Ciao grazie,

Ho notificato un attimo la commissione Tech a riguardo nel caso abbiano qualche consiglio a riguardo

SparkPost trasferisce dati personali negli USA, come peraltro dichiarato in https://messagebird.com/legal/privacy#5-international-transfer-of-personal-data , nonché a svariate aziende USA fra cui Google, Amazon ed El Camino.
https://support.messagebird.com/hc/en-us/articles/4524524060305-MessageBird-Processors-Subprocessor-

Hai qualche altro fornitore da suggerire @Nemo_bis?

Ho sottoposto le osservazioni al supporto di SparkPost e mi hanno risposto così:

1. Sparkpost EU is full GDPR compliant

Please find attached a copy of the SparkPost ISO27001 certificate and Statement of Applicability. The latest audit was was concluded last January and was conducted by EY. Control Domain A.18 highlights the Compliance controls, including privacy and data protection under section 18.1.4. Additional information about SparkPost's GDPR compliance can be found in the Privacy Statement and Data Processing Agreement.

2. Sparkpost EU, under no circumstances can be lawfully required to send our personal data to non EU countries (for example the USA)

SparkPost offers the ability to its customers to determine if they want the main hosting facility to be located in the EU or the US. When you have an EU account, any personal data that is routed with your EU account generally remains at rest in the EU and general processing occurs in the EU, specifically on AWS servers in Dublin, Ireland. After general processing, the emails are then routed through our IP infrastructure located in the UK. However, since we have a global support team and a US-based engineering team, we do require some processing of personal data to occur from outside the EU and UK in order to facilitate customer support, bug fixes, and backups. Email addresses are pseudonymized in the EU via one-way hashing before they are transferred to the US. Moreover, recipient data is encrypted twice, once by default by AWS, as well as an additional level of encryption is applied over the same data by SparkPost itself. SparkPost is currently unable to guarantee that the data stemming from our services remains in the UK/EU only. In these cases, we rely on the provisions of our Data Processing Agreement and the Standard Contractual Clauses to provide an adequate mechanism for cross-border transfer under GDPR.

Please see the attached documentation, if you have any other questions please let me know.

Solo per precisazione: non è che siamo fissati con SparkPost, è solo che ha un'ottima estensione già pronta per CIviCRM che utilizza le API anziché usare il protocollo SMTP e molti partner di CiviCRM la stanno usando da anni. Quindi ci veniva comodo usarla.

Grazie per aver allegato le risposte ufficiali di SparkPost e i documenti legali.

Personalmente direi che se avete un componente pronto per questo fornitore, almeno finché non ci sono dubbi più concreti e più puntuali su questi documenti, direi di proseguire.

Nel caso, possiamo sempre chiedere a Wikimedia Italia di investire risorse per creare un altro componente su un altro fornitore più etico. Che dici Nemo?

La risposta di SparkPost non cambia nulla.

Giusto per chiarire, perché adottare un SMTP più tradizionale sarebbe da sconsigliare? Perché proponendo per andare di API chiaramente vincerà SparkPost essendo l'unico.

Sinceramente non lo so, penso perché con le API sarà il loro sistema che deciderà quando smistare e in che modo...
L'utilizzo di un SMTP non è sconsigliabile, è solo che varie persone della community ci hanno consigliato SparkPost. Non lo metterei pertanto come prerequisito.

(Premettendo che onestamente è stata un'altra brutta giornata per noi tre/quattro sfigati della commissione Tech, siccome avevamo fortemente suggerito a WMIT di contattare voi - CiviHost - per implementare il "registro dei volontari" con le vostre competenze su CiviCRM al fine di usare il più possibile software libero, invece direi che l'associazione ha deciso diversamente... penso che qualcuno vi avrà avvisato di questo. Ora, senza cambiare argomento per parlare di questa cosa che mi ha onestamente rovinato la giornata e la famiglia, questo clima è sicuramente parzialmente correlato a quello che sto per dire.)

Auspicando di non dare il colpo di grazia a @Laurentius e @Nemo_bis e altri attivisti, proporrei di mettere un attimo da parte SparkPost per un banale principio di precauzione. Diciamo anche benvista eccessiva precauzione. Stimo Nemo_bis e confido nelle sue competenze su questi dettagli, che saprebbe decisamente argomentare meglio con più tempo libero.

Potrei quindi suggerirei di adottare uno dei 3 fornitori suggeriti sopra in descrizione, ovvero:

https://mailpace.com/
https://emaillabs.io/en/
https://www.brevo.com/it/

Ci sta? P.S. Grazie mille che ci coinvolgi

Ok. Intanto per questo mese continuiamo con il nostro relay (su Hetzner): abbiamo finalmente un IP che non è dentro alcuna blacklist (il precedente che ci era stato assegnato era dentro una blacklist interna di Telecom (non identificata né da noi né dal supporto Hetzner).
Poi daremo avvio alla selezione...se avete preferenze fatemi sapere. A prima vista mi sembrava molto semplice da capire la tariffazione e le caratteristiche tecniche di mailpace.com...ma non ho approfondito.

PS: per il registro volontari mi ha scritto qualche giorno fa Alice e ci siamo sentiti anche oggi. Mi sembrava stessero valutando...se vuoi @valerio.bozzolan apro in task specifico qui così magari mi aiutate a capire se e come possiamo risolvere la firma temporale che è un servizio che CiviCRM non ha nativamente (ovvio), ma non ha a tutt'oggi una extension con qualche servizio esterno.

OK. Se ci sono preferenze le mettiamo in descrizione così non ti facciamo impazzire.

Proseguendo il P.S. · penso che il minimo che potreste chiedere allo staff è di farvi gentilmente spiegare da loro che cosa diavolo WMIT ha acquistato (magari con altre parole, magari no), e vederlo un attimo in azione, all'unico fine di comprendere su quale base normativa questo "coso" fa leva. La sparo. Vi dicono che manda una PEC una volta l'anno al presidente per apporre firma digitale? In base a queste informazioni che reputo fondamentali (e che forse andavano richieste prima dell'acquisto, ma ....) almeno potranno aiutarvi su come implementare gli stessi requisiti normativi anche in CiviCRM, semmai vi sarà richiesto.

Ancora grazie @samuele.masetto - scusami per il chiarimento sul nostro off-topic. L'associazione per caso vi aveva richiesto almeno un preventivo sul registro dei volontari? (non è necessario fornire alcuna informazione sulle cifre qui, era solo una curiosità sì/no) grazie mille :)