Prendiamo seriamente la protezione dei tuoi dati

Facciamo tutto il possibile per proteggerli.

Controllo degli accessi

Offrite o supportate funzionalità SAML/SSO per l'autenticazione?

• Forniamo SSO esclusivamente per Google Workspace e Microsoft Active Directory.

Quali tipi di autenticazione a più fattori sono supportati?

• Supportiamo l'autenticazione a più fattori (MFA). Quando questa opzione viene attivata dagli amministratori, gli utenti devono verificare la loro identità inserendo un codice inviato via SMS durante il processo di accesso.

Come proteggete i dati o i processi dei clienti da accessi non autorizzati?

• I dati dei clienti sono archiviati su server crittografati senza accesso dall'esterno. Utilizziamo una VPC (Virtual Private Cloud), dove solo le parti dell'applicazione che si trovano nella stessa rete possono accedervi.

Quali misure adottate per impedire la visualizzazione non autorizzata delle informazioni?

• Usiamo token JWT con una scadenza di 1 minuto per scopi di autenticazione e autorizzazione. Inoltre, implementiamo il RBAC (Role-Based Access Control) per garantire ai clienti un'accurata granularità delle autorizzazioni.

Chi nella vostra azienda può accedere ai dati dei clienti?

• Solo gli amministratori del supporto clienti, sotto richiesta diretta e personale approvata dal cliente stesso.

Utilizzate un modello server multi-tenant?

•  Sì.

Quali misure adottate per isolare i sistemi e i dati di ciascun tenant?

• Tutti i dati sono mappati su un'entità denominata "Azienda" e ogni dato è associato tramite chiavi esterne.

Protezione dei dati

Come è strutturato il vostro protocollo di sicurezza dei dati? (I protocolli di sicurezza dei dati, definiti come “le regole software e comportamentali che guidano come i dipendenti gestiscono e accedono ai dati”, forniscono linee guida chiare che dimostrano l'approccio di un'organizzazione alla sicurezza dei dati. Questo potrebbe includere cose come certificati SSL, reti private virtuali (VPN), autenticazione a più fattori (MFA) e altro.)

I dati dei clienti sono archiviati su server crittografati, ai quali non è possibile accedere dall'esterno. Utilizziamo la VPC (Virtual Private Cloud), dove solo le parti dell'applicazione che si trovano nella stessa rete (VPC) possono accedervi.

Utilizziamo una connessione SSL per tutti i componenti della nostra applicazione.

La vostra piattaforma è sottoposta a controlli esterni?

•  Sì, è stata certificata ISO 27001 a giugno 2023.

Collaborate con terze parti per offrire la vostra soluzione SaaS?

 Sì, collaboriamo con:

• Amazon Web Services (AWS) (infrastruttura cloud) - data center a Francoforte, Germania.
• HubSpot Ireland  Ireland Ltd, Ground Floor, Two Dockland Central, Guild Street, Dublin 1, Co. Dublin, Ireland(VAT: IE9849471F). - invio di newsletter e notifiche. (https://legal.hubspot.com/privacy-policy).
• Zendesk Inc.  989 Market Street, San Francisco, California, 94103, United States, - servizio di messaggistica e supporto clienti.
• Smartlook.com, s.r.o. - analisi del comportamento degli utenti.
• Stripe Technology Europe, Ltd. - gestione pagamenti.
• Google Ireland Limited - servizi di analisi e gestione tag.
• Sentry - analisi avanzata dei dati.
• OpenAI Ireland Limited - analisi dei dati.

Memorizzate i dati della carta di credito sul vostro server?

•  No, utilizziamo Stripe come processore di pagamento.

Cosa succede in caso di corruzione dei dati?

• Ripristiniamo i dati automaticamente dal backup giornaliero, conservato in uno storage isolato.

Chi possiede i dati se smettiamo di utilizzare il vostro servizio?

• I dati sono di proprietà del cliente.

Cosa fate per distruggere i dati dopo la loro rimozione da parte del cliente?

•  Li eliminiamo in modo permanente.

Quando avete eseguito l'ultimo test di penetrazione di terze parti?

•  Ogni mese, il primo giorno.

Ripristino in caso di disastro

Qual è il vostro piano di ripristino in caso di disastro?

• Abbiamo un piano automatizzato conforme a queste linee guida di AWS

Eseguite test regolari sui piani di ripristino?

• Sì.

Con quale frequenza eseguite backup incrementali?

• Ogni 24 ore.

Quante copie dei dati memorizzate e dove sono conservate?

• Utilizziamo Amazon Web Services per i backup, con repliche multiple per garantire il 100% di tasso di recupero. (https://aws.amazon.com/rds/?p=ft&c=db&z=3).

Fino a quanto tempo risalgono i backup?

•  1 mese.

Avete mai avuto una violazione della sicurezza?

• No.

Con quale frequenza testate l'infrastruttura di backup e ripristino?

•  Ogni sei mesi.

Risposta agli incidenti

Avete un piano di risposta agli incidenti?

•  Sì, conforme a queste linee guida di AWS.

Coinvolgete i clienti nel processo di risposta agli incidenti?

• Sì

Fornite report su tentativi di violazione o violazioni riuscite?

• Su richiesta del cliente.

Quali responsabilità ricadono sul cliente in caso di incidenti?

•  Gli incidenti causati direttamente dal cliente sono sotto la sua responsabilità. Tuttavia, tutte le azioni sono registrate in un audit log che traccia dettagli come:
  • Indirizzo IP dell'utente.
  • Nome dell'azione.
  • Identificativo univoco (email).
  • Data e ora.
  • Versione dell'applicazione.
  • Modifiche effettuate ai dati.

Sicurezza fisica

Come valutate la comprensione della sicurezza da parte dei dipendenti?

• Non utilizziamo server fisici.

Dove si trova il vostro data center e quali misure di sicurezza fisica sono in atto?

• Utilizziamo i data center di Amazon Web Services a Francoforte. Non abbiamo accesso diretto a essi.

In quali Paesi sono conservati i dati?

• Nei data center di Francoforte forniti da AWS.

Conformità normativa

Rispettate le normative sulla privacy (es. GDPR)?

Sì, pienamente conforme.

Come raccogliete i dati personali?

I dati personali sono raccolti dal cliente (azienda) per gestire le risorse umane.

Perché raccogliete i dati personali?

Per gestire attività come pianificazione ferie, turni, distribuzione documenti interni e altre operazioni HR.

Quanto tempo conservate i dati personali?

I dati vengono conservati finché il cliente li mantiene nell'applicazione. Se il cliente smette di utilizzare il servizio, tutti i dati saranno eliminati entro 1 mese dalla scadenza della licenza commerciale.

Quali diritti hanno gli utenti?

 Gli utenti hanno tutti i diritti garantiti dal GDPR, inclusi:

• Diritto di accesso.
• Diritto di aggiornamento.
• Diritto all'oblio.