Misure tecniche adottate per l’utilizzo della piattaforma didattica senza pseudonimizzazione

Misure tecniche adottate per l’utilizzo della piattaforma didattica senza pseudonimizzazione

Ultimo aggiornamento: 31 Ottobre 2023
Sei qui:
Tempo di lettura: 5 min

Piattaforme Interessate:

  • Google Workspace
  • Microsoft 365

Account d’Istituto

Ogni utente ha un proprio username: nome.cognome.t01 con una propria password ed una propria email.

Questo username è formato dal nome, dal cognome, dalla lettera che sta ad intendere Docente, Personale o Studente e da due numeri di corrispondenza univoca.

Esempio docente -> antonio.esposito.d12@[dominio istituto]
Esempio studente -> antonio.esposito.s34@[dominio istituto]
Esempio membro del personale -> antonio.esposito.p43@[dominio istituto]

L’username serve per accedere a tutti i servizi dell’ Istituto.

Accesso alle piattaforme

L’accesso alla piattaforma avviene raggiungendo il portale google.it e cliccando il tasto “Accedi” in alto a destra.

Posta elettronica

Ogni utente ha un indirizzo di posta elettronica e può richiedere vari alias di posta in base alle mansioni che deve svolgere.

In base al proprio ruolo all’interno dell’organizzazione questi sono i limiti d’invio e ricezione di posta.

TipologiaInvioRicezione
Docenti e personale ATA solo con liberatoria baseSolo verso domini ammessiSolo da domini ammessi
Docente e personale ATA con liberatoria servizi aggiuntiviSenza limitazioniSenza limitazioni
Studenti minori di 14 anni (con e senza liberatoria aggiuntiva)Solo verso domini ammessiSolo da domini ammessi
Studenti maggiori di 14 anni con solo liberatoria servizi baseSolo verso domini ammessiSolo da domini ammessi
Studenti maggiori di 14 anni con liberatoria servizi aggiuntiviDomini ammessi + domini di servizi aggiuntivi attivati con l’insegnante per progetti miratiDomini ammessi + domini di servizi aggiuntivi attivati con l’insegnante per progetti mirati
Utenti Esterni temporanei che necessitano della posta elettronicaSolo verso domini ammessiSolo da domini ammessi
Utenti esterni temporanei che non necessitano della postaPosta elettronica non attivaPosta elettronica non attiva

I domini ammessi sono:

  • Il dominio scolastico
  • I domini clanto.it e scuola.org
  • I domini che terminano con .edu.it e .gov.it
  • I domini @istruzione.it, @posta.istruzione.it e @garr.it
  • I domini tecnici delle piattaforme utilizzate per la ricezione delle notifiche

I domini temporaneamente ammessi in base ai progetti devono essere comunicati al supporto tecnico per l’attivazione, i domini temporanei possono essere progetti con associazioni, olimpiadi ecc.
Qualora l’associazione non sia in possesso di un dominio da autorizzare dovrà essere fornito l’indirizzo email specifico da autorizzare.

Sistema di sicurezza della posta elettronica (ESG)

La posta elettronica in ricezione viene filtrata e monitorata dall’ ESG prima di arrivare in piattaforma.
La posta elettronica in uscita viene filtrata e monitorata dall’ESG prima di lasciare i server di posta d’istituto.

Il sistema ESG si occupa di:

  • Filtrare e bloccare spam e virus proveniente dall’esterno o inviati dall’interno.
  • Di controllare il contenuto della posta elettronica alla ricerca di determinati pattern che possono compromettere la privacy degli utenti
  • Di limitare la ricezione e l’invio della posta in maniera granulare anche caso per caso.

I pattern che vengono controllati dal sistema ESG sono pattern specifici dove si può presumere una fuga di dati in grado di identificare gli utenti nelle piattaforme. Come ad esempio:

  • Codici fiscali
  • Dati sanitari
  • Aggregazione di dati identificanti degli utenti
  • Dati personali
  • Contenuto pedopornografico
  • Contenuto pirata

Al ritrovamento di uno di questi pattern specifici il sistema decide in automatico le azioni da intraprendere:

  • Blocco della mail

Invio credenziali di primo accesso

Le credenziali di primo accesso sono univoche per ogni Account con password generate casualmente, formate da almeno 10 caratteri alfanumerici, esclusi caratteri ambigui. Al primo accesso è obbligatorio il cambio di password.

Gli invii delle credenziali vengono effettuati in maniera massiva, da server di posta europei, così da non lasciare dati su Server Google/Microsoft degli invii e quindi degli indirizzi personali.

Ogni INIZIO anno scolastico

Vengono create le credenziali per i nuovi studenti ed i nuovi docenti.
Vengono creati i gruppi classe sulla piattaforma.
Vengono inviate le mail con le credenziali di primo accesso alle mail dei genitori e degli insegnanti fornite dalla scuola.

Ogni FINE anno scolastico

Gli Account degli studenti che lasciano la scuola vengono avvisati tramite mail alla fine dell’anno scolastico di salvare i propri dati e sospesi a settembre con l’inserimento dei nuovi studenti.

Gli Account dei docenti che lasciano la scuola vengono avvisati alla fine del loro contratto e sospesi a settembre con l’inserimento dei nuovi docenti.

Studenti e docenti che lasciano la scuola hanno sempre a disposizione almeno 2 settimane per recuperare i propri dati prima della sospensione.

Gli Account sospesi vengono eliminati a dicembre di ogni anno.

Gli Account dei docenti che restano a scuola non vengono toccati.
I docenti vengono avvisati di archiviare le proprie Classroom / Teams ogni fine anno scolastico per poi creare le nuove l’anno scolastico successivo.

Servizi di base attivi

ServizioDocenti e membri del personaleStudentiUtenti esterni
ClassroomAttivo con DLPAttivo con DLPAttivo se necessario
Drive e DocumentiAttivo con DLPAttivo con DLPAttivo se necessario
CalendarioAttivo con DLPAttivo con DLPAttivo se necessario
Google MeetAttivo con DLPAttivo con DLPAttivo se necessario
JamboardAttivo con DLPAttivo con DLP (limitato)Attivo se necessario
Posta elettronicaAttivo con ESGAttivo con ESG (limitato)Attivo se necessario
GruppiAttivoAttivoAttivo se necessario
KeepAttivo con DLPAttivo con DLP (limitato)Attivo se necessario
SitesAttivo con DLPAttivo con DLP (limitato)Attivo se necessario
Disegni scuola.orgAttivoAttivoAttivo

Servizi aggiuntivi

La lista è aggiornata spesso in base alle richieste del personale docente.
I servizi sono attivabili solo con la firma della liberatoria supplementare all’utilizzo dei servizi aggiuntivi.

ServizioDocenti e membri del personaleStudentiUtenti esterni
Microsoft 365 A1AttivabiliAttivabiliAttivabile se necessario
Google Workspace Edu app aggiuntiveAttivabiliAttivabiliAttivabile se necessario

App terze parti (Login con Google)

I servizi sono attivabili solo da utenti maggiorenni e solo con la firma di una liberatoria supplementare all’utilizzo della specifica app terze parti.

Si ricorda inoltre che l’utilizzo di tali servizi è sotto la responsabilità del docente che ne hanno richiesto l’attivazione:

  • I servizi aggiuntivi dovranno essere limitati al lavoro scolastico e potranno essere oggetto di monitoraggio per verificare il rispetto di tale limitazione con conseguente limitazione o disattivazione del servizio in caso di abuso;
  • DIVIETO di diffondere qualunque degli studenti, anche se maggiorenni, all’interno dei servizi aggiuntivi;
  • Al primo accesso ad un servizio aggiuntivo dovranno essere accettato i termini e condizioni del servizio tra l’utente ed il servizio ed il trattamento dei dati che potrebbe essere effettuato anche al di fuori dello Spazio Economico Europeo;
  • La proprietà dei dati all’interno dei servizi aggiuntivi potrebbe essere del Titolare della piattaforma;
  • L’Istituto è esonerato da ogni responsabilità per l’utilizzo dei servizi aggiuntivi;
  • La scuola può aggiornare in qualsiasi momento senza alcun preavviso la lista di applicazioni consentite;
  • L’utente potrà in qualunque momento potrà chiedere la disabilitazione dei servizi aggiuntivi al supporto tecnico della scuola.

Siti e portali vietati

Qui una lista di siti web e portali vietati per tutti gli utenti, non è possibile utilizzare questi siti web con l’account d’istituto.

Servizio
ChatGPT e portali simili
Social Network (TikTok, Facebook, Instagram, Pinterest, Snapchat ecc.)
Portali pornografici
OnlyFans e portali simili
Giochi per dispositivi mobili
App di messaggistica
Portali per lo streaming a pagamento
Tutti i siti web ed i portali che non sono nella lista dei consentiti

Browser gestito

Nel momento in cui si accede a Google tramite Google Chrome, il sistema verifica se si è loggati nel profilo di Chrome corretto e se il browser rispetta i parametri di sicurezza minimi richiesti.
Se non si è loggati nel profilo scolastico o non si rispettano i parametri di sicurezza minimi apparirà il messaggio “La tua organizzazione richiede un profilo”. Basterà cliccare su “Crea” affinché venga creato automaticamente un nuovo profilo di Chrome separato dal precedente.

Il profilo creato viene gestito come un secondo Google Chrome sul PC, già provvisto di:

  • Estensioni per eliminare i traccianti, i cookie, le pubblicità ecc
  • Impostazioni ottimali per l’utilizzo della suite Google Workspace
  • DNS su HTTPS imposto su server che filtrano i traccianti

Navigazione in incognito

I Computer della didattica (LIM, aule, Computer condivisi ecc.) sono impostato per aprire Google Chrome sempre in modalità in incognito.
Per gli amministratori per l’installazione sui nuovi Computer:
Va modificata una chiave di registro sui Computer, per farlo basta scaricare questo file: https://clanto.it/software/chrome_incognito.zip
Esterlo ed installare la chiave “FORZA Incognito Chrome“.
Per reimpostare le impostazioni di default basta installare la chiave “DEFAULT Permetti Incognito Chrome”.

Data Loss Prevention (DLP)

La Data Loss Prevention è un sistema che monitora costantemente i dati inseriti in piattaforma
in tutte le sue applicazioni e le loro condivisioni.

Il suo scopo:

  • Cerca eventuali comportamenti anomali o imprevisti dovuti ad un hackeraggio o ad un
    malware.
  • Cerca eventuali comportamenti atti a condividere dati sensibili in maniera non autorizzata e li
    blocca.
  • Cerca e segnala dati che normalmente non dovrebbero essere caricati in piattaforma
    (materiale sensibile, materiale pirata ecc.)

Il sistema blocca o avvisa l’utente in caso di azioni scorrete.

Il sistema non ricerca nomi e cognomi, ma cerca pattern di dati specifici.

Directory e ricerca all’interno della piattaforma

A tutti gli utenti in piattaforma è consentito cercare altri utenti per nome e cognome, e vedere l’indirizzo email dell’altro utente.

Non è consentito modificare nome, cognome o immagine dell’account.

App meno sicure

L’utilizzo delle App meno sicure è disattivato di default in quanto l’utilizzo di questi protocolli deprecati bypasserebbe i sistemi di controllo.

Sessioni

Le sessioni sulle piattaforme hanno una durata massima di 7 giorni, allo scadere dei 7 giorni si deve rieffettuare il login.

L'articolo è stato d'aiuto?
Non mi Piace 0 0 di 0 hanno trovato questo articolo d'aiuto.
Visualizzazioni: 26
Torna in cima