Il presente documento integra l'Allegato II: Misure tecniche e organizzative dell'Addendum sull'elaborazione dei dati (DPA) tra Vtiger e il Cliente ai sensi dell'articolo 28 (Processore) GDPR (Regolamento generale sulla protezione dei dati dell'UE).
Vtiger implementa misure tecniche e organizzative ai sensi dell'articolo 32 (Sicurezza del trattamento) del GDPR. Queste misure vengono continuamente migliorate in base alla fattibilità e alla tecnologia più recente, inclusa la certificazione ISO 27001 attiva per migliorare la sicurezza e la protezione.
In Vtiger, ci impegniamo a mantenere e applicare varie politiche, standard e processi per proteggere i dati personali e altri dati a cui accedono i nostri dipendenti. Il nostro impegno nei confronti della protezione dei dati include la disponibilità di un team specializzato per la privacy e la sicurezza, la fornitura di protezione dei dati per soggetti esterni, la garanzia di una protezione coerente in tutta l'organizzazione, un controllo rigoroso sui subappaltatori e lo svolgimento di audit e certificazioni regolari. Aggiorniamo periodicamente queste misure per garantire che siano allineate agli standard del settore.
La seguente descrizione delle misure tecniche e organizzative sarà differenziata, ove applicabile, in base a queste categorie di dati.
1. Riservatezza
1.1 Controllo dell'accesso fisico
Sono in atto misure per impedire a soggetti non autorizzati di accedere ai sistemi di elaborazione dati utilizzati per trattare i dati personali.
Misure tecniche |
- Edificio e ufficio chiusi a chiave
- accesso biometrico
- Sistema di chiusura manuale
- Porte con sistema di chiusura automatica
- Personale di sicurezza
- Videosorveglianza degli ingressi
- Nessun server di produzione in loco
|
Misure organizzative |
- Lista di controllo della regolamentazione chiave
- Accoglienza con personale di vigilanza
- Libro dei visitatori
- Badge dipendente/visitatore
- Visitatore accompagnato dal dipendente
- Politica sulla sicurezza delle informazioni
- Istruzioni di lavoro Controllo accessi
|
Sebbene Vtiger dia priorità alla sicurezza dei dati, è importante riconoscere il modello di responsabilità condivisa nel cloud computing. Vtiger utilizza fornitori di servizi cloud (CSP) come AWS, DigitalOcean e OV per fornire risorse cloud. Questi CSP proteggono l'infrastruttura sottostante e mantengono solidi controlli di sicurezza. Maggiori dettagli su come è possibile trovare i controlli di sicurezza dell'ISP qui.
1.2 Controllo dell'accesso logico
Sono in atto misure di sicurezza per impedire l’accesso non autorizzato ai sistemi di elaborazione dei dati.
Misure tecniche |
- Accedi con un nome utente e una password complessa
- firewall
- Sistemi di rilevamento delle intrusioni
- Utilizza VPN per l'accesso remoto
- Crittografia di dischi, dispositivi/laptop/tablet
- Autenticazione a due fattori
- Blocco automatico desktop/laptop
- Software antivirus installato su dispositivi e server
- L'accesso è monitorato e registrato
- Blocco automatico dell'account in caso di accessi/autenticazioni non riusciti
- Tutte le attività di utilizzo e le modifiche ai dati vengono registrate
|
Misure organizzative |
- Gestione delle autorizzazioni degli utenti, inclusa l'autorizzazione basata sui ruoli
- Creazione di profili specifici dell'utente
- Politica sulla sicurezza delle informazioni
- Politica password
- Politica sui dispositivi mobili
- Istruzioni di lavoro: SOP di sicurezza IT e controllo degli accessi dei dipendenti
- Verifica dei dipendenti
- Formazione e Consapevolezza
- Principio de minimis
|
Accesso dei dipendenti Vtiger e controllo dei clienti
I dipendenti Vtiger possono accedere ai prodotti Vtiger e ai dati dei clienti solo tramite interfacce sicure. Questo accesso viene concesso esclusivamente quando i clienti lo abilitano esplicitamente nelle proprie impostazioni. Le richieste di accesso completo vengono registrate meticolosamente a fini di controllo.
Vtiger limita l'accesso dei dipendenti a personale specifico in base alle necessità, garantendo che solo le persone autorizzate possano visualizzare i dati dei clienti per motivi legittimi. Si accede all'applicazione cliente per:
- Fornire assistenza clienti
- Risoluzione dei problemi tecnici riscontrati dai clienti
- Identificazione e risposta a potenziali minacce alla sicurezza
1.3 Controllo delle autorizzazioni
Sono in atto misure per garantire che solo le persone autorizzate possano accedere al sistema di elaborazione dei dati. I dati personali non possono essere letti, copiati, modificati o rimossi senza la dovuta autorizzazione durante l'elaborazione, l'utilizzo e l'archiviazione.
Misure tecniche |
- Cancellazione fisica del supporto/dispositivo dati
- Accesso crittografato SSH
- Crittografia SSL certificata
- Distruggi file e documenti che non sono più in uso
- Cancellazione automatica dei backup dall'archivio dopo il periodo di conservazione o quando il cliente lo richiede
- Registrazione degli accessi alle applicazioni, in particolare durante l'immissione, la modifica e l'eliminazione dei dati
|
Misure organizzative |
- Politica sulla sicurezza delle informazioni
- Ridurre al minimo i ruoli di amministratore
- Gestione dei diritti utente da parte degli amministratori
- Istruzioni di lavoro sulla gestione delle informazioni e delle risorse
|
1.4 Controllo della separazione
Vengono implementate misure secondo rigorose pratiche di separazione dei dati per garantire che i dati raccolti per scopi diversi rimangano isolati. Ciò include la separazione logica, in cui i dati vengono categorizzati e archiviati in sezioni distinte all'interno del sistema, e potenzialmente la separazione fisica, in cui i dati vengono archiviati su hardware completamente diverso.
Misure tecniche |
- Separazione fisica (sistemi/banche dati/supporti dati)
- Multi-tenant delle applicazioni pertinenti
- L'applicazione client e i dati sono logicamente separati
- Allestimento dell'ambiente di sviluppo, test e produzione
|
Misure organizzative |
- Politica sulla sicurezza delle informazioni
- Politica di protezione dei dati
- Controllo tramite concetto di autorizzazione
- Istruzioni di lavoro per: Sicurezza operativa e Sicurezza nello sviluppo e nel test del software
|
2. Integrità
2.1 Controllo dei trasferimenti
Sono in atto misure per impedire l'accesso non autorizzato ai dati personali durante la trasmissione elettronica o durante la memorizzazione su dispositivi di archiviazione dati, garantendo che non possano essere letti, copiati, alterati o rimossi.
Misure tecniche |
- Uso della VPN
- Registrazione degli accessi e dei recuperi
- Fornitura tramite connessioni crittografate come SFTP, HTTPS e archivi cloud sicuri
|
Misure organizzative |
- Indagine sui processi regolari di recupero e trasmissione
- Selezione accurata del personale di trasporto e dei veicoli
- Consegna personale con protocollo
- Politica sulla sicurezza delle informazioni
- Politica di protezione dei dati
|
2.2 Controllo degli ingressi
Sono in atto misure per verificare e rivedere chi ha inserito, modificato o rimosso dati personali dai sistemi di elaborazione dati. La registrazione controlla l'input a diversi livelli, ad esempio il sistema operativo, la rete, il firewall, il database e l'applicazione.
Misure tecniche |
- Registrazione tecnica dell'inserimento, modifica e cancellazione dei dati
- Controllo manuale o automatizzato dei log (secondo rigorose specifiche interne)
|
Misure organizzative |
- Sondaggio su quali programmi possono essere utilizzati per inserire, modificare o eliminare quali dati
- Tracciabilità dell'inserimento, modifica e cancellazione dei dati attraverso i singoli nomi utente
- Assegnazione dei diritti di immissione, modifica e cancellazione dei dati sulla base di un concetto di autorizzazione
- Responsabilità chiare per le eliminazioni
- Politica sulla sicurezza delle informazioni
|
3. Disponibilità e resilienza
3.1 Controllo della disponibilità
Sono in atto misure per proteggere i dati personali dalla distruzione o perdita accidentale (ad esempio, UPS, aria condizionata, protezione antincendio, backup dei dati, archiviazione sicura di supporti dati).
Misure tecniche |
- Un tempo di attività minimo del 99.9% (esclusa la manutenzione programmata nelle notti del fine settimana).
- Disponibilità continua dei dati
- Sistemi di rilevazione incendio e fumo
- Sala server estintori
- Sala server che monitora temperatura e umidità
- Aria condizionata nella sala server
- Sistema UPS e generatori diesel di emergenza
- Prese multiple di protezione nella sala server
- Sistema RAID/mirroring del disco rigido
- Sala server di videosorveglianza
|
Misure organizzative |
- Concetto di backup
- Esistenza di un piano di emergenza
- Archiviazione di backup fuori sede
- Separazione del sistema operativo e delle partizioni dati, se necessario
|
3.2 Controllo della recuperabilità
Sono in atto misure per ripristinare rapidamente l’accesso ai dati personali in caso di incidente fisico o tecnico.
Misure tecniche |
- Monitoraggio e reporting del backup
- Ripristinabilità da strumenti di automazione
- Concetto di backup in base alla criticità e alle specifiche del cliente
|
Misure organizzative |
- Piano di ripristino di emergenza
- Controllo del processo di backup
- Test regolari del recupero dei dati e registrazione dei risultati
- Conservare i supporti di backup in un luogo sicuro fuori dalla sala server
- Esistenza di un piano di emergenza
|
4. Procedure per la revisione, la valutazione e la valutazione regolari
4.1 Gestione della protezione dei dati (DPM)
La gestione della protezione dei dati (DPM) comprende una strategia completa e una serie di pratiche per proteggere, gestire e salvaguardare le informazioni sensibili durante tutto il loro ciclo di vita. Ciò include il controllo degli accessi, la prevenzione dell’uso non autorizzato e la garanzia del recupero dei dati in caso di incidenti.
Misure tecniche |
- Documentazione centrale di tutte le norme sulla protezione dei dati con accesso per i dipendenti
- Certificazione di sicurezza secondo la norma ISO 27001
- Almeno una volta all'anno viene effettuata una revisione dell'efficacia dei TOM e i TOM vengono aggiornati
|
Misure organizzative |
- Viene nominato un Responsabile della Protezione dei Dati (DPO).
- Tutti i membri del personale sono stati formati e sono tenuti a mantenere la riservatezza e la segretezza dei dati. Ricevono una formazione regolare sulla sensibilizzazione almeno una volta all'anno.
- Le valutazioni d'impatto sulla protezione dei dati (DPIA) vengono effettuate come richiesto.
- Sono stati predisposti processi per adempiere agli obblighi di informazione di cui agli artt. 13 e 14 del GDPR.
- È in atto un processo formalizzato per la gestione delle richieste di informazioni da parte degli interessati.
- Gli aspetti relativi alla protezione dei dati sono integrati nella nostra gestione del rischio aziendale.
- Le parti principali dell'azienda, comprese le operazioni dei data center, sono certificate ISO 27001 e vengono condotti audit di monitoraggio annuali.
|
4.2 Gestione della risposta agli incidenti
Sono in atto misure per supportare la risposta alle violazioni della sicurezza e il processo di violazione dei dati.
Misure tecniche |
- Utilizzo di firewall e aggiornamento regolare
- Utilizzo del filtro antispam e aggiornamento regolare
- Utilizzo di scanner antivirus e aggiornamento regolare
- Sistema di rilevamento delle intrusioni (IDS) per i sistemi dei clienti su ordinazione
- Sistema di prevenzione delle intrusioni (IPS) per i sistemi del cliente su ordinazione
|
Misure organizzative |
- Un processo documentato per identificare e segnalare incidenti di sicurezza e violazioni dei dati, compresi gli obblighi di segnalazione alle autorità di vigilanza
- La procedura standard per la gestione degli incidenti di sicurezza che coinvolgono il Responsabile della Protezione dei Dati (DPO)
- Documentare gli incidenti di sicurezza e le violazioni dei dati utilizzando il sistema di ticketing interno
- Il processo standard per dare seguito a incidenti di sicurezza e violazioni dei dati
- Politica di notifica delle violazioni
|
4.3 Protezione dei dati fin dalla progettazione e per impostazione predefinita
Sono in atto misure per rispettare i principi di protezione dei dati fin dalla progettazione e per impostazione predefinita ai sensi dell’articolo 25 GDPR.
Misure tecniche |
- Approvazione delle applicazioni di terze parti: è richiesta l'approvazione dei responsabili dei team e dei responsabili delle operazioni IT per tutte le applicazioni di terze parti utilizzate nello sviluppo.
- Fonte di download sicura: imponi i download degli strumenti di sviluppo solo da fonti sicure come i server dei produttori.
- Single Sign-On (SSO): implementa SSO ove possibile per consentire alle applicazioni di terze parti di gestire l'accesso a livello centrale.
- Disattivazione delle applicazioni meno sicure: disattiva le applicazioni di terze parti meno sicure per impostazione predefinita tramite le configurazioni dell'amministratore.
|
Misure organizzative |
- Progettazione attenta alla privacy: incoraggiare lo sviluppo di prodotti che riducano al minimo la quantità di dati che gli utenti devono inserire. Evita campi dati non necessari o rendili facoltativi.
- Impostazioni sulla privacy predefinite: preseleziona le impostazioni rispettose della privacy per impostazione predefinita per dare priorità alla protezione dei dati dell'utente.
- PbD: Politica sulla protezione dei dati (include i principi "privacy by design/by default")
|
4.4 Controllo degli ordini (esternalizzazione, subappaltatori ed elaborazione degli ordini)
Sono in atto misure per garantire che i dati personali trattati per conto del cliente siano gestiti solo secondo le istruzioni del cliente.
Misure tecniche |
- Monitoraggio dell'accesso remoto da parte di soggetti esterni, ad esempio nel contesto del supporto remoto
- Monitoraggio dei subappaltatori di conseguenza.
|
Misure organizzative |
- Elaborare i dati secondo le istruzioni del cliente
- Creare istruzioni di lavoro per la gestione e la valutazione dei fornitori
- Rispettare le norme relative all'utilizzo di ulteriori subappaltatori
- Selezionare attentamente i sub-responsabili del trattamento, concentrandosi principalmente sulla protezione e sulla sicurezza dei dati
- Concludere gli accordi necessari sul trattamento dei dati, come il trattamento commissionato o le clausole contrattuali standard dell'UE
- Garantire che i dipendenti del contraente mantengano la segretezza dei dati e aderiscano alla politica di sicurezza delle informazioni
- Assicurati di distruggere i dati dopo la risoluzione del contratto.
|