Conformità GDPR, NIS2 e ISO 27001 integrata nell'architettura IAM
LoginMaster separa architetturalmente i dati personali (che risiedono sul Tenant del cliente) dal Cloud, che tratta solo dati pseudonimizzati e cifrati. Un'architettura che limita strutturalmente l'accesso del fornitore ai dati e supporta nativamente i requisiti di GDPR, NIS2 e ISO 27001:2022.
Regolamento UE 2016/679
Privacy by design: i dati personali risiedono sul Tenant del cliente. Il Cloud tratta solo dati pseudonimizzati o cifrati.
Direttiva UE 2022/2555
Crittografia multilivello, 2FA configurabile, tracciamento dei login e isolamento crittografico tra tenant.
ISO/IEC 27001:2022
Controllo degli accessi basato su ruoli, chiavi crittografiche dedicate e comunicazioni cifrate.
Perché scegliere LoginMaster per la compliance aziendale?
LoginMaster è l'unica piattaforma IAM (Identity and Access Management) che garantisce conformità normativa by design, senza costi aggiuntivi per utente. A differenza delle soluzioni tradizionali, la nostra architettura Tenant-Cloud separa strutturalmente i dati personali dai servizi cloud, assicurando che il fornitore non possa mai accedere alle informazioni sensibili dei tuoi utenti.
- Conformità GDPR garantita dall'architettura privacy by design e dalla protezione dei dati personali
- Requisiti NIS2 soddisfatti con crittografia multilivello, 2FA configurabile e sicurezza informatica aziendale
- Controlli ISO 27001:2022 del sistema di gestione sicurezza informazioni (SGSI) supportati nativamente
- Nessun costo per utente: paghi solo per tenant e progetti
Supporto alla conformità al Regolamento Generale sulla Protezione dei Dati
Il GDPR (Regolamento UE 2016/679) definisce i principi fondamentali per la protezione dei dati personali e la gestione delle identità digitali in Europa. In LoginMaster i dati personali degli utenti risiedono principalmente sul Tenant del cliente. Il Cloud tratta solo identificativi pseudonimi e payload cifrati, limitando strutturalmente l'accesso da parte del fornitore. Questa separazione architetturale supporta nativamente diversi requisiti del regolamento per l'adeguamento GDPR.
Minimizzazione dei dati
Sul Cloud transitano solo identificativi pseudonimi e payload cifrati, mai dati personali in chiaro. I dati identificativi degli utenti risiedono sul Tenant del cliente. Le tipologie di soggetto (user e device) e le chiavi API sono strutturate per gestire solo le informazioni pertinenti a ciascun caso d'uso.
Diritto alla cancellazione
LoginMaster consente la cancellazione dei dati utente su richiesta, nei limiti previsti dall'Art. 17(3) — ad esempio obblighi legali di conservazione o esercizio di diritti in sede giudiziaria. I tempi di retention per log e audit trail sono documentati nella policy di data retention.
Autonomia dell'utente
In LoginMaster nessun amministratore può reimpostare la password, modificare l'email o disabilitare la 2FA di un utente. L'utente mantiene il pieno controllo sulle proprie credenziali e impostazioni di sicurezza, in linea con i principi di trasparenza e correttezza del trattamento.
Privacy by design
I dati personali risiedono principalmente sul Tenant del cliente. Il Cloud tratta solo dati pseudonimizzati o cifrati, con una separazione architetturale che limita strutturalmente l'accesso da parte del fornitore. Ogni tenant e ogni progetto operano con chiavi crittografiche proprie e indipendenti.
Sicurezza del trattamento
Crittografia applicata a ogni livello: progetto-tenant, tenant-cloud, client-API. Token a doppia firma (Tenant + Cloud) e isolamento crittografico tra tenant. Procedure periodiche di test e valutazione dell'efficacia delle misure tecniche, con meccanismi di disponibilita e ripristino dei dati in caso di incidente.
Tracciamento degli accessi
LoginMaster registra gli ultimi accessi e i tentativi falliti per ogni utente. Questo tracciamento consente di identificare attivita sospette e supporta il principio di integrita e riservatezza dei dati personali previsto dal regolamento.
Allineamento alla direttiva NIS2 sulla cybersicurezza
La direttiva NIS2 (UE 2022/2555) introduce obblighi di sicurezza informatica aziendale e cybersecurity compliance per soggetti essenziali e importanti nell'Unione Europea. LoginMaster fornisce strumenti tecnici concreti che contribuiscono a soddisfare i requisiti NIS2 Italia dell'articolo 21: crittografia multilivello, autenticazione a due fattori, tracciamento degli accessi e isolamento crittografico tra tenant.
Politiche di analisi dei rischi e sicurezza
LoginMaster adotta un'architettura di sicurezza su piu livelli: ogni tenant e isolato con chiavi crittografiche uniche, ogni progetto ha le proprie chiavi, e le comunicazioni sono cifrate a ogni passaggio (progetto-tenant, tenant-cloud, client-API). Il deployment si integra con le politiche di risk assessment e governance del cliente, contribuendo alla riduzione della superficie di attacco.
- Chiavi crittografiche uniche per tenant e progetto
- Comunicazioni cifrate a ogni livello
- Isolamento completo tra tenant
- Integrabile con le policy di risk management del cliente
Gestione degli incidenti
LoginMaster registra gli ultimi accessi e i tentativi di autenticazione falliti per ogni utente. I log sono integrabili con i sistemi SIEM del cliente per supportare il piano di incident response, le procedure di escalation e i processi di notifica previsti dalla direttiva.
- Storico degli ultimi login per utente
- Registrazione dei tentativi falliti
- Log integrabili con SIEM e sistemi di alerting
- Supporto ai processi di incident response e notifica
Crittografia e gestione delle chiavi
Tutte le comunicazioni in LoginMaster sono cifrate: tra il progetto e il tenant, tra il tenant e il cloud, e tra il client e le API. Il Cloud tratta solo dati cifrati e riferimenti pseudonimi. I token sono protetti da doppia firma (Tenant + Cloud). Le chiavi crittografiche sono soggette a policy di gestione che prevedono rotazione, revoca e controllo del ciclo di vita.
- Comunicazioni cifrate a ogni livello
- Token a doppia firma (Tenant + Cloud)
- Policy di rotazione e revoca delle chiavi
- Gestione documentata del ciclo di vita delle chiavi
Autenticazione multi-fattore
LoginMaster offre 2FA configurabile per ogni singolo progetto con tre livelli: disabilitata, opzionale oppure obbligatoria. La disattivazione della 2FA richiede l'intervento diretto dell'utente tramite procedura autenticata; gli amministratori non possono disabilitarla per conto terzi. Sono previste procedure di recovery documentate per il ripristino dell'accesso in caso di perdita del secondo fattore.
- 2FA configurabile per progetto
- Tre modalita: disabilitata, opzionale, obbligatoria
- Disattivazione solo tramite procedura autenticata dall'utente
- Procedure di recovery documentate per il ripristino
Supporto ai controlli ISO/IEC 27001:2022
La ISO/IEC 27001 è lo standard internazionale di riferimento per il sistema di gestione della sicurezza delle informazioni (SGSI). LoginMaster supporta diversi controlli dell'Annex A attraverso le proprie funzionalità native di gestione delle identità, crittografia e monitoraggio degli accessi, facilitando la certificazione ISO 27001 e l'audit ISO 27001.
Gestione delle identita
LoginMaster gestisce le identita e gli accessi con ruoli configurabili per ogni progetto. Supporta due tipologie di soggetto (user e device) e chiavi API come metodo di comunicazione server-to-server. Entro il Q2 2026 sara disponibile l'integrazione SSO con Google Workspace e Microsoft Entra ID per l'autenticazione centralizzata.
- Gestione degli accessi basata su ruoli
- Permessi configurabili a livello di progetto
- Soggetti (user, device) e chiavi API per comunicazione
- SSO con Google Workspace e Microsoft Entra ID (Q2 2026)
Uso della crittografia
Ogni tenant e ogni progetto dispongono di chiavi crittografiche proprie. I token sono firmati con doppia firma (Tenant + Cloud). Il Cloud tratta solo dati cifrati e riferimenti pseudonimi. Le chiavi sono soggette a policy di gestione con rotazione e revoca documentate.
- Chiavi crittografiche uniche per tenant e progetto
- Token a doppia firma (Tenant + Cloud)
- Credenziali cifrate con architettura split
- Policy di gestione chiavi con rotazione e revoca
Logging e monitoraggio
LoginMaster registra gli ultimi accessi e i tentativi falliti per ogni utente, fornendo visibilita sulle attivita di autenticazione. I log sono integrabili con i sistemi SIEM del cliente per un monitoraggio centralizzato.
- Tracciamento degli ultimi login
- Registrazione dei tentativi falliti
- Monitoraggio delle attivita di autenticazione
- Log integrabili con SIEM del cliente
Trasferimento delle informazioni
Tutte le comunicazioni di LoginMaster sono cifrate a ogni livello dell'architettura: tra progetto e tenant, tra tenant e cloud, e tra client e API. I dati personali risiedono principalmente sul Tenant: il Cloud tratta solo dati cifrati e riferimenti pseudonimi.
- Comunicazioni cifrate progetto-tenant
- Comunicazioni cifrate tenant-cloud
- Comunicazioni cifrate client-API
- Architettura split per le credenziali
Tabella di conformità normativa
Come le funzionalita reali di LoginMaster rispondono ai principali requisiti normativi di GDPR, NIS2 e ISO 27001.
| Requisito | Normativa | Come LoginMaster lo soddisfa |
|---|---|---|
| Minimizzazione dei dati | GDPR Art. 5(1)(c) | Sul Cloud LoginMaster transitano solo identificativi pseudonimi e payload cifrati, mai dati personali in chiaro. I dati identificativi degli utenti risiedono sul Tenant del cliente, riducendo al minimo l'esposizione e limitando la superficie di trattamento sul Cloud. |
| Diritto alla cancellazione | GDPR Art. 17 | LoginMaster consente la cancellazione dei dati utente su richiesta, nei limiti previsti dall'Art. 17(3) (obblighi legali di conservazione, esercizio di diritti in sede giudiziaria). I tempi di retention per log e audit trail sono documentati nella policy di data retention. |
| Privacy by design | GDPR Art. 25 | Architettura progettata affinche i dati personali risiedano principalmente sul Tenant del cliente. Il Cloud tratta solo dati pseudonimizzati o cifrati. Chiavi crittografiche uniche per ogni tenant e progetto, con separazione architetturale tra ambiente del cliente e servizio centrale. |
| Sicurezza del trattamento | GDPR Art. 32 | Crittografia multilivello (progetto-tenant, tenant-cloud, client-API), isolamento crittografico tra tenant e token a doppia firma. Procedure periodiche di test e valutazione dell'efficacia delle misure tecniche. Meccanismi di disponibilita e ripristino dei dati personali in caso di incidente. |
| Politiche di analisi dei rischi e sicurezza dei sistemi informatici | NIS2 Art. 21(2)(a) | Architettura di sicurezza multilivello con isolamento crittografico tra tenant, chiavi uniche per progetto e comunicazioni cifrate a ogni livello. Il deployment di LoginMaster si integra con le politiche di risk assessment e governance del cliente. |
| Gestione degli incidenti | NIS2 Art. 21(2)(b) | Tracciamento dei login con storico degli accessi, monitoraggio dei tentativi falliti e registrazione delle attivita di autenticazione. I log di LoginMaster sono integrabili con i sistemi SIEM del cliente per supportare il piano di incident response e le procedure di escalation e notifica previste dalla direttiva. |
| Crittografia e cifratura | NIS2 Art. 21(2)(h) | Comunicazioni cifrate a ogni livello dell'architettura. Il Cloud opera esclusivamente su dati cifrati e non leggibili. Token firmati con doppia firma (Tenant + Cloud). Le chiavi crittografiche sono soggette a policy di gestione che prevedono rotazione, revoca e controllo del ciclo di vita. |
| Autenticazione multi-fattore | NIS2 Art. 21(2)(j) | 2FA configurabile per progetto con tre modalita: disabilitata, opzionale o obbligatoria. La disattivazione della 2FA richiede l'intervento diretto dell'utente tramite procedura autenticata; gli amministratori non possono disabilitarla per conto terzi. Sono previste procedure di recovery documentate per il ripristino dell'accesso. |
| Gestione delle identita | ISO 27001:2022 5.15 | Gestione degli accessi basata su ruoli a livello di progetto, con soggetti (user e device) e chiavi API per comunicazione server-to-server. SSO tramite Google Workspace e Microsoft Entra ID in arrivo entro Q2 2026. |
| Uso della crittografia | ISO 27001:2022 8.24 | Chiavi crittografiche uniche per tenant e per progetto, firma duale dei token e cifratura delle credenziali con architettura split. Policy di gestione chiavi con rotazione e revoca documentate. |
Domande frequenti sulla conformità
I dati personali degli utenti risiedono principalmente sul Tenant del cliente. Il Cloud LoginMaster tratta solo identificativi pseudonimi e payload cifrati, limitando strutturalmente l'accesso da parte del fornitore. Ogni tenant e ogni progetto dispongono di chiavi crittografiche uniche e i token sono firmati con doppia firma (Tenant + Cloud).
Si. LoginMaster e progettato secondo i principi di privacy by design: i dati personali degli utenti risiedono principalmente sul Tenant del cliente. Il Cloud tratta solo dati pseudonimizzati o cifrati, limitando strutturalmente l'accesso da parte del fornitore. L'architettura split e la crittografia multilivello proteggono i dati personali durante il trattamento. LoginMaster supporta inoltre la cancellazione dei dati su richiesta, nei limiti previsti dall'Art. 17(3).
LoginMaster affronta diversi requisiti della direttiva NIS2: offre comunicazioni cifrate a tutti i livelli dell'architettura, autenticazione a due fattori configurabile per progetto, tracciamento dei login e dei tentativi falliti con log integrabili nei sistemi SIEM del cliente, policy di gestione chiavi con rotazione e revoca, e un'architettura di sicurezza multilivello con isolamento crittografico tra tenant.
LoginMaster supporta i controlli ISO 27001:2022 relativi alla gestione delle identita (5.15) con ruoli configurabili e tipologie di soggetto, all'uso della crittografia (8.24) con chiavi uniche per tenant e progetto e policy di gestione chiavi, al logging e monitoraggio (8.15) con tracciamento dei login e integrazione SIEM, e al trasferimento delle informazioni (5.14) con canali cifrati a ogni livello.
La 2FA in LoginMaster e configurabile per ogni singolo progetto con tre modalita: disabilitata, opzionale oppure obbligatoria. La disattivazione richiede l'intervento diretto dell'utente tramite procedura autenticata; gli amministratori non possono disabilitarla per conto terzi. Sono previste procedure di recovery documentate per il ripristino dell'accesso in caso di perdita del secondo fattore.
Si, LoginMaster supporta SSO con Google Workspace e Microsoft Entra ID, consentendo agli utenti di autenticarsi con le credenziali aziendali esistenti. Questo semplifica la gestione degli accessi e riduce il numero di credenziali da gestire, in linea con le best practice di sicurezza.
Pronto a rafforzare la sicurezza della tua organizzazione?
Contatta il nostro team per scoprire come LoginMaster può supportare la tua organizzazione nel raggiungimento degli obiettivi di conformità a GDPR, NIS2 e ISO 27001, con un'architettura di sicurezza concreta e verificabile.