Garantire votazioni sicure e conformi al GDPR

NemoVote è sviluppato ponendo attenzione alla sicurezza. Siamo consapevoli della nostra responsabilità e la prendiamo sul serio. Ogni votazione con NemoVote è sicura e incontestabile.

I nostri principi di sicurezza

Privacy

Proteggiamo i dati dall'accesso non autorizzato e dall'uso improprio.

Integrità

Proteggiamo i dati da modifiche non autorizzate durante tutto il loro ciclo di vita.

Disponibilità

Il nostro servizio è disponibile in tempo reale anche per le votazioni dal vivo con un gran numero di elettori.

Architettura e Infrastruttura

  • Tutta la nostra infrastruttura è ospitata presso fornitori di cloud certificati (inclusi ISO/IEC 27001, 27017 e 27018) Hetzner, Heroku e Amazon AWS. Per ulteriori informazioni sulla sicurezza di Hetzner, Heroku e Amazon AWS, si prega di visitare le rispettive panoramiche.

  • Ci assicuriamo che i nostri dati siano elaborati e archiviati solo nell'UE in modo conforme al GDPR.

  • Ogni cliente riceve da noi la propria istanza logicamente chiusa di NemoVote.Ciò significa che i dati di altre istanze non saranno memorizzati insieme ai loro dati.

  • I nostri server web criptano i dati durante la trasmissione da e verso NemoVote utilizzando HTTPS.

  • Tutti i dati persistenti sono crittografati da noi a riposo utilizzando lo standard di crittografia AES-256.

Registrazione e monitoraggio

  • Tutte le attività (compresi gli accessi amministrativi) sui nostri sistemi sono registrate e monitorate centralmente.

  • I nostri file di registro sono memorizzati in forma criptata e sono accessibili solo agli amministratori.

  • I nostri file di log vengono conservati per un periodo massimo di 7 giorni.

  • Le password dei nostri clienti, così come i dati personali, non vengono mai registrati da noi.

  • Attraverso il nostro sistema di monitoraggio attivo e di allerta, gli incidenti vengono segnalati direttamente all'amministratore responsabile.

Gestione delle vulnerabilità

  • NemoVote mantiene procedure per mitigare le vulnerabilità di sicurezza identificate e segnalate entro un arco di tempo definito.

  • Garantiamo che i nostri clienti e le autorità competenti siano informati in caso di incidente di sicurezza entro i termini di segnalazione di 72 ore.

Gestione del Cambiamento

  • NemoVote ha una gestione formale delle modifiche per gestire le modifiche al software, distribuite nell'ambiente di produzione. Per informazioni più dettagliate sui cambiamenti di NemoVote, si prega di consultare il Change Log di NemoVote.

  • Manteniamo un processo di rollback dettagliato per tornare alle versioni precedenti del sistema, in caso di emergenza.

  • Tutte le modifiche vengono esaminate e testate prima di essere rilasciate nei sistemi di produzione.

Backup e ripristino

  • NemoVote crea backup a intervalli regolari in caso di perdita di dati.

  • I backup vengono testati regolarmente da noi e archiviati in modo sicuro presso il nostro provider cloud (standard minimo di crittografia AES-256).

  • NemoVote ha i seguenti obiettivi di ripristino in caso di disastro per i nostri sistemi:

    • Obiettivo del tempo di recupero (RTO): 60 minuti

    • Obiettivo del punto di ripristino (RPO): 15 minuti

Misure di sicurezza

  • Per i clienti:

    • Linee guida specifiche per le password si applicano a tutti i nostri clienti attraverso l'uso di comprovati sistemi di gestione degli utenti.

    • L'ID dell'elettore e il voto espresso sono memorizzati in modo indipendente e non possono essere successivamente collegati nel database, garantendo l'anonimato dell'elettore.

    • Prima che il voto di un elettore venga conteggiato, deve essere confermato in un secondo passaggio. Ciò impedisce che il voto venga espresso accidentalmente. Per evitare che i voti vengano espressi senza autorizzazione, il voto viene verificato per la sua corretta e autorizzata espressione prima di essere conteggiato.

    • Il server elettorale di NemoVote garantisce inoltre che un elettore possa esprimere solo il numero di voti assegnatogli tramite le liste degli elettori. I risultati sono accessibili e tracciabili immediatamente dopo ogni votazione per tutti gli utenti NemoVote autenticati e autorizzati nell'app. Ciò consente anche all'elettore di verificare ulteriormente se il voto corrispondente è stato registrato.

  • Per dipendenti e amministratori:

    • Tutti gli accessi degli sviluppatori di NemoVote ai nostri sistemi sono protetti da avanzate misure di autenticazione.

    • Seguiamo il principio del privilegio minimo.Ciò significa che i nostri dipendenti hanno accesso solo ai sistemi che sono assolutamente necessari per loro.

    • Tutti i nostri dipendenti si impegnano a mantenere la riservatezza in conformità all'articolo 5 (1) f) del Regolamento Generale sulla Protezione dei Dati.

    • Tutti gli accessi assegnati a dipendenti e amministratori vengono regolarmente controllati per verificarne la necessità ancora esistente. Quando un dipendente se ne va, seguiamo un protocollo designato per la cessazione di tutti gli accessi assegnati.

Team per la sicurezza e la protezione dei dati

  • I nostri dipendenti, così come i partner esterni da noi incaricati, possono dimostrare un'esperienza rilevante e certificazioni riconosciute a livello industriale come “Certified Information Systems Security Professional”, “Certified Cloud Security Professional” del (ISC)², “Responsabile della protezione dei dati (IHK)” e “Responsabile della sicurezza delle informazioni – ISO (TÜV)”.

Dati del cliente

  • Usiamo Stripe per l'elaborazione dei pagamenti nel nostro negozio online. In questo processo, non memorizziamo alcun dato di pagamento, ma lo trasmettiamo direttamente a Stripe.

  • I dati personali e i dati delle votazioni verranno eliminati da tutti i nostri sistemi (inclusi backup e archivi) dopo la cessazione del corrispondente piano NemoVote in conformità con i periodi di conservazione legali. Per evitare la cancellazione dei tuoi dati dopo la cessazione del piano NemoVote, in modo da garantire ancora l'accesso ai tuoi voti, puoi utilizzare i nostri pacchetti per il riutilizzo dei dati.

  • Per ulteriori informazioni su come NemoVote gestisce i tuoi dati, ti invitiamo a consultare la nostra politica sulla privacy

Logo Sedevo

Le funzionalità e i processi di sicurezza di NemoVote sono stati progettati e implementati in collaborazione con Sedevo e sono regolarmente verificati dal team di Sedevo.