1. Proprietà e controllo dei dati del tuo servizio
Per poter fornire correttamente i servizi offerti da SMARTFENSE, non esiste altra modalità operativa se non intervenire come responsabile del trattamento (sotto le vostre istruzioni) nel trattamento delle vostre informazioni. Per questo motivo è necessario che tu o la tua organizzazione possiate affidare a SMARTFENSE le informazioni che controllate, affinché sia effettivamente possibile utilizzare i nostri servizi o richiedere assistenza tecnica sui nostri prodotti.
Ciò include informazioni sui tuoi clienti e sui tuoi collaboratori (se sei titolare del trattamento) oppure dati che possiedi e utilizzi per conto di un’altra persona per uno scopo specifico, come ad esempio un cliente al quale fornisci servizi (se sei responsabile del trattamento). I dati possono essere archiviati sui nostri server quando utilizzi i nostri servizi. Tutte le informazioni affidate a SMARTFENSE sono collettivamente denominate “dati di servizio”.
Riconosciamo che tu sei il proprietario dei dati di servizio: ti garantiamo pieno controllo sui tuoi dati di servizio offrendoti la possibilità di (i) accedere ai tuoi dati di servizio, (ii) condividere i tuoi dati di servizio tramite integrazioni compatibili di terze parti e (iii) richiedere l’esportazione o l’eliminazione dei tuoi dati di servizio.
2. Che cos’è un sub-responsabile?
Un sub-responsabile è un sub-responsabile del trattamento (secondo la classificazione del GDPR) incaricato da SMARTFENSE, incluse le società del gruppo SMARTFENSE, che ha o potrebbe avere accesso ai Dati di servizio o trattarli (i quali possono contenere Dati personali).
SMARTFENSE utilizza diversi tipi di sub-responsabili per svolgere differenti funzioni, come indicato nella presente policy.
3. Due diligence
SMARTFENSE si impegna a utilizzare un processo di selezione commercialmente ragionevole, attraverso il quale valuta le pratiche di sicurezza, privacy e riservatezza dei sub-responsabili proposti che avranno o potranno avere accesso ai Dati di servizio.
SMARTFENSE richiede contrattualmente ai propri sub-responsabili l’accettazione di obblighi equivalenti a quelli richiesti a SMARTFENSE (in qualità di Responsabile del trattamento), come stabilito nel Data Processing Agreement (“DPA”) di SMARTFENSE. Tra tali obblighi, devono essere previste almeno le seguenti condizioni:
- Trattare i Dati personali in conformità con le istruzioni documentate del titolare del trattamento (ossia il Sottoscrittore), così come comunicate per iscritto al sub-responsabile da SMARTFENSE;
- In relazione alle attività di sub-processing, utilizzare esclusivamente personale affidabile e vincolato da un obbligo contrattuale di riservatezza e sicurezza dei dati, nella misura applicabile e in conformità con le leggi vigenti sulla protezione dei dati;
- Fornire formazione periodica in materia di sicurezza e protezione dei dati al personale che ha accesso ai Dati personali;
- Implementare e mantenere misure tecniche e organizzative adeguate (incluse misure coerenti con quelle cui SMARTFENSE si impegna contrattualmente, nella misura in cui risultino rilevanti per il trattamento dei Dati personali da parte del sub-responsabile) e fornire una certificazione annuale che dimostri la conformità a tale obbligo. In assenza di tale certificazione, SMARTFENSE si riserva il diritto di effettuare audit sul sub-responsabile;
- Informare immediatamente SMARTFENSE in caso di violazione effettiva o potenziale della sicurezza;
- Cooperare con SMARTFENSE per soddisfare le richieste del titolare del trattamento, degli interessati o delle autorità di controllo per la protezione dei dati, a seconda dei casi.
La presente policy non conferisce ai Sottoscrittori alcun diritto o rimedio aggiuntivo e non deve essere interpretata come un accordo vincolante. Le informazioni contenute in questo documento hanno l’unico scopo di illustrare il processo utilizzato da SMARTFENSE per l’ingaggio dei sub-responsabili, nonché di fornire l’elenco aggiornato dei sub-responsabili terzi e delle reti di distribuzione dei contenuti utilizzati da SMARTFENSE alla data della presente policy (che SMARTFENSE può impiegare per l’erogazione e il supporto dei propri Servizi).
Se sei un Sottoscrittore di SMARTFENSE e desideri sottoscrivere il nostro DPA, inviaci un’email a privacy@smartfense.com.
4. Misure di sicurezza delle informazioni
I nostri sub-responsabili, quando trattano Dati di servizio per conto del Sottoscrittore in relazione ai Servizi enterprise, implementeranno e manterranno le seguenti misure tecniche e organizzative per il trattamento di tali Dati di servizio:
- Controlli di accesso fisico: i nostri sub-responsabili adotteranno misure ragionevoli, come personale di sicurezza e edifici protetti, per impedire che persone non autorizzate ottengano accesso fisico ai Dati di servizio.
- Controlli di accesso al sistema: i nostri sub-responsabili adotteranno misure ragionevoli per impedire che i Dati di servizio vengano utilizzati senza autorizzazione. Tali controlli variano in base alla natura del trattamento e possono includere, tra gli altri, autenticazione tramite password e/o autenticazione a due fattori, processi documentati di autorizzazione, processi documentati di gestione delle modifiche e registrazione degli accessi a vari livelli.
- Controlli di accesso ai dati: i nostri sub-responsabili adotteranno misure ragionevoli per garantire che i Dati di servizio siano accessibili e gestiti solo da personale debitamente autorizzato, che l’accesso diretto alle basi dati sia limitato e che i diritti di accesso alle applicazioni siano definiti e applicati in modo da assicurare che le persone autorizzate possano accedere solo ai Dati di servizio per i quali dispongono dei relativi privilegi; e che i Dati di servizio non possano essere letti, copiati, modificati o eliminati senza autorizzazione durante il trattamento. Il fornitore manterrà una policy di controllo degli accessi al proprio ambiente di sistema, ai sistemi di trattamento dei dati e ai Dati di servizio.
- Controlli di trasmissione: i nostri sub-responsabili adotteranno misure ragionevoli per garantire che sia possibile verificare e stabilire a quali entità vengano trasmessi i Dati di servizio tramite i canali di comunicazione, in modo che i Dati di servizio non possano essere letti, copiati, modificati o eliminati senza autorizzazione durante la trasmissione elettronica o il trasporto.
- Controlli di registrazione (input): i nostri sub-responsabili adotteranno misure ragionevoli per garantire che sia possibile verificare e stabilire se i Dati di servizio siano stati inseriti, modificati o eliminati nei sistemi di trattamento dei dati e da chi; e che qualsiasi trasferimento di Dati di servizio a un fornitore esterno avvenga tramite trasmissione sicura.
- Protezione dei dati: i nostri sub-responsabili adotteranno misure ragionevoli per garantire che i Dati di servizio siano protetti contro distruzione o perdita accidentale. Qualora il sub-responsabile ospiti i dati, si assicurerà che i backup siano effettuati con regolarità, in modo sicuro e cifrato, così da garantire la protezione dei Dati di servizio. I nostri sub-responsabili implementeranno e manterranno un programma di sicurezza gestito per identificare i rischi e adottare tecnologie e processi preventivi per mitigare gli attacchi più comuni.
- Separazione logica: i nostri sub-responsabili separeranno logicamente i Dati di servizio dai dati di altre parti nei loro sistemi, per garantire che i Dati di servizio possano essere trattati in modo separato.
5. Processo per l’ingaggio di nuovi sub-responsabili
Per tutti i Sottoscrittori che hanno sottoscritto il DPA standard di SMARTFENSE, SMARTFENSE notificherà, tramite la presente policy, gli aggiornamenti alla lista dei sub-responsabili utilizzati o che intende utilizzare per l’erogazione dei propri Servizi. SMARTFENSE si impegna a mantenere questo elenco regolarmente aggiornato, per consentire ai propri Sottoscrittori di essere informati sull’ambito del sub-processing associato ai Servizi SMARTFENSE.
In conformità con il DPA, un Sottoscrittore può opporsi per iscritto al trattamento dei propri Dati personali da parte di un nuovo sub-responsabile entro trenta (30) giorni successivi all’aggiornamento della presente policy, indicando i motivi legittimi alla base dell’obiezione. Se il Sottoscrittore non presenta alcuna obiezione entro tale periodo, i nuovi sub-responsabili si considereranno accettati.
Se un Sottoscrittore si oppone all’utilizzo di un nuovo sub-responsabile conformemente al processo previsto nel DPA, SMARTFENSE avrà il diritto di risolvere l’obiezione tramite una delle seguenti opzioni (a esclusiva discrezione di SMARTFENSE):
- SMARTFENSE smetterà di utilizzare il nuovo sub-responsabile in relazione ai Dati personali;
- SMARTFENSE adotterà le misure correttive richieste dal Sottoscrittore nella sua obiezione (misure che saranno considerate idonee a risolvere l’obiezione) e procederà comunque a utilizzare il sub-responsabile per il trattamento dei Dati personali;
- SMARTFENSE potrà interrompere la fornitura, oppure il Sottoscrittore potrà accettare di non utilizzare (in modo temporaneo o permanente), la specifica funzionalità del Servizio SMARTFENSE che comporterebbe l’uso del sub-responsabile per il trattamento dei Dati personali.
Gli eventuali diritti di recesso, se applicabili e concordati, sono regolati esclusivamente nel DPA.
6. Sub-responsabili di infrastruttura: archiviazione e trattamento dei dati di servizio
Attualmente, i sistemi di produzioneSMARTFENSE utilizzati per ospitare i Dati di servizio per i propri Servizi sono ubicati in strutture situate in Europa e presso i sub-responsabili di infrastruttura elencati di seguito. SMARTFENSE utilizza inoltre servizi aggiuntivi forniti da tali sub-responsabili per trattare i Dati di servizio, nella misura necessaria all’erogazione dei Servizi.
Di seguito è riportato un elenco aggiornato (alla data della presente policy) dei nomi e delle sedi dei sub-responsabili di SMARTFENSE (inclusi i membri del gruppo SMARTFENSE e terzi):
Sub-responsabile |
Descrizione generica |
Paese |
Dati trattati |
Finalità |
|---|---|---|---|---|
| Amazon, Inc. | Fornitore di servizi di infrastruttura | EU (Irlanda) eu-west-1 |
Dati forniti dal cliente: Nome, Cognome, Email, ID collaboratore, UPN, Lingua, Gruppi, Aree funzionali, Livelli gerarchici, Telefono, Foto profilo, Stato, Ruolo. Dati generati dalla piattaforma: |
Fornire l’infrastruttura necessaria su cui opera la piattaforma. |
| Heroku | Fornitore di Platform-as-a-Service | EU (Irlanda) eu-west-1 |
Dati forniti dal cliente: Nome, Cognome, Email, ID collaboratore, UPN, Lingua, Gruppi, Aree funzionali, Livelli gerarchici, Telefono, Foto profilo, Stato, Ruolo. Dati generati dalla piattaforma: |
Fornire l’ambiente software su cui opera la piattaforma. |
| Papertrail | Gestore di log | EU (Irlanda) eu-west-1 | Nome, Cognome, Email, Indirizzo IP, Informazioni del browser, Log. | Fornire strumenti per la gestione dei log di sistema. |
7. Sub-responsabili specifici del servizio
SMARTFENSE collabora con determinati fornitori terzi per fornire funzionalità specifiche all’interno dei propri Servizi. Questi fornitori sono i sub-responsabili indicati di seguito. Per erogare le relative funzionalità, tali sub-responsabili accedono ai Dati di servizio. Il loro utilizzo è limitato alle funzionalità e ai servizi qui descritti.
Ad esempio, se il Sottoscrittore ha acquistato SMARTFENSE con il modulo di Supporto per WhatsApp, sarà necessario il suo consenso affinché tra i sub-responsabili autorizzati siano inclusi soggetti collegati a Facebook Inc. (proprietaria di WhatsApp).
Sub-responsabile |
Descrizione generica |
Paese |
Dati trattati |
Finalità |
|---|---|---|---|---|
| Server di posta | Server utilizzato per inviare email agli utenti. |
Primario: https://www.hostgator.com (USA) Secondario: https://www.iplan.com.ar (Argentina) |
Inviare email di simulazione di Phishing e Ransomware. Può inoltre inviare altre notifiche se non viene configurato un server di posta dedicato. | |
| Servizi corporate di Google | Stati Uniti |
Nome Cognome Lingua Stato |
Importare e autenticare utenti. | |
| Microsoft Azure AD | Servizio di directory attiva cloud di Microsoft | Stati Uniti |
Nome Cognome ID collaboratore UPN Lingua Gruppi Stato |
Importare e autenticare utenti. |
| Auth0 | Gestore di identità | Per clienti UK ed EU: regione AWS EU (primaria Francoforte, secondaria Dublino) |
Nome Cognome Stato |
Autenticare utenti. |
| Keycloak | Soluzione open source per identità e accesso, con SSO, federazione delle identità e autenticazione multifattore. | Stati Uniti |
Username Nome completo Nome Cognome |
Autenticare utenti. |
| Okta | Fornitore cloud di gestione di identità e accessi (SSO, MFA, gestione utenti). | Stati Uniti |
Username Nome completo Nome Cognome |
Autenticare utenti. |
| Slack | Strumento di comunicazione unificata che integra chat, chiamate, videoconferenze e collaborazione. | Stati Uniti | Invio di notifiche agli utenti finali. | |
| Microsoft Teams | Piattaforma di collaborazione e comunicazione di Microsoft. | Stati Uniti | Invio di notifiche agli utenti finali. | |
| Vanta | Soluzione di compliance e sicurezza che automatizza audit e controlli per standard come SOC 2 e ISO 27001. | Stati Uniti | Invio dei log di audit delle campagne da SMARTFENSE verso Vanta. | |
| SAP SuccessFactors | Suite cloud per la gestione del talento, risorse umane, sviluppo e analisi del personale. | Stati Uniti | Invio dei log di audit delle campagne da SMARTFENSE verso SAP SuccessFactors. |