Misure tecniche e organizzative.
Extu ha implementato, e continuerà a implementare, misure tecniche e organizzative appropriate, controlli interni e pratiche di sicurezza delle informazioni per proteggere i dati trattati da Extu ai sensi dell’Accordo, contro la perdita, la distruzione o l’alterazione accidentale, la divulgazione, l’accesso non autorizzato o la distruzione illecita, come illustrato di seguito.
Screening, formazione e sicurezza dei dipendenti
- Dipendenti. Extu adotta tutte le misure ragionevoli per garantire che i suoi dipendenti abbiano competenze, esperienza e formazione adeguate nella cura e nel trattamento delle Informazioni personali nell’ambito della fornitura dei Servizi.
- Controllo dei precedenti. Extu conduce indagini sugli eventuali precedenti di tutti i suoi dipendenti nel rispetto delle leggi e dei regolamenti in vigore.
- Formazione. Il programma di formazione sulla conformità di Extu prevede che i dipendenti e gli appaltatori completino una fase di formazione sulla protezione dei dati al momento dell’ingresso nell’organizzazione, e include un’ulteriore formazione annuale obbligatoria sulla protezione dei dati e sulla privacy. La formazione prevede il superamento di una valutazione annuale. La formazione sulla protezione dei dati copre temi quali la sensibilizzazione alla sicurezza e la gestione degli incidenti e può includere anche materiali specifici per particolari funzioni lavorative.
- Riservatezza. Extu garantisce che i suoi dipendenti sono obbligati a mantenere e proteggere la riservatezza di qualsiasi Informazione personale trattata ai sensi del presente Accordo.
Sicurezza fisica e ambientale
- Centri dati. Extu utilizza centri dati che implementano misure di sicurezza fisica con accessi sorvegliati 24 ore su 24, 7 giorni su 7 e scanner biometrici. I nostri fornitori di centri dati rispettano i requisiti di conformità SOC 2.
- Controlli fisici. Extu ha adottato la politica “scrivania pulita” che impone di non lasciare incustodite le Informazioni personali e di bloccare lo schermo del computer quando il dipendente si allontana dalla scrivania. Tutti materiali stampati che contengono informazioni personali vengono distrutti in modo sicuro (ad esempio, mediante incenerimento o triturazione) in conformità con la nostra politica di conservazione. Tutte le Informazioni personali conservate su hardware e supporti rimovibili devono essere distrutte in modo sicuro, prima che il dispositivo venga smaltito. Extu si impegna al massimo, attraverso una formazione continua, a garantire che il personale non copi o trasferisca Informazioni personali su un disco rigido di un PC, su un computer portatile, su un dispositivo portatile, su un supporto rimovibile o su altri supporti simili.
- Sub-responsabili del trattamento. Extu ha stabilito un programma di conformità dei terzi che integra la sicurezza nella valutazione dei fornitori e dei sub-responsabili del trattamento, oltre a garantire la riservatezza, l’integrità e la disponibilità dei dati. Extu intrattiene rapporti contrattuali con vari fornitori, al fine di fornire i propri Servizi, in conformità con l’accordo di protezione dei dati concordato.
Sicurezza tecnica
- Controllo degli accessi. Extu adotta una politica formale di controllo degli accessi e impiega un sistema centralizzato di gestione degli accessi per controllare l’accesso dei propri dipendenti e appaltatori ai sistemi. L’accesso viene fornito in base ai principi di segregazione delle funzioni e di privilegio minimo. Il controllo degli accessi prevede l’utilizzo di username e password complesse e l’autenticazione a più fattori. Extu modifica i diritti di accesso dei dipendenti ogni volta che assumono ruoli diversi e revoca tutti gli accessi alla scadenza del periodo di lavoro o del contratto.
- Trasmissione e crittografia dei dati. Extu adotta tutte le misure ragionevoli per garantire che le Informazioni personali (salvate in qualsiasi forma e supporto, sia materiale che immateriale), che potrebbero causare danni o disagio a un soggetto interessato in caso di perdita, furto o accesso da parte di una persona non autorizzata, siano crittografate, specialmente quando sono in transito tra sistemi diversi. Queste misure includono l’implementazione di pratiche di crittografia standard nel settore nella trasmissione dei dati personali (come il protocollo Transport Layer Security) e la crittografia dei dati personali in transito e a riposo.
- Sicurezza e protezione dei dati. Vengono adottate misure di sicurezza dei dati adeguate, tra cui (a titolo di esempio): software antivirus e anti-malware installati sui sistemi informativi, applicazione delle patch più recenti e degli aggiornamenti di sicurezza per i software utilizzati, protezione della rete tramite firewall con sistemi di rilevamento delle intrusioni e log per i sistemi critici.
- Revisione del codice. Extu adotta un ciclo di vita formale per lo sviluppo del software che include pratiche di scritture di codice che mettono al centro la sicurezza, comprese le revisioni del codice e le pratiche di gestione delle modifiche nell’ingegnerizzazione e nello sviluppo del prodotto.
- Risposta agli incidenti. Extu ha istituito procedure di risposta agli incidenti, che ne consentono la gestione in modo tempestivo e controllato in conformità con le leggi e gli obblighi vigenti.
Rispetto della norma SOC II e certificazione PCI DSS.
Il fornitore di elaborazione delle carte di credito di Extu utilizza misure di sicurezza per proteggere le informazioni dell’utente sia durante le transazioni che al termine delle stesse. Il nostro fornitore è certificato come conforme alle normative e ai regolamenti in materia di sicurezza delle associazioni di carte di credito. L’integrazione dei nostri sistemi di incentivazione con il fornitore è conforme agli standard PCI DSS (in accordo con SAQ A).
Eseguiamo inoltre audit annuali SOC II Type 2 sui nostri sistemi di incentivazione. Forniamo il nostro report SOC II dietro richiesta.
Risposta agli incidenti e notifiche di violazione
- Disaster recovery. Extu ha adottato misure per garantire che i Servizi continuino a essere forniti anche nel caso in cui un disastro compromettesse la normale modalità operativa. Sono stati identificati i sistemi e i servizi critici ed è stato stabilito un piano di ripristino in caso di disastro. Extu esegue regolarmente back-up, per garantire che i sistemi critici possano essere ripristinati con una perdita di dati minima.
- Risposta agli incidenti. Extu ha istituito procedure di risposta agli incidenti, che ne consentono la gestione in modo tempestivo e controllato in conformità con le leggi e gli obblighi vigenti.