Dichiarazione sulla Sicurezza dei Dati

Definizioni

Questa Dichiarazione sulla sicurezza dei Dati è da considerarsi parte integrante del documento Termini e Condizioni Generali applicato da Quentral Srl di cui ne recepisce integralmente le disposizioni ivi contenute. A meno che non sia diversamente definito ed indicato nella presente Dichiarazione sulla sicurezza dei Dati, tutti i termini in maiuscolo qui utilizzati hanno lo stesso significato definito nel Termini e Condizioni Generali di Quentral Srl e nel documento di Accordo per il Trattamento dei Dati.

Scopo  

Lo scopo di questa Dichiarazione sulla Sicurezza dei Dati è di comunicare a CLIENTE le misure di sicurezza che QUENTRAL ha in atto per proteggere i dati e la privacy degli Utenti. Questo documento non può essere condiviso da CLIENTE con nessuna altra parte né può essere ad alcun titolo divulgato senza la espressa autorizzazione rilasciata per iscritto da parte di QUENTRAL.

Parti Responsabili

Ai fini della presente Dichiarazione, vengono identificate due Parti, ciascuna con le proprie responsabilità verso il mantenimento di un livello di sicurezza adeguato per quanto riguarda i Dati dell'Utente:

1. QUENTRAL, che applica le misure di sicurezza all'infrastruttura e fornisce a CLIENTE strumenti per proteggere la Piattaforma. QUENTRAL agisce in qualità di Responsabile esterno per conto di CLIENTE che è Titolare dei Dati degli Utenti finali utilizzatori del Servizio.
2. CLIENTE, che configura la Piattaforma, ovvero determina le finalità e le modalità di Trattamento dei Dati Personali e definisce il Servizio per gli Utenti finali. CLIENTE agisce in veste di Titolare del Trattamento dei Dati degli Utenti ai fini privacy.

Misure organizzative 

Leggi vigenti e soluzioni applicate

QUENTRAL adotta soluzioni tecniche e organizzative che rispettano i requisiti previsti dal Regolamento generale sulla protezione dei dati UE 679/2016 (“GDPR”) e delle altre leggi Italiane applicabili, salvo quanto diversamente indicato da CLIENTE con un Accordo di elaborazione dei Dati tra QUENTRAL e CLIENTE.

Gestione degli incidenti e imprevisti

La procedura di lavoro interna adottata da QUENTRAL prevede la presenza di processi per il rilevamento, segnalazione e comunicazione di eventuali incidenti o problemi che arrecano (o possono arrecare) pregiudizio ai Dati, Servizi, agli Utenti, alla Piattaforma. CLIENTE viene informato su eventuali minacce, rischi, tempi, impatto e, quando possibile, soluzioni entro 72 ore dal rilevamento dell'incidente di sicurezza.

1. Garanzia di qualità e conformità

1. La sicurezza delle informazioni e dei sistemi viene costantemente verificata da parte di QUENTRAL anche per mezzo di Audit interni svolti annualmente. QUENTRAL in qualità di Responsabile accetta di garantire a CLIENTE che è Titolare, nel caso di eventuale richiesta da parte di quest’ultimo, la verifica della conformità del Responsabile con le disposizioni della presente Dichiarazione sulla sicurezza dei Dati.
2. QUENTRAL, in qualità di Responsabile, si impegna a collaborare con CLIENTE che è il Titolare per supportarlo nella esecuzione di una valutazione di impatto sulla privacy nella misura in cui ciò sia possibile, date le informazioni a sua disposizione e la natura del Trattamento. I costi ragionevoli che questo obbligo di collaborazione comporta sono a carico del Titolare.
3. Il Titolare ha il diritto di ingaggiare, a proprie spese, un esperto indipendente per lo svolgimento di un Audit ovvero per accertare se il Responsabile adempie agli obblighi per quest’ultimo derivanti da questa Dichiarazione sulla Sicurezza dei Dati. I costi che questo obbligo di collaborazione comporta sono a carico del Titolare.

Responsabile

La conservazione e la protezione dei Dati sui server di QUENTRAL sono monitorati continuamente e con costanza dal Direttore Tecnico e dallo staff di QUENTRAL a ciò preposto.

Documentazione

Tutti i Dati raccolti utilizzando la Piattaforma sono protetti in conformità con i Termini e le Condizioni Generali di QUENTRAL, l'Accordo sul livello di Servizio, l’Accordo per il Trattamento dei Dati e l'Informativa sulla privacy.

Risorse umane

1. QUENTRAL si impegna al meglio delle proprie capacità e ha l'obbligo di operare con la diligenza necessaria allo svolgimento delle specifiche attività oggetto della presente Dichiarazione, assegnando alle attività da svolgere e gestendo le stesse con adeguate risorse e soluzioni umane, organizzative, tecnologiche, informatiche, facendo in modo che le sue Risorse umane siano sempre di elevato standing professionale tenendo in debita considerazione i rischi di Trattamento relativi al suo Servizio, lo stato dell'arte, i costi di implementazione, il mercato in cui opera e l'uso cui è rivolto e destinato il suo Servizio.
2. QUENTRAL in qualità di Responsabile vincola le persone autorizzate al Trattamento dei Dati ad adeguati obblighi legali di riservatezza, anche per il periodo successivo all’estinzione del rapporto di collaborazione intrattenuto con il Responsabile, in relazione alle operazioni di Trattamento da esse eseguite.

Misure di sicurezza IT

1. 1. 1.  Uso accettabile dell'hardware e dei sistemi interni
         L'uso accettabile dei sistemi interni e dell'hardware è coperto dalla politica di utilizzo di QUENTRAL e da ogni singolo contratto di lavoro sottoscritto da tutti i dipendenti e collaboratori di QUENTRAL.
      2.  Sviluppo e test
         Lo sviluppo del software viene eseguito su dispositivi locali. I server e gli ambienti di sviluppo sono fisicamente separati dai server e dagli ambienti di produzione. Il test e l'installazione vengono eseguiti solo da personale autorizzato. QUENTRAL esegue test funzionali, di usabilità, di progettazione e di vulnerabilità che vengono eseguiti su server separati.
      3. Crittografia
         Tutte le comunicazioni tra l'Utente e il software sono crittografate tramite SSL / HTTPS. QUENTRAL utilizza chiavi di crittografia a 2048 bit. Le password vengono sempre memorizzate come hash.
      4.  Archiviazione e backup dei dati
         Tutti i dati Client sono memorizzati solo su server conformi a quanto disposto dal GDPR. Tutti i Dati vengono sottoposti a backup settimanalmente su un server separato. I dati di backup vengono crittografati e archiviati per un periodo di 30 giorni e cancellati automaticamente in seguito.
      5. Business continuity
         Al fine di garantire la continuità operativa, ci sforziamo di mantenere i parametri di servizio descritti nel SLA.
      6. Sicurezza della rete
         La connessione di rete dell'ufficio di QUENTRAL è protetta da un firewall, tutte le porte in ingresso sono bloccate. Lo stack di server di QUENTRAL è costituito da una rete di server che non consentono il traffico internet in entrata se non quando si accede tramite una connessione VPN sicura. Sono disponibili solo server proxy sulle porte Web 80 e 443 e questi server sono fisicamente separati dai server contenenti dati di CLIENTE. Solo il personale autorizzato ha accesso ai server attraverso VPN utilizzando le chiavi personali. Solo un sottoinsieme dei nostri dipendenti (Tech Department) può accedere ai server contenenti i dati di CLIENTE. L'accesso a questi server è ulteriormente limitato utilizzando una coppia di chiavi SSH personali. Tutti i server della Piattaforma QUENTRAL hanno pacchetti di allerta installati per rilevare tentativi di intrusione o altri comportamenti sospetti. Nel caso in cui tali tentativi o comportamenti vengano rilevati, QUENTRAL verrà avvisato tramite e-mail automatiche. Gli ospiti dell'ufficio sono dotati di una connessione Wi-Fi separata.
      7. Protezione antivirus e antispyware
         I dispositivi e i sistemi per ufficio QUENTRAL sono protetti con strumenti antispyware e antivirus.

Misure di sicurezza fisiche 

1. 1.  Allocazione fisica
      I server QUENTRAL sono archiviati in ambiente QUENTRAL e in un ambiente protetto di Amazon AWS. I file cartacei sensibili vengono memorizzati nel nostro ufficio QUENTRAL in una stanza protetta, in armadi chiusi a chiave. L'edificio è protetto con una chiave fornita a un numero ristretto di dipendenti ai fini della sicurezza. Tutti i laptop da ufficio sono criptati e protetti da password. Politiche aggiuntive come la politica di configurazione dei dispositivi, i criteri di password e i criteri di accesso remoto si applicano a tutti i dipendenti.
   2. Uso di dispositivi rimovibili per l'archiviazione dei dati
      QUENTRAL non memorizza Dati Personali e / o Sensibili in chiavette USB rimovibili. Tutti i Dati Personali e / o Sensibili raccolti tramite la Piattaforma sono archiviati in server protetti e, occasionalmente, su laptop da ufficio crittografati e protetti da password.
   3. Riutilizzo dell'hardware

Qualsiasi apparecchiatura contenente Dati viene ripristinata sui valori predefiniti e successivamente ricontrollata per eventuali Dati o tracce di software. In caso di riutilizzo dell'hardware, dopo il ripristino, al dipendente viene fornito un account personale protetto da password.

Raccolta Dati e esclusione di responsabilità  

1. 1.  QUENTRAL, in qualità di Responsabile del Trattamento dei Dati, riceve ed elabora i Dati personali per conto di CLIENTE che è il Titolare dei Dati degli Utenti.
   2.  QUENTRAL non agirà mai come Titolare del Trattamento dei Dati, CLIENTE deve essere considerato il solo e unico Titolare del Trattamento dei Dati.
   3.  Il tipo di Dati personali raccolti tramite la Piattaforma QUENTRAL dipenderà dal Contenuto che viene caricato da CLIENTE e dagli Utenti utilizzatori finali del Servizio. CLIENTE è in ultima analisi responsabile di fornire ai propri Utenti tutte le informazioni obbligatorie per legge, come le finalità del trattamento al quale sono destinati i Dati Personali e la base legale per il loro trattamento. CLIENTE si obbliga, in particolare, a rispettare e fare rispettare ai propri Utenti le indicazioni di cui all’articolo 22. “Obblighi del CLIENTE e dell’Utente”, e di cui all’articolo 25. “Politica di utilizzo accettabile” dei Termini e Condizioni Generali.
   4.  CLIENTE e gli Utenti sono gli unici responsabili per i Contenuti e le altre informazioni riversate nella Piattaforma QUENTRAL nonché per l’utilizzo che faranno del Servizio. QUENTRAL non accetta alcuna responsabilità, né potrà essere chiamata a rispondere in alcun modo, in relazione ai Contenuti e/o a qualsiasi informazione riversata sulla Piattaforma QUENTRAL per effetto del Contratto stipulato con CLIENTE e/o per l’utilizzo del Servizio da parte degli Utenti di quest’ultimo.