1. Definizioni
Questo Documento di Sicurezza dei Dati è parte integrante dei Termini e Condizioni Generali applicati da Quentral srl e attua pienamente le disposizioni in essi contenute. Salvo diversa specifica ed indicazione in questo Documento di Sicurezza dei Dati, ogni termine in lettere maiuscole qui utilizzato avrà lo stesso significato stabilito nei Termini e Condizioni Generali di Quentral srl e nell'Accordo sulla Protezione dei Dati.
2. Portata
Lo scopo di questo Documento di Sicurezza dei Dati è informare il CLIENTE sulle misure di sicurezza che QUENTRAL ha adottato per proteggere i dati e la privacy degli Utenti. Questo documento non può essere condiviso dal CLIENTE con terze parti né divulgato per alcun motivo senza il consenso scritto esplicito di QUENTRAL.
3. Parti Responsabili
Ai fini di questo Documento, sono identificate due Parti, ciascuna con le proprie responsabilità nel garantire un adeguato livello di sicurezza in relazione ai dati degli Utenti:
QUENTRAL, che applica misure di sicurezza all'infrastruttura e fornisce al CLIENTE gli strumenti per proteggere la Piattaforma. QUENTRAL agisce come Processore esterno per conto del CLIENTE, che è il Responsabile del Trattamento dei dati degli utenti finali del Servizio.
CLIENTE, che configura la Piattaforma, stabilendo gli scopi e i metodi del Trattamento dei Dati Personali e determinando il Servizio per gli utenti finali. Il CLIENTE agisce come il Responsabile del Trattamento dei dati degli Utenti per fini di privacy.
4. Misure Organizzative
4.1. Legislazione corrente e soluzioni applicate
QUENTRAL adotta soluzioni tecniche e organizzative in conformità con il Regolamento UE 679/2016 sulla Protezione Generale dei Dati (“GDPR”) e altre leggi italiane applicabili, salvo diversa indicazione da parte del CLIENTE attraverso un Accordo sulla Protezione dei Dati tra QUENTRAL e CLIENTE.
4.2. Gestione degli incidenti e delle contingenze
La procedura di lavoro interna adottata da QUENTRAL include processi di rilevamento, segnalazione e comunicazione in relazione a qualsiasi incidente o problema che causa (o potrebbe causare) danni ai dati, servizi, utenti e alla Piattaforma. Il CLIENTE sarà notificato di qualsiasi minaccia, rischio, periodo di tempo, impatto e, ove possibile, di qualsiasi soluzione entro 72 ore dal rilevamento del suddetto incidente di sicurezza.
4.3. Garanzia di qualità e conformità
La sicurezza delle informazioni e dei sistemi è costantemente verificata da QUENTRAL anche tramite audit interni annuali. In qualità di Processore, QUENTRAL si impegna a garantire al CLIENTE, il Responsabile, qualora quest'ultimo lo richieda, di verificare la conformità del Processore con le disposizioni di questo Documento di Sicurezza dei Dati.
QUENTRAL, in quanto Processore, si impegna a collaborare con il CLIENTE, il Responsabile, per supportarlo nell'implementazione di una valutazione d'impatto sulla privacy nella misura possibile, date le informazioni a sua disposizione e la natura del Trattamento. Il Responsabile sosterrà i costi ragionevoli legati a questo obbligo di collaborazione.
Il Responsabile avrà il diritto di assumere, a sue spese, un esperto indipendente per effettuare un'analisi volta a accertare se il Processore rispetta i propri obblighi derivanti da questo Documento di Sicurezza dei Dati. Il Responsabile sosterrà i costi correlati a questo obbligo di collaborazione.
4.4. Processore
La conservazione e protezione dei dati sui server di QUENTRAL è continuamente e regolarmente monitorata dal Direttore Tecnico e dal personale di QUENTRAL incaricato di farlo.
4.5. Documentazione
Tutti i dati raccolti tramite la Piattaforma sono protetti conformemente ai Termini e Condizioni Generali di QUENTRAL, all'Accordo sul Livello del Servizio, all'Accordo sulla Protezione dei Dati e alla Privacy Policy.
4.6. Risorse Umane
QUENTRAL, al meglio delle sue possibilità, si impegna e ha l'obbligo di agire con adeguata diligenza per svolgere le attività specifiche oggetto di questo Documento, gestendo e assegnando alle attività da svolgere adeguate risorse umane, organizzative, tecnologiche e IT e soluzioni, assicurando che le sue risorse umane siano sempre di elevato livello professionale, tenendo debitamente conto dei rischi del Trattamento relativi al suo Servizio, allo stato dell'arte, ai costi di implementazione, al mercato di riferimento e allo scopo e al target del suo Servizio.
QUENTRAL, come Processore, obbliga i soggetti autorizzati al Trattamento dei Dati ad adeguate obbligazioni legali di riservatezza in relazione a qualsiasi operazione di Trattamento eseguita, anche una volta che il rapporto di lavoro con il Processore scada.
5. Misure di Sicurezza IT
5.1. Uso accettabile di hardware e sistemi interni
L'uso accettabile dei sistemi interni e dell'hardware è stabilito nella politica d'uso di QUENTRAL e in ogni contratto di lavoro firmato da ogni dipendente e collaboratore di QUENTRAL.
5.2. Sviluppo e test
Lo sviluppo software viene eseguito su dispositivi locali. I server e gli ambienti di sviluppo sono fisicamente separati dai server e dagli ambienti di produzione. I test e l'installazione sono eseguiti solo da personale autorizzato. QUENTRAL esegue test funzionali, di usabilità, di design e di vulnerabilità che vengono effettuati su server separati.
5.3. Crittografia
Tutte le comunicazioni tra l'Utente e il software sono crittografate utilizzando SSL/HTTPS. QUENTRAL utilizza chiavi di crittografia a 2048-bit. Le password sono sempre hashate per l'archiviazione.
5.4. Archiviazione e backup dei dati
Tutti i dati del Cliente sono archiviati solo su server conformi alle disposizioni stabilite nel GDPR. Tutti i dati vengono sottoposti a backup settimanale su un server separato. I dati di backup sono crittografati e conservati per un periodo di 30 giorni e cancellati automaticamente al suo termine.
5.5. Continuità aziendale
Per garantire la continuità aziendale, ci sforziamo di mantenere i parametri di servizio descritti nell'SLA.
5.6. Sicurezza della rete
La connessione di rete degli uffici di QUENTRAL è protetta da un firewall, tutte le porte in ingresso sono bloccate. Lo stack del server di QUENTRAL è costituito da una rete di server che non consentono traffico internet in ingresso a meno che non sia accessibile tramite una connessione VPN sicura. Ci sono solo server proxy sulle porte web 80 e 443 che sono fisicamente separati dai server contenenti i dati del CLIENTE. Solo il personale autorizzato ha accesso ai server tramite VPN utilizzando chiavi personali. Solo un sottoinsieme dei nostri dipendenti (Dipartimento Tecnico) può accedere ai server contenenti i dati del CLIENTE. L'accesso a questi server è ulteriormente limitato tramite l'uso di una coppia di chiavi SSH personali. Tutti i server della Piattaforma di QUENTRAL hanno pacchetti di allerta installati per rilevare tentativi di intrusione o altri comportamenti sospetti. Qualora
vengano rilevati tali tentativi o comportamenti, QUENTRAL verrà notificata tramite e-mail automatiche. Gli ospiti in ufficio sono forniti di una connessione Wi-Fi separata.
5.7. Protezione antivirus e antispyware
I dispositivi e i sistemi dell'ufficio di QUENTRAL sono protetti con strumenti antispyware e antivirus.
6. Misure di Sicurezza Fisica
6.1. Allocazione fisica
I server di QUENTRAL sono conservati nell'ambiente di QUENTRAL e in un ambiente protetto di Amazon AWS. I documenti cartacei sensibili sono conservati nel nostro ufficio di QUENTRAL in una stanza sicura, in armadi chiusi a chiave. L'edificio è protetto con una chiave fornita a un numero limitato di dipendenti per motivi di sicurezza.
Tutti i laptop dell'ufficio sono crittografati e protetti da password. Politiche aggiuntive come la politica di configurazione dei dispositivi, i criteri delle password e i criteri di accesso remoto si applicano a tutti i dipendenti.
6.2. Uso di dispositivi rimovibili per l'archiviazione dei dati
QUENTRAL non memorizza Dati Personali e/o Sensibili su chiavette USB rimovibili. Tutti i Dati Personali e/o Sensibili raccolti tramite la Piattaforma sono archiviati su server sicuri e occasionalmente, su laptop aziendali criptati e protetti da password.
6.3. Riutilizzo dell'hardware
Qualsiasi dispositivo contenente Dati viene ripristinato alle impostazioni predefinite e quindi ricontrollato per eventuali tracce di dati o software. In caso di riutilizzo dell'hardware, dopo il ripristino, al dipendente viene fornito un account personale protetto da password.
7. Raccolta dei Dati ed Esclusione di Responsabilità
7.1. QUENTRAL, nella sua posizione di Processore dei Dati, riceve ed elabora i Dati Personali per conto del CLIENTE che è il Responsabile del Trattamento dei dati degli utenti.
7.2. QUENTRAL non agirà mai come Responsabile del Trattamento, il CLIENTE sarà considerato come l'unico Responsabile del Trattamento.
7.3. Il tipo di Dati Personali raccolti tramite la Piattaforma di QUENTRAL dipenderà dal Contenuto caricato dal CLIENTE e dagli utenti finali del Servizio. Il CLIENTE sarà responsabile di fornire ai suoi Utenti tutte le informazioni obbligatorie per legge, come lo scopo per cui il trattamento dei Dati Personali è inteso e la base giuridica per il suo trattamento. Il CLIENTE si impegna, in particolare, a rispettare e a far rispettare ai suoi Utenti le disposizioni stabilite nell'art. 22 “Obblighi del CLIENTE e dell'Utente”, e nell'art. 25 “Politica d'uso accettabile” dei Termini e Condizioni Generali.
7.4. Il CLIENTE e gli Utenti saranno gli unici responsabili dei Contenuti e di qualsiasi altra informazione caricata sulla Piattaforma di QUENTRAL, così come del modo in cui utilizzeranno il Servizio. QUENTRAL non accetterà alcuna responsabilità o responsabilità legale, né potrà essere ritenuta responsabile in alcun modo, per qualsiasi Contenuto e/o informazione caricata sulla Piattaforma di QUENTRAL in conseguenza dei Termini e Condizioni Generali firmati con il CLIENTE e/o derivanti dall'uso del Servizio da parte degli Utenti del Cliente.