Il presente documento integra l'Allegato II: Misure tecniche e organizzative dell'Addendum sull'elaborazione dei dati (DPA) tra Vtiger e il Cliente ai sensi dell'articolo 28 (Processore) GDPR (Regolamento generale sulla protezione dei dati dell'UE).
Vtiger implementa misure tecniche e organizzative ai sensi dell'articolo 32 (Sicurezza del trattamento) del GDPR. Queste misure vengono continuamente migliorate in base alla fattibilità e alla tecnologia più recente, inclusa la certificazione ISO 27001 attiva per migliorare la sicurezza e la protezione.
In Vtiger, ci impegniamo a mantenere e applicare varie politiche, standard e processi per proteggere i dati personali e altri dati a cui accedono i nostri dipendenti. Il nostro impegno nei confronti della protezione dei dati include la disponibilità di un team specializzato per la privacy e la sicurezza, la fornitura di protezione dei dati per soggetti esterni, la garanzia di una protezione coerente in tutta l'organizzazione, un controllo rigoroso sui subappaltatori e lo svolgimento di audit e certificazioni regolari. Aggiorniamo periodicamente queste misure per garantire che siano allineate agli standard del settore.
La seguente descrizione delle misure tecniche e organizzative sarà differenziata, ove applicabile, in base a queste categorie di dati.
1. Riservatezza
1.1 Controllo dell'accesso fisico
Sono in atto misure per impedire a soggetti non autorizzati di accedere ai sistemi di elaborazione dati utilizzati per trattare i dati personali.
Misure tecniche
Edificio e ufficio chiusi a chiave
accesso biometrico
Sistema di chiusura manuale
Porte con sistema di chiusura automatica
Personale di sicurezza
Videosorveglianza degli ingressi
Nessun server di produzione in loco
Misure organizzative
Lista di controllo della regolamentazione chiave
Accoglienza con personale di vigilanza
Libro dei visitatori
Badge dipendente/visitatore
Visitatore accompagnato dal dipendente
Politica sulla sicurezza delle informazioni
Istruzioni di lavoro Controllo accessi
Sebbene Vtiger dia priorità alla sicurezza dei dati, è importante riconoscere il modello di responsabilità condivisa nel cloud computing. Vtiger utilizza fornitori di servizi cloud (CSP) come AWS, DigitalOcean e OV per fornire risorse cloud. Questi CSP proteggono l'infrastruttura sottostante e mantengono solidi controlli di sicurezza. Maggiori dettagli su come è possibile trovare i controlli di sicurezza dell'ISP Qui..
1.2 Controllo dell'accesso logico
Sono in atto misure di sicurezza per impedire l’accesso non autorizzato ai sistemi di elaborazione dei dati.
Misure tecniche
Accedi con un nome utente e una password complessa
firewall
Sistemi di rilevamento delle intrusioni
Utilizza VPN per l'accesso remoto
Crittografia di dischi, dispositivi/laptop/tablet
Autenticazione a due fattori
Blocco automatico desktop/laptop
Software antivirus installato su dispositivi e server
L'accesso è monitorato e registrato
Blocco automatico dell'account in caso di accessi/autenticazioni non riusciti
Tutte le attività di utilizzo e le modifiche ai dati vengono registrate
Misure organizzative
Gestione delle autorizzazioni degli utenti, inclusa l'autorizzazione basata sui ruoli
Creazione di profili specifici dell'utente
Politica sulla sicurezza delle informazioni
Politica password
Politica sui dispositivi mobili
Istruzioni di lavoro: SOP di sicurezza IT e controllo degli accessi dei dipendenti
Verifica dei dipendenti
Formazione e Consapevolezza
Principio de minimis
Accesso dei dipendenti Vtiger e controllo dei clienti
I dipendenti Vtiger possono accedere ai prodotti Vtiger e ai dati dei clienti solo tramite interfacce sicure. Questo accesso viene concesso esclusivamente quando i clienti lo abilitano esplicitamente nelle proprie impostazioni. Le richieste di accesso completo vengono registrate meticolosamente a fini di controllo.
Vtiger limita l'accesso dei dipendenti a personale specifico in base alle necessità, garantendo che solo le persone autorizzate possano visualizzare i dati dei clienti per motivi legittimi. Si accede all'applicazione cliente per:
Fornire assistenza clienti
Risoluzione dei problemi tecnici riscontrati dai clienti
Identificazione e risposta a potenziali minacce alla sicurezza
1.3 Controllo delle autorizzazioni
Sono in atto misure per garantire che solo le persone autorizzate possano accedere al sistema di elaborazione dei dati. I dati personali non possono essere letti, copiati, modificati o rimossi senza la dovuta autorizzazione durante l'elaborazione, l'utilizzo e l'archiviazione.
Misure tecniche
Cancellazione fisica del supporto/dispositivo dati
Accesso crittografato SSH
Crittografia SSL certificata
Distruggi file e documenti che non sono più in uso
Cancellazione automatica dei backup dall'archivio dopo il periodo di conservazione o quando il cliente lo richiede
Registrazione degli accessi alle applicazioni, in particolare durante l'immissione, la modifica e l'eliminazione dei dati
Misure organizzative
Politica sulla sicurezza delle informazioni
Ridurre al minimo i ruoli di amministratore
Gestione dei diritti utente da parte degli amministratori
Istruzioni di lavoro sulla gestione delle informazioni e delle risorse
1.4 Controllo della separazione
Vengono implementate misure secondo rigorose pratiche di separazione dei dati per garantire che i dati raccolti per scopi diversi rimangano isolati. Ciò include la separazione logica, in cui i dati vengono categorizzati e archiviati in sezioni distinte all'interno del sistema, e potenzialmente la separazione fisica, in cui i dati vengono archiviati su hardware completamente diverso.
L'applicazione client e i dati sono logicamente separati
Allestimento dell'ambiente di sviluppo, test e produzione
Misure organizzative
Politica sulla sicurezza delle informazioni
Politica di protezione dei dati
Controllo tramite concetto di autorizzazione
Istruzioni di lavoro per: Sicurezza operativa e Sicurezza nello sviluppo e nel test del software
1.5 Controllo della crittografia
Vengono implementate misure per proteggere i dati durante il transito e a riposo utilizzando una metodologia avanzata.
Misure tecniche
Crittografia dei dati in transito (in movimento)
Implementazione dei protocolli Transport Layer Security (TLS 1.2 e versioni successive) e Secure Sockets Layer (SSL) per tutta la trasmissione dei dati.
Questi protocolli crittografano i dati mentre viaggiano tra i sistemi, rendendoli illeggibili a chiunque li intercetti.
Crittografia dei dati inattivi (archiviati)
Dischi di archiviazione: crittografati con crittografia a livello di disco
Dati sensibili: crittografati con AES-256 (standard di crittografia avanzata a 256 bit)
Gestione delle chiavi: AWS Key Management Service (KMS)
Backup: crittografati con AES-256 su AWS S3
Mascheramento dei dati: i dettagli specifici del cliente vengono offuscati.
Misure organizzative
Rotazione delle chiavi: rotazione regolare delle chiavi di crittografia utilizzate per dati e backup per ridurre al minimo il rischio associato a una chiave compromessa.
Controllo degli accessi: limitare l'accesso alle chiavi di crittografia a un numero limitato di personale autorizzato con una rigorosa necessità di conoscenza.
Controllo: conserva registri dettagliati sull'utilizzo delle chiavi per monitorare l'accesso e identificare eventuali anomalie.
2. Integrità
2.1 Controllo dei trasferimenti
Sono in atto misure per impedire l'accesso non autorizzato ai dati personali durante la trasmissione elettronica o durante la memorizzazione su dispositivi di archiviazione dati, garantendo che non possano essere letti, copiati, alterati o rimossi.
Misure tecniche
Uso della VPN
Registrazione degli accessi e dei recuperi
Fornitura tramite connessioni crittografate come SFTP, HTTPS e archivi cloud sicuri
Misure organizzative
Indagine sui processi regolari di recupero e trasmissione
Selezione accurata del personale di trasporto e dei veicoli
Consegna personale con protocollo
Politica sulla sicurezza delle informazioni
Politica di protezione dei dati
2.2 Controllo degli ingressi
Sono in atto misure per verificare e rivedere chi ha inserito, modificato o rimosso dati personali dai sistemi di elaborazione dati. La registrazione controlla l'input a diversi livelli, ad esempio il sistema operativo, la rete, il firewall, il database e l'applicazione.
Misure tecniche
Registrazione tecnica dell'inserimento, modifica e cancellazione dei dati
Controllo manuale o automatizzato dei log (secondo rigorose specifiche interne)
Misure organizzative
Sondaggio su quali programmi possono essere utilizzati per inserire, modificare o eliminare quali dati
Tracciabilità dell'inserimento, modifica e cancellazione dei dati attraverso i singoli nomi utente
Assegnazione dei diritti di immissione, modifica e cancellazione dei dati sulla base di un concetto di autorizzazione
Responsabilità chiare per le eliminazioni
Politica sulla sicurezza delle informazioni
3. Disponibilità e resilienza
3.1 Controllo della disponibilità
Sono in atto misure per proteggere i dati personali dalla distruzione o perdita accidentale (ad esempio, UPS, aria condizionata, protezione antincendio, backup dei dati, archiviazione sicura di supporti dati).
Misure tecniche
Un tempo di attività minimo del 99.9% (esclusa la manutenzione programmata nelle notti del fine settimana).
Disponibilità continua dei dati
Sistemi di rilevazione incendio e fumo
Sala server estintori
Sala server che monitora temperatura e umidità
Aria condizionata nella sala server
Sistema UPS e generatori diesel di emergenza
Prese multiple di protezione nella sala server
Sistema RAID/mirroring del disco rigido
Sala server di videosorveglianza
Misure organizzative
Concetto di backup
Esistenza di un piano di emergenza
Archiviazione di backup fuori sede
Separazione del sistema operativo e delle partizioni dati, se necessario
3.2 Controllo della recuperabilità
Sono in atto misure per ripristinare rapidamente l’accesso ai dati personali in caso di incidente fisico o tecnico.
Misure tecniche
Monitoraggio e reporting del backup
Ripristinabilità da strumenti di automazione
Concetto di backup in base alla criticità e alle specifiche del cliente
Misure organizzative
Piano di ripristino di emergenza
Controllo del processo di backup
Test regolari del recupero dei dati e registrazione dei risultati
Conservare i supporti di backup in un luogo sicuro fuori dalla sala server
Esistenza di un piano di emergenza
4. Procedure per la revisione, la valutazione e la valutazione regolari
4.1 Gestione della protezione dei dati (DPM)
La gestione della protezione dei dati (DPM) comprende una strategia completa e una serie di pratiche per proteggere, gestire e salvaguardare le informazioni sensibili durante tutto il loro ciclo di vita. Ciò include il controllo degli accessi, la prevenzione dell’uso non autorizzato e la garanzia del recupero dei dati in caso di incidenti.
Misure tecniche
Documentazione centrale di tutte le norme sulla protezione dei dati con accesso per i dipendenti
Certificazione di sicurezza secondo la norma ISO 27001
Almeno una volta all'anno viene effettuata una revisione dell'efficacia dei TOM e i TOM vengono aggiornati
Misure organizzative
Viene nominato un Responsabile della Protezione dei Dati (DPO).
Tutti i membri del personale sono stati formati e sono tenuti a mantenere la riservatezza e la segretezza dei dati. Ricevono una formazione regolare sulla sensibilizzazione almeno una volta all'anno.
Le valutazioni d'impatto sulla protezione dei dati (DPIA) vengono effettuate come richiesto.
Sono stati predisposti processi per adempiere agli obblighi di informazione di cui agli artt. 13 e 14 del GDPR.
È in atto un processo formalizzato per la gestione delle richieste di informazioni da parte degli interessati.
Gli aspetti relativi alla protezione dei dati sono integrati nella nostra gestione del rischio aziendale.
Le parti principali dell'azienda, comprese le operazioni dei data center, sono certificate ISO 27001 e vengono condotti audit di monitoraggio annuali.
4.2 Gestione della risposta agli incidenti
Sono in atto misure per supportare la risposta alle violazioni della sicurezza e il processo di violazione dei dati.
Misure tecniche
Utilizzo di firewall e aggiornamento regolare
Utilizzo del filtro antispam e aggiornamento regolare
Utilizzo di scanner antivirus e aggiornamento regolare
Sistema di rilevamento delle intrusioni (IDS) per i sistemi dei clienti su ordinazione
Sistema di prevenzione delle intrusioni (IPS) per i sistemi del cliente su ordinazione
Misure organizzative
Un processo documentato per identificare e segnalare incidenti di sicurezza e violazioni dei dati, compresi gli obblighi di segnalazione alle autorità di vigilanza
La procedura standard per la gestione degli incidenti di sicurezza che coinvolgono il Responsabile della Protezione dei Dati (DPO)
Documentare gli incidenti di sicurezza e le violazioni dei dati utilizzando il sistema di ticketing interno
Il processo standard per dare seguito a incidenti di sicurezza e violazioni dei dati
Politica di notifica delle violazioni
4.3 Protezione dei dati fin dalla progettazione e per impostazione predefinita
Sono in atto misure per rispettare i principi di protezione dei dati fin dalla progettazione e per impostazione predefinita ai sensi dell’articolo 25 GDPR.
Misure tecniche
Approvazione delle applicazioni di terze parti: è richiesta l'approvazione dei responsabili dei team e dei responsabili delle operazioni IT per tutte le applicazioni di terze parti utilizzate nello sviluppo.
Fonte di download sicura: imponi i download degli strumenti di sviluppo solo da fonti sicure come i server dei produttori.
Single Sign-On (SSO): implementa SSO ove possibile per consentire alle applicazioni di terze parti di gestire l'accesso a livello centrale.
Disattivazione delle applicazioni meno sicure: disattiva le applicazioni di terze parti meno sicure per impostazione predefinita tramite le configurazioni dell'amministratore.
Misure organizzative
Progettazione attenta alla privacy: incoraggiare lo sviluppo di prodotti che riducano al minimo la quantità di dati che gli utenti devono inserire. Evita campi dati non necessari o rendili facoltativi.
Impostazioni sulla privacy predefinite: preseleziona le impostazioni rispettose della privacy per impostazione predefinita per dare priorità alla protezione dei dati dell'utente.
PbD: Politica sulla protezione dei dati (include i principi "privacy by design/by default")
4.4 Controllo degli ordini (esternalizzazione, subappaltatori ed elaborazione degli ordini)
Sono in atto misure per garantire che i dati personali trattati per conto del cliente siano gestiti solo secondo le istruzioni del cliente.
Misure tecniche
Monitoraggio dell'accesso remoto da parte di soggetti esterni, ad esempio nel contesto del supporto remoto
Monitoraggio dei subappaltatori di conseguenza.
Misure organizzative
Elaborare i dati secondo le istruzioni del cliente
Creare istruzioni di lavoro per la gestione e la valutazione dei fornitori
Rispettare le norme relative all'utilizzo di ulteriori subappaltatori
Selezionare attentamente i sub-responsabili del trattamento, concentrandosi principalmente sulla protezione e sulla sicurezza dei dati
Concludere gli accordi necessari sul trattamento dei dati, come il trattamento commissionato o le clausole contrattuali standard dell'UE
Garantire che i dipendenti del contraente mantengano la segretezza dei dati e aderiscano alla politica di sicurezza delle informazioni
Assicurati di distruggere i dati dopo la risoluzione del contratto.