Le versioni tradotte di accordi e informative legali vengono fornite solo al fine di facilitare la lettura e la comprensione delle versioni in inglese. La fornitura delle traduzioni di accordi e informative legali non ha come obbiettivo quello di creare un contratto legalmente vincolante, né quello di sostituire la validità legale delle versioni in inglese. In caso di controversie o conflitti, le versioni in inglese di accordi e informative legali regolano il nostro rapporto e prevarranno sui termini tradotti in altre lingue.
Standard di sicurezza
Ultima revisione: 9 maggio 2018
I. Misure tecniche e organizzative
Ci impegniamo a proteggere i dati dei clienti. Tenendo conto di best practice, costi di implementazione, natura, finalità, circostanze e obiettivi del trattamento oltre alla diversa probabilità di ricorrenza e alla gravità dei rischi per i diritti e le libertà delle persone fisiche, prendiamo le seguenti misure tecniche e organizzative. Al momento di decidere le azione da mettere in atto, prendiamo in considerazione riservatezza, integrità, disponibilità e resilienza dei sistemi. A seguito di un incidente tecnico o fisico, è garantito il ripristino rapido dei sistemi.
II. Programma sulla privacy dei datiIl nostro Programma sulla privacy dei dati è stato redatto per gestire una struttura globale per la governance dei dati e proteggere le informazioni durante il loro intero ciclo di vita. Il programma è condotto dall'ufficio del Data Protection Officer che sovrintende l'implementazione delle prassi per la privacy e delle misure di sicurezza. Testiamo, valutiamo e verifichiamo con regolarità l'efficacia del Programma sulla privacy dei dati e degli Standard di sicurezza.
1. Riservatezza. "Riservatezza indica che i dati personali sono protetti contro la divulgazione non autorizzata".
Impieghiamo una serie di misure fisiche e logiche per proteggere la riservatezza dei dati personali dei clienti. Tali misure includono:
Sicurezza fisica
- Sistemi fisici per il controllo degli accessi (controllo degli accessi tramite badge, monitoraggio degli eventi di sicurezza e altro)
- Sistemi di sorveglianza, inclusi allarmi e, ove appropriato, monitoraggio mediante monitor a circuito chiuso
- Politiche e controlli per tenere le scrivanie sgombre (blocco dei computer lasciati incustoditi, armadi bloccati e altro)
- Controllo degli accessi dei visitatori
- Distruzione dei dati su supporti fisici e documenti (tramite tritura documenti, demagnetizzazione e così via)
Controllo degli accessi e prevenzione degli accessi non autorizzati
- Limitazioni per l'accesso utente applicate e autorizzazioni di accesso basate sul ruolo fornite/revisionate in base al principio di separazione delle funzioni
- Metodi efficaci di autorizzazione e autenticazione (autenticazione a più fattori, autorizzazione basata su certificato, disattivazione/disconnessione automatica e così via)
- Gestione centralizzata delle password e politiche severe/complesse per le password (numero minimo di caratteri, complessità dei caratteri, scadenza delle password e così via)
- Accesso controllato a email e Internet
- Gestione degli antivirus
- Gestione del sistema di prevenzione delle intrusioni
Crittografia
- Crittografia delle comunicazioni esterne e interne tramite severi protocolli di crittografia
- Crittografia dei dati PII/SPII a riposo (database, cartelle condivise e così via)
- Crittografia completa del disco per PC e laptop aziendali
- Crittografia dei supporti multimediali per l'archiviazione dei dati
- Le connessioni remote alle reti aziendali sono crittografate tramite VPN
- Protezione del ciclo di vita delle chiavi di crittografia
Minimizzazione dei dati
- Minimizzazione dei dati PII/SPI nei registri di applicazioni, debug e sicurezza
- Pseudononimizzazione dei dati personali per impedire l'identificazione diretta di un individuo
- Segregazione dei dati archiviati per funzione (test, staging, live)
- Segregazione logica dei dati tramite diritti di accesso basati sui dati
- Periodi definiti per la conservazione dei dati personali
Test per la sicurezza
- Test di penetrazione per reti e piattaforme aziendali critiche su cui sono ospitati i dati personali
- Scansioni regolari di rete e vulnerabilità
2. Integrità. "Integrità significa garantire la correttezza (completezza) dei dati e il corretto funzionamento dei sistemi. Laddove il termine integrità sia usato in connessione con il termine "dati", indica che i dati sono completi e inalterati."
Sono stati implementati gli opportuni controlli per la gestione di registri e modifiche, oltre ai controlli di accesso per poter garantire l'integrità dei dati personali quali:
Change management e release management
- Procedure di change e release management, inclusi analisi dell'impatto, approvazioni, test, revisioni di sicurezza, staging, monitoraggio e così via.
- Provisioning degli accessi basato su ruoli e funzioni (separazione delle funzioni) negli ambienti di produzione
Registrazione e monitoraggio
- Registrazione di accesso e modifiche ai dati
- Registri di controllo e sicurezza centralizzati
- Monitoraggio della completezza e correttezza del trasferimento dei dati (controllo end-to-end)
3. Disponibilità. "La disponibilità dei servizi e dei sistemi IT, delle funzioni di applicazioni e reti IT e delle informazioni è garantita se l'utente è in grado di utilizzare questi strumenti in qualsiasi momento, secondo quanto previsto".
Implementiamo opportune misure di sicurezza e continuità per garantire la disponibilità dei servizi e dei dati che risiedono nei servizi:
- Verifiche di failover regolari applicate ai servizi critici
- Monitoraggio e reportistica completi di prestazioni/disponibilità per i sistemi critici
- Programma di risposta agli incidenti
- Dati critici replicati o sottoposti a backup (backup su cloud/replica di hard disk/database e così via.)
- Manutenzione programmata di software, infrastruttura e sicurezza (aggiornamenti software, applicazione di patch per la sicurezza e così via)
- Sistemi ridondanti e resilienti (cluster di server, database replicati, configurazioni ad alta disponibilità e così via) situati esternamente o in località geograficamente separate
- Uso di fonti di alimentazione senza interruzioni, hardware e sistemi di rete ridondanti in caso di guasti
- Sistemi di allarme e di sicurezza implementati
- Misure di protezione fisica implementate per i siti critici (protezione da sbalzi di tensione, pavimenti sopraelevati, sistemi di raffreddamento, rilevatori di incendi e/o fumo, sistemi di eliminazione degli incendi e così via)
- Protezione da attacchi DDoS per garantire la disponibilità
- Prove di carico e di sforzo
4. Istruzioni per il trattamento dei dati "Con il termine "Istruzioni per il trattamento dei dati" si intendono le misure atte a garantire che i dati personali siano trattati esclusivamente nel rispetto delle istruzioni del Titolare del trattamento e delle misure della relativa azienda".
Abbiamo implementato politiche interne e accordi sulla privacy e somministriamo regolarmente formazione sulla privacy ai nostri dipendenti per garantire che i dati personali siano trattati in conformità alle preferenze e alle istruzioni dei clienti.
- Termini circa privacy e riservatezza previsti all'interno dei contratti dei dipendenti
- Sessioni di formazione regolari in materia di privacy e sicurezza dei dati per i dipendenti
- Disposizioni contrattuali adeguate per gli accordi con i subcontraenti per conservare diritti di controllo regolativo
- Regolari verifiche sulla privacy per service provider esterni
- Concessione del controllo completo ai clienti sulle preferenze circa il trattamento dei loro dati
- Controlli regolari sulla sicurezza
Le versioni tradotte di accordi e informative legali vengono fornite solo al fine di facilitare la lettura e la comprensione delle versioni in inglese. La fornitura delle traduzioni di accordi e informative legali non ha come obbiettivo quello di creare un contratto legalmente vincolante, né quello di sostituire la validità legale delle versioni in inglese. In caso di controversie o conflitti, le versioni in inglese di accordi e informative legali regolano il nostro rapporto e prevarranno sui termini tradotti in altre lingue.