Università degli Studi di Napoli "Parthenope"

Verifiche sulla sicurezza delle webmail degli studenti

Per gli studenti dell'Università degli studi di Napoli Parthenope regolarmente iscritti al proprio corso di laurea è attivo il servizio Microsoft365.

Tra i vari strumenti messi a disposizione dal pacchetto Microsoft365 è compresa la casella di posta istituzionale @studenti.uniparthenope.it.

La conservazione dei dati relativi alle caselle di posta e l’erogazione dei servizi di posta elettronica vengono gestite da Microsoft mediante un’infrastruttura cloud-based garantendo elevate prestazioni, notevoli capacità di archiviazione ed un livello di availability pari al 99,9%.

Di seguito alcuni dettagli relativi alla sicurezza e meccanismi di protezione predisposti da Microsoft per l’erogazione dei servizi:

Protezione dei Dati per il Supporto

Microsoft implementa e assicura misure organizzative e tecniche appropriate per proteggere i Dati per il Supporto. Tali misure sono conformi ai requisiti stabiliti negli standard ISO 27001, ISO 27002 e ISO 27018. Qualora Microsoft venga a conoscenza di un inadempimento della sicurezza con conseguente distruzione, perdita, alterazione accidentale o illegale, divulgazione non autorizzata dei Dati per il Supporto oppure accesso ad essi non autorizzato durante il trattamento da parte di Microsoft, Microsoft rispetterà le obbligazioni stabilite nella disposizione “Comunicazione di Eventi Imprevisti relativi alla Protezione” [1] dell’Articolo Condizioni per la Protezione dei Dati Personali delle Condizioni per l’Utilizzo dei Servizi Online.

Trasferimento e Posizione dei Dati

Il contenuto delle caselle postali di Office 365, il contenuto del sito SharePoint Online e i file archiviati su tale sito, i file caricati su OneDrive for Business e il contenuto dei progetti caricati su Project Online, risiedono tutti in data center collocati su territorio all'interno dell'unione europea.

Il data center GEOS è disponibile in Germania e in Francia, i data center dell'Unione europea si trovano in Austria, Finlandia, Francia, Irlanda e Paesi Bassi.

Misure di protezione

Microsoft protegge i dati usando più livelli di protocolli di sicurezza e crittografia. Per impostazione predefinita, le chiavi gestite di Microsoft proteggono i dati dei clienti. I dati che rimangono permanenti su qualsiasi supporto fisico sono sempre crittografati con protocolli di crittografia conformi a FIPS 140-2. È anche possibile usare le chiavi gestite dal cliente (CMK), Doppia crittografiae/o i moduli di sicurezza hardware (HSM) per una maggiore protezione dei dati.

In aggiunta, Microsoft usa per impostazione predefinita il protocollo (TLS) Transport Layer Security per crittografare i dati quando sono in transito tra i servizi cloud e i clienti. I servizi Microsoft negoziano una connessione TLS con i sistemi client che si connettono ai servizi Microsoft 365.

Criteri di accesso

Microsoft conserva una registrazione dei privilegi di sicurezza degli individui che accedono ai Dati dell’Università.

• Autorizzazione all’accesso

Microsoft conserva e aggiorna una registrazione del personale autorizzato ad accedere ai sistemi Microsoft che contengono i Dati dell’Università.

Microsoft disattiva le credenziali di autenticazione che non sono state utilizzate per un periodo di tempo minimo di sei mesi.

Microsoft indica i membri del personale che potranno concedere, modificare o annullare l’accesso autorizzato a dati e risorse.

Microsoft garantisce che nei casi in cui più individui abbiano accesso a sistemi contenenti i Dati dell’Università, tali individui hanno identificatori/accessi specifici.

• Privilegi minimi

Il personale del supporto tecnico viene autorizzato ad accedere ai Dati dell’Università esclusivamente in caso di necessità.

Microsoft limita l’accesso ai Dati dell’Università ai soli individui che ne hanno necessità per svolgere le proprie mansioni lavorative.

• Integrità e riservatezza

Microsoft istruisce il proprio personale affinché disattivi le sessioni amministrative prima di uscire dalle sedi che controlla e in ogni caso quando i computer vengono lasciati incustoditi.

Microsoft archivia le password in modo tale da renderle incomprensibili mentre sono valide.

• Autenticazione

Microsoft utilizza procedure standard del settore per identificare e autenticare gli utenti che tentano di accedere ai sistemi informativi.

Nei casi in cui i meccanismi di autenticazione si basino su password, Microsoft richiede il rinnovo regolare delle password.

Nei casi in cui i meccanismi di autenticazione si basino su password, Microsoft richiede che la password contenga almeno otto caratteri.

Microsoft garantisce che gli identificatori disattivati o scaduti non vengano concessi ad altri individui.

Microsoft controlla, o consente all’Università di monitorare, i tentativi ripetuti di ottenere l’accesso al sistema informativo utilizzando una password non valida.

Microsoft conserva procedure standard del settore per disattivare le password danneggiate o divulgate inavvertitamente.

Microsoft utilizza procedure standard del settore per la protezione delle password, incluse le procedure volte a garantire la riservatezza e l’integrità delle password quando vengono cedute e distribuite e durante l’archiviazione.

Microsoft dispone di controlli per impedire a individui di riconoscersi diritti che non sono stati loro ceduti allo scopo di accedere ai Dati dell’Università in modo non autorizzato.

Monitoraggio

Microsoft mette a disposizione dell’Ateneo delle interfacce di amministrazione grazie alle quali gli amministratori possono:

• Monitorare il traffico in termini di volume di messaggi inviati e ricevuti.
• Generare report customizzabili.
• Monitorare warning ed eventi critici generati da microsoft 365 defender, individuare ed apportare le opportune azioni correttive.
• Customizzare il Filtro antispam impostando opportune regole.

Trattamento dei Dati dell’Università; Titolarità

I Dati dell’Università vengono utilizzati o in altro modo trattati esclusivamente per erogare all’Università i Servizi Online, nonché per finalità compatibili con tale erogazione. Microsoft non utilizzerà né in altro modo tratterà i Dati dell’Università o ne ricaverà informazioni per fini pubblicitari o per scopi commerciali analoghi. Per ciò che concerne le parti, l’Università conserva tutti i diritti, la titolarità e gli interessi relativi ai Dati dell’Università. Microsoft non acquisisce alcun diritto sui Dati dell’Università che non siano i diritti che l’Università le concede per ricevere l’erogazione dei Servizi Online.

Divulgazione dei Dati dell’Università

Microsoft non divulgherà i Dati dell’Università al suo esterno o all’esterno delle sue filiali o consociate controllate, tranne nel caso in cui ciò sia (1) consentito dall’Università, (2) conforme a quanto descritto nelle Condizioni per l’Utilizzo dei Servizi Online o (3) previsto dalla legge.

Microsoft non divulgherà i Dati dell’Università alle autorità giudiziarie o di polizia se non nei casi previsti dalla legge. Qualora le autorità giudiziarie o di polizia dovessero richiedere a Microsoft i Dati dell’Università, Microsoft tenterà di reindirizzare tali autorità all’Università stessa per la comunicazione diretta di tali dati. Nel caso in cui sia costretta a divulgare i Dati dell’Università alle autorità giudiziarie o di polizia, Microsoft ne darà immediata comunicazione all’Università e le fornirà una copia della richiesta, salvo disposizioni di legge contrarie.

Nel caso in cui riceva richieste di divulgazione dei Dati dell’Università da parte di terzi, Microsoft ne darà immediata comunicazione all’Università, salvo disposizioni di legge contrarie. Microsoft respingerà la richiesta qualora non sia tenuta per legge a soddisfarla. Qualora la richiesta sia valida, Microsoft tenterà di reindirizzare tali terzi a rivolgerla direttamente all’Università.

Microsoft non fornirà ai terzi: (a) l’accesso in modo diretto, indiretto, programmato o senza restrizioni ai Dati dell’Università, (b) le chiavi di crittografia della piattaforma utilizzate per la protezione dei Dati dell’Università o gli strumenti per decrittografarli né (c) alcun tipo di accesso ai Dati dell’Università qualora Microsoft sia a conoscenza del fatto che tali dati vengano usati per scopi diversi da quelli definiti nella richiesta avanzata dai terzi.

A sostegno di quanto sopra, Microsoft potrà fornire ai terzi le informazioni di contatto di base dell’Università.

Per ulteriori dettagli si rimanda alla documentazione ufficiale Micorsoft:

https://www.microsoft.com/it-it/servicesagreement/