Prendiamo sul serio la protezione dei vostri dati. E facciamo tutto il possibile per proteggerli.
Controllo degli accessi
Offrite o supportate le funzionalità SAML/SSO per l'autenticazione?
- Forniamo SSO solo per Google Workspace e Microsoft Active Directory.
Quali tipi di autenticazione a più fattori sono supportati?
- Supportiamo l'autenticazione multifattoriale (MFA). Quando questa opzione viene attivata dagli amministratori, gli utenti devono verificare la propria identità inserendo un codice inviato via SMS durante il processo di login.
Come vengono protetti i dati o i processi dei clienti da accessi non autorizzati?
- I dati dei clienti sono archiviati in server criptati ai quali non è possibile accedere dall'esterno. Utilizziamo VPC (Virtual Private Cloud), dove solo le parti dell'applicazione che si trovano nella stessa rete (VPC) possono accedervi.
Quali misure adottate per prevenire la visualizzazione non autorizzata delle informazioni?
- Utilizziamo token JWT (con scadenza di 1 minuto) per scopi di autenticazione e autorizzazione. Utilizziamo RBAC (Role Based Access Control) per poter fornire ai clienti una granularità di autorizzazione.
Chi nella vostra azienda può vedere i dati dei clienti?
- Solo gli amministratori dell'assistenza clienti su richiesta diretta e personale del cliente stesso
Utilizzate un modello di server multi-tenant?
- Si
Quali misure avete per isolare i sistemi e i dati dei singoli tenant?
- Tutto è mappato su un'entità chiamata “Azienda” e ogni dato è associato ad essa tramite chiavi esterne.
Protezione dei dati
Che aspetto ha il vostro protocollo di sicurezza dei dati? (I protocolli di sicurezza dei dati, definiti come “le regole software e comportamentali che guidano il modo in cui i dipendenti gestiscono e accedono ai dati”, forniscono linee guida chiare che dimostrano l'approccio di un'organizzazione alla sicurezza dei dati. Possono includere elementi come i certificati SSL, le reti private virtuali (VPN), l'autenticazione a più fattori (MFA) e altro ancora).
- I dati dei clienti sono archiviati in server criptati, dove non c'è accesso dal mondo esterno. Utilizziamo VPC (Virtual Private Cloud), dove solo le parti dell'applicazione che si trovano nella stessa rete (VPC) possono accedervi.
- Utilizziamo una connessione SSL per tutti i componenti della nostra applicazione.
La vostra piattaforma è sottoposta ad audit esterno?
- Sì, ISO 27001 Audit a giugno 2023
Lavorate con altre terze parti per fornire la vostra soluzione SaaS? Se sì (e se hanno accesso ai vostri dati), quali sono i loro protocolli di sicurezza?
- Amazon - Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg, cloud infrastructure service provider. The data centres are located in Frankfurt am Main, Federal Republic of Germany.
- HubSpot Ireland Ltd, Ground Floor, Two Dockland Central, Guild Street, Dublin 1, Co. Dublin, Ireland(VAT: IE9849471F), Hubspot service for sending mass messages, notifications and customer support (https://legal.hubspot.com/privacy-policy).
- Zendesk Inc. 989 Market Street, San Francisco, California, 94103, United States, Service for bulk messaging, notification and customer support service (https://www.zendesk.com/company/agreements-and-terms/privacy-notice/).
- Smartlook.com, s.r.o. Šumavská 524/31, Brno, CZ 60200, Czech Republic, Reg. no.: 09508830, VAT ID: CZ09508830, Smartlook for analysing user behaviour in the application. (https://help.smartlook.com/en/articles/3244452-privacy-policy)
- Stripe Technology Europe, Ltd., 25/28 North Wall Quay, Dublin 1, D01H104, ID: 0599050 Service Stripe for payment gateway services. ( https://stripe.com/en-cz/privacy)
- Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irsko (Registration number: 368047 / DIČ: IE6388047V) - statistics services Google Analytics a Google Tag Manager. (https://policies.google.com/privacy/partners?hl=en).
- Sentry (Functional Software, Inc.), 45 Fremont Street, 8th Floor, San Francisco, CA 94105. Service for better and smart analysis of data (https://sentry.io/privacy/).
- OpenAI Ireland Limited, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Ireland. Service for smart analysis of data (https://openai.com/policies/privacy-policy/).
Memorizzate i dati della carta di credito sul vostro server?
- Non memorizziamo i dati della carta di credito sul nostro server. Utilizziamo Stripe come processore di pagamento.
Cosa succede in caso di danneggiamento dei dati?
- Li ripristiniamo automaticamente dal backup giornaliero (il backup giornaliero ha una memoria isolata al di fuori dell'applicazione stessa).
Chi è il proprietario dei dati se smettiamo di usare il cliente come fornitore?
- I dati sono di proprietà del cliente
Quali azioni fate per distruggere i dati dopo che sono stati rilasciati da un cliente?
- Li cancelliamo definitivamente
Quando è stato eseguito l'ultimo pentest di terza parte?
- ogni mese entro il 1. giorno
Recupero dai disastri
Quali sono i vostri piani di disaster recovery?
- Abbiamo un piano di recupero automatizzato in conformità con https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/plan-for-disaster-recovery-dr.html.
Eseguite test di routine per il ripristino di emergenza?
- Sì
Con quale frequenza vengono eseguiti i backup incrementali?
- Ogni 24 ore
Quante copie dei dati conservate e dove sono archiviate?
- Per i backup utilizziamo Amazon Web Services. I backup vengono replicati per poter raggiungere tassi di recupero del 100% (https://aws.amazon.com/rds/?p=ft&c=db&z=3).
A quanto tempo fa risalgono le copie di backup?
- 1 mese
Avete mai avuto una violazione della sicurezza?
- No
Con quale frequenza e in che modo testate la vostra infrastruttura di backup e ripristino?
- Una volta all'anno
Quali sono i vostri metodi per il backup dei dati? Quali sono le offerte per il backup dei dati?
Eseguiamo il backup quotidiano di tutti i dati dei nostri database e dei nostri archivi. A tale scopo utilizziamo i backup automatici di https://aws.amazon.com/rds/?p=ft&c=db&z=3.
Risposta agli incidenti
Avete un piano di risposta agli incidenti?
- Abbiamo un piano di ripristino automatico in conformità con https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/plan-for-disaster-recovery-dr.html.
Coinvolgete i clienti nel processo di risposta agli incidenti?
- Sì
Fornite rapporti su tentativi o successi di violazione dei sistemi, sugli impatti e sulle azioni intraprese?
- Se richiesto dal cliente
Quali compiti e incidenti rimangono sotto la responsabilità del cliente?
- Se la perdita di dati è causata dal cliente stesso, la responsabilità è di quest'ultimo. Tutte le applicazioni sono coperte da un Audit-Login, che memorizza dettagli quali:
- Indirizzo IP dell'esecutore (persona che esegue un'azione)
- Nome dell'azione
- Identificatore univoco della persona che ha effettuato l'accesso (e-mail)
- Timestamp di un'azione
- Quale versione dell'applicazione è stata distribuita al momento dell'azione
- Quali dati sono stati modificati ed eventualmente anche il diff, cosa è stato modificato in cosa
Sicurezza fisica
Come valutate la comprensione della sicurezza da parte dei vostri dipendenti?
- Non abbiamo server fisici
Dove si trova il vostro centro dati e quali sono le misure di sicurezza fisiche adottate?
- Utilizziamo data center situati a Francoforte e forniti da Amazon Web Services. Non abbiamo accesso ad essi
In quali paesi vengono archiviati i dati, sia sulla vostra infrastruttura che per i backup?
- Centri dati di Francoforte forniti da Amazon Web Services
Conformità normativa
Siete conformi o intendete conformarvi alle normative sulla privacy (ad es. Privacy Shield, GDPR)?
- SÌ, pienamente conforme.
GDPR
Come si raccolgono i dati personali?
Il soggetto che raccoglie i dati personali è il cliente (azienda), che raccoglie e tratta i dati personali dei rispettivi dipendenti.
Perché raccogliete i dati personali?
I dati personali raccolti dai soggetti sopra indicati sono raccolti al solo scopo di gestire l'agenda delle risorse umane del datore di lavoro (azienda).
Per cosa utilizzate i dati personali?
I dati personali raccolti consentono ai datori di lavoro di pianificare le ferie, programmare i turni, distribuire documenti interni ed elaborare altre agende interne.
Per quanto tempo conserverete i dati personali?
Poiché il proprietario dei dati è il datore di lavoro, i dati saranno conservati nell'applicazione finché il cliente li conserverà. Nel caso in cui il cliente smetta di utilizzare l'applicazione, tutti i dati saranno cancellati entro 1 mese dalla scadenza della licenza commerciale.
Ho dei diritti?
A tutti gli utenti, i cui dati personali vengono raccolti, sono garantiti tutti i diritti previsti dal regolamento GDPR, in particolare il diritto di osservare, aggiornare e dimenticare.
0 commenti
Accedi per aggiungere un commento.