Misure di sicurezza tecniche e organizzative

Descrizione delle misure tecniche e organizzative implementate da Quibim per garantire un adeguato livello di sicurezza e protezione dei dati personali (“Misure di sicurezza ”), tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà degli interessati.

 

Riservatezza e controllo degli accessi

  • Non è consentito l'accesso ai dati personali da parte di persone non autorizzate. A tal fine, la politica interna Clean Desk di Quibim impedisce che i dati personali vengano resi vulnerabili all’accesso da parte di terzi. I supporti elettronici e i documenti cartacei devono essere conservati in un luogo sicuro (armadi chiusi o stanze ad accesso limitato). Quando ci si assenta dalla postazione di lavoro, lo schermo verrà bloccato o la sessione verrà chiusa.
  • Il sistema di controllo dell’accesso fisico è stato istituito per impedire l'accesso non autorizzato ai sistemi di elaborazione dati. Quibim ha implementato un sistema di controllo degli accessi automatizzato, un sistema di allarme e altre misure di sicurezza, come serrature di sicurezza o un protocollo per la registrazione dei visitatori.
  • I documenti o i supporti elettronici (CD, pen drive, hard disk, ecc.) contenenti dati personali non saranno smaltiti senza garantirne la previa distruzione. Ai dipendenti, tuttavia, viene in genere chiesto di non utilizzare alcun dispositivo di archiviazione esterno, in conformità con la Politica sui dispositivi di proprietà aziendale interna di Quibim e alla procedura operativa standard (o "SOP”) in materia di gestione patrimoniale.
  • Nessun dato o informazione personale verrà condiviso con terzi senza seguire le procedure stabilite dalle normative applicabili in materia di protezione dei dati personali. Si presterà particolare attenzione a non divulgare dati personali durante conversazioni telefoniche, e-mail o simili.
  • Siamo dotati di un sistema di gestione delle password volto a garantire che esse forniscano la debita protezione e, pertanto, ad assicurare l'adeguata riservatezza e sicurezza dei dati personali archiviati nei sistemi elettronici, in conformità con la Politica sulle password interna di Quibim e con le migliori pratiche nella SOP di sicurezza informatica. Al momento dell’accesso a sistemi o piattaforme, ove tecnicamente possibile, andranno forniti due fattori di autenticazione.
  • La riservatezza delle password deve essere garantita, impedendone la divulgazione a terzi. In nessun caso le password devono essere condivise o lasciate scritte e non deve essere consentito l'accesso a persone diverse dall'utente.
  • Siamo dotati di un processo formale di registrazione e de-registrazione degli utenti per consentire l'assegnazione e la revoca dei diritti di accesso per tutti i tipi di utenti a tutti i sistemi e servizi. L'assegnazione e l'uso dei diritti di accesso privilegiati sono limitati e controllati. I diritti di accesso vengono rimossi alla cessazione del rapporto di lavoro o della fornitura di servizi o modificati in caso di relativa richiesta.
  • Quando è necessario estrarre dati personali al di fuori dei locali in cui essi vengono trattati, che ciò avvenga con mezzi fisici o elettronici, si adoperano metodi di crittografia end-to-end per garantire la riservatezza dei dati personali in caso di accesso improprio alle informazioni.
  • Quibim utilizza tecniche crittografiche per proteggere la riservatezza, l'integrità e l'autenticità delle informazioni durante la loro archiviazione e/o trasmissione. Le tecniche di crittografia, nello specifico, vengono utilizzate ai fini delle seguenti operazioni: accesso remoto tramite VPN, comunicazioni tra app sviluppate e server, crittografia di informazioni a riposo (database e archivi) sul sistema di archiviazione Microsoft Azure tramite Azure Storage Service Encryption (crittografia Advanced Encryption Standard (AES) a 256 bit), certificati di firma elettronica, crittografia di laptop o crittografia di backup.
  • Il controllo dell'accesso ai dati è stabilito in conformità alle policy interne di Quibim (vale a dire la Access Management Policy e la SOP di controllo degli accessi), che richiedono, tra le altre misure, la registrazione dell'accesso alle applicazioni, in particolare durante l'immissione, la modifica e l'eliminazione dei dati.
  • Il trattamento separato dei dati raccolti per scopi diversi viene effettuato mediante la separazione degli ambienti di sviluppo, test e produzione (tutte le integrazioni client vengono sviluppate e testate in un ambiente apposito e gli aggiornamenti vengono rilasciati alla produzione solo dopo aver effettuato test sufficienti), la separazione fisica dei sistemi, dei database e dei supporti dati e la determinazione dei diritti sui database.
  • Quando si verifica una violazione della sicurezza dei dati personali, come ad esempio il furto o l'accesso improprio, l'Agenzia spagnola per la protezione dei dati verrà informata di tali violazioni entro 72 ore; ad essa verranno inoltre fornite tutte le informazioni necessarie per chiarire i fatti che hanno dato origine all'accesso improprio ai dati personali. La notifica verrà effettuata per via elettronica tramite la sede elettronica dell'Agenzia spagnola per la protezione dei dati all'indirizzo:  https://sedeagpd.gob.es.

 

Integrità

  • In base alla politica interna di gestione degli accessi, alle procedure operative standard di gestione degli accessi e alle procedure operative standard di controllo degli accessi di Quibim, il numero di account utenti amministratori andrà limitato al minimo, in base ai principi della necessità di sapere e dei privilegi minimi.
  • Nei casi in cui varie persone hanno diritto di accesso ai dati personali, per ognuna di esse andranno obbligatoriamente impostati uno username e una password specifici. Tutti gli utenti dovranno utilizzare un identificativo univoco per accedere a tutti i sistemi e le applicazioni.
  • I dispositivi e i computer portatili utilizzati per l'archiviazione e l'elaborazione dei dati personali andranno mantenuti aggiornati alle ultime versioni disponibili.
  • È in atto un inventario delle risorse hardware e software per identificare le risorse associate ai sistemi informatici e determinarne la responsabilità e la proprietà.
  • Il controllo della trasmissione viene implementato, ove applicabile, mediante l'utilizzo di una rete privata virtuale (VPN), la registrazione degli accessi e dei recuperi e la distribuzione su connessioni crittografate come HTTPS o crittografia della posta elettronica.
  • Il controllo degli accessi è implementato mediante un registro eventi, che tiene traccia delle attività degli utenti e dell’accesso alle informazioni. Le strutture di registrazione e le informazioni di registro sono protette da manomissioni e accessi non autorizzati. Le attività dell'amministratore di sistema e dell'operatore di sistema vengono registrate e i registri sono protetti e regolarmente esaminati.
  • L'integrità dei dati è garantita dalla gestione e dal controllo personalizzato di ogni modifica, dall'assegnazione di diritti personalizzati di inserimento, modifica ed eliminazione dei dati previa autorizzazione, dalla registrazione tecnica dell'inserimento, della modifica e dell'eliminazione dei dati e da debite misure di tracciabilità dell'inserimento, della modifica e dell'eliminazione dei dati da parte di singoli nomi utente, oltre a varie altre misure di sicurezza.
  • Tutte le modifiche apportate al codice sorgente vengono esaminate da Static Code Analysis prima di essere messe in produzione per garantire, tra le altre cose, che non sussistano vulnerabilità critiche o hotspot di sicurezza.

 

Disponibilità e resilienza

  • Tutti i computer e i dispositivi sui quali viene effettuato il trattamento automatizzato dei dati personali sono dotati di un sistema antivirus o di misure analoghe che garantiscano, per quanto possibile, il furto e la distruzione delle informazioni e dei dati personali, rilevando, prevenendo e ripristinando il controllo contro il malware.
  • Per evitare l'accesso remoto indebito ai dati personali, su tutti i computer portatili e dispositivi (gestiti da Quibim) in cui vengono archiviati e/o elaborati dati personali viene installato e regolarmente aggiornato un sistema firewall.
  • Le copie di backup crittografate di tutte le informazioni di azienda, sviluppo e produzione contenute nell'infrastruttura del provider di servizi cloud di Quibim (ospitata da Microsoft Azureâ) vengono eseguite regolarmente in conformità con le procedure di backup interne di Quibim. I servizi Azure Backup e Azure Site Recovery vengono impiegati per garantire un piano di disaster recovery per l'archiviazione di condivisione file di Azure. Questi servizi abilitano l'opzione Geo-Redundant Storage (GRS) per consentire l'archiviazione dei backup in una regione separata dai loro dati di origine. Ciò consente l'utilizzo del backup in caso di interruzione o guasto localizzato. Consente inoltre di effettuare separatamente il backup dai dati di origine per garantire una maggiore sicurezza.
  • I file applicativi e i dati di produzione vengono sottoposti a backup in conformità alle policy di backup stabilite.
  • Un Business Continuity Plan è in atto per garantire il livello di continuità richiesto per le operazioni aziendali durante una situazione avversa che potrebbe avere un impatto sulla continuità aziendale. Come parte del Business Continuity Plan, un piano di emergenza specifica prevede procedure e azione mirate volte a ripristinare l’operatività dei servizi essenziali nel più breve tempo possibile e nelle migliori condizioni possibili.

 

Diritti degli interessati

Tutti i dipendenti Quibim sono a conoscenza dei propri obblighi in materia di trattamento dei dati personali e sono informati sulla procedura di gestione dei diritti degli interessati. La politica interna di gestione dei diritti GDPR di Quibim definisce chiaramente i meccanismi con cui i diritti possono essere esercitati, riconoscendo che il titolare del trattamento dei dati deve rispondere agli interessati senza indebito ritardo.

  • Per quanto riguarda il diritto di accesso, agli interessati verrà fornito un elenco dei dati personali in possesso di Quibim, unitamente alle finalità per cui sono stati raccolti, all'identità dei destinatari dei dati, ai periodi di conservazione e all'identità del responsabile a cui possono richiedere la rettifica, la cancellazione e l'opposizione al trattamento dei dati.
  • Per il diritto di rettifica, il titolare del trattamento procederà alla modifica dei dati degli interessati che risultassero inesatti o incompleti rispetto alle finalità del trattamento.
  • Per quanto riguarda il diritto alla cancellazione, i dati degli interessati verranno cancellati laddove gli interessati dovessero esprimere il loro rifiuto o opposizione al consenso al trattamento dei loro dati e laddove non dovesse sussistere alcun obbligo legale di impedirlo.
  • Per esercitare il diritto alla portabilità, gli interessati devono comunicare la propria decisione e informare il titolare del trattamento, ove opportuno, circa l'identità del nuovo titolare del trattamento a cui fornire i propri dati personali.
  • Per il diritto di opposizione, i dati degli interessati non saranno più trattati secondo le finalità per le quali viene richiesta l'opposizione al trattamento da parte degli interessati.
  • Per quanto riguarda il diritto di non essere sottoposto a decisioni individuali automatizzate, il titolare del trattamento informerà l'interessato del mancato trattamento dei dati a tale riguardo, fornendone idonea evidenza.

 

Procedure di revisione, esame e valutazione regolare

  • Quibim ha ottenuto le seguenti certificazioni:
    • ISO/IEC 27001:2022 – Sistema di gestione della sicurezza delle informazioni
    • ISO 13485:2016 e EN ISO 13485:2016 – Sistema di gestione della qualità
    • Schema di sicurezza nazionale, categoria media (Esquema Nacional de Seguridad, categoría Media) secondo il regio decreto spagnolo 311/2022
    • Programma Cyber ​​Essentials.
  • Tutti i software sono sviluppati secondo il Sistema di Gestione della Qualità di Quibim, certificato ISO 13485.
  • Ogni anno viene effettuata una revisione, tramite audit interni indipendenti, di tutte le disposizioni di sviluppo sicuro stabilite nell'ambito del quadro ISMS; Quibim esaminerà periodicamente l'efficacia delle misure di sicurezza qui descritte.
  • Quibim conduce regolarmente attività di sorveglianza post-commercializzazione per monitorare la sicurezza e le prestazioni di tutti i prodotti e servizi Quibim.
  • Tutti i dipendenti vengono formati regolarmente sulla protezione dei dati e sono tenuti al rispetto degli obblighi di riservatezza e segretezza dei dati, che restano in vigore anche dopo la cessazione e la scadenza del rapporto di lavoro dei dipendenti con Quibim.
  • Quibim stipula accordi di elaborazione dei dati con tutti i contraenti, delineando i requisiti di protezione e sicurezza dei dati, con un processo di assunzione preventivo che prevede la due diligence sulla sicurezza dei dati.
  • Ai sensi degli articoli 37, 38 e 39 del GDPR, Quibim ha nominato un Responsabile della Protezione dei Dati (dpo@quibim.com) che monitora la conformità di Quibim alla normativa sulla protezione dei dati.

 

Quibim può aggiornare o modificare periodicamente le presenti Misure di sicurezza, a condizione che tali aggiornamenti e modifiche non comportino una diminuzione del grado complessivo di sicurezza.

Sito web di Quibim
Sviluppato da  Conformità ai cookie GDPR
Centro preferenze sulla privacy

Quando visiti un sito Web, questo potrebbe archiviare o recuperare informazioni sul tuo browser, principalmente sotto forma di cookie. Queste informazioni potrebbero riguardare te, le tue preferenze o il tuo dispositivo e vengono utilizzate principalmente per far funzionare il sito come ti aspetti. Le informazioni non ti identificano direttamente, ma possono offrirti un'esperienza Web più personalizzata. Poiché rispettiamo il tuo diritto alla privacy, puoi scegliere di non consentire alcuni tipi di cookie. Fai clic sulle diverse intestazioni delle categorie per saperne di più e modificare le nostre impostazioni predefinite. Tuttavia, il blocco di alcuni tipi di cookie potrebbe avere un impatto sulla tua esperienza del sito. Puoi trovare maggiori informazioni, inclusa una spiegazione dettagliata sui cookie, sul nostro Politica sui cookie .