Specifiche di sicurezza del servizio @Studium.Unict

@Studium.Unict è il servizio di posta elettronica riservato agli studenti dell'Università degli Studi di Catania, realizzato in collaborazione con Microsoft Corporation ai sensi di un contratto multilicenza sottoscritto dall'Ateneo grazie all'adesione all'accordo quadro unico nazionale Education Alliance Agreement Istruzione Superiore stipulato tra Microsoft Corporation e la Fondazione CRUI.

L'infrastruttura che conserva i dati delle caselle di posta degli utenti e dalla quale vengono erogati i servizi di posta elettronica di Ateneo per gli studenti è gestita da Microsoft Corporation in modalità cloud ovvero attraverso una vasta rete di server remoti ubicati off-site che garantisce grandi prestazioni, notevoli capacità di archivizione e tempi di disponibilità del servizio dell'ordine del 99,9%.
Il servizio di posta elettronica e l'intera suite per la produttività individuale Office 365 detiene la certificazione ISO 27001 relativa alla gestione della sicurezza delle informazioni, la certificazione Safe Harbor per l'Unione Europea ed è conforme alle Clausole modello UE che garantiscono agli utenti l'adozione di procedure appropriate per la protezione dei dati personali.

Di seguito alcuni dettagli in materia di sicurezza e meccanismi di protezione predisposti da Microsoft Corporation per l'erogazione del servizio:

• Posizione dei dati: Il contenuto delle caselle postali di Office 365 (corpo del messaggio di posta elettronica, voci del calendario e contenuto degli allegati di posta elettronica), il contenuto del sito SharePoint Online e i file archiviati su tale sito, i file caricati su OneDrive for Business e il contenuto dei progetti caricati su Project Online, risiedono tutti in datacenter collocati esclusivamente su territorio all'interno dell'unione europea.
• Identificazione, autenticazione e autorizzazione: I processi di identificazione e autenticazione per l'accesso alla webmail e alle altre applicazioni per la produttività individuale avvengono in locale presso i server on-premise dell'Università degli Studi di Catania mediante gli Active Directory Federation Services (ADFS) agganciati al dominio Active Directory locale basato su Windows Server 2019. Le hash delle password degli utenti, generate tramite NT One Way Function (NTOWF), sono conservate all'interno dei databases di Active Directory e cifrate con algoritmo AES-256 in CBC +0. I vari livelli di autorizzazione e assegnazione di privilegi all'utente sono amministrabili attraverso apposita interfaccia web di gestione direttamente dal portale di amministrazione di Microsoft Office 365 accessibile ai soli amministratori di sistema autorizzati dell'Università degli Studi di Catania.
• Sicurezza nelle connessioni e nel trasferimento di dati: Microsoft implementa e assicura tutte le misure organizzative e tecniche appropriate per proteggere i dati dell'Università degli Studi di Catania e i dati personali dei propri utenti. In particolare le connessioni alla webmail studenti e a al portale di amministrazione delle licenze sono protette da connessione HTTPS cifrata mediante protocollo TLS 1.2 con tipo di algoritmo SHA256withRSA e dimensione chiave 2048 bit.
• Trattamento dei dati e titolarità: Il titolare del trattamento è l'Università degli Studi di Catania. I dati contenuti nelle caselle postali degli studenti vengono utilizzati o in altro modo trattati da Microsoft esclusivamente per erogare agli utenti dell'Università degli Studi di Catania il servizio di posta elettronica. Microsoft non utilizza né in altro modo tratta i dati dell'Università degli Studi di Catania o ne ricava informazioni per fini pubblicitari o per scopi commerciali analoghi. L'Università degli Studi di Catania conserva tutti i diritti e gli interessi relativi ai dati contenuti nelle caselle postali degli utenti. Microsoft non acquisisce alcun diritto sugli stessi che non siano i diritti che l'Università degli Studi di Catania concede per ricevere l'erogazione del servizio.
• Divulgazione dei dati: Microsoft non divulga i dati dell'Università degli Studi di Catania al suo esterno o all'esterno delle sue filiali o consociate controllate. In caso di richiesta di accesso ai dati da parte delle autorità giudiziarie o di polizia, Microsoft tenterà di reindirizzare tali richieste all'Università degli Studi di Catania. Nel caso in cui sia costretta a divulgare i dati dell'Università degli Studi di Catania alle autorità giudiziarie o di polizia, Microsoft ne darà immediata comunicazione all'Università degli Studi di Catania e le fornirà una copia della richiesta, salvo disposizioni di legge contrarie. Microsoft non fornirà mai ai terzi: (a) l'accesso in modo diretto, indiretto, programmato o senza restrizioni ai dati dell'Università degli Studi di Catania, (b) le chiavi di crittografia della piattaforma utilizzate per la protezione dei dati o gli strumenti per decrittografarli né (c) alcun tipo di accesso ai dati dell'Università degli Studi di Catania.

Per informazioni più dettagliate in materia di sicurezza e protezione dei dati si rimanda al documento ufficiale "Condizioni per l'Utilizzo dei Servizi Online Microsoft - 1 aprile 2019" disponibile all'indirizzo: http://www.microsoftvolumelicensing.com/Downloader.aspx?DocumentId=14951 o in alternativa all'indirizzo https://webmail.unict.it/unict/doc/MicrosoftOnlineServicesTerms(Italian)(April2019)(CR).docx