1. Proprietà e controllo dei dati del servizio
Per poter offrire i servizi forniti da SMARTFENSE, è necessario che agisca come responsabile del trattamento sotto le sue istruzioni per elaborare le sue informazioni personali. Pertanto, è fondamentale che lei o la sua organizzazione affidiate a SMARTFENSE le informazioni che controlla, al fine di utilizzare i nostri servizi in modo efficace o ricevere assistenza tecnica sui nostri prodotti.
Ciò include informazioni sui suoi clienti e dipendenti (se è il titolare dei dati) o dati che ha e utilizza per conto di un’altra persona con uno scopo specifico, come nel caso di un cliente a cui fornisce servizi (se è un processore dei dati). I dati possono essere archiviati sui nostri server mentre vengono utilizzati i nostri servizi. Tutte le informazioni affidate a SMARTFENSE sono collettivamente denominate “dati del servizio”.
Riconosciamo che lei è il proprietario dei dati del servizio. Le forniamo il pieno controllo sui dati del servizio, permettendole di: Accedere ai suoi dati del servizio; Condividere i suoi dati del servizio tramite integrazioni con terze parti compatibili; Richiedere l’esportazione o l’eliminazione dei suoi dati del servizio.
2. Che cos’è un sub-processore?
Un sub-processore è un sub-responsabile (secondo la classificazione del GDPR) dei dati contratto da SMARTFENSE, comprese le entità di SMARTFENSE, che ha o potrebbe avere accesso o trattare i Dati del servizio (che possono contenere Dati personali).
SMARTFENSE utilizza diversi tipi di sub-processori per svolgere differenti funzioni, come indicato nella presente politica.
3. Diligenza dovuta
SMARTFENSE si impegna a utilizzare un processo di selezione commercialmente ragionevole tramite il quale valuta le pratiche di sicurezza, privacy e riservatezza dei sub-processori proposti che avranno o potrebbero avere accesso o trattare i Dati del servizio.
SMARTFENSE richiede contrattualmente ai propri sub-processori di accettare obblighi equivalenti a quelli richiesti a SMARTFENSE (come processore di dati), come stabilito nell’Accordo di trattamento dei dati (“DPA”) di SMARTFENSE. Tra questi obblighi, dovranno essere stabiliti almeno i seguenti:
- Trattare i Dati personali in conformità con le istruzioni documentate del titolare del trattamento (cioè dell’Abbonato) (come comunicato per iscritto al sub-processore pertinente da SMARTFENSE);
- In relazione alle loro attività di sub-processamento, utilizzare solo personale affidabile e soggetto a un obbligo contrattuale vincolante di rispettare la privacy e la sicurezza dei dati, nella misura applicabile, in conformità con le leggi sulla protezione dei dati applicabili;
- Fornire formazione periodica sulla sicurezza e protezione dei dati al personale a cui viene concesso l’accesso ai Dati Personali;
- Implementare e mantenere le misure tecniche e organizzative appropriate (comprese misure coerenti con quelle alle quali SMARTFENSE si impegna contrattualmente a rispettare nella misura in cui siano ugualmente rilevanti per il trattamento dei Dati personali da parte del sub-processore per conto di SMARTFENSE) e fornire una certificazione annuale che dimostri il rispetto di tale obbligo. In assenza di tale certificazione, SMARTFENSE si riserva il diritto di auditare il sub-processore;
- Informare tempestivamente SMARTFENSE su qualsiasi violazione della sicurezza reale o potenziale; e
- Cooperare con SMARTFENSE per soddisfare le richieste dei titolari del trattamento, degli interessati o delle autorità per la protezione dei dati, se del caso.
Questa politica non conferisce agli Abbonati alcun diritto o ricorso aggiuntivo e non deve essere interpretata come un accordo vincolante. Le informazioni contenute in questo documento sono fornite solo per illustrare il processo di coinvolgimento di SMARTFENSE per i sub-processori, nonché per fornire l’elenco effettivo dei sub-processori di terze parti e delle reti di distribuzione dei contenuti utilizzate da SMARTFENSE alla data di questa politica (che SMARTFENSE può utilizzare per la fornitura e il supporto dei propri Servizi).
Se è un abbonato di SMARTFENSE e desidera accedere al nostro DPA, invii un’email a privacy@smartfense.com.
4. Misure di Sicurezza delle Informazioni
I nostri Sub-processori, quando trattano i Dati del servizio per conto dell’Abbonato in relazione ai Servizi aziendali, implementeranno e manterranno le seguenti misure di sicurezza tecniche e organizzative per il trattamento di tali Dati del servizio:
- Controlli di accesso fisico: i nostri sub-processori adotteranno misure ragionevoli, come la presenza di personale di sicurezza e edifici protetti, per evitare che persone non autorizzate ottengano accesso fisico ai dati del servizio.
- Controlli di accesso al sistema: i nostri sub-processori adotteranno misure ragionevoli per impedire che i dati del servizio vengano utilizzati senza autorizzazione. Questi controlli variano in base alla natura del trattamento effettuato e possono includere, tra gli altri controlli, autenticazione tramite password e/o autenticazione a due fattori, processi di autorizzazione documentati, processi di gestione dei cambiamenti documentati e/o registri di accesso a più livelli.
- Controlli di accesso ai dati: i nostri sub-processori adotteranno misure ragionevoli per garantire che i dati del servizio siano accessibili e gestibili solo da personale debitamente autorizzato, che l’accesso diretto alla consultazione del database sia limitato e che i diritti di accesso all’applicazione siano stabiliti e applicati per garantire che solo le persone autorizzate ad accedere ai Dati del servizio possano accedervi; inoltre, i Dati del servizio non potranno essere letti, copiati, modificati o eliminati senza autorizzazione durante il trattamento. Il fornitore implementerà e manterrà una politica di accesso in base alla quale l’accesso al proprio ambiente di sistema, ai sistemi di trattamento dei dati, ai Dati del servizio e ad altri dati sarà regolato.
- Controlli di trasmissione: i nostri sub-processori adotteranno misure ragionevoli per garantire che sia possibile verificare e stabilire a quali entità i Dati del servizio saranno trasferiti tramite impianti di trasmissione dei dati, in modo che i Dati del servizio non possano essere letti, copiati, modificati o eliminati senza autorizzazione durante la trasmissione elettronica o il trasporto.
- Controlli di ingresso: i nostri sub-processori adotteranno misure ragionevoli per garantire che sia possibile verificare e stabilire se i Dati del servizio sono stati inseriti nei sistemi di trattamento dei dati, modificati o eliminati e da chi; inoltre, qualsiasi trasferimento di Dati del servizio a un fornitore di servizi esterno sarà effettuato tramite trasmissione sicura.
- Protezione dei dati: i nostri sub-processori adotteranno misure ragionevoli per garantire che i Dati del servizio siano protetti contro la distruzione o la perdita accidentale. I nostri sub-processori garantiranno che, quando i Dati del servizio sono ospitati da loro, le copie di sicurezza vengano completate regolarmente, siano sicure e criptate, per garantire che i Dati del servizio siano protetti. I nostri sub-processori implementeranno e manterranno un programma di sicurezza gestito per identificare i rischi e implementare tecnologie e processi preventivi per la mitigazione degli attacchi comuni.
- Separazione logica: i nostri sub-processori separeranno logicamente i Dati del servizio dai dati di altre parti nei loro sistemi per garantire che i Dati del servizio possano essere trattati separatamente.
5. Processo per l’assunzione di nuovi sub-processori
Per tutti gli Abbonati che hanno sottoscritto il DPA standard di SMARTFENSE, SMARTFENSE notificherà attraverso questa politica gli aggiornamenti alla lista dei sub-processori utilizzati o proposti da SMARTFENSE per prestare i suoi Servizi. SMARTFENSE si impegna a mantenere questa lista regolarmente aggiornata per consentire agli Abbonati di rimanere informati sull’ambito del sub-trattamento associato ai Servizi di SMARTFENSE.
In conformità con il DPA, un Abbonato può opporsi per iscritto al trattamento dei propri Dati personali da parte di un nuovo sub-processore entro trenta (30) giorni dall’aggiornamento di questa politica. Tale opposizione dovrà descrivere i motivi legittimi dell’Abbonato per l’opposizione. Se l’Abbonato non si oppone durante tale periodo di tempo, i nuovi sub-processori si considereranno accettati.
Se un Abbonato si oppone all’uso di un nuovo sub-processore in conformità con il processo previsto nel DPA, SMARTFENSE avrà il diritto di risolvere l’obiezione attraverso una delle seguenti opzioni (che saranno selezionate a discrezione esclusiva di SMARTFENSE):
- SMARTFENSE cesserà di utilizzare il nuovo sub-processore in relazione ai Dati personali;
- SMARTFENSE adotterà le misure correttive richieste dall’Abbonato nella sua obiezione (le cui misure saranno considerate per risolvere l’obiezione dell’Abbonato) e procederà a utilizzare il sub-processore per trattare i Dati personali;
- SMARTFENSE può smettere di fornire o l’Abbonato può accettare di non utilizzare (temporaneamente o permanentemente) l’aspetto specifico di un Servizio SMARTFENSE che comporterebbe l’uso del sub-processore per trattare i Dati personali.
I diritti di risoluzione, se applicabili e concordati, sono stabiliti esclusivamente nel DPA.
6. Sub-processori di infrastruttura: archiviazione e trattamento dei dati di servizio
Attualmente, i sistemi di produzione di SMARTFENSE utilizzati per ospitare i Dati di servizio per i Servizi si trovano in strutture situate in Europa e nei sub-processori di infrastruttura elencati di seguito. SMARTFENSE utilizza anche servizi aggiuntivi forniti da questi sub-processori per trattare i Dati di servizio come necessario per fornire i Servizi.
Di seguito è riportato un elenco aggiornato (alla data di questa politica) dei nomi e delle posizioni dei sub-processori di SMARTFENSE (compresi i membri di SMARTFENSE e i terzi):
| Sub-processore | Descrizione Generale | Paese | Dati trattati | Scopo |
|---|---|---|---|---|
| Amazon, inc. | Fornitore di servizi di infrastruttura | EU (Ireland) eu-west-1 | Dati forniti dal cliente: Nome, Cognome, Email, ID Dipendente, UPN, Lingua, Gruppi, Aree funzionali, Livelli gerarchici, Telefono, Foto del profilo, Stato, Ruolo.
Dati generati dalla piattaforma: Registri di audit, metriche e risultati delle campagne di SMARTFENSE. |
Fornire l’infrastruttura necessaria per il funzionamento della piattaforma. |
| Heroku | Fornitore di piattaforma come servizio | EU (Ireland) eu-west-1 | Dati forniti dal cliente: Nome, Cognome, Email, ID Dipendente, UPN, Lingua, Gruppi, Aree funzionali, Livelli gerarchici, Telefono, Foto del profilo, Stato, Ruolo.
Dati generati dalla piattaforma: Registri di audit, metriche e risultati delle campagne di SMARTFENSE. |
Fornire l’ambiente software su cui opera la piattaforma. |
| Papertrail | Gestore dei log | EU (Ireland) eu-west-1 | Dati forniti dal cliente: Nome, Cognome, Email, Indirizzo IP, Informazioni sul browser, Informazioni di logging | Fornire strumenti per la gestione dei log del sistema. |
7. Sub-processori specifici del servizio
SMARTFENSE collabora con determinati terzi per fornire funzioni specifiche all’interno dei Servizi. Questi fornitori sono i sub-processori indicati di seguito. Per fornire la funzionalità pertinente, questi sub-processori accedono ai Dati di servizio. Il loro utilizzo è limitato ai Servizi indicati.
Ad esempio, se il Cliente ha acquistato SMARTFENSE con il modulo di Supporto per Whatsapp, dovrà fornire il consenso affinché tra i sub-processori autorizzati e utilizzati per il servizio vi siano quelli relativi all’azienda Facebook Inc. (proprietaria di Whatsapp).
| Sub-processore | Descrizione Generale | Paese | Dati trattati | Scopo |
|---|---|---|---|---|
| Servidor de correos | Server utilizzato per inviare email agli utenti. | Principale: https://www.hostgator.com in USA Secondario: https://www.iplan.com.ar in Argentina |
Inviare email di simulazione di Phishing e Ransomware. Può anche inviare altre notifiche se non viene configurato un server di posta proprio. | |
| Servizio aziendale di Google | Nome Cognome Lingua Stato |
Importare e autenticare utenti. | ||
| Microsoft Azure AD | Servizio di directory attivo nella nuvola di Microsoft | Nome Cognome ID dipendente UPN Lingua Gruppi Stato |
Importare e autenticare utenti. | |
| Auth0 | Gestore delle identità | La posizione principale in cui Auth0 effettuerà il trattamento dei dati del cliente è scelta dal cliente quando crea un tenant Auth0.
Per i nostri clienti UK e UE, la regione è quasi sempre AWS EU, che comprende un data center principale a Francoforte (Germania) con failover in un secondo data center a Dublino (Repubblica d’Irlanda). |
Nome Cognome Stato |
Autenticare utenti. |