¶ºÒõ¹Ý

Misure tecniche e organizzative di ¶ºÒõ¹Ý per garantire la privacy e la sicurezza delle informazioni

Al fine di mantenere la sicurezza e la privacy dei dati in suo possesso, ¶ºÒõ¹Ý (e le sue affiliate del gruppo, di seguito "¶ºÒõ¹Ý") ha implementato e mantiene una serie di controlli (ad es. policy, pratiche, procedure e meccanismi) che riducono al minimo le vulnerabilità contro minacce di osservazione, divulgazione, uso, modifica, messa in pericolo e distruzione non autorizzate e involontarie. L'adozione di queste misure di controllo e il loro rispetto ci consente di affrontare e contenere adeguatamente i rischi per la sicurezza e la privacy.

I controlli tecnici e organizzativi di ¶ºÒõ¹Ý sono in linea con gli standard di settore e le esigenze operative al fine di raggiungere adeguati livelli di privacy e sicurezza. L'elenco di controlli qui di seguito delinea la linea di base minima di ¶ºÒõ¹Ý per le pratiche standard di salvaguardia dei dati.

1. Gestione di policy e documenti – ¶ºÒõ¹Ý redige, rivede almeno una volta all'anno e sottopone a test una Policy sulla sicurezza delle informazioni, un Piano di business continuity, un Piano di disaster recovery e una Procedura di incident response. ¶ºÒõ¹Ý mantiene e aggiorna, ove necessario, un accordo di condivisione dei dati all'interno del gruppo e adeguati accordi di elaborazione dei dati dei fornitori. Oltre alle informative sulla privacy pubblicate e relative ai prodotti e servizi ¶ºÒõ¹Ý, ¶ºÒõ¹Ý mantiene, rivede e aggiorna su base annuale un'Informativa sulla privacy interna, che disciplina gli standard e le procedure sulla privacy applicabili a ¶ºÒõ¹Ý.
2. Controlli di sicurezza della rete – Gli amministratori di sistema di ¶ºÒõ¹Ý si assicurano che i componenti di sistema con informazioni pubblicamente accessibili (ad es. i web server pubblici) risiedano su reti secondarie separate con interfacce di rete fisiche separate. Gli amministratori di sistema di ¶ºÒõ¹Ý si assicurano inoltre che le interfacce controllate che proteggono il perimetro di rete filtrino determinati tipi di pacchetti per proteggere i dispositivi sulla rete interna ¶ºÒõ¹Ý. I firewall e i dispositivi di controllo boundary sono configurati per permettere l'accesso solo a ciò che è necessario per eseguire le operazioni di ¶ºÒõ¹Ý.
3. Controlli di sicurezza del database – Tutti gli accessi (tramite sistema o direttamente da parte del personale) ai database ¶ºÒõ¹Ý sono registrati e monitorati per impedire modifiche non autorizzate. I dati sensibili vengono crittografati nei database utilizzando una cifratura raccomandata dal settore, mentre l'accesso diretto è limitato ai ruoli specificati nella Policy sulla sicurezza delle informazioni e nella Dichiarazione sulle pratiche di certificazione di ¶ºÒõ¹Ý.
4. Controlli di accesso e autenticazione – Tutte le interazioni tra gli utenti e i sistemi ¶ºÒõ¹Ý sono tracciabili, per cui è sempre possibile risalire alla persona che ha eseguito tali azioni e tutti gli utenti devono essere identificati prima di poter interagire con i sistemi ¶ºÒõ¹Ý. Il personale ¶ºÒõ¹Ý deve autenticarsi nei sistemi ¶ºÒõ¹Ý prima di poter accedere a qualunque componente del sistema necessario per svolgere il proprio ruolo e i ruoli sono definiti dalla Dichiarazione sulle pratiche di certificazione e dalla Policy sulla sicurezza delle informazioni di ¶ºÒõ¹Ý. Gli account utente e altri tipi di accesso ai sistemi informatici ¶ºÒõ¹Ý devono essere approvati in conformità alla Policy di accesso degli utenti. Sia i controlli fisici che logici, indicati nelle relative policy, sulle persone autorizzate vengono riesaminati periodicamente, almeno su base annuale.
5. Controlli del personale – Tutti i dipendenti ¶ºÒõ¹Ý e gli altri lavoratori che hanno accesso ai dati e/o ai sistemi ¶ºÒõ¹Ý sono soggetti ad accordi di riservatezza e sono tenuti a superare i controlli dei precedenti personali ("background check") e a seguire corsi di formazione specifici, dipendenti dai loro ruoli. ¶ºÒõ¹Ý mantiene e applica policy e procedure per ruoli di fiducia, identificazione e autenticazione per ogni ruolo, sanzioni per azioni non autorizzate, separazione dei compiti, assegnazione di badge ai dipendenti e rimozione immediata dell'accesso al sistema per dipendenti/lavoratori licenziati.
6. Controlli per la sicurezza fisica – L'accesso a ogni ufficio, sala computer e area di lavoro contenente informazioni sensibili è soggetto a restrizioni fisiche. Tutte le porte degli uffici sono dotate di serrature, e tutte le porte di ingresso alle strutture ¶ºÒõ¹Ý sono sempre chiuse a chiave. Tali porte sono accessibili tramite una card di accesso o altro dispositivo di controllo degli accessi, rilasciato solo dopo conferma del controllo dei precedenti. I data center, le cage e gli uffici ¶ºÒõ¹Ý sono sorvegliati con telecamere a circuito chiuso. Per accedere alla cage protetta è richiesto il riconoscimento biometrico e la presenza di due custodi. Tutti gli accessi sono registrati.
7. Gestione delle vulnerabilità/Patch – Vengono eseguite scansioni mensili su tutte le risorse ¶ºÒõ¹Ý utilizzando strumenti di rilevamento delle vulnerabilità. I sistemi che richiedono una riparazione devono essere sottoposti a patch entro le scadenze definite da Global Security Operations. I tempi si basano sul punteggio CVSS (Common Vulnerability Scoring System) assegnato. Le vulnerabilità critiche ed elevate vengono riparate entro 72 ore o viene creato un piano d'azione, le vulnerabilità medie vengono riparate o viene creato un piano d'azione entro 30 giorni e le vulnerabilità basse/informative vengono riparate a discrezione di ¶ºÒõ¹Ý.
8. Valutazione interna completa – ¶ºÒõ¹Ý esegue ogni anno una valutazione completa dei rischi che identifica tutte le minacce interne ed esterne ragionevolmente prevedibili alla sicurezza, alla privacy, alla riservatezza e all'integrità.
9. Valutazione della penetrazione/valutazione esterna – Ogni anno, viene condotta almeno una valutazione di terze parti delle penetrazioni. In genere, ¶ºÒõ¹Ý esegue vari test di penetrazione all'anno su codici, infrastrutture e sistemi, oltre a completare valutazioni Red Team.
10. Formazione e consapevolezza – Tutti i dipendenti e gli altri lavoratori sono tenuti a seguire corsi di formazione annuali su privacy, sicurezza e conformità. I dipendenti o altre persone che gestiscono informazioni di identificazione personale e informazioni sensibili ricevono ulteriore formazione. Tutti i lavoratori che hanno accesso ai sistemi e/o ai dati ¶ºÒõ¹Ý sono tenuti ad aderire alle policy e alle procedure per la corretta gestione dei dati, come la Policy sulla sicurezza delle informazioni, il Codice di condotta e la Policy sull'uso di ¶ºÒõ¹Ý.
11. Controlli dell'accesso di terze parti – I contratti di ¶ºÒõ¹Ý con terze parti che possono accedere ai suoi sistemi o dati rispondono adeguatamente ai requisiti di sicurezza e privacy. Queste terze parti sono inoltre soggette a una valutazione dell'impatto su privacy e sicurezza e all'attenuazione dei rischi prima che effettuino l'accesso.
12. Protezione dei dati per archiviazione e trasmissione – Tutti i dati archiviati nei sistemi ¶ºÒõ¹Ý vengono crittografati con una cifratura raccomandata dal settore. Allo stesso modo, tutti i dati trasmessi all'interno dei sistemi ¶ºÒõ¹Ý in tutto il mondo vengono crittografati in transito utilizzando una cifratura raccomandata dal settore.
13. Archiviazione, conservazione ed eliminazione – Le informazioni archiviate fisicamente o elettronicamente sono sottoposte ai controlli tecnici appropriati in base al livello di classificazione dei dati. Le informazioni vengono cancellate in conformità al nostro CP/CPS e alle informative sulla privacy applicabili.