Clicky

[ITA] Privacy e Sicurezza dei Dati in Validactor | The News @ Validactor - The Global Anti-counterfeiting solution

[ITA] Privacy e Sicurezza dei Dati in Validactor

[ITALIANO] Validactor su AWS: Privacy e sicurezza dei dati
La fiducia del cliente è una delle maggiori priorità di Validactor. La piattaforma selezionata per la memorizzazione e gestione dei dati è basata sul Cloud di Amazon AWS garantisce le potenzialità necessarie alla gestione di qualsiasi quantità di dati potenzialmente immaginabile.
Tutti i dati gestiti tramite i nostri servizi sono per noi motivo della massima attenzione.
Siamo consapevoli che i nostri clienti hanno particolarmente a cuore la privacy e la sicurezza dei dati. È per questo che, si è scelto di eseguire Validactor ed i suoi programmi software in AWS. Validactor ha sempre il controllo e la proprietà sui dati gestiti; grazie a strumenti semplici ma efficaci possiamo determinare dove i dati saranno memorizzati, proteggere le informazioni dei clienti sia in transito sia inattive e gestire l'accesso ai servizi e alle risorse.
Sia Validactor che AWS implementano anche controlli scrupolosi e sofisticati, sia tecnici sia fisici, progettati per impedire accessi non autorizzati e divulgazione di dati riservati. Conservare intatta la fiducia che i clienti ripongono in noi è una delle nostre mission prioritarie; il nostro impegno è tenere sempre informati i clienti su policy, pratiche e tecnologie di sicurezza dei dati e di privacy che applichiamo.
Questo impegno include:
POSSESSO E CONTROLLO DEI CONTENUTI DEL CLIENTE:
• Accesso: i clienti Validactor gestiscono l'accesso e la ricezione dei propri contenuti. Validactor fornisce funzionalità avanzate di accesso, crittografia e registrazione di log che facilitano il raggiungimento di questo obiettivo. Accediamo ai contenuti dei clienti solo per la gestione dei medesimi per le finalità commerciali stesse relative al rapporto che intercorre tra il cliente e Validactor, fatto salvo quanto previsto dalle normative vigenti o secondo necessità tecniche.
• Storage: i clienti vengono informati relativamente alla regione o alle regioni in cui sono memorizzati i loro dati. Validactor non potrà trasferire tali contenuti al di fuori della regione o delle regioni scelte, fatto salvo quanto previsto dalle normative vigenti o secondo necessità tecniche.
• Sicurezza: i clienti acquisiscono automaticamente le modalità di protezione dei dati come definito da Validactor. Validactor tramite AWS offre crittografia avanzata per le informazioni dei loro clienti sia in transito sia inattive. Validactor gestisce le proprie chiavi di crittografia.
• Divulgazione di contenuti del cliente: Validactor non divulgherà contenuti del cliente se non richiesto dalla legislazione vigente o da ordinanze legali vincolanti emesse da un'autorità normativa o statale. Salvo ove sia proibito o a meno che non sussistano chiare indicazioni di condotta illegale in connessione con l'uso dei prodotti o dei servizi di Validactor, i contenuti del cliente saranno divulgati esclusivamente previa notifica da parte di AWS e Validactor ai clienti stessi, per consentire loro di tutelare i contenuti.
• Controlli di sicurezza: Validactor utilizza i programmi di controlli di sicurezza di AWS che usa best practice universalmente riconosciute relative a protezione di dati e privacy, per consentire ai clienti di adattarsi e sfruttare un ambiente sicuro. Queste procedure di sicurezza sono convalidate in modo indipendente da valutazioni di terze parti.
Protezione dei dati nel cloud
In che modo Validactor definisce i contenuti dei clienti?
Validactor suddivide i dati dei clienti in due categorie: contenuti del cliente e informazioni sull'account.
Si definiscono contenuti del cliente prodotti software, dati, testi, audio, video o immagini trasferiti in in Validactor per l'elaborazione dal cliente o dagli utenti finali, lo storage o l'hosting in servizi Validactor su AWS in connessione all'account del cliente e ogni altra attività di elaborazione risultante dall'utilizzo dei servizi Validactor da parte del cliente o degli utenti finali. Ad esempio, i contenuti del cliente includeranno tutti i dati memorizzati in Amazon Simple Storage Service dal cliente o dagli utenti finali. Il contenuto del cliente non include informazioni sull'account, secondo quanto descritto di seguito. Al contenuto del cliente si applicano i termini del contratto con il cliente AWS o eventuali altri contratti stipulati con AWS che regolamentino l'utilizzo dei servizi.
Si definiscono informazioni sull'account i dati personali forniti a Validactor dal cliente in connessione con la creazione o l'amministrazione di un account. Ad esempio, le informazioni sull'account includono nomi, cognomi, numeri di telefono, indirizzi e-mail e informazioni di fatturazione associati all'account del cliente.Alle informazioni sull'account si applicano le pratiche descritte nella Informativa sulla privacy di AWS.
A chi appartengono i dati del cliente?
I clienti mantengono la titolarità dei propri contenuti e scelgono Validactor per la gestione e la memorizzazione dei propri dati. Non accediamo né utilizziamo i contenuti dei clienti per alcun motivo, fatto salvo quanto previsto dalle normative vigenti o secondo necessità, per mantenere i servizi Validactor attivi, nonché per erogarli ai titolari dei dati. AWS non utilizza i contenuti del cliente né eventuali informazioni derivate a scopo pubblicitario o di marketing.
Chi controlla i dati del cliente?
Validactor effettuerà ogni sforzo possibile per controllare l’integrità tecnica dei dati. È responsabilità dei clienti il contenuto dei dati stessi, affinché non violino leggi, norme o quanto ritenuto non legalmente accettabile
Validactor consente di: • Conoscere la localizzazione dei dati dei clienti, inclusa l’area geografica. • Scegliere il livello di sicurezza dei contenuti dei loro clienti. Validactor tramite AWS offre crittografia avanzata per le informazioni dei loro clienti sia in transito sia inattive. • Gestire l'accesso ai contenuti dei loro clienti mediante utenti, gruppi, autorizzazioni e credenziali sotto il proprio controllo.
Per quanto riguarda le informazioni sull'account?
Sappiamo quanto i clienti si preoccupino di come le informazioni sul loro account vengano utilizzate e apprezziamo la loro fiducia; perciò tratteremo i loro dati in modo attento e oculato.
Cosa accade quando Validactor riceve una richiesta da parte delle autorità di fornire contenuti dei clienti?
Validactor presta molta attenzione alla privacy dei propri clienti. Validactor non divulgherà contenuti del cliente se non richiesto dalla legislazione vigente o da ordinanze legali vincolanti emesse da un'autorità normativa o statale. Per ottenere un'ordinanza legale vincolante, le autorità dovranno seguire la procedura prevista dalla legislazione vigente; Validactor esaminerà tutte le ordinanze e si opporrà a quelle con interpretazione estensiva o comunque imprecise. Salvo ove sia proibito o a
meno che non sussistano chiare indicazioni di condotta illegale in connessione con l'uso dei prodotti o dei servizi di Validactor, i contenuti del cliente saranno divulgati esclusivamente previa notifica da parte di Validactor ai clienti stessi, per consentire loro di tutelare i contenuti. Validactor è consapevole dell'importanza della trasparenza per i clienti.
page3image4983984
Dove verranno memorizzati i contenuti dei clienti?
I clienti saranno informati relativamente alla regione o alle regioni in cui vengono memorizzati i propri dati, in modo da distribuire i servizi Validactor in base a specifici requisiti geografici. I data center di Validactor/AWS sono progettati in cluster e dislocati in diverse aree in tutto il mondo.
Qual è il ruolo del cliente nel mantenere protetti i suoi contenuti?
Quando si esamina la sicurezza di una soluzione cloud, è importante che i clienti sappiano distinguere tra:
page3image4984544
• Misure di sicurezza implementate e gestite da AWS, ovvero "sicurezza del cloud"
e
• Misure di sicurezza implementate e gestite da Validactor, relative alla protezione dei contenuti e delle applicazioni dell'organizzazione che impiega i servizi AWS, ovvero "sicurezza nel cloud"
Ora che il programma Safe Harbour tra UE e USA è stato dichiarato non valido, i clienti possono ancora usare Validactor su AWS pur nel rispetto della legislazione europea?
La sicurezza dei dati dei clienti è la prima priorità sia per Validactor che per AWS; per questo AWS ha già ottenuto dall'autorità garante della sicurezza dei dati dell'Unione Europea, ovvero il gruppo di lavoro previsto dall'articolo 29, l'autorizzazione per l'addendum sul trattamento dei dati di AWS e per le clausole modello, consentendo il trasferimento di dati in data center situati al di fuori dell'Europa, inclusi gli Stati Uniti. Grazie a questi due documenti, i clienti di Validactor possono continuare a operare su tutta la rete AWS pur ottemperando alla legislazione dell'Unione Europea. L'addendum sul trattamento dei dati di AWS è disponibile per tutti i clienti AWS con sede in Europa o che elaborano dati personali all'interno dello spazio economico europeo.
Quali procedure segue Validactor su AWS per proteggere la privacy dei clienti?
La conformità di AWS alla norma ISO 27018 è stata convalidata da una valutazione indipendente di terze parti. La norma ISO 27018 è il primo codice di condotta internazionale che si concentra sulla protezione dei dati personali nel cloud. È basata sullo standard ISO di sicurezza delle informazioni 27002 e fornisce linee guida per l'implementazione di controlli di sicurezza previsti dalla ISO 27002 applicabili alle informazioni che consentono l'identificazione personale degli utenti o PII (Personally Identifiable Information) elaborate dai fornitori di servizi cloud pubblici. La conformità di Validactor su AWS documenta che AWS dispone di un sistema di controlli rivolto specificatamente a proteggere la privacy dei contenuti affidati dai clienti.
AWS ha sviluppato un programma di controlli di sicurezza che usa best practice universalmente riconosciute relative a protezione di dati e privacy, per consentire ai clienti di adattarsi e sfruttare un ambiente sicuro. Queste procedure di sicurezza sono convalidate in modo indipendente da valutazioni di terze parti.
page4image2985616

Protezione dei dati nella UE
In cosa consiste la direttiva dell'Unione Europa sulla tutela dei dati?
La direttiva dell'Unione Europa sulla tutela dei dati si collega alla direttiva sulla tutela degli individui con riferimento all'elaborazione dei dati personali e alla libera circolazione di tali dati. In generale, questa Direttiva stabilisce una serie di requisiti per la tutela dei dati che si applicano al momento di elaborare dati personali.
Cos'è il gruppo di lavoro previsto dall'articolo 29?
L'articolo 29 istituisce il gruppo di lavoro a norma della direttiva sulla tutela dei dati del Parlamento europeo e del Consiglio. Il gruppo è composto da rappresentanti delle autorità che tutelano i dati personali provenienti da tutti gli stati membri della UE e dalla Commissione europea. Il gruppo di lavoro previsto dall'articolo 29 opera per armonizzare l'applicazione delle normative sulla tutela dei dati in tutta l'Unione Europea e fornisce consulenze alla Commissione europea in relazione all'adeguatezza degli standard di tutela dei dati in paesi esterni all'Unione.
Cosa sono le "clausole modello"?
Le clausole contrattuali tipo (dette anche "clausole modello") sono un insieme di disposizioni standard definite e approvate dalla Commissione europea che possono essere usate per consentire il trasferimento delle informazioni personali secondo determinati criteri di conformità da parte di entità di controllo verso entità incaricate del trattamento esterne allo spazio economico europeo.
page5image4986000
page6image4988688

Il contratto sul trattamento dei dati contiene clausole modello?
Il gruppo di lavoro previsto dall'articolo 29 ha approvato il contratto sul trattamento dei dati di AWS, che include le clausole modello. Il gruppo di lavoro previsto dall'articolo 29 ha stabilito che il contratto sul trattamento dei dati di AWS soddisfa i requisiti della Direttiva in relazione alle clausole modello. Di conseguenza il contratto sul trattamento dei dati di AWS non è da considerarsi "ad hoc". Per ulteriori informazioni sull'approvazione del contratto sul trattamento dei dati di Validactor su AWS da parte del gruppo di lavoro previsto dall'articolo 29, visita la pagina http:// www.cnpd.public.lu/en/actualites/international/2015/03/AWS/index.html.
L'autorità per la tutela dei dati del Lussemburgo (CNPD) ha agito da autorità principale per conto del gruppo di lavoro previsto dall'articolo 29, in conformità con le procedure previste dallo stesso.
Quali sono le conseguenze per i clienti AWS?
I clienti Validactor che raccolgono e memorizzano informazioni personali nel cloud sono entità di controllo ai sensi della Direttiva 95/46/EC.

Che cosa è importante sapere sulla sicurezza dell’ambiente cloud di AWS?
AWS ha ottenuto una serie di certificazioni di conformità a solidi standard di sicurezza, ad esempio ISO 27001, SOC 1/2/3 e PCI DSS Level 1. AWS ha adottato per il cloud un modello di responsabilità condivisa, secondo il quale AWS è responsabile della sicurezza dell'infrastruttura cloud (Sicurezza del cloud) e i clienti sono responsabili della sicurezza dei loro dati e applicazioni (Sicurezza nel cloud). AWS dispone in Unione Europea di diversi team di solutions architect, account manager, consulenti, formatori e personale vario che è stato formato su sicurezza e conformità nel cloud ed è a disposizione dei clienti di AWS, per aiutarli con una serie di best practice di sicurezza nel cloud. AWS si impegna inoltre ad aiutare i clienti a soddisfare gli standard di sicurezza locali. Ad esempio, AWS ha collaborato con l'entità di controllo TÜV TRUST IT per
page6image4988352
pubblicare una cartella di lavoro sulla certificazione dei clienti che fornisce linee guida su come ottenere la conformità alle normative BSI IT Grundschutz tedesche nel Cloud.

I dati immagazzinati in AWS sono replicati, e vengono sempre memorizzati nella regione UE?
I data center di AWS sono stati creati in cluster e si trovano in tutto il mondo. I singoli cluster di data center in un determinato paese vengono chiamati "regioni". Validactor per i propri clienti ha accesso a undici regioni in tutto il mondo, due delle quali sono UE (Irlanda) e UE (Francoforte).
Validactor sceglie per i propri clienti in quale regione o in quali regioni debbano essere immagazzinati i loro dati. In questo modo è più semplice per loro soddisfare eventuali requisiti geografici specifici. Ad esempio, un cliente di Validactor in Europa può scegliere di memorizzare i propri dati esclusivamente in una delle regioni dell'UE (in Germania o in Irlanda). In questo caso, i contenuti del cliente sarebbero memorizzati in Germania o in Irlanda, a seconda della loro selezione. scelta, se non per fornire i servizi da loro richiesti o in conformità alle normative applicabili.
Mentre AWS ha il compito di gestire la sicurezza del cloud, la sicurezza nel cloud è responsabilità del cliente. I clienti, infatti, detengono il controllo sulle procedure di sicurezza da implementare per proteggere contenuti, piattaforma, applicazioni, sistemi e reti, analogamente a quanto avverrebbe se utilizzassero per le loro applicazioni un data center in locale.
Schema del modello di responsabilità condivisa.
page7image4987344