Standard di sicurezza
Ultima revisione: 9 maggio 2018

I.  Misure tecniche e organizzative

Ci impegniamo a proteggere i dati dei clienti.  Tenendo conto di best practice, costi di implementazione, natura, finalità, circostanze e obiettivi del trattamento oltre alla diversa probabilità di ricorrenza e alla gravità dei rischi per i diritti e le libertà delle persone fisiche, prendiamo le seguenti misure tecniche e organizzative.  Al momento di decidere le azione da mettere in atto, prendiamo in considerazione riservatezza, integrità, disponibilità e resilienza dei sistemi. A seguito di un incidente tecnico o fisico, è garantito il ripristino rapido dei sistemi.

Il nostro Programma sulla privacy dei dati è stato redatto per gestire una struttura globale per la governance dei dati e proteggere le informazioni durante il loro intero ciclo di vita. Il programma è condotto dall'ufficio del Data Protection Officer che sovrintende l'implementazione delle prassi per la privacy e delle misure di sicurezza. Testiamo, valutiamo e verifichiamo con regolarità l'efficacia del Programma sulla privacy dei dati e degli Standard di sicurezza.

1. Riservatezza. "Riservatezza indica che i dati personali sono protetti contro la divulgazione non autorizzata".  

Impieghiamo una serie di misure fisiche e logiche per proteggere la riservatezza dei dati personali dei clienti. Tali misure includono:   

Sicurezza fisica  

• Sistemi fisici per il controllo degli accessi (controllo degli accessi tramite badge, monitoraggio degli eventi di sicurezza e altro) 
• Sistemi di sorveglianza, inclusi allarmi e, ove appropriato, monitoraggio mediante monitor a circuito chiuso
• Politiche e controlli per tenere le scrivanie sgombre (blocco dei computer lasciati incustoditi, armadi bloccati e altro)  
• Controllo degli accessi dei visitatori
• Distruzione dei dati su supporti fisici e documenti (tramite tritura documenti, demagnetizzazione e così via) 

Controllo degli accessi e prevenzione degli accessi non autorizzati

• Limitazioni per l'accesso utente applicate e autorizzazioni di accesso basate sul ruolo fornite/revisionate in base al principio di separazione delle funzioni
• Metodi efficaci di autorizzazione e autenticazione (autenticazione a più fattori, autorizzazione basata su certificato, disattivazione/disconnessione automatica e così via) 
• Gestione centralizzata delle password e politiche severe/complesse per le password (numero minimo di caratteri, complessità dei caratteri, scadenza delle password e così via)   
• Accesso controllato a email e Internet
• Gestione degli antivirus
• Gestione del sistema di prevenzione delle intrusioni

Crittografia  

• Crittografia delle comunicazioni esterne e interne tramite severi protocolli di crittografia
• Crittografia dei dati PII/SPII a riposo (database, cartelle condivise e così via)   
• Crittografia completa del disco per PC e laptop aziendali
• Crittografia dei supporti multimediali per l'archiviazione dei dati
• Le connessioni remote alle reti aziendali sono crittografate tramite VPN
• Protezione del ciclo di vita delle chiavi di crittografia

Minimizzazione dei dati

• Minimizzazione dei dati PII/SPI nei registri di applicazioni, debug e sicurezza
• Pseudononimizzazione dei dati personali per impedire l'identificazione diretta di un individuo
• Segregazione dei dati archiviati per funzione (test, staging, live)
• Segregazione logica dei dati tramite diritti di accesso basati sui dati
• Periodi definiti per la conservazione dei dati personali

Test per la sicurezza

• Test di penetrazione per reti e piattaforme aziendali critiche su cui sono ospitati i dati personali
• Scansioni regolari di rete e vulnerabilità

2. Integrità. "Integrità significa garantire la correttezza (completezza) dei dati e il corretto funzionamento dei sistemi. Laddove il termine integrità sia usato in connessione con il termine "dati", indica che i dati sono completi e inalterati."  

Sono stati implementati gli opportuni controlli per la gestione di registri e modifiche, oltre ai controlli di accesso per poter garantire l'integrità dei dati personali quali:    

Change management e release management  

• Procedure di change e release management, inclusi analisi dell'impatto, approvazioni, test, revisioni di sicurezza, staging, monitoraggio e così via.  
• Provisioning degli accessi basato su ruoli e funzioni (separazione delle funzioni) negli ambienti di produzione

Registrazione e monitoraggio

• Registrazione di accesso e modifiche ai dati
• Registri di controllo e sicurezza centralizzati
• Monitoraggio della completezza e correttezza del trasferimento dei dati (controllo end-to-end)

3. Disponibilità. "La disponibilità dei servizi e dei sistemi IT, delle funzioni di applicazioni e reti IT e delle informazioni è garantita se l'utente è in grado di utilizzare questi strumenti in qualsiasi momento, secondo quanto previsto".    

Implementiamo opportune misure di sicurezza e continuità per garantire la disponibilità dei servizi e dei dati che risiedono nei servizi:    

• Verifiche di failover regolari applicate ai servizi critici
• Monitoraggio e reportistica completi di prestazioni/disponibilità per i sistemi critici
• Programma di risposta agli incidenti
• Dati critici replicati o sottoposti a backup (backup su cloud/replica di hard disk/database e così via.) 
• Manutenzione programmata di software, infrastruttura e sicurezza (aggiornamenti software, applicazione di patch per la sicurezza e così via)   
• Sistemi ridondanti e resilienti (cluster di server, database replicati, configurazioni ad alta disponibilità e così via) situati esternamente o in località geograficamente separate
• Uso di fonti di alimentazione senza interruzioni, hardware e sistemi di rete ridondanti in caso di guasti
• Sistemi di allarme e di sicurezza implementati
• Misure di protezione fisica implementate per i siti critici (protezione da sbalzi di tensione, pavimenti sopraelevati, sistemi di raffreddamento, rilevatori di incendi e/o fumo, sistemi di eliminazione degli incendi e così via) 
• Protezione da attacchi DDoS per garantire la disponibilità
• Prove di carico e di sforzo

4. Istruzioni per il trattamento dei dati "Con il termine "Istruzioni per il trattamento dei dati" si intendono le misure atte a garantire che i dati personali siano trattati esclusivamente nel rispetto delle istruzioni del Titolare del trattamento e delle misure della relativa azienda".  

Abbiamo implementato politiche interne e accordi sulla privacy e somministriamo regolarmente formazione sulla privacy ai nostri dipendenti per garantire che i dati personali siano trattati in conformità alle preferenze e alle istruzioni dei clienti.   

• Termini circa privacy e riservatezza previsti all'interno dei contratti dei dipendenti
• Sessioni di formazione regolari in materia di privacy e sicurezza dei dati per i dipendenti
• Disposizioni contrattuali adeguate per gli accordi con i subcontraenti per conservare diritti di controllo regolativo
• Regolari verifiche sulla privacy per service provider esterni
• Concessione del controllo completo ai clienti sulle preferenze circa il trattamento dei loro dati
• Controlli regolari sulla sicurezza