L'elenco seguente rappresenta le misure tecniche e organizzative di Website Builderal 29 luglio 2024. Website Builder si riserva il diritto di rivedere queste misure tecniche e organizzative in qualsiasi momento, senza preavviso, a condizione che tali revisioni non riducano o indeboliscano materialmente la protezione fornita per i dati personali che la Società elabora nella fornitura dei suoi vari servizi. Website Builder adotterà le seguenti misure di sicurezza tecniche e organizzative per proteggere i dati personali:
-
Governance della sicurezza delle informazioni
-
L'azienda è certificata ISO 27001:2022.
-
La Società ha nominato un responsabile della sicurezza delle informazioni che riporta direttamente a un dirigente senior della Società.
-
Una serie di politiche e standard di sicurezza delle informazioni sono documentati, approvati e regolarmente mantenuti.
-
L'azienda ha un'assicurazione informatica.
-
Un piano di risposta agli incidenti è documentato e testato di routine per garantire una risposta efficace e un ripristino più breve in caso di incidente di sicurezza.
-
-
Controllo delle risorse umane
-
Tutti i dipendenti dell'azienda seguono sessioni di formazione di routine sulla consapevolezza della sicurezza.
-
I controlli dei precedenti per i nuovi dipendenti sono in uso ove consentito dalla legge locale.
-
I dipendenti dell'azienda si impegnano a rispettare i principi di protezione della privacy e di sicurezza delle informazioni.
-
I dipendenti che hanno accesso ai dati personali sono soggetti alla riservatezza sulla base di accordi di non divulgazione (NDA) o clausole equivalenti.
-
In caso di cessazione, i diritti di accesso dei dipendenti vengono revocati e viene effettuato un promemoria sui loro obblighi di sicurezza.
-
-
Formazione e sensibilizzazione sulla sicurezza delle informazioni
-
L'azienda stabilisce obiettivi relativi alla sicurezza come obiettivi aziendali e agisce per aumentare la consapevolezza sui problemi di sicurezza delle informazioni e privacy.
-
Vengono effettuate periodicamente sessioni di formazione e sensibilizzazione sulla sicurezza e sulla privacy per tutti i dipendenti.
-
-
Sicurezza della rete e del cloud
-
L'ambiente cloud dell'azienda è ospitato e supportato da AWS. Per ulteriori informazioni sulla sicurezza fisica, consulta la pagina Controlli di sicurezza AWS.
-
I dati inattivi e in transito sono crittografati con algoritmi di crittografia di livello industriale.
-
Utilizzo di firewall (sia di rete che applicativi) e sistemi di autenticazione.
-
L'accesso amministrativo all'infrastruttura cloud è protetto con password complesse + 2FA abilitata e accesso remoto tramite VPN e tunneling SSH.
-
Segregazione completa della rete di produzione e delle risorse cloud (VPC) dagli ambienti di test e sviluppo.
-
L'utilizzo di sistemi antintrusione, sia basati su rete (NIDS) che basati su host (HIDS).
-
Tutte le comunicazioni TCP in uscita sono crittografate con TLS.
-
-
Riservatezza dei dati personali trattati
-
I dati personali store e trattati dall'azienda sono adeguatamente protetti secondo le migliori pratiche commerciali commisurate a società simili in settori simili.
-
L'accesso ai dati personali dei clienti è limitato alla necessità di sapere.
-
Vengono applicate password complesse store le password sono completamente crittografate e crittografate.
-
Anonimizzazione/Pseudonimizzazione di dati personali e/o sensibili ove applicabile in conformità a esigenze tecniche o aziendali per fornire il servizio e/o rispettare la legge.
-
La Società non fornirà le PII e/o i dati aziendali degli utenti a meno che non venga stabilita un'adeguata verifica dell'identità del proprietario dell'account.
-
I Dati del Cliente saranno store solo per il tempo in cui la Società e il Cliente hanno un accordo attivo e per il tempo in cui servono agli scopi per i quali i dati sono stati raccolti.
-
Processo sicuro per la cancellazione dei dati personali entro la fine del periodo di conservazione e/o su richiesta.
-
I sub-responsabili del trattamento sono sottoposti a una revisione della sicurezza delle informazioni e della privacy del fornitore basata sulla sensibilità dei dati e/o dei dati personali a cui accedono e sono tenuti a rispettare i requisiti di sicurezza del fornitore.
-
-
Sicurezza, integrità e disponibilità dei sistemi di elaborazione
-
I laptop aziendali sono dotati di software anti-malware e antivirus.
-
I laptop aziendali sono dotati di una soluzione di gestione che applica la politica di sicurezza dei laptop dell'azienda.
-
Scansioni regolari delle vulnerabilità di pacchetti open source (SCA), codice (SAST), applicazioni Web (DAST) e infrastruttura cloud.
-
Processo di aggiornamento del software (ad es. gestione delle patch) in atto per correggere le vulnerabilità identificate in modo tempestivo in conformità con la valutazione del rischio.
-
L'uso di sistemi di registrazione, monitoraggio e allerta.
-
Sistemi avanzati per mitigare gli attacchi Denial of Service (DoS/DDoS).
-
-
Ripristino dei sistemi e della disponibilità dei dati in caso di incidente fisico o tecnico
-
L'uso di zone di cloud computing ad alta disponibilità in più posizioni geografiche.
-
Le procedure di disaster recovery (DR) sono ben documentate e regolarmente riviste e aggiornate.
-
I backup regolari vengono store in modo sicuro in un ambiente cloud separato e possono essere ripristinati in base alle esigenze.
-
-
Valutazione dell'efficacia delle misure tecniche e organizzative
-
Test di penetrazione periodici e su richiesta.
-