Lavoro: dal Garante Privacy nuove tutele per la email dei dipendenti. Varato un Documento di indirizzo sulla conservazione dei metadati

Tratto da www.garanteprivacy.it – Newsletter del 06/02/2024

I datori di lavoro pubblici e privati che per la gestione della posta elettronica utilizzano programmi forniti anche in modalità cloud da oggi hanno a disposizione nuove indicazioni utili a prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori.

Il Garante per la protezione dei dati personali ha infatti adottato un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati.

Il documento nasce a seguito di accertamenti effettuati dall’Autorità dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email). In alcuni casi è emerso anche che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.

Con il documento odierno il Garante chiede quindi ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore. Periodo considerato congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore.

I datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro). L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore.

6 Febbraio 2024

La difesa in giudizio non giustifica l’accesso alla posta elettronica del lavoratore

 
Tratto da www.garanteprivacy.it – Newsletter del 15/03/2023
 
 
 
 
 
 

Il legittimo interesse a trattare dati personali per difendere un proprio diritto in giudizio non annulla il diritto dei lavoratori alla protezione dei dati personali. Tanto più se riguarda una forma di corrispondenza, come i messaggi di posta elettronica, la cui segretezza è tutelata anche costituzionalmente.

È una delle motivazioni con cui il Garante privacy ha sanzionato un’azienda che, dopo l’interruzione della collaborazione con un’esponente di una cooperativa, ne aveva mantenuto attivo l’account di posta elettronica, prendendo visione del contenuto e impostando un sistema di inoltro verso un dipendente della società.

La collaboratrice, prima che si definisse il rapporto di lavoro con l’azienda, aveva raccolto, a nome dell’azienda stessa e tramite una casella mail aperta per l’occasione, i riferimenti di potenziali clienti incontrati a una fiera.

Secondo l’azienda poi, il successivo tentativo di contattarli a nome della propria cooperativa aveva in seguito portato a un contenzioso giudiziale.

Quindi, nel timore di perdere i rapporti coi potenziali clienti, l’azienda non si era limitata a scrivere per spiegare loro che la persona era stata rimossa, ma ne aveva anche visionato le comunicazioni. Secondo il Garante, né l’esigenza di mantenere i rapporti con i clienti né l’interesse a difendere un proprio diritto in giudizio, legittimano un tale trattamento di dati personali. Per realizzare un adeguato bilanciamento degli interessi in gioco (necessità di prosecuzione dell’attività economica del titolare e diritto alla riservatezza dell’interessato) sarebbe stato sufficiente attivare un sistema di risposta automatico, con l’indicazione di indirizzi alternativi da contattare, senza prendere visione delle comunicazioni in entrata sull’account.

Nel corso del procedimento è inoltre emerso che l’azienda, in quanto titolare del trattamento, non aveva fornito all’interessata né idoneo riscontro alla richiesta di cancellazione della casella e-mail né l’informativa sul trattamento dati. A nulla vale il fatto che il contratto di assunzione non fosse stato ancora firmato. Come ricorda l’Autorità, nell’ambito di trattative precontrattuali, infatti, l’obbligo di informare gli interessati è espressione del principio generale di correttezza.

 

15 Marzo 2023

Nuove patch Zimbra: 9.0.0 Patch 10 + 8.8.15 Patch 17

Tratto da: Blog Zimbra
Autore: Urvi Mehta – 16 dicembre 2020
 
 
 

 

Zimbra 9.0.0 “Kepler” Patch 10 e 8.8.15 “James Prescott Joule” Patch 17 sono ora disponibili.

 

Per Zimbra 8.8.8 e versioni successive, non è necessario scaricare alcuna build di patch. I pacchetti di patch possono essere installati utilizzando i comandi di gestione dei pacchetti Linux. Fare riferimento alle rispettive note di rilascio per l’installazione delle patch sulle piattaforme Red Hat e Ubuntu.

Nota: l’installazione di un pacchetto zimbra-patch aggiorna solo i pacchetti principali di Zimbra.

Nginx Upgrade (Beta)
Aggiornato Nginx di terze parti dalla versione 1.7.1 alla 1.19.0.
Supporto di Nginx 1.19.0 per TLSv1.3.

 

Zimbra 9.0.0 “Kepler” Patch 10

La patch 10 è disponibile per la versione GA di Zimbra 9.0.0 “Kepler” e include correzioni di sicurezza, novità, problemi risolti e problemi noti come elencato nelle note di rilascio .

Installazione della patch

Fare riferimento alle note di rilascio per l’installazione di Zimbra 9.0.0 Patch 10 su piattaforme Red Hat e Ubuntu.

 

Zimbra 8.8.15 Patch 17 “James Prescott Joule”

La patch 17 è disponibile per la versione GA di Zimbra 8.8.15 “James Prescott Joule” e include correzioni di sicurezza, novità, problemi risolti e problemi noti come elencato nelle note di rilascio .

Installazione della patch

Fare riferimento alle note di rilascio per l’installazione di Zimbra 8.8.15 Patch 17 su piattaforme Red Hat e Ubuntu.

23 Dicembre 2020

Zimbra 9: la nuova versione

 

Zimbra è una piattaforma, basata su tecnologia open source, per la messaggistica e la collaborazione.

Sono centinaia di milioni le caselle di posta elettronica gestite oggi da Zimbra in quasi tutto il mondo: la piattaforma, infatti, viene utilizzata in oltre 140 paesi.

Nella nuova versione, Zimbra 9, uscita quest’anno:

  • l’’interfaccia utente, basata sulla tecnologia React, è rinnovata, moderna e reattiva, facile da utilizzare
  • la release è sempre più estendibile e può essere integrata anche con nuove app, quali Slack, Dropbox e Zoom
  • l’integrazione con il back-end di Zimbra 8 assicura agli utenti affidabilità, sicurezza e privacy dei dati
  • grazie a un nuovo framework di Zimlet, è aumentata la possibilità di personalizzazione e di flessibilità
  • il procedimento di upgrade è molto facile e non è necessario effettuare la migrazione dei dati.

In sintesi, le funzionalità di Zimbra, oltre all’invio e al ricevimento della posta elettronica, sono le seguenti:

  • Gestione della posta – archiviazione automatica dei messaggi per utenti, gruppi e data
  • Rubriche e Calendari – Email, Calendario, Documenti, Files e Instant Messaging sono integrati in un’unica piattaforma e possono essere condivisi con il team di lavoro
  • Documenti Web – la suite permette la creazione, la condivisione e l’archiviazione di file e documenti
  • Chat di messaggistica istantanea, chiamate vocali e segreteria telefonica – per non perdere nemmeno una conversazione o un messaggio importante
  • Agenda – per tenere traccia degli impegni, rispettare le deadline e organizzare i task
  • Videoconferenze – il client consente a più persone distanti una dall’altra di incontrarsi virtualmente in riunioni e call, evitando spostamenti, trasferte, viaggi e perdite di tempo
  • Integrazione con un’infinità di applicazioni esterne e servizi web: Facebook, Twitter, Socialcast, Slack, Dropbox, Zoom e altre applicazioni d’impresa, tra cui Oracle e SAP. In questo modo è garantito un flusso di lavoro e di collaborazione continuo e accessibile da un’unica piattaforma.

Le estensioni che permettono al prodotto di integrarsi con altre applicazioni e funzioni, potenziandone così le performance, sono definite Zimlet, piccoli plug-in, di componenti aggiuntive e mini applicazioni che estendono le potenzialità e le funzionalità del client di posta elettronica.

Zimbra può anche essere implementato nel cloud, in sede (cloud privato) o come servizio ibrido, a seconda delle preferenze.

Il servizio di email collaboration è rivolto alle aziende, agli enti pubblici, alle università, alle istituzioni finanziarie e ai singoli individui.

Per maggiori informazioni: dircom@argonavis.it

25 Novembre 2020

Spiegati i misteriosi protocolli SPF, DKIM e DMARC

Tratto da: Security Blog Libraesva
Autore: Rodolfo Saccani – 2 novembre 2020
 
 

 

La posta elettronica è una cosa antica, è nata molto più tempo prima di Internet.

Il primo sistema di posta elettronica è nato nel 1965 al MIT. A quel tempo la comunicazione e-mail era limitata entro i confini di un unico mainframe, quei computer multiutente enormi, molto costosi e delicati che occupavano intere stanze climatizzate e richiedevano una supervisione continua.

Nel 1971 avvenne la prima trasmissione di un’e-mail tra computer collegati. È stato un piccolo passo per una singola email, ma un primo enorme passo per l’umanità.

Nel 1982 nacque il protocollo SMTP, questo è il protocollo che utilizziamo ancora oggi per lo scambio di email su Internet.

Il problema principale dell’email (e dell’SMTP) è che, essendo nato in un ambiente collaborativo in cui la sicurezza non era affatto un problema, essendo progettato in un momento in cui l’abuso non era nemmeno un’opzione teorica, il protocollo non aveva alcuna sicurezza a tutto tra i suoi requisiti di design.
Nessuna autenticazione del mittente: chiunque potrebbe fingere di essere chiunque.
Nessuna riservatezza : i messaggi sono stati scambiati e archiviati in chiaro.
Nessun controllo di integrità : non è stato possibile impedire o addirittura rilevare la manipolazione del contenuto dell’email lungo il percorso.
Nessuna protezione sui messaggi non richiesti : chiunque può inviare qualsiasi quantità di e-mail a qualsiasi destinatario.

Poi la posta elettronica è diventata popolare e questi problemi hanno iniziato a comparire rapidamente.

È diventato chiaro che dovevamo fare qualcosa per affrontare questa mancanza di sicurezza nel protocollo. Nessuno ci aveva pensato prima perché nessuno immaginava che l’e-mail sarebbe diventata ciò che è oggi: la principale forma di comunicazione elettronica su cui si basano le nostre società , qualcosa su cui tutte le organizzazioni, le imprese e gli individui fanno affidamento ogni giorno per gestire la propria vita .

Come tutti abbiamo imparato a nostre spese negli anni seguenti, aggiungere la sicurezza in seguito è molto più difficile che inserirla in fase di progettazione. Questo è uno dei principi più importanti del GDPR: se vuoi una sicurezza reale, ne hai bisogno fin dalla progettazione.

Aggiungere la sicurezza come ripensamento è difficile. È ancora più difficile se devi garantire la compatibilità con le versioni precedenti. La posta elettronica è l’esempio più chiaro di quanto sia difficile aggiungere sicurezza a qualcosa che è già distribuito in tutto il mondo, dove è necessario garantire che la posta elettronica possa ancora essere scambiata con server che non sono stati aggiornati ai nuovi standard.

È qui che entrano in gioco gli acronimi che si trovano nel titolo di questo articolo: SPF , DKIM e DMARC sono tre standard che sono stati aggiunti all’email nel tentativo di renderla più sicura.

SPF ha un compito molto semplice: prevenire lo spoofing del dominio. La tua organizzazione può dichiarare al mondo un sottoinsieme di indirizzi IP autorizzati a inviare email per conto del dominio della tua organizzazione. Definendo questo criterio, è possibile impedire ad attori malintenzionati di inviare e-mail fingendo di essere la tua organizzazione.
La configurazione di una policy SPF è molto semplice e relativamente priva di rischi: è sufficiente mappare tutti gli indirizzi IP che la tua organizzazione utilizza per inviare email. Un piccolo sforzo per ciò che ricevi in ​​cambio e se hai enumerato correttamente tutti i tuoi indirizzi IP legittimi da cui invii email, nessuna email andrà persa.
SPF non è perfetto, però, e non è sufficiente per prevenire tutti i tipi di spoofing, ma è comunque molto meglio di niente.

DKIM ha uno scopo principale: garantire l’integrità del contenuto dell’email. Integrità significa che il destinatario può rilevare se l’email è stata modificata o manomessa lungo il percorso. Questo avviene tramite una firma elettronica: se la firma è valida, sai che puoi fare affidamento sul contenuto dell’email. Se la firma non è valida, è probabile che il messaggio sia stato manomesso. Questa firma viene aggiunta e controllata automaticamente dai server di posta e l’utente non deve fare nulla.
L’impostazione di DKIM richiede un po ‘più di sforzo rispetto a SPF ma è sicuro: se lo si configura male, l’email non andrà persa.

SPF e DKIM non risolvono ancora completamente il problema del phishing. L’e-mail è un po ‘come una semplice lettera di carta: il mittente e il destinatario scritti sulla busta vengono utilizzati per la consegna, ma il destinatario non vede la busta. Il destinatario vede semplicemente la lettera all’interno della busta e in quella lettera il nome e l’indirizzo del mittente possono essere falsificati. Fondamentalmente, il client di posta mostra il mittente che è scritto nella lettera, non quello sulla busta (che può essere protetta con SPF).

DMARC è stato progettato esattamente per questo scopo: assicurarti che il mittente mostrato dal tuo client di posta elettronica sia affidabile. Ciò viene eseguito pubblicando un criterio DMARC che istruisce i destinatari a verificare se il mittente visualizzato dal destinatario corrisponde a SPF o DKIM. L’email deve essere inviata da un indirizzo IP autorizzato per quel dominio (SPF è ok), oppure deve essere firmata con una chiave legittima di quel dominio (la firma DKIM è ok), altrimenti non verrà consegnata.

DMARC deve essere configurato dominio per dominio dall’amministratore di posta elettronica del dominio di invio. Fornisce un’ottima protezione contro lo spoofing e la rappresentazione, ma la configurazione non è semplice e gli errori nella configurazione possono portare alla perdita della posta elettronica . Pertanto, la configurazione di DMARC deve essere eseguita con competenza, senza improvvisare.

Ci sono altri standard che sono stati introdotti nell’email, come TLS (per crittografare l’email in transito) e S / MIME o PGP per la crittografia end-to-end. Queste sono cose di cui non devi preoccuparti. TLS è gestito automaticamente dai server di posta. S / MIME e PGP hanno un’adozione minuscola a causa delle complessità legate alla gestione delle chiavi da parte degli utenti finali.

Ti interessa SPF, DKIM e DMARC per la tua organizzazione? Dovresti.
Inizia con SPF, quindi procedi con DKIM e infine valuta DMARC.

Queste configurazioni non risolveranno tutti i problemi di sicurezza della posta elettronica, ma renderanno la tua comunicazione e-mail molto più sicura e affidabile.

3 Novembre 2020