Le intercettazioni telefoniche sono state estese alla consegna e all'indirizzamento di informazioni in modo da consentire la sorveglianza di reti di commutazione di pacchetti[42]:l'Electronic Privacy Information Center (EPIC) ha contestato questa disposizione, affermando che non tiene in considerazione email e indirizzi web, i quali spesso contengono dati nelle informazioni relative agli indirizzi.[43]La legge ha consentito a qualsiasi giudice di tribunale distrettuale di emettere ordini di sorveglianza[42] e ordini di perquisizioni al fine dello svolgimento di indagini terroristiche.[44] La legge ha infine esteso gli ordini di perquisizione, modificando il Titolo II della Stored Communications Access Act per permettere all'FBI di ottenere accesso a registrazioni di segreterie telefonica mediante un mandato di perquisizione, piuttosto che mediante disposizioni di intercettazioni telefoniche più restrittive.[45]

Numerose disposizioni hanno permesso la condivisione di comunicazioni elettroniche con le forze dell'ordine. Chiunque operi o possegga un "computer protetto" può fornire alle autorità il permesso di intercettare le comunicazioni effettuate mediante tale dispositivo, aggirando in questo modo i requisiti dello statuto sulle intercettazioni telefoniche.[46] La definizione di "computer protetto" è inclusa nell'articolo 18 U.S.C. § 1030(e)(2) e include ampiamente i computer utilizzati per comunicazioni o commerci interstatali o internazionali, inclusi i dispositivi ubicati al di fuori del territorio degli Stati Uniti. La legge in materia di divulgazione obbligatoria e volontaria delle comunicazioni dei clienti da parte delle società di comunicazione via cavo è stata modificata per consentire alle autorità di esigere tali informazioni come da disposizioni del Titolo 18 dell'U.S.C. relative alla divulgazione di comunicazioni elettroniche (capitolo 119), all'uso di dispositivi "pen register" e "trap and trace" (capitolo 206) e di comunicazioni archiviate (121), nonostante abbia escluso la divulgazione delle abitudini di visualizzazione degli utenti via cavo.[47] Le citazioni in giudizio emesse per gli Internet Server Provider sono estate estese includendo non solo "nome, indirizzo, numero di telefono o altro numero identificativo dell'abbonato e la durata del servizio dell'abbonato" ma anche gli orari e la durata delle sessioni, i tipi di servizi utilizzati, informazioni relative agli indirizzi dei dispositivi di comunicazione (ad esempio, l'indirizzo IP), metodi di pagamento, numeri di conti bancari e di carte di credito.[48] I fornitori di comunicazioni sono altresì autorizzati a divulgare dati o comunicazioni dei clienti qualora sospettino un pericolo di vita.[49]

Tre disposizioni contenute nel Titolo II hanno causato diverse polemiche: i mandati "sneak and peek", le intercettazioni "itineranti" e l'abilità da parte dell'FBI di ottenere l'accesso a documenti che rivelino i movimenti dei cittadini statunitensi. La cosiddetta legge "sneak and peek" permette la notifica differita dell'esecuzione di mandati di perquisizione. Il periodo di tempo prima del quale l'FBI sia tenuta ad avvisare il destinatario in merito al mandato non è stato specificato nella legge (secondo il manuale dell'FBI, è possibile applicare uno "standard flessibile")[50] e può essere esteso a discrezione del tribunale.[51] Il 26 settembre 2007, la giudice Ann Aiken ha annullato tali disposizioni "sneak and peek" a seguito dell'ingiusta incarcerazione dell'avvocato Brandon Mayfield a causa di tale perquisizione. Il tribunale ha stabilito che questo tipo di perquisizione viola la norma, contenuta nel Quarto Emendamento della Costituzione statunitense, secondo la quale le perquisizioni immotivate non sono consentite.

Le intercettazioni telefoniche itineranti sono intercettazioni per le quali i mezzi e le terzi parti comuni non devono essere giustificati in un'ingiunzione di sorveglianza da parte di un tribunale. Esse sono considerate importanti dal Dipartimento di Giustizia, il quale ritiene che i terroristi possano aggirare le intercettazioni cambiando rapidamente la propria posizione e i dispositivi di comunicazione, ad esempio i telefoni cellulari,[54] mentre gli oppositori la considerano una violazione di una specifica clausola espressa nel Quarto Emendamento.[55][56]Un'altra disposizione molto discussa è quella che permette all'FBI di effettuare una richiesta di "materiale tangibile, tra cui libri, registri, documenti e altri oggetti, ai fini di indagini relative al terrorismo internazionale o ad attività di spionaggio clandestino, a condizione che tali indagini nei confronti di un cittadino statunitense non vengano condotte esclusivamente sulla base di attività protette dal primo emendamento della Costituzione."[57] Malgrado non fosse mirata esclusivamente alle biblioteche, la American Library Association (ALA) si è opposta fermamente a tale disposizione. In una risoluzione approvata il 29 giugno 2005, ha affermato che "la Sezione 215 dell'USA PATRIOT Act permette al governo di richiedere e di ottenere segretamente informazioni relative ad ampi gruppi di individui senza alcun sospetto che questi ultimi siano coinvolti in attività illegali."[58] Tuttavia, la posizione dell'ALA non è stata esente da critiche. In particolare, Heather Mac Donald del Manhattan Institute sosteneva in un articolo del New York City Journal, che il "furore sollevato dalla sezione 215 è un caso tipico di propaganda della paura del Patriot Act."[59]
Questo titolo comprende anche tante altri disposizioni, tra cui l'aumento del numero dei giudici del FISC da sette a undici (tre dei quali devono risiedere entro 20 miglia, o 32 km, dal District of Columbia), sanzioni commerciali a scapito della Corea del Nord e dell'Afghanistan controllato dai Taliban [61] e l'impiego di traduttori da parte delll'FBI.[62]

http://w2.eff.org/patriot/

Informazioni generali della legge

Qui trovi alcuni estratti di siti web che spiegano l'USA PATRIOT Act e forniscono informazioni sul rinnovo della legge da parte del Presidente Obama nel 2010:

http://www.slate.com/id/2087984/

Sezione 215 modifica le disposizioni in materia di ricerche di documenti. A seguito del Patriot Act, è possibile effettuare ricerche dei tuoi dati finanziari, telefonici, medici o relativi all'uso di biblioteche, noleggio video, chiese, sinagoghe o moschee senza notifica o consenso da parte tua, a condizione che il governo attesti che tali perquisizioni sono completate a scopi di prevenzione del terrorismo.

È possibile sapere se le disposizioni previste dalla Sezione 215 sono state applicate per ottenere le tue informazioni? No. Alla persona che ha dovuto rivelare le tue informazioni è proibito avvisarti.

Sezione 218 o “FISA" (Foreign Intelligence Surveillance Act): Cosa prevede: da oggi è possibile effettuare ricerche segrete, autorizzate da tribunali segreti non noti al pubblico e senza responsabilità di fronte al Dipartimento di Giustizia, a condizione che il governo attesti che tale ricerca sia dovuta ad interessi di sicurezza nazionale.

È possibile sapere se le disposizioni previste dalla Sezione 218 sono state applicate per ottenere le tue informazioni? Solo se successivamente viene intrapresa un'azione legale nei tuoi confronti a causa dell'uso di informazioni ottenute a seguito di un mandato di perquisizione FISA. A questo punto avrai l'opportunità di contestare tali prove in un tribunale regolare.

Sezione 213: la Sezione 213 è un'altra parte molto discussa del Patriot Act, che ha scaturito proteste da parte tutti gli schieramenti politici. Permettendo allo stato di rovistare e di avvisarti solo in seguito alla perquisizione (a volte dopo tanto tempo), viene eliminato il requisito tradizionale della notifica anticipata di perquisizione.

In cosa consiste: i mandati di perquisizione “Sneak and Peek” vengono estesi dalle perquisizioni FISA a qualsiasi perquisizione criminale. Ciò consente perquisizioni segrete delle tue proprietà senza preavviso.

Sezione 206: la Sezione 206 autorizza le intercettazioni telefoniche itineranti, ovvero le intercettazioni non limitate ad un singolo telefono o computer ma estese a qualsiasi telefono o computer utilizzabile dall'obiettivo. Questa sezione è stata sottovalutata: se il governo decide di intercettare il computer della biblioteca di un'università, in teoria ogni comunicazione di qualsiasi utente può essere intercettata.

In cosa consiste: estende i poteri del FISA per consentire la sorveglianza di qualsiasi comunicazione effettuata da e verso un obiettivo di spionaggio senza l'obbligo di specificare la linea telefonica o il computer da monitorare.

Sezione 505: questa seziona autorizza il Procuratore Generale o suo delegato ad obbligare entità che detengono tue informazioni personali a consegnarle al governo presentando semplicemente una lettera di "sicurezza nazionale". La Sezione 505 ha ricevuto molto meno attenzione rispetto alla Sezione 215 da parte dell'opinione pubblica e per questo viene citata molto più sesso.

In cosa consiste: la Sezione 505 autorizza l'uso di ciò che è essenzialmente una "citazione in giudizio" dei tuoi dati personali. Tale citazione non richiede giustificazioni né sorveglianza giuridica.

Com'è cambiata la legge: prima del Patriot, queste lettere potevano essere emesse solamente nei confronti di individui ragionevolmente sospettati di spionaggio. Il Patriot ha allentato gli standard permettendo l'uso di tali lettere nei confronti di chiunque, perfino di cittadini statunitensi anche se non personalmente sospettati di spionaggio o di attività criminali. Ora queste lettere possono essere utilizzate indipendentemente da qualsiasi agente dell'FBI, non solo da funzionari con incarichi più alti. E a differenza delle perquisizioni di cui alla Sezione 215, non sono soggetti a nessun controllo o sorveglianza giuridica.

I documenti ottenibili mediante le lettere emesse in virtù del Patriot includono tabulati telefonici, archivi di email, alcuni documenti finanziari e bancari e resoconti di credito, sulla base dell'affermazione che tali informazioni potrebbero essere importanti ai fini di inchieste terroristiche. Essi non possono essere utilizzati in ordinarie indagini penali. A differenza del 2015, non è necessaria alcuna ordinanza da parte di un tribunale, nemmeno una richiesta timbrata. Alla persona che ha dovuto rivelare le tue informazioni è proibito divulgare l'esistenza di tale richiesta.

È possibile sapere se le disposizioni previste dalla Sezione 505 sono state applicate per ottenere le tue informazioni? Solo se successivamente viene intrapresa un'azione legale nei tuoi confronti a causa dell'uso di informazioni ottenute.

Qui trovi alcuni link con informazioni relative al nuovo, riveduto ed esteso, testo dell'USA PATRIOT Act, recentemente firmato dal Presidente Obama.

http://w2.eff.org/patriot/20020925_patriot_act.php

(una copia dell'US PATRIOT Act si trova su questo sito)

http://tastethecloud.com/content/patriot-act-and-martial-law

Questa sezione è di particolare importanza per le imprese:

Aumenta i poteri di sorveglianza per facilitare l'accesso del governo a conti bancari, computer di casa, telefoni e carte di credito in virtù di citazioni emesse da parte del Dipartimento di Giustizia. Le entità citate in giudizio non possono rifiutare la divulgazione di tali informazioni, come da espansione dei poteri attuali del Patriot I. Le prove ottenute e che collegherebbero un individuo a terrorismo o a gruppi terroristici (come definiti dallo State Department) non sarebbero condivise se non con un tribunale (gli individui non avrebbero il diritto di sapere il motivo dell'accusa) e l'incarcerazione preventiva sarebbe obbligatoria. Le possibilità di difenderti dalle accuse sarebbero scarse.

http://www.eff.org/deeplinks/2010/02/epic-fail-congress-usa-patriot-act-renewed-without

(spiega come è possibile accedere ai file aziendali in virtù del patriot act)

http://en.wikipedia.org/wiki/Controversial_invocations_of_the_USA_PATRIOT_Act

(Illustra i pericoli dell'USA PATRIOT Act)