Sicurezza delle informazioni: oltre la tecnologia

Documenti analoghi
Decreto Legislativo 30giugno 2003, n. 196 Codice in materia di protezione dei dati personali

Principali adempimenti privacy

Giudizio di conformità sugli adempimenti richiesti BOZZA

Privacy e Misure di Sicurezza. Giulia M. Lugoboni

Sistemi informativi in ambito sanitario e protezione dei dati personali

A) NOMINA DEL RESPONSABILE ESTERNO DEL TRATTAMENTO DEI DATI PERSONALI... 4

Le misure di sicurezza nel trattamento di dati personali

SGSI CERT CSP POSTE ITALIANE

La nuova edizione della norma ISO (seconda parte)

02/10/2010 ABILITA INFORMATICHE E TELEMATICHE. Introduzione al problema. Obiettivi. Protezione dei dati e Privacy A.A

Nome modulo: MISURE DI SICUREZZA ADOTTATE DALL AMMINISTRAZIONE NOME LEZIONE: INTRODUZIONE

Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

Circolare N.26 del 22 febbraio DL semplificazioni: eliminato il DPS

STUDIO MURER COMMERCIALISTI

D.P.R. 28 luglio 1999, n. 318

REGOLAMENTO COMUNALE SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI CONTENUTI IN ARCHIVI E BANCHE DATI COMUNALI

Trento, 8 febbraio Privacy (d.lgs 196/03) e internet. Obblighi ed opportunità per il datore di lavoro

STRUTTURA (Denominazione). COMPETENZE della Struttura...

"Organizzazione del lavoro, Responsabilità amministrativa degli enti ed efficacia esimente ai sensi dell'art. 30 dlgs 81/08: l'importanza

Comune di Assago. Provincia di MI. DOCUMENTO PROGRAMMATICO sulla SICUREZZA

Verso il nuovo Regolamento Europeo Privacy

Sample test Informatica Giuridica modulo: Protezione dati personali: Privacy e Sicurezza

Allegato E Segnalazioni Appendice E. 1

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Circolare per i Clienti del 22 febbraio 2012

Kit Documentale Qualità UNI EN ISO 9001:2015. Templates modificabili di Manuale, Procedure e Modulistica. Nuova versione 3.

IL NUOVO CODICE SULLA PRIVACY D.L.vo 196/2003

Progettazione di un efficace Sistema di Gestione per la Sicurezza delle Informazioni (utilizzando il framework dello standard ISO27001)

ASPETTI PRINCIPALI CODICE SULLA PRIVACY (D. Lgs. 196/2003)

La normativa sulla privacy è definita in Italia come normativa sulla PROTEZIONE DEI DATI PERSONALI

Incaricati del trattamento dei dati personali: linee guida e istruzioni operative ai sensi del decreto legislativo n.196/2003.

I REQUISITI INNOVATIVI DELLA ISO Alessandra Peverini Perugia 23 ottobre 2015

Risultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice

Procedure in materia di Privacy

LA NORMA INTERNAZIONALE SPECIFICA I REQUISITI DI UN SISTEMA DI GESTIONE PER LA QUALITÀ PER UN'ORGANIZZAZIONE CHE:

Proposta per l organizzazione della Sicurezza Informatica dell ISTI

Norme per il trattamento dei dati personali nell INFN

Istituto Comprensivo Statale 10 Vicenza. Provincia di VI. Documento Programmatico sulla Sicurezza ALLEGATO B. Adozione delle Misure di Sicurezza

REGOLAMENTO PER L UTILIZZO DELL IMPIANTO DI VIDEOSORVEGLIANZA AL PENSIONATO PIAGGI

ISO 9001:2015 LA STRUTTURA DELLA NORMA

REGOLAMENTO PER L UTILIZZO DEI SISTEMI DI VIDEOSORVEGLIANZA ALL INTERNO DEL COMUNE

Evoluzione del Sistema di Gestione Sicurezza Ambienti Lavoro

DPR 318 e sua entrata in vigore

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA SEMPLIFICATO

Privacy. Natale Prampolini 196/03. ing. Natale Prampolini Business & Technology Adviser

REGOLAMENTO COMUNALE PER L INSTALLAZIONE E L UTILIZZO DI IMPIANTI DI VIDEOSORVEGLIANZA DEL TERRITORIO COMUNALE

Sistema di controllo interno

Privacy. Quadro normativo. Definizioni di dati. L. 675/1996 D. Lgs. 196/2003 Perché? Dati pubblici Dati personali Dati sensibili.

DI GESTIONE E CONSERVAZIONE DEI DOCUMENTI

Qualification Program in Information Security Management according to ISO/IEC Cesare Gallotti Milano, 23 gennaio 2009

COMUNE DI BORGOSATOLLO PROVINCIA DI BRESCIA SERVIZIO DI POLIZIA LOCALE

ACCREDITAMENTO LABORATORI DI ANALISI UNI CEI EN ISO/IEC 17025:2005. Dr.ssa Eletta Cavedoni Cosmolab srl Tortona

Cambiamenti Normativi

CONSERVAZIONE DIGITALE

Profili di Responsabilità degli operatori di sistemi telematici

I contenuti e i vantaggi della certificazione ISO in relazione agli obblighi del Dlgs 102/2014

Nuove responsabilità organizzative del titolare e azioni da intraprendere

Art. 1 Ambito di applicazione

I sistemi di gestione della salute e sicurezza sul lavoro. La norma OHSAS 18001

ARPA Agenzia Regionale per la Prevenzione e l'ambiente dell'emilia - Romagna * * * Atti amministrativi

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

QUESTIONARIO PER LA PREDISPOSIZIONE DEL PRIMO DPS SENZA STRUMENTI INFORMATICI

Diritto e ICT Modulo 1 Protezione Dati Personali Privacy e Sicurezza (Versione 1.0)

Conoscenza delle norme di base in materia di protezione dei dati personali

SEGRETERIA CENTRALE DEL SISTEMA STATISTICO NAZIONALE

DISCIPLINARE PROGRAMMA PER L UTILIZZO DEGLI IMPIANTI DI VIDEOSORVEGLIANZA

ARPA Agenzia Regionale per la Prevenzione e l'ambiente dell'emilia - Romagna * * * Atti amministrativi

LETTERA DI INCARICO PER IL TRATTAMENTO DI DATI PERSONALI

Sistema Informativo Unitario Regionale per la Programmazione (S.I.U.R.P.) LA SICUREZZA INFORMATICA

APPROVATO DAL: C.C. con atto n. 2/00

LA STRUTTURA DELL ISO 9001:2015

Importanza degli aspetti legali per un professionista

Documento adozione misure minime di sicurezza. ex art C.C ed ai sensi dell'art. 24Bis D.Lgs n. 23

REGOLE PER IL TRATTAMENTO DEI DATI PERSONALI

LA PRIVACY POLICY DEL SITO INTERNET

Regolamento sulla tutela della riservatezza dei dati personali contenuti in archivi e banche-dati comunali

COMPLIANCE PENALE Adozione ed Aggiornamento del Modello 231 Approccio Operativo

L attuazione del Codice in Materia di Protezione dei Dati Personali in ambito sanitario

Il Testo Unico sulla Privacy

imprese individuali, società;

Articolo 1 Oggetto e finalità

20 ALLEGATO. Questo allegato contiene i seguenti documenti: 1- ESEMPIO DI PROCEDURA DI RIESAME DELLA DIREZIONE

AZIENDA TERRITORIALE PER L EDILIZIA RESIDENZIALE DELLA PROVINCIA DI VICENZA DISCIPLINARE PER IL CONFERIMENTO DI INCARICO PER

Le nuove norme della famiglia 27000

PG-SGSL 03 Definizione degli obiettivi e dei programmi

COMUNE DI VIGONE REGOLAMENTO COMUNALE SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI CONTENUTI IN ARCHIVI E BANCHE DATI

UFFICIO SEGRETERIA all. alla deliberazione C.C. n. 21 del 22/05/2006 COMUNE DI BREMBILLA PROVINCIA DI BERGAMO SISTEMA DI VIDEOSORVEGLIANZA

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security

REGOLAMENTO COMUNALE SULAL DISCIPLINA DELLA PRIVACY AI SENSI DELLA LEGGE 675/96 E DEL D. LGS. 135/99

La condensazione della nuvola

LINEE GUIDA PER L APPLICAZIONE DELLA NORMATIVA SULLA PRIVACY

PROCEDURE PRIVACY PER INCARICATI

Convegno di studio su Privacy e Telemedicina

Fac-simile DICHIARAZIONE DI AUTORIZZAZIONE AL TRATTAMENTO DEI DATI PERSONALI, IDENTIFICATIVI, SENSIBILI e GIUDIZIARI ex D.LGS. 30 giugno 2003 n.

Third Party Assurance Reporting

RILEVATO che il presente atto non comporta impegno di spesa a carico del bilancio comunale

ISTRUZIONI AGLI INCARICATI DEL TRATTAMENTO DEI DATI PERSONALI COMUNI, SENSIBILI E/O GIUDIZIARI

TENUTA E AGGIORNAMENTO DEL REGISTRO DELLE PERSONE CHE HANNO ACCESSO AD INFORMAZIONI PRIVILEGIATE DELLA SNAM S.p.A.

COMUNE DI BALLAO PROVINCIA DI CAGLIARI. DETERMINAZIONE N. 26 del 07/02/2013 SEGRETERIA

Transcript:

Sicurezza delle informazioni: oltre la tecnologia 27 aprile 2015 Ing. Diego Mezzina 1

Sicurezza delle informazioni: oltre la tecnologia Obiettivo: Fornire una visione d insieme sul concetto di sicurezza delle informazioni e della sua gestione secondo delle norme internazionali (famiglia ISO 27xxx), e secondo i dettami di una normativa italiana cogente (D. Lgs. 196/2003 Codice sulla privacy) Scaletta: Concetti inziali: sicurezza, rischio, sistema di gestione Il sistema di gestione per la sicurezza delle informazioni secondo le norme ISO 27xxx: La normativa sulla privacy e l impatto sulla sicurezza delle informazioni

Concetti iniziali 3

Cosa intendiamo per sicurezza? Sicurezza delle informazioni (information security): Mantenimento delle proprietà di disponibilità, integrità e riservatezza dell informazione: possono essere inoltre coinvolte altre proprietà quali autenticità, responsabilità, non ripudio ed affidabilità Disponibilità (availability): Proprietà di essere accessibile ed utilizzabile dietro richiesta di un entità autorizzata Riservatezza (confidentiality): Proprietà per cui l informazione non è resa disponibile o comunicata a individui, entità o processi non autorizzati Integrità (integrity): proprietà di accuratezza e completezza Autenticità (authenticity): Proprietà per cui un entità è ciò che dice di essere Non ripudio (non-repudiation): capacità di dimostrare l occorrenza di un evento o un azione dichiarata e le relative entità di origine Affidabilità (reliability): proprietà di consistenza tra il comportamento atteso e i risultati Definizioni secondo la norma ISO/IEC 27000:2014

Fattori da considerare 5

Esiste la sicurezza assoluta? Tutto cambia nel tempo Cambiamenti controllati/controllabili in Controlli * Beni aziendali Valore Cambiamenti incontrollati/incontrollabili in Minacce Vulnerabilità Requisiti normativi E allora quale approccio seguire? 6

Il concetto di rischio Rischio (risk): effetto dell incertezza sugli obiettivi Gestione del rischio (risk management): attività coordinate per dirigere e controllare un organizzazione relativamente al rischio Accettazione del rischio (risk acceptance):decisione informata di accettazione di un rischio 7

La tecnologia da sola può essere l unica risposta? tra le minacce alla sicurezza troviamo anche: Social engineering Comportamenti incauti degli addetti Comportamenti dolosi degli addetti Come si possono implementare adeguate contromisure? 8

Il concetto di sistema di gestione Sistema di gestione (management system) Insieme di elementi di un organizzazione collegati o interagenti per stabilire politiche e obiettivi e processi per raggiungere tali obiettivi Un sistema di gestione può riguardare una o più discipline Gli elementi del sistema di gestione possono includere tutte le aree di un organizzazione L ambito del sistema di gestione può riguardare l intera organizzazione o parte di essa Può essere implementato il Sistema di Gestione per la Sicurezza delle Informazioni(SGSI) 9

Il Sistema di Gestione per la Sicurezza delle informazioni e la famiglia di norme ISO 27xxx 10

Definizione di SGSI SGSI (information security management system ISMS) sistema di gestione per la sicurezza delle informazioni: quella parte del sistema di gestione globale, basata su approccio al rischio, per istituire, attuare, operare, monitorare, riesaminare, mantenere e migliorare la sicurezza delle informazioni. Il sistema di gestione comprende la struttura, le politiche, le attività di pianificazione, le responsabilità, le prassi, le procedure, i processi e le risorse dell organizzazione (ISO/IEC 27000:2014)

La famiglia di norme ISO 27xxx per i sistemi di gestione 12

La norma UNI CEI ISO/IEC 27001:2014 E una norma volontaria internazionale certificabile che definisce i requisiti per impostare e gestire un Sistema di Gestione della Sicurezza delle Informazioni (SGSI o ISMS dall'inglese Information Security Management System), ed include aspetti relativi a sicurezza logica sicurezza fisica sicurezza organizzativa.

Ciclo di vita SGSI 14

Approccio al rischio - definizioni Rischio (risk): effetto dell incertezza sugli obiettivi Gestione del rischio (risk management): attività coordinate per dirigere e controllare un organizzazione relativamente al rischio Valutazione del rischio (risk assessment): processo globale di identificazione, analisi e stima del rischio Identificazione del rischio (risk identification): processo di ricerca, riconoscimento e descrizione dei rischi Analisi del rischio (risk analysis): processo per comprendere la natura del rischio e determinarne il livello di rischio Stima del rischio (risk evaluation): processo di comparazione del rischio stimato con dati criteri di rischi per determinare l importanza del rischio Trattamento del rischio (risk treatment): processo di trattamento della scelta e dell attuazione delle misure per modificare il rischio Accettazione del rischio (risk acceptance):decisione informata di accettazione di un rischio 15

Approccio al rischio - visivamente 16

e tutto porta a Dichiarazione di applicabilità (statement of applicability): documento che descrive gli obbiettivi del controllo e i controlli che sono rilevati e applicabili al SGSI dell organizzazione, basato sui risultati e sulle conclusioni dei processi di valutazione del rischio e di trattamento del rischio 17

Altri elementi importanti Ruoli e responsabilità chiari (assegnati e comunicati) Controlli regolari e riesame della direzione Controlli: siccome il sistema cambia, e cambiano anche gli agenti esterni Riesame: per essere sicuri di mantenere la rotta voluta Obbligo al miglioramento continuo Gestione di tutte le non conformità Analisi delle cause, azioni correttive, verifiche di efficacia Miglioramento del sistema nel tempo 18

CONTROLLI 19

Controlli previsti La norma UNI CEI ISO/IEC 27001:2014 prevede 114 controlli 35 categorie 14 sezioni I controlli sono allineati con la norma ISO/IEC 27002:2013 «Information technology Security techniques Code of practice for information security controls» 20

Colpo d occhio sui temi affrontati http://www.iso27001security.com/html/27002.html 21

Le categorie di controllo - 1 Section 5: Information security policies 5.1 Management direction for information security Section 6: Organization of information security 6.1 Internal organization 6.2 Mobile devices and teleworking Section 7: Human resource security 7.1 Prior to employment 7.2 During employment 7.3 Termination and change of employment 22

Le categorie di controllo - 2 Section 8: Asset management 8.1 Responsibility for assets 8.2 Information classification 8.3 Media handling Section 9: Access control 9.1 Business requirements of access control 9.2 User access management 9.3 User responsibilities 9.4 System and application access control 23

Le categorie di controllo - 3 Section 10: Cryptography 10.1 Cryptographic controls Section 11: Physical and environmental security 11.1 Secure areas 11.2 Equipment security 24

Le categorie di controllo - 4 Section 12: Operations management 12.1 Operational procedures and responsibilities 12.2 Protection from malware 12.3 Backup 12.4 Logging and monitoring 12.5 Control of operational software 12.6 Technical vulnerability management 12.7 Information systems audit considerations 13 Communications security 13.1 Network security management 13.2 Information transfer 25

Le categorie di controllo - 5 Section 14: System acquisition, development and maintenance 14.1 Security requirements of information systems 14.2 Security in development and support processes 14.3 Test data 15: Supplier relationships 15.1 Information security in supplier relationships 15.2 Supplier service delivery management Section 16: Information security incident management 16.1 Management of information security incidents and improvements 26

Le categorie di controllo - 6 Section 17: Information security aspects of business continuity management 17.1 Information security continuity 17.2 Redundancies Section 18: Compliance 18.1 Compliance with legal and contractual requirements 18.2 Information security reviews 27

Gestione degli eventi di sicurezza / vulnerabilità Obbligatorio prevederla in modo da poterla attivare quando (non se!) accade qualcosa di inaspettato o anomalo Definizioni Evento relativo alla sicurezza delle Informazioni (o, per brevità, Evento di sicurezza): Identificazione dello stato di un sistema, servizio o rete che indica una possibile violazione delle politiche di sicurezza, un fallimento dei controlli di sicurezza o una situazione precedentemente sconosciuta che può essere rilevante dal punto di vista della sicurezza. Incidente relativo alla sicurezza delle Informazioni (o, per brevità, Incidente di sicurezza): Singolo o serie di eventi relativi alla sicurezza delle informazioni non voluti o inaspettati che hanno una significativa probabilità di compromettere l operatività dell organizzazione e minacciare la sicurezza delle informazioni. Vulnerabilità: debolezza di un sistema o di una contromisura che può essere sfruttata da una o più minacce che possono minare la sicurezza delle informazioni. 28

Un esempio di requisiti cogenti: la normativa sulla privacy e gli impatti sulla sicurezza delle informazioni 29

Il concetto di privacy Nel linguaggio comune privacy significa il diritto di proteggere la propria sfera privata Il termine privacy deriva da un concetto giuridico di fine 800 e significa diritto a essere lasciati soli Nel linguaggio giuridico attuale Privacy significa il diritto di controllare l uso e la circolazione dei propri dati personali. Il diritto alla privacy è un diritto fondamentale delle persone e viene sancito anche dalla Carta dei diritti fondamentali dell Unione Europea (art.8) In Italia: Codice della Privacy (D.Lgs. 196/2003) + Provv. del Garante della privacy 27/11/2008 (Amm. di sistema) 30

Tipologie di dati personali Dato personale, idoneo a rivelare lo stato di salute e la vita sessuale, trattato dagli esercenti le professioni sanitarie e gli organismi sanitari pubblici Dato personale idoneo a rivelare provvedimenti in materia di casellario giudiziale, anagrafe delle sanzioni ammini-strative dipendenti da reato e dei relativi carichi pendenti Dato personale idoneo a rivelare l origine razziale, le convinzioni religiose o filosofiche, le opinioni politiche nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale Qualunque informazione relativa a persona fisica identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione Dato che non può essere associato ad un interessato identificabile 31

Vista sui dati personali Il livello di tutela dei dati personali cresce all aumentare della riservatezza 32

I soggetti coinvolti Passivi Attivi Titolare Responsabile Interessati Amministratore di sistema Incaricato 33

I soggetti coinvolti INTERESSATO: La persona fisica cui si riferiscono i dati personali TITOLARE: La persona fisica, giuridica, la P.A. cui competono le decisioni in ordine alle finalità, alle modalità di trattamento e agli strumenti utilizzati, ivi compreso il profilo della sicurezza RESPONSABILE: La persona fisica, giuridica, la P.A. e preposti dal titolare al trattamento dei dati personali INCARICATO: La persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile. AMMINISTRATORE DI SISTEMA: Figura professionale finalizzata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. 34

Trattamento dei dati Trattamento = Qualunque operazione effettuata sui dati Raccolta, registrazione, utilizzo, consultazione, modificazione, comunicazione, diffusione, cancellazione, distruzione Un trattamento è un processo che contempla tutto il ciclo di vita del dato dalla sua acquisizione alla sua eliminazione I dati personali devono essere trattati per finalità lecite I dati personali trattati devono essere pertinenti e non eccedenti rispetto alle finalità 35

Misure di sicurezza - 1 I dati personali oggetto di trattamento devono venir custoditi e controllati per ridurre al minimo: I rischi di distruzione o perdita I rischi di accesso non autorizzato Il trattamento non consentito o non conforme le finalità Gli strumenti da adottare non sono prefissati ma devono tener conto: Delle conoscenze tecniche acquisite in base al progresso tecnologico Della natura dei dati Delle specifiche caratteristiche del trattamento 36

Misure di sicurezza - 2 Misure Minime Misure individuate dal Legislatore volte ad assicurare un livello minimo di Sicurezza Sono elencate nel Codice e dettagliate nel Disciplinare Tecnico Il non rispetto delle misure minime comporta responsabilità penali Misure Idonee Misure non individuate dal Legislatore, ma suggerite dal contesto tecnologico, dalla natura dei dati trattati e dalle modalità di tratta-mento La scelta e l applicazione di misure idonee è demandata al Titolare del Trattamento Il mancato rispetto delle misure idonee comporta responsabilità civili 37

Misure minime nei trattamenti con strumenti elettronici Autenticazione Informatica Adozione di procedure di gestione delle credenziali di autenticazione Utilizzazione di un sistema di autorizzazione Aggiornamento periodico dell individuazione dell ambito del trattamento consentito agli incaricati e agli addetti Protezione degli strumenti elettronici da accessi illeciti e trattamenti non consentiti Adozione di procedure per il salvataggio e ripristino dei dati Adozione di tecniche di cifratura o di codici identificativi per trattamenti di dati sanitari 38

Misure minime nei trattamenti senza strumenti elettronici Agli incaricati sono impartite istruzioni scritte finalizzate al controllo e alla custodia degli atti e documenti contenenti dati personali I documenti contenenti dati sensibili o giudiziari utilizzati dagli incaricati devono venir custoditi e vigilati fino al termine delle operazioni affidate L accesso agli archivi contenenti dati sensibili o giudiziari è controllato Deve essere presente un registro per gli accessi fuori orario L accesso deve venir preventivamente autorizzato 39

Provvedimento 27 novembre 2008 del G.d.P. - 1 Amministratore di sistema: figura professionale finalizzata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti Criticità del ruolo: Responsabili di specifiche fasi lavorative che possono comportare rischi elevati rispetto alla protezione dei dati Fiduciari con possibilità di accesso ai dati illimitate e incontrollate Cardini dell attuazione delle misure di sicurezza aziendali 40

Provvedimento 27 novembre 2008 del G.d.P. - 2 Impone ai Titolari dei trattamenti effettuati con strumenti elettronici alcune misure e alcuni accorgimenti di: Ordine amministrativo Ordine tecnico Le incombenze previste possono venir assolte dal Titolare o dal Responsabile esterno (punti d, e) a) Valutazione delle caratteristiche soggettive dei soggetti da designare amministratori di sistema b) Designazioni individuali recanti l elencazione analitica degli ambiti di operatività consentiti 41

Provvedimento 27 novembre 2008 del G.d.P. - 3 c) Gestione degli elenchi delle persone fisiche amministratori di sistema. I nomi devono essere presenti in un documento interno che deve venir aggiornato periodicamente d) Servizi in outsourcing. Il Titolare o il Responsabile esterno devono conservare direttamente gli estremi identificativi degli amministratori di sistema e) Verifica delle attività. L operato degli amministratori di sistema deve essere oggetto di una attività di verifica f) Registrazione degli accessi. Devono essere adottati sistemi idonei alla registrazione degli accessi logici ai sistemi di elaborazione. Le registrazioni devono essere conservate per almeno sei mesi 42

Fine 43

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back