Politica dei subprocessori di dati

1. Proprietà e controllo dei dati del servizio

Per poter offrire i servizi forniti da SMARTFENSE, è necessario che agisca come responsabile del trattamento sotto le sue istruzioni per elaborare le sue informazioni personali. Pertanto, è fondamentale che lei o la sua organizzazione affidiate a SMARTFENSE le informazioni che controlla, al fine di utilizzare i nostri servizi in modo efficace o ricevere assistenza tecnica sui nostri prodotti.

Ciò include informazioni sui suoi clienti e dipendenti (se è il titolare dei dati) o dati che ha e utilizza per conto di un’altra persona con uno scopo specifico, come nel caso di un cliente a cui fornisce servizi (se è un processore dei dati). I dati possono essere archiviati sui nostri server mentre vengono utilizzati i nostri servizi. Tutte le informazioni affidate a SMARTFENSE sono collettivamente denominate “dati del servizio”.

Riconosciamo che lei è il proprietario dei dati del servizio. Le forniamo il pieno controllo sui dati del servizio, permettendole di: Accedere ai suoi dati del servizio; Condividere i suoi dati del servizio tramite integrazioni con terze parti compatibili; Richiedere l’esportazione o l’eliminazione dei suoi dati del servizio.

2. Che cos’è un sub-processore?

Un sub-processore è un sub-responsabile (secondo la classificazione del GDPR) dei dati contratto da SMARTFENSE, comprese le entità di SMARTFENSE, che ha o potrebbe avere accesso o trattare i Dati del servizio (che possono contenere Dati personali).

SMARTFENSE utilizza diversi tipi di sub-processori per svolgere differenti funzioni, come indicato nella presente politica.

3. Diligenza dovuta

SMARTFENSE si impegna a utilizzare un processo di selezione commercialmente ragionevole tramite il quale valuta le pratiche di sicurezza, privacy e riservatezza dei sub-processori proposti che avranno o potrebbero avere accesso o trattare i Dati del servizio.

SMARTFENSE richiede contrattualmente ai propri sub-processori di accettare obblighi equivalenti a quelli richiesti a SMARTFENSE (come processore di dati), come stabilito nell’Accordo di trattamento dei dati (“DPA”) di SMARTFENSE. Tra questi obblighi, dovranno essere stabiliti almeno i seguenti:

  • Trattare i Dati personali in conformità con le istruzioni documentate del titolare del trattamento (cioè dell’Abbonato) (come comunicato per iscritto al sub-processore pertinente da SMARTFENSE);
  • In relazione alle loro attività di sub-processamento, utilizzare solo personale affidabile e soggetto a un obbligo contrattuale vincolante di rispettare la privacy e la sicurezza dei dati, nella misura applicabile, in conformità con le leggi sulla protezione dei dati applicabili;
  • Fornire formazione periodica sulla sicurezza e protezione dei dati al personale a cui viene concesso l’accesso ai Dati Personali;
  • Implementare e mantenere le misure tecniche e organizzative appropriate (comprese misure coerenti con quelle alle quali SMARTFENSE si impegna contrattualmente a rispettare nella misura in cui siano ugualmente rilevanti per il trattamento dei Dati personali da parte del sub-processore per conto di SMARTFENSE) e fornire una certificazione annuale che dimostri il rispetto di tale obbligo. In assenza di tale certificazione, SMARTFENSE si riserva il diritto di auditare il sub-processore;
  • Informare tempestivamente SMARTFENSE su qualsiasi violazione della sicurezza reale o potenziale; e
  • Cooperare con SMARTFENSE per soddisfare le richieste dei titolari del trattamento, degli interessati o delle autorità per la protezione dei dati, se del caso.

Questa politica non conferisce agli Abbonati alcun diritto o ricorso aggiuntivo e non deve essere interpretata come un accordo vincolante. Le informazioni contenute in questo documento sono fornite solo per illustrare il processo di coinvolgimento di SMARTFENSE per i sub-processori, nonché per fornire l’elenco effettivo dei sub-processori di terze parti e delle reti di distribuzione dei contenuti utilizzate da SMARTFENSE alla data di questa politica (che SMARTFENSE può utilizzare per la fornitura e il supporto dei propri Servizi).

Se è un abbonato di SMARTFENSE e desidera accedere al nostro DPA, invii un’email a privacy@smartfense.com.

4. Misure di Sicurezza delle Informazioni

I nostri Sub-processori, quando trattano i Dati del servizio per conto dell’Abbonato in relazione ai Servizi aziendali, implementeranno e manterranno le seguenti misure di sicurezza tecniche e organizzative per il trattamento di tali Dati del servizio:

  1. Controlli di accesso fisico: i nostri sub-processori adotteranno misure ragionevoli, come la presenza di personale di sicurezza e edifici protetti, per evitare che persone non autorizzate ottengano accesso fisico ai dati del servizio.
  2. Controlli di accesso al sistema: i nostri sub-processori adotteranno misure ragionevoli per impedire che i dati del servizio vengano utilizzati senza autorizzazione. Questi controlli variano in base alla natura del trattamento effettuato e possono includere, tra gli altri controlli, autenticazione tramite password e/o autenticazione a due fattori, processi di autorizzazione documentati, processi di gestione dei cambiamenti documentati e/o registri di accesso a più livelli.
  3. Controlli di accesso ai dati: i nostri sub-processori adotteranno misure ragionevoli per garantire che i dati del servizio siano accessibili e gestibili solo da personale debitamente autorizzato, che l’accesso diretto alla consultazione del database sia limitato e che i diritti di accesso all’applicazione siano stabiliti e applicati per garantire che solo le persone autorizzate ad accedere ai Dati del servizio possano accedervi; inoltre, i Dati del servizio non potranno essere letti, copiati, modificati o eliminati senza autorizzazione durante il trattamento. Il fornitore implementerà e manterrà una politica di accesso in base alla quale l’accesso al proprio ambiente di sistema, ai sistemi di trattamento dei dati, ai Dati del servizio e ad altri dati sarà regolato.
  4. Controlli di trasmissione: i nostri sub-processori adotteranno misure ragionevoli per garantire che sia possibile verificare e stabilire a quali entità i Dati del servizio saranno trasferiti tramite impianti di trasmissione dei dati, in modo che i Dati del servizio non possano essere letti, copiati, modificati o eliminati senza autorizzazione durante la trasmissione elettronica o il trasporto.
  5. Controlli di ingresso: i nostri sub-processori adotteranno misure ragionevoli per garantire che sia possibile verificare e stabilire se i Dati del servizio sono stati inseriti nei sistemi di trattamento dei dati, modificati o eliminati e da chi; inoltre, qualsiasi trasferimento di Dati del servizio a un fornitore di servizi esterno sarà effettuato tramite trasmissione sicura.
  6. Protezione dei dati: i nostri sub-processori adotteranno misure ragionevoli per garantire che i Dati del servizio siano protetti contro la distruzione o la perdita accidentale. I nostri sub-processori garantiranno che, quando i Dati del servizio sono ospitati da loro, le copie di sicurezza vengano completate regolarmente, siano sicure e criptate, per garantire che i Dati del servizio siano protetti. I nostri sub-processori implementeranno e manterranno un programma di sicurezza gestito per identificare i rischi e implementare tecnologie e processi preventivi per la mitigazione degli attacchi comuni.
  7. Separazione logica: i nostri sub-processori separeranno logicamente i Dati del servizio dai dati di altre parti nei loro sistemi per garantire che i Dati del servizio possano essere trattati separatamente.

5. Processo per l’assunzione di nuovi sub-processori

Per tutti gli Abbonati che hanno sottoscritto il DPA standard di SMARTFENSE, SMARTFENSE notificherà attraverso questa politica gli aggiornamenti alla lista dei sub-processori utilizzati o proposti da SMARTFENSE per prestare i suoi Servizi. SMARTFENSE si impegna a mantenere questa lista regolarmente aggiornata per consentire agli Abbonati di rimanere informati sull’ambito del sub-trattamento associato ai Servizi di SMARTFENSE.

In conformità con il DPA, un Abbonato può opporsi per iscritto al trattamento dei propri Dati personali da parte di un nuovo sub-processore entro trenta (30) giorni dall’aggiornamento di questa politica. Tale opposizione dovrà descrivere i motivi legittimi dell’Abbonato per l’opposizione. Se l’Abbonato non si oppone durante tale periodo di tempo, i nuovi sub-processori si considereranno accettati.

Se un Abbonato si oppone all’uso di un nuovo sub-processore in conformità con il processo previsto nel DPA, SMARTFENSE avrà il diritto di risolvere l’obiezione attraverso una delle seguenti opzioni (che saranno selezionate a discrezione esclusiva di SMARTFENSE):

  • SMARTFENSE cesserà di utilizzare il nuovo sub-processore in relazione ai Dati personali;
  • SMARTFENSE adotterà le misure correttive richieste dall’Abbonato nella sua obiezione (le cui misure saranno considerate per risolvere l’obiezione dell’Abbonato) e procederà a utilizzare il sub-processore per trattare i Dati personali;
  • SMARTFENSE può smettere di fornire o l’Abbonato può accettare di non utilizzare (temporaneamente o permanentemente) l’aspetto specifico di un Servizio SMARTFENSE che comporterebbe l’uso del sub-processore per trattare i Dati personali.

I diritti di risoluzione, se applicabili e concordati, sono stabiliti esclusivamente nel DPA.

6. Sub-processori di infrastruttura: archiviazione e trattamento dei dati di servizio

Attualmente, i sistemi di produzione di SMARTFENSE utilizzati per ospitare i Dati di servizio per i Servizi si trovano in strutture situate in Europa e nei sub-processori di infrastruttura elencati di seguito. SMARTFENSE utilizza anche servizi aggiuntivi forniti da questi sub-processori per trattare i Dati di servizio come necessario per fornire i Servizi.

Di seguito è riportato un elenco aggiornato (alla data di questa politica) dei nomi e delle posizioni dei sub-processori di SMARTFENSE (compresi i membri di SMARTFENSE e i terzi):

Sub-processore Descrizione Generale Paese Dati trattati Scopo
Amazon, inc. Fornitore di servizi di infrastruttura EU (Ireland) eu-west-1 Dati forniti dal cliente: Nome, Cognome, Email, ID Dipendente, UPN, Lingua, Gruppi, Aree funzionali, Livelli gerarchici, Telefono, Foto del profilo, Stato, Ruolo.

Dati generati dalla piattaforma: Registri di audit, metriche e risultati delle campagne di SMARTFENSE.

Fornire l’infrastruttura necessaria per il funzionamento della piattaforma.
Heroku Fornitore di piattaforma come servizio EU (Ireland) eu-west-1 Dati forniti dal cliente: Nome, Cognome, Email, ID Dipendente, UPN, Lingua, Gruppi, Aree funzionali, Livelli gerarchici, Telefono, Foto del profilo, Stato, Ruolo.

Dati generati dalla piattaforma: Registri di audit, metriche e risultati delle campagne di SMARTFENSE.

Fornire l’ambiente software su cui opera la piattaforma.
Papertrail Gestore dei log EU (Ireland) eu-west-1 Dati forniti dal cliente: Nome, Cognome, Email, Indirizzo IP, Informazioni sul browser, Informazioni di logging Fornire strumenti per la gestione dei log del sistema.

7. Sub-processori specifici del servizio

SMARTFENSE collabora con determinati terzi per fornire funzioni specifiche all’interno dei Servizi. Questi fornitori sono i sub-processori indicati di seguito. Per fornire la funzionalità pertinente, questi sub-processori accedono ai Dati di servizio. Il loro utilizzo è limitato ai Servizi indicati.

Ad esempio, se il Cliente ha acquistato SMARTFENSE con il modulo di Supporto per Whatsapp, dovrà fornire il consenso affinché tra i sub-processori autorizzati e utilizzati per il servizio vi siano quelli relativi all’azienda Facebook Inc. (proprietaria di Whatsapp).

Sub-processore Descrizione Generale Paese Dati trattati Scopo
Servidor de correos Server utilizzato per inviare email agli utenti. Principale: https://www.hostgator.com in USA
Secondario: https://www.iplan.com.ar in Argentina
Email Inviare email di simulazione di Phishing e Ransomware. Può anche inviare altre notifiche se non viene configurato un server di posta proprio.
Google Servizio aziendale di Google Nome
Cognome
Email
Lingua
Stato
Importare e autenticare utenti.
Microsoft Azure AD Servizio di directory attivo nella nuvola di Microsoft Nome
Cognome
Email
ID dipendente
UPN
Lingua
Gruppi
Stato
Importare e autenticare utenti.
Auth0 Gestore delle identità La posizione principale in cui Auth0 effettuerà il trattamento dei dati del cliente è scelta dal cliente quando crea un tenant Auth0.

Per i nostri clienti UK e UE, la regione è quasi sempre AWS EU, che comprende un data center principale a Francoforte (Germania) con failover in un secondo data center a Dublino (Repubblica d’Irlanda).

Nome
Cognome
Email
Stato
Autenticare utenti.