Misure tecniche e organizzative

Vtiger - Misure tecniche e organizzative (TOM)

Il presente documento integra l'Allegato II: Misure tecniche e organizzative dell'Addendum sull'elaborazione dei dati (DPA) tra Vtiger e il Cliente ai sensi dell'articolo 28 (Processore) GDPR (Regolamento generale sulla protezione dei dati dell'UE).

Vtiger implementa misure tecniche e organizzative ai sensi dell'articolo 32 (Sicurezza del trattamento) del GDPR. Queste misure vengono continuamente migliorate in base alla fattibilità e alla tecnologia più recente, inclusa la certificazione ISO 27001 attiva per migliorare la sicurezza e la protezione.

In Vtiger, ci impegniamo a mantenere e applicare varie politiche, standard e processi per proteggere i dati personali e altri dati a cui accedono i nostri dipendenti. Il nostro impegno nei confronti della protezione dei dati include la disponibilità di un team specializzato per la privacy e la sicurezza, la fornitura di protezione dei dati per soggetti esterni, la garanzia di una protezione coerente in tutta l'organizzazione, un controllo rigoroso sui subappaltatori e lo svolgimento di audit e certificazioni regolari. Aggiorniamo periodicamente queste misure per garantire che siano allineate agli standard del settore.

La seguente descrizione delle misure tecniche e organizzative sarà differenziata, ove applicabile, in base a queste categorie di dati.

1. Riservatezza

1.1 Controllo dell'accesso fisico

Sono in atto misure per impedire a soggetti non autorizzati di accedere ai sistemi di elaborazione dati utilizzati per trattare i dati personali.

Misure tecniche
  • Edificio e ufficio chiusi a chiave
  • accesso biometrico
  • Sistema di chiusura manuale
  • Porte con sistema di chiusura automatica
  • Personale di sicurezza
  • Videosorveglianza degli ingressi
  • Nessun server di produzione in loco
Misure organizzative
  • Lista di controllo della regolamentazione chiave
  • Accoglienza con personale di vigilanza
  • Libro dei visitatori
  • Badge dipendente/visitatore
  • Visitatore accompagnato dal dipendente
  • Politica sulla sicurezza delle informazioni
  • Istruzioni di lavoro Controllo accessi

Sebbene Vtiger dia priorità alla sicurezza dei dati, è importante riconoscere il modello di responsabilità condivisa nel cloud computing. Vtiger utilizza fornitori di servizi cloud (CSP) come AWS, DigitalOcean e OV per fornire risorse cloud. Questi CSP proteggono l'infrastruttura sottostante e mantengono solidi controlli di sicurezza. Maggiori dettagli su come è possibile trovare i controlli di sicurezza dell'ISP qui.

1.2 Controllo dell'accesso logico

Sono in atto misure di sicurezza per impedire l’accesso non autorizzato ai sistemi di elaborazione dei dati.

Misure tecniche
  • Accedi con un nome utente e una password complessa
  • firewall
  • Sistemi di rilevamento delle intrusioni
  • Utilizza VPN per l'accesso remoto
  • Crittografia di dischi, dispositivi/laptop/tablet
  • Autenticazione a due fattori
  • Blocco automatico desktop/laptop
  • Software antivirus installato su dispositivi e server
  • L'accesso è monitorato e registrato
  • Blocco automatico dell'account in caso di accessi/autenticazioni non riusciti
  • Tutte le attività di utilizzo e le modifiche ai dati vengono registrate
Misure organizzative
  • Gestione delle autorizzazioni degli utenti, inclusa l'autorizzazione basata sui ruoli
  • Creazione di profili specifici dell'utente
  • Politica sulla sicurezza delle informazioni
  • Politica password
  • Politica sui dispositivi mobili
  • Istruzioni di lavoro: SOP di sicurezza IT e controllo degli accessi dei dipendenti
  • Verifica dei dipendenti
  • Formazione e Consapevolezza
  • Principio de minimis

Accesso dei dipendenti Vtiger e controllo dei clienti

I dipendenti Vtiger possono accedere ai prodotti Vtiger e ai dati dei clienti solo tramite interfacce sicure. Questo accesso viene concesso esclusivamente quando i clienti lo abilitano esplicitamente nelle proprie impostazioni. Le richieste di accesso completo vengono registrate meticolosamente a fini di controllo.

Vtiger limita l'accesso dei dipendenti a personale specifico in base alle necessità, garantendo che solo le persone autorizzate possano visualizzare i dati dei clienti per motivi legittimi. Si accede all'applicazione cliente per:

1.3 Controllo delle autorizzazioni

Sono in atto misure per garantire che solo le persone autorizzate possano accedere al sistema di elaborazione dei dati. I dati personali non possono essere letti, copiati, modificati o rimossi senza la dovuta autorizzazione durante l'elaborazione, l'utilizzo e l'archiviazione.

Misure tecniche
  • Cancellazione fisica del supporto/dispositivo dati
  • Accesso crittografato SSH
  • Crittografia SSL certificata
  • Distruggi file e documenti che non sono più in uso
  • Cancellazione automatica dei backup dall'archivio dopo il periodo di conservazione o quando il cliente lo richiede
  • Registrazione degli accessi alle applicazioni, in particolare durante l'immissione, la modifica e l'eliminazione dei dati
Misure organizzative
  • Politica sulla sicurezza delle informazioni
  • Ridurre al minimo i ruoli di amministratore
  • Gestione dei diritti utente da parte degli amministratori
  • Istruzioni di lavoro sulla gestione delle informazioni e delle risorse

1.4 Controllo della separazione

Vengono implementate misure secondo rigorose pratiche di separazione dei dati per garantire che i dati raccolti per scopi diversi rimangano isolati. Ciò include la separazione logica, in cui i dati vengono categorizzati e archiviati in sezioni distinte all'interno del sistema, e potenzialmente la separazione fisica, in cui i dati vengono archiviati su hardware completamente diverso.

Misure tecniche
  • Separazione fisica (sistemi/banche dati/supporti dati)
  • Multi-tenant delle applicazioni pertinenti
  • L'applicazione client e i dati sono logicamente separati
  • Allestimento dell'ambiente di sviluppo, test e produzione
Misure organizzative
  • Politica sulla sicurezza delle informazioni
  • Politica di protezione dei dati
  • Controllo tramite concetto di autorizzazione
  • Istruzioni di lavoro per: Sicurezza operativa e Sicurezza nello sviluppo e nel test del software

1.5 Controllo della crittografia

Vengono implementate misure per proteggere i dati durante il transito e a riposo utilizzando una metodologia avanzata.

Misure tecniche

Crittografia dei dati in transito (in movimento)

  • Implementazione dei protocolli Transport Layer Security (TLS 1.2 e versioni successive) e Secure Sockets Layer (SSL) per tutta la trasmissione dei dati.
  • Questi protocolli crittografano i dati mentre viaggiano tra i sistemi, rendendoli illeggibili a chiunque li intercetti.

Crittografia dei dati inattivi (archiviati)

  • Dischi di archiviazione: crittografati con crittografia a livello di disco
  • Dati sensibili: crittografati con AES-256 (standard di crittografia avanzata a 256 bit)
  • Gestione delle chiavi: AWS Key Management Service (KMS)
  • Backup: crittografati con AES-256 su AWS S3
  • Mascheramento dei dati: i dettagli specifici del cliente vengono offuscati.
Misure organizzative
  • Rotazione delle chiavi: rotazione regolare delle chiavi di crittografia utilizzate per dati e backup per ridurre al minimo il rischio associato a una chiave compromessa.
  • Controllo degli accessi: limitare l'accesso alle chiavi di crittografia a un numero limitato di personale autorizzato con una rigorosa necessità di conoscenza.
  • Controllo: conserva registri dettagliati sull'utilizzo delle chiavi per monitorare l'accesso e identificare eventuali anomalie.

2. Integrità

2.1 Controllo dei trasferimenti

Sono in atto misure per impedire l'accesso non autorizzato ai dati personali durante la trasmissione elettronica o durante la memorizzazione su dispositivi di archiviazione dati, garantendo che non possano essere letti, copiati, alterati o rimossi.

Misure tecniche
  • Uso della VPN
  • Registrazione degli accessi e dei recuperi
  • Fornitura tramite connessioni crittografate come SFTP, HTTPS e archivi cloud sicuri
Misure organizzative
  • Indagine sui processi regolari di recupero e trasmissione
  • Selezione accurata del personale di trasporto e dei veicoli
  • Consegna personale con protocollo
  • Politica sulla sicurezza delle informazioni
  • Politica di protezione dei dati

2.2 Controllo degli ingressi

Sono in atto misure per verificare e rivedere chi ha inserito, modificato o rimosso dati personali dai sistemi di elaborazione dati. La registrazione controlla l'input a diversi livelli, ad esempio il sistema operativo, la rete, il firewall, il database e l'applicazione.

Misure tecniche
  • Registrazione tecnica dell'inserimento, modifica e cancellazione dei dati
  • Controllo manuale o automatizzato dei log (secondo rigorose specifiche interne)
Misure organizzative
  • Sondaggio su quali programmi possono essere utilizzati per inserire, modificare o eliminare quali dati
  • Tracciabilità dell'inserimento, modifica e cancellazione dei dati attraverso i singoli nomi utente
  • Assegnazione dei diritti di immissione, modifica e cancellazione dei dati sulla base di un concetto di autorizzazione
  • Responsabilità chiare per le eliminazioni
  • Politica sulla sicurezza delle informazioni

3. Disponibilità e resilienza

3.1 Controllo della disponibilità

Sono in atto misure per proteggere i dati personali dalla distruzione o perdita accidentale (ad esempio, UPS, aria condizionata, protezione antincendio, backup dei dati, archiviazione sicura di supporti dati).

Misure tecniche
  • Un tempo di attività minimo del 99.9% (esclusa la manutenzione programmata nelle notti del fine settimana).
  • Disponibilità continua dei dati
  • Sistemi di rilevazione incendio e fumo
  • Sala server estintori
  • Sala server che monitora temperatura e umidità
  • Aria condizionata nella sala server
  • Sistema UPS e generatori diesel di emergenza
  • Prese multiple di protezione nella sala server
  • Sistema RAID/mirroring del disco rigido
  • Sala server di videosorveglianza
Misure organizzative
  • Concetto di backup
  • Esistenza di un piano di emergenza
  • Archiviazione di backup fuori sede
  • Separazione del sistema operativo e delle partizioni dati, se necessario

3.2 Controllo della recuperabilità

Sono in atto misure per ripristinare rapidamente l’accesso ai dati personali in caso di incidente fisico o tecnico.

Misure tecniche
  • Monitoraggio e reporting del backup
  • Ripristinabilità da strumenti di automazione
  • Concetto di backup in base alla criticità e alle specifiche del cliente
Misure organizzative
  • Piano di ripristino di emergenza
  • Controllo del processo di backup
  • Test regolari del recupero dei dati e registrazione dei risultati
  • Conservare i supporti di backup in un luogo sicuro fuori dalla sala server
  • Esistenza di un piano di emergenza

4. Procedure per la revisione, la valutazione e la valutazione regolari

4.1 Gestione della protezione dei dati (DPM)

La gestione della protezione dei dati (DPM) comprende una strategia completa e una serie di pratiche per proteggere, gestire e salvaguardare le informazioni sensibili durante tutto il loro ciclo di vita. Ciò include il controllo degli accessi, la prevenzione dell’uso non autorizzato e la garanzia del recupero dei dati in caso di incidenti.

Misure tecniche
  • Documentazione centrale di tutte le norme sulla protezione dei dati con accesso per i dipendenti
  • Certificazione di sicurezza secondo la norma ISO 27001
  • Almeno una volta all'anno viene effettuata una revisione dell'efficacia dei TOM e i TOM vengono aggiornati
Misure organizzative
  • Viene nominato un Responsabile della Protezione dei Dati (DPO).
  • Tutti i membri del personale sono stati formati e sono tenuti a mantenere la riservatezza e la segretezza dei dati. Ricevono una formazione regolare sulla sensibilizzazione almeno una volta all'anno.
  • Le valutazioni d'impatto sulla protezione dei dati (DPIA) vengono effettuate come richiesto.
  • Sono stati predisposti processi per adempiere agli obblighi di informazione di cui agli artt. 13 e 14 del GDPR.
  • È in atto un processo formalizzato per la gestione delle richieste di informazioni da parte degli interessati.
  • Gli aspetti relativi alla protezione dei dati sono integrati nella nostra gestione del rischio aziendale.
  • Le parti principali dell'azienda, comprese le operazioni dei data center, sono certificate ISO 27001 e vengono condotti audit di monitoraggio annuali.

4.2 Gestione della risposta agli incidenti

Sono in atto misure per supportare la risposta alle violazioni della sicurezza e il processo di violazione dei dati.

Misure tecniche
  • Utilizzo di firewall e aggiornamento regolare
  • Utilizzo del filtro antispam e aggiornamento regolare
  • Utilizzo di scanner antivirus e aggiornamento regolare
  • Sistema di rilevamento delle intrusioni (IDS) per i sistemi dei clienti su ordinazione
  • Sistema di prevenzione delle intrusioni (IPS) per i sistemi del cliente su ordinazione
Misure organizzative
  • Un processo documentato per identificare e segnalare incidenti di sicurezza e violazioni dei dati, compresi gli obblighi di segnalazione alle autorità di vigilanza
  • La procedura standard per la gestione degli incidenti di sicurezza che coinvolgono il Responsabile della Protezione dei Dati (DPO)
  • Documentare gli incidenti di sicurezza e le violazioni dei dati utilizzando il sistema di ticketing interno
  • Il processo standard per dare seguito a incidenti di sicurezza e violazioni dei dati
  • Politica di notifica delle violazioni

4.3 Protezione dei dati fin dalla progettazione e per impostazione predefinita

Sono in atto misure per rispettare i principi di protezione dei dati fin dalla progettazione e per impostazione predefinita ai sensi dell’articolo 25 GDPR.

Misure tecniche
  • Approvazione delle applicazioni di terze parti: è richiesta l'approvazione dei responsabili dei team e dei responsabili delle operazioni IT per tutte le applicazioni di terze parti utilizzate nello sviluppo.
  • Fonte di download sicura: imponi i download degli strumenti di sviluppo solo da fonti sicure come i server dei produttori.
  • Single Sign-On (SSO): implementa SSO ove possibile per consentire alle applicazioni di terze parti di gestire l'accesso a livello centrale.
  • Disattivazione delle applicazioni meno sicure: disattiva le applicazioni di terze parti meno sicure per impostazione predefinita tramite le configurazioni dell'amministratore.
Misure organizzative
  • Progettazione attenta alla privacy: incoraggiare lo sviluppo di prodotti che riducano al minimo la quantità di dati che gli utenti devono inserire. Evita campi dati non necessari o rendili facoltativi.
  • Impostazioni sulla privacy predefinite: preseleziona le impostazioni rispettose della privacy per impostazione predefinita per dare priorità alla protezione dei dati dell'utente.
  • PbD: Politica sulla protezione dei dati (include i principi "privacy by design/by default")

4.4 Controllo degli ordini (esternalizzazione, subappaltatori ed elaborazione degli ordini)

Sono in atto misure per garantire che i dati personali trattati per conto del cliente siano gestiti solo secondo le istruzioni del cliente.

Misure tecniche
  • Monitoraggio dell'accesso remoto da parte di soggetti esterni, ad esempio nel contesto del supporto remoto
  • Monitoraggio dei subappaltatori di conseguenza.
Misure organizzative
  • Elaborare i dati secondo le istruzioni del cliente
  • Creare istruzioni di lavoro per la gestione e la valutazione dei fornitori
  • Rispettare le norme relative all'utilizzo di ulteriori subappaltatori
  • Selezionare attentamente i sub-responsabili del trattamento, concentrandosi principalmente sulla protezione e sulla sicurezza dei dati
  • Concludere gli accordi necessari sul trattamento dei dati, come il trattamento commissionato o le clausole contrattuali standard dell'UE
  • Garantire che i dipendenti del contraente mantengano la segretezza dei dati e aderiscano alla politica di sicurezza delle informazioni
  • Assicurati di distruggere i dati dopo la risoluzione del contratto.