Privacy Policy di crazystock.it/

• titolari del trattamento
• finalità del trattamento e base giuridica
• tipi di dati trattati
• categorie di destinatari dei dati personali
• trasferimento di dati personali all’estero
• tempi di conservazione dei dati
• natura del conferimento dati e conseguenze del rifiuto di rispondere
• modalità di trattamento
• diritti dell’interessato
• modalità di esercizio dei diritti

L’informativa del sito www.crazystock.it è resa ai sensi degli artt. 13 D.lgs 196/2003 e art. 13 Reg. UE 2016/679 (“General Data Protection Regulation” or “GDPR”).

Titolari del trattamento

Il titolare del trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità ed i mezzi del trattamento di Dati Personali, occupandosi altresì dei profili di sicurezza.
Relativamente a tale sito web, Crazystock srls è il Titolare del trattamento dei Dati Personali, con sede legale in Via Conegliano 96 int 13 - 31058 Treviso, Codice Fiscale, Partita I.V.A. e Iscrizione al Registro delle Imprese: 05402220262 - R.E.A TV: 441048 ("Crazystock.it").
Per ogni chiarimento o esercizio dei diritti dell'utente, potrai contattarci ai seguenti recapiti:
Tel. 0438.1641212 - Cell. 388.1149703 - E-mail: info@crazystock.it

1. Come gestiamo i dati dei clienti? Abbiamo un sistema di accesso dati RBAC e MFA. Che cosa significa? “RBAC” sta per “controllo degli accessi basato sui ruoli” ed è un sistema intelligente che aiuta a gestire chi può fare cosa in base a dei ruoli specifici assegnati (titolare, amministratore, dipendente). Ad ogni ruolo assegnato vengono dati dei determinati permessi. Ad esempio la persona a cui viene assegnato il ruolo di “dipendente” potrà solamente leggere i dati; il “titolare” invece, oltre a visionare i dati ha anche le capacità di cancellarli. In questo modo solamente alcune persone assegnate avranno il permesso di gestire in modo più approfondito i dati, mentre invece i dipendenti potranno solamente aderire alla parte di visione dei dati. Questa operazione viene protetta anche attraverso l’accesso MFA che sta per “autenticazione a più fattori”. Questo significa che, per accedere all’interno di un sito online, non basterà semplicemente inserire una password, che può essere molto facilmente rubata o cambiata, ma bisogna affermare la propria identità con due fattori differenti. Il primo è attraverso la password dell’account su cui vuoi accedere; la seconda autenticazione invece avviene attraverso un codice OTP “one-time-password” (ovvero un codice di 6 o 8 cifre che verrà mandato sul numero di cellulare assegnato all’account). In questo modo, se qualcuno dovesse rubare la password, non potrà comunque accedere all’account senza che abbia con se il codice OTP che viene mandato sul cellulare che è stato assegnato all’account, il che rende la sicurezza ottimale ed efficace.

2. Luogo di trattamento dei Dati
I trattamenti connessi ai servizi web di questo sito hanno luogo presso la predetta sede di Susegana (TV).
Per ciò che concerne il trasferimento Dati, la gestione e la conservazione di essi, avviene su server ubicati all'interno dell'Unione Europea.

3. DPO (Data Protection Officer/Responsabile della Protezione Dati)
Crazystock srls ha nominato un responsabile della protezione dei Dati Personali in conformità agli artt. 37 ss. del GDPR che può essere contattato al seguente indirizzo di posta elettronica: info@crazystock.it

4. Trattamento Dati minori di 18 anni
L'acquisto dei prodotti è riservato a soggetti maggiorenni. Qualora, in ogni caso, un genitore, o chi ne fa le veci, ha motivo di credere che il proprio figlio o un minore ci abbia trasmesso dei Dati, è pregato di contattarci. L'iscrizione alla newsletter di natura promozionale e commerciale è riservata agli utenti in possesso di un indirizzo email, che abbiano compiuto almeno 14 anni.

5. Come vengono crittografati i dati? Attualmente la nostra azienda usa la crittografia AES-256, ovvero una delle crittografie più sicure attualmente sviluppate e presenti. La sigla AES significa Advanced Encryption Standard ed è un algoritmo che si sviluppa in blocchi ed è usato ormai da tutto il mondo in vari settori che trattano quotidianamente dati sensibili. Il numero 256 sta ad indicare la lunghezza della chiave crittografata. Come funziona l’AES-256? Normalmente AES opera su blocchi che vengono crittografati con dimensione fissa (128 bit) e che successivamente vengono applicate delle operazioni matematiche complesse su chiave segreta. AES-256, ed è per questo che si tratta di una delle crittografie migliori esistenti, opera in 256 bit (32 caratteri alfanumerici) invece che 128 bit, il che rende l’algoritmo ancora più robusto rispetto alle normali versioni di AES o di qualsiasi altra crittografia che lavora con 128 bit. Con AES-256 solamente chi è in possesso della stessa chiave potrà portare i dati crittografati allo stato originale. Il possesso della chiave rimane sicuro per via delle tecniche che adottiamo per determinare chi gestisce la visualizzazione dei dati (RBAC e MFA) Perchè AES-256? AES-256 presenza un livello di sicurezza elevato grazie alla chiave 256 bit. Il numero di combinazioni che questo algoritmo gestisce è elevato, a tal punto che è considerato impossibile forzare la crittografia, anche attraverso attacchi informatici. AES-256 protegge il trattamento dei dati personali su: archivi, database, trasmissione dei dati, dispositivi mobili, chiavette USB, cloud e backup online e email, oltre a tanti altri dispositivi che effettuano il trattamento di dati personali.

Cosa avviene in caso di attacchi informatici Il Ruolo del Sistema di Logging nella Sicurezza Informatica Nel contesto sempre più complesso e interconnesso delle infrastrutture digitali, la protezione dei dati sensibili e il monitoraggio delle attività sospette rappresentano aspetti fondamentali per qualsiasi organizzazione. Le aziende che operano con sistemi informatici critici devono dotarsi di strumenti avanzati per garantire la sicurezza e l’integrità delle proprie applicazioni. Uno degli strumenti più efficaci in questo ambito è senza dubbio il sistema di logging.

Cos'è un Sistema di Logging? Un sistema di logging è una componente chiave della sicurezza informatica, progettata per raccogliere, registrare e analizzare eventi che avvengono all’interno di un’infrastruttura digitale. Il termine "logging" deriva dall’inglese "log", che significa "registro". In informatica, fare il logging significa dunque tenere traccia delle operazioni effettuate su un sistema, creando dei file di log che contengono informazioni dettagliate su ogni evento registrato. Questi eventi possono includere:

• L’accesso di un utente a un'applicazione o a un sistema;
• Il tentativo fallito di autenticazione (es. password errata);
• L’attivazione o il bypass di sistemi di sicurezza come l’MFA (Multi-Factor Authentication);
• La modifica di file sensibili o configurazioni;
• L’esecuzione di comandi da parte di utenti privilegiati;
• Qualsiasi altra attività considerata potenzialmente anomala o dannosa.

Come Funziona un Sistema di Logging Il sistema di logging opera in modo continuo e silenzioso. Ogni evento rilevante viene registrato automaticamente all’interno di un file di log, generalmente in tempo reale. Questi log possono essere archiviati localmente oppure inviati a un server centrale per ulteriori analisi e conservazione sicura. Nel dettaglio, il processo di logging avviene in diverse fasi:

• Rilevamento degli eventi: il sistema intercetta ogni attività che soddisfa determinati criteri (ad esempio: accessi, modifiche, errori di login).
• Registrazione: gli eventi rilevati vengono scritti in un file, corredati da informazioni importanti come data, ora, indirizzo IP, nome utente, tipo di operazione, stato dell’operazione (successo o fallimento).
• Analisi e correlazione: i log vengono analizzati da sistemi automatizzati o esperti di sicurezza per identificare pattern sospetti, anomalie o tentativi di attacco.
• Notifica e risposta: se viene rilevato un comportamento anomalo (es. troppi tentativi falliti di accesso), il sistema invia alert immediati agli amministratori e attiva azioni correttive automatiche, come il blocco temporaneo di un account o di un IP.

Logging e Controllo degli Accessi Una delle funzioni più importanti del logging riguarda il controllo degli accessi. Grazie a questo sistema, è possibile sapere chi ha avuto accesso a cosa, quando e da dove. Questo è fondamentale non solo per prevenire intrusioni, ma anche per eventuali audit di conformità normativa (GDPR). Ogni login viene tracciato, così come ogni logout, tentativo di accesso errato o negato. Inoltre, se un utente tenta di aggirare il sistema di autenticazione multifattoriale (MFA), questo comportamento viene immediatamente registrato e classificato come evento critico. Logging Periodico e Verifiche Manuali Oltre al monitoraggio in tempo reale, il sistema prevede anche una revisione periodica dei log. Gli operatori specializzati eseguono controlli manuali o semi-automatizzati per verificare la presenza di anomalie sfuggite al sistema automatico. Queste verifiche sono particolarmente importanti per intercettare minacce avanzate (APT – Advanced Persistent Threat) che agiscono lentamente e in modo mirato. Inoltre, il controllo dei log permette di:

• Rintracciare l’origine di un problema tecnico;
• Ricostruire la sequenza degli eventi dopo un incidente di sicurezza;
• Ottenere prove digitali da fornire alle autorità in caso di violazioni legali.

Finalità del trattamento e base giuridica

I dati personali (qui di seguito anche “Dati”) forniti dall’interessato saranno trattati per le seguenti finalità:

A) in esecuzione del servizio richiesto (qui di seguito “Servizio”): ad es. erogazione di servizi basati su interfaccia web, registrazione anagrafica utenti, erogazione di informazioni relative a coloro che si sono iscritti volontariamente alla banca dati del nostro sito, erogazione di informazioni relative alle attività di formazione;

B) previo consenso specifico, per inviare comunicazioni commerciali e/o promozionali sui prodotti e servizi dell’interessato nonché effettuare ricerche di mercato (“Marketing diretto”).
 

Tipi di dati trattati

Dati di navigazione
In questa categoria di dati rientrano gli indirizzi IP o i nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito, gli indirizzi delle risorse richieste, l'orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore, ecc.) ed altri parametri relativi al sistema operativo e all'ambiente informatico dell'utente.

Dati forniti volontariamente dall’utente
L’invio facoltativo, esplicito e volontario, di posta elettronica agli indirizzi indicati su questo sito comporta la successiva acquisizione all’indirizzo del mittente per rispondere alle richieste, nonché degli altri eventuali dati inseriti. SICUREZZA DURANTE I TEST SU DATI PII Durante la fase di test delle applicazioni, dei sistemi e dei processi aziendali, l’uso o l’accesso a dati PII può comportare rischi significativi se non correttamente gestito. Per questo motivo, è essenziale adottare un insieme di misure tecniche e organizzative specifiche per garantire la massima sicurezza durante le attività di test. Per questo processo abbiamo deciso di utilizzare un firewall avanzato, combinato con l’isolamento degli ambienti di test dalla produzione e dalle reti esterne. Queste strategie contribuiscono a creare un contesto protetto e controllato, riducendo drasticamente il rischio di esposizione o compromissione delle informazioni sensibili. 1. Il Ruolo del Firewall nella Protezione delle PII Il firewall è un dispositivo o software che funge da barriera di sicurezza tra una rete fidata (ad esempio quella interna di un’azienda) e una rete non fidata (come Internet). Durante i test su sistemi che trattano PII, firewall svolge un ruolo critico nel:

• Filtrare il traffico di rete in ingresso e in uscita;
• Bloccare accessi non autorizzati da parte di utenti o bot esterni;
• Monitorare le comunicazioni tra ambienti di test e altri sistemi, intervenendo in tempo reale per prevenire esfiltrazioni di dati;
• Limitare le connessioni ai soli indirizzi IP o range autorizzati, garantendo che le informazioni PII restino confinati in un perimetro controllato.

Oltre alla protezione a livello di rete, i moderni firewall sono spesso integrati con funzionalità di ispezione profonda del traffico (Deep Packet Inspection), che consentono di rilevare comportamenti anomali, tentativi di intrusioni o accessi fraudolenti, anche in presenza di crittografia. 2. Isolamento degli Ambienti di Test dalla Produzione Un altro principio essenziale della sicurezza durante i test su PII è l’isolamento degli ambienti. In pratica, gli ambienti di test devono essere completamente separati da quelli di produzione, sia a livello infrastrutturale (macchine, reti, database), sia a livello applicativo e gestionale. I vantaggi principali di questo isolamento sono:

• Riduzione del rischio di contaminazione: eventuali errori di test, vulnerabilità o falle non possono influenzare i sistemi operativi in produzione.
• Controllo completo del contesto di test: gli sviluppatori e i tester possono operare in sicurezza, sapendo che ogni azione è confinata all’ambiente di test.
• Prevenzione della propagazione di dati reali: gli ambienti isolati permettono di lavorare con dati simulati, anonimizzati o sintetici, proteggendo le identità reali.

Per ottenere un’effettiva separazione, si utilizzano tecnologie come:

• VLAN dedicate;
• Server virtualizzati o containerizzati (Docker, Kubernetes);
• Access Control List (ACL) restrittive;
• Sistemi di autenticazione e autorizzazione distinti.

3. Limitazione degli Accessi e Tracciamento delle Attività Durante i test che coinvolgono PII, solo personale autorizzato e con competenze specifiche ha accesso all’ambiente. I principi di Least Privilege (minimo privilegio) e Need to Know devono essere sempre applicati: ogni utente può accedere solo alle risorse strettamente necessarie al suo ruolo. In aggiunta, abbiamo implementato:

• Logging e auditing completi: ogni accesso, modifica o tentativo sospetto deve essere registrato;
• Controlli MFA (Multi-Factor Authentication) per accedere agli ambienti di test;
• Session timeout e blocco automatico per inattività.

Questo consente, in caso di incidente, di identificare immediatamente le responsabilità e reagire tempestivamente. Per migliorare l’avanzamento delle correzioni dei risultati dei test di analisi, vulnerabilità e penetrazione ci affidiamo ad un Vulnerability Assessment, ovvero un processo sistematico che mira a identificare, analizzare e classificare le debolezze di sicurezza in un sistema informatico o in un'applicazione. Si tratta di un'analisi che cerca di scoprire potenziali punti deboli che potrebbero essere sfruttati da malintenzionati per compromettere la sicurezza dei dati o delle operazioni di un'organizzazione. 

CATEGORIE DI DESTINATARI DEI DATI PERSONALI

I Dati saranno trattati da dipendenti e/o collaboratori dei Titolari, nominati incaricati autorizzati del trattamento e potranno essere comunicati a società terze, all’uopo nominate responsabili del trattamento, che forniscono servizi accessori e strumentali all’attività dei Titolari.
In nessun caso i dati saranno oggetto di diffusione.

TRASFERIMENTO DI DATI PERSONALI ALL’ESTERO

La gestione e la conservazione dei Dati avvengono su server ubicati all’interno ed all’esterno dell’Unione Europea di proprietà e/o nella disponibilità dei Titolari e/o di società terze debitamente nominate responsabili del trattamento.
 

TEMPI DI CONSERVAZIONE DEI DATI

I Dati degli interessati, raccolti attraverso il sito, verranno conservati per il tempo necessario a dare riscontro alle richieste degli interessati stessi.
I Dati raccolti attraverso i cookie verranno conservati per il periodo di tempo stabilito dal singolo cookie.
Per maggiori informazioni si rimanda alla cookie policy del sito. La nostra azienda si prende rigorosamente cura delle politiche sulla privacy e della gestione dati dei clienti, rendendo la loro esperienza il più sicura e conforme alle normative della privacy. Ogni trattamento dati è conforme con gli standard e le norme internazionali di protezione dati, incluso il GDPR (Regolamento Generale sulla Protezione Dati). Per garantire il migliore trattamento dei dati e per rispettare le norme della privacy facciamo uso in particolar modo di “iubenda”, una delle migliori piattaforme per quanto riguarda la gestione dell’aggiornamento della privacy policy, cookie policy e della gestione del consenso dati. I dati dei clienti vengono raccolti esclusivamente per le questioni legale alla gestione della spedizione ed evasione degli ordini, in modo tale da rispettare il principio di minimizzazione del GDPR. I dati inoltre vengono conservati in server sicuri, che adottano la MFA e la RBAC, rendendo la lettura di dati sensibili il più sicura possibile. I dati raccolti non verranno trattenuti dall’azienda per più di 30 giorni.

NATURA DEL CONFERIMENTO DATI E CONSEGUENZE DEL RIFIUTO DI RISPONDERE

Il conferimento dei dati necessari allo svolgimento dei trattamenti elencati sub (a) è facoltativo, ma costituisce condizione necessaria ed indispensabile per la fruizione del servizio: un eventuale rifiuto di fornire i dati determina, quindi, l’impossibilità di eseguire il servizio richiesto.
Il consenso al trattamento per le ulteriori finalità è facoltativo.

MODALITÀ DI TRATTAMENTO

Il trattamento dei Dati per ciascuna delle finalità di cui sopra è effettuato con modalità cartacee, automatizzate o elettroniche e, in particolare, a mezzo posta ordinaria o email, telefono (es. chiamate automatizzate, SMS, MMS), fax e qualsiasi altro canale informatico (es. siti web, mobile, app) idonei a garantire la sicurezza e la riservatezza secondo la c.d. data protection by default ossia l’applicazione di misure atte a ridurre al minimo i rischi di diffusione di dati.

Come trattiamo i dati?

Abbiamo un sistema di accesso dati RBAC e MFA. Che cosa significa? “RBAC” sta per “controllo degli accessi basato sui ruoli” ed è un sistema intelligente che aiuta a gestire chi può fare cosa in base a dei ruoli specifici assegnati (manager, amministratore, dipendente). Ad ogni ruolo assegnato vengono dati dei determinati permessi. Ad esempio la persona a cui viene assegnato il ruolo di “dipendente” potrà solamente leggere i dati; l’”amministratore” invece, oltre a visionare i dati ha anche le capacità di cancellarli. In questo modo solamente alcune persone assegnate avranno il permesso di gestire in modo più approfondito i dati, ovvero l’amministratore, mentre invece i dipendenti potranno solamente aderire alla parte di visione dei dati. Questa operazione avviene attraverso l’accesso MFA che sta per “autenticazione a più fattori”. Questo sta a significare che per accedere all’interno di un sito online non basterà semplicemente inserire una password, che può essere molto facilmente rubata o cambiata, ma bisogna affermare la propria identità con due fattori differenti. Il primo è attraverso la password dell’account su cui vuoi accedere; la seconda autenticazione invece avviene attraverso un codice OTP “one-time-password” (ovvero un codice di 6 o 8 cifre che verrà mandato sul numero di cellulare assegnato all’account). In questo modo, se qualcuno dovesse rubare la password, non potrà comunque accedere all’account senza che abbia con se il codice OTP che viene mandato sul cellulare che è stato assegnato all’account, il che rende la sicurezza ottimale ed efficace.

DIRITTI DELL’INTERESSATO

All’interessato, ricorrendone le condizioni previste dal GDPR, sono riconosciuti i seguenti diritti:

• diritto di accesso, ossia il diritto di ottenere la conferma che sia o meno in corso il trattamento dei Dati e, in tal caso, di ottenerne l'accesso;
• diritto di rettifica e cancellazione, ossia il diritto di ottenere la rettifica di Dati inesatti e/o l'integrazione di Dati incompleti o la cancellazione dei Dati;
• diritto alla limitazione del trattamento, ossia il diritto a richiedere la sospensione del trattamento;
• diritto alla portabilità dei dati, ossia il diritto di ricevere in un formato strutturato, di uso comune e leggibile i Dati, nonché il diritto di trasmettere i Dati ad un altro titolare del trattamento;
• diritto di opposizione, ossia il diritto opporsi al trattamento dei Dati ivi compresi i trattamenti di Dati per finalità di marketing e profilazione, se previsti;
• diritto di rivolgersi all'autorità per la protezione dei dati competente in caso di trattamento illecito dei Dati (www.garanteprivacy.it).

MODALITÀ DI ESERCIZIO DEI DIRITTI

Gli interessati potranno esercitare tali diritti mediante il semplice invio di:

• Invio di una raccomandata A/R a Crazystock srls, Via Conegliano 96 int. 13, 31058 Susegana (TV) Italy
• Invio di un'e-mail all'indirizzo info@crazystock.it
• Invio di una PEC all'indirizzo crazystocksrls@pec.it

Il Titolare del trattamento avrà cura di tenere aggiornata la presente informativa.