Indice dei contenuti dell'articolo:
Se avete la necessità di organizzare un concorso a premi online probabilmente potreste avere la tentazione di fare un sito internet e veicolarlo con dell’advertising sui principali canali social o tramite newsletter presso i vostri contatti o clienti.
Attenzione però, organizzare un concorso a premi su internet non è un’operazione priva di burocrazia e cavilli e tentare la strada del “fai da te” improvvisandosi tuttologi non è esente da rischi e ripercussioni amministrative con multe molto salate.
Concorso a premi online secondo il MISE.
Come affermato e riportato nella normativa di riferimento sul sito del Ministero dello sviluppo economico (MISE) :
Per tutti i concorsi che hanno avuto inizio dal 25 agosto 2010 o in date successive entra in vigore l’obbligo di comunicazione al Ministero almeno 15 giorni prima della data di inizio della manifestazione a premio. Pertanto, se un concorso è iniziato il 25 agosto 2010 la comunicazione doveva essere inviata entro il 10 agosto 2010. Se inizia, ad esempio, il 25 agosto 2011, deve essere inviata entro il 10 agosto 2011.
Ad occuparsi della materia è la Divisione delle Manifestazioni a Premio (X°) della Direzione Generale mercato, concorrenza, consumatore, vigilanza e normativa tecnica.
La Divisione svolge le seguenti attività:
- Supporto all’attività normativa, interpretativa e di indirizzo sulla materia
- Funzioni di controllo sul corretto andamento delle manifestazioni
- In caso di violazioni, adozione di sanzioni amministrative (interdittive e pecuniarie)
Coloro che intendono organizzare una manifestazione a premio (concorsi – operazioni) troveranno in questa sezione un supporto virtuale per orientarsi nelle procedure: tutte le info sulle modalità di svolgimento.
https://www.mise.gov.it/index.php/it/component/content/article?id=2016511
Rimandando alle opportune fonti come questo articolo ben redatto, inerentemente tutti gli adempimenti di legge nel caso di concorso a premi non esenti da obblighi, ci sono aspetti puramente tecnici inerenti all’hosting e ai servizi di hosting provider che debbono essere presi in considerazione affinchè si possa disporre di un sistema conforme ai requisiti del ministero.
Hosting per concorso a premi
Un hosting adeguato per un concorso online si basa necessariamente sul rispetto di alcune “semplici” requisiti di tipo tecnologico che vanno rispettati affinchè si possa uscire indenni sia da un eventuale accertamento da parte dell’autorità competente che da eventuali problematiche sopravvenute con partecipanti del gioco a premi stesso che per qualsiasi motivo, anche il più banale, insensato ed infondato possibile possono aprire un contenzioso con relativo accertamento di tutti gli adempimenti burocratici e tecnologici.
Ma vediamo quali sono i requisiti ideali per essere del tutto a norma qualora decideste di organizzare un concorso a premi.
Hosting provider Cloud PA / CSP qualificato.
Sebbene questa voce possa essere assolutamente opinabile dal punto di vista burocratico e tecnologico, è sin da subito scontato che organizzare un concorso a premi su un fornitore di Hosting certificato e qualificato per la Pubblica Amministrazione, è sin da subito la migliore scelta per quanto riguarda i cavilli burocratici e prurignosi dubbi su chi mette in discussione l’abilitazione o meno del vostro fornitore di hosting non certificato.
Per la gestione di questo tipo di concorsi a premi ad esempio, noi di Managed Server lavoriamo solo ed esclusivamente con Cloud Service Provider (CSP) di tipo C, qualificato da AgID per erogare servizi Cloud IaaS alle Pubbliche Amministrazioni.
La qualifica garantisce che lo sviluppo e l’erogazione di tali servizi sono operati secondo criteri di affidabilità e sicurezza – stabiliti da AgID – considerati necessari e idonei per i servizi digitali della PA.
Hosting CISPE Service Declared – Servizi aderenti al Codice di Condotta CISPE per la protezione dei dati
I servizi Cloud di cui disponiamo e collaboriamo per le iniziative di concorsi a premio garantiscono sicurezza e trasparenza certificata per i propri utenti. Questi servizi sono dichiarati a norma dal Codice di Condotta CISPE – Cloud Infrastructure Services Provider Europe – e sono identificati da un marchio di garanzia che offre ai clienti e ai cittadini la libertà di archiviare ed elaborare i propri dati all’interno dello Spazio Economico Europeo. Inoltre, lo stesso marchio garantisce che il provider di servizi cloud non acceda o utilizzi i dati del cliente per scopi personali, come operazioni di ‘data mining’, ‘data profiling’ o marketing diretto.
Certificazione Datacenter ISO 27001
Come già spiegato già in questo articolo in cui spieghiamo perchè lavoriamo solo con datacenter certificati ISO 27001, lavorare con un Datacenter certificato ISO 27001 significa poter contare e disporre una raccolta di “best practices” che possono essere adottate per soddisfare i requisiti della norma ISO 27001:2005 al fine di proteggere le risorse informative; ISO 27001:2005 è il documento normativo di certificazione al quale l’organizzazione deve fare riferimento per costruire un Sistema di Gestione della Sicurezza delle Informazioni che possa essere certificato da un ente indipendente, mentre la norma ISO 27002:2007 non è certificabile in quanto è una semplice raccolta di raccomandazioni.
Territorialità del Datacenter su suolo italiano
Sebbene la territorialità del Datacenter su suolo italiano sia un requisito ormai obsoleto data la normativa Europea che equipara ogni paese europeo, avere territorialità su suolo Italiano è un requisito derivato dall’avere come abbiamo visto prima un Cloud Service Provider (CSP) di tipo C, qualificato da AgID per erogare servizi Cloud IaaS alle Pubbliche Amministrazioni.
Da un punto di vista prettamente pratico avere un datacenter certificato su suolo italiano evita di dover imbattersi in obiezioni da parte dei funzionari del MISE che potrebbero mettere in discussione la legittimità di utilizzare un datacenter su altro stato membro europeo.
Pur non essendo un obbligo de jure, risulta molto consigliato de facto al fine di scongiurare ed evitare sul nascere errate interpretazioni e lungaggini burocratiche.
Implementazione di sicurezza a livello sistemistico
A livello sistemistico non basta solo disporre la possibilità di operare su un Datacenter italiano con i più alti standard di certificazione, ma anche di poter lavorare nell’istanza Cloud in modo assolutamente sicuro. A livello sistemistico infatti si avrà la necessità di allestire una configurazione software più sicura possibile, utilizzando sistemi di controllo degli accessi, password robuste alfanumeriche, servizi esposti al minimo grazie ad una configurazione adeguata ed un sistema di prevenzione come firewall e IDS (Intrusion Detection System).
A livello di filesystem si andrà a produrre una certificazione di firme dei file con hashing MD5 e SHA1 dell’applicativo del cliente e rilasciato nel documento di relazione inviato tramite PEC a tutela dell’organizzatore del concorso a premi.
Logging e conservazione dei dati.
Sia durante lo svolgimento del concorso che a concorso terminato, abbiamo il dovere di loggare i dati di sistema, connessioni e IP dei visitatori e effettuarne una conservazione con durata persistente. A tutela di tutti anche a fine concorso effettuiamo un dump dei log, dei dati e del database, e ne conserviamo una copia per anni 5 su sistemi di stoccaggio dati sicuri e ridondati.
In questo modo qualora ci fosse richiesta dell’autorità giudiziaria o una verifica da parte del Garante, saremo in grado di mostrare e dimostrare la conservazione dei dati originali in piena conformità di quanto richiesto.
Qualora abbiate necessità di ospitare i vostri progetti per attività di concorsi a premi online contattateci pure, abbiamo casi di studio inerenti e siamo in grado di curare in modo professionale e legalmente conforme tutto l’aspetto tecnologico inerente.
