POLITICA DI SICUREZZA DELL'INFORMAZIONE
[Ultimo aggiornamento: 17 maggio 2018]
Upclick Malta Limited dba Upclick ("Upclick" "Società" o "noi") si impegna a fornire trasparenza in merito alle misure di sicurezza che
ha implementato al fine di proteggere e proteggere i Dati personali (come definito dal Regolamento UE sulla protezione dei dati personali (Regolamento 2016/679
("GDPR")) elaborati dalla Società allo scopo di fornire i propri servizi come dettagliato nell'Informativa sulla privacy della Società disponibile all'indirizzo: https://upclick.com/privacy_it.html
Questa politica di sicurezza delle informazioni ("Politica di sicurezza") delinea le attuali misure di sicurezza della Società implementate dalla Società alla data "Ultimo aggiornamento" sopra indicata. Continueremo ad aggiornare questa politica di sicurezza di volta in volta, come richiesto dalle leggi applicabili e dalle nostre politiche interne.
Come parte del nostro processo di conformità GDPR (disponibile all'indirizzo: www.upclick.com/gdpr) e la nostra conformità PCI (tutti i sistemi sono certificati Service Provider PCI di livello 1. La società è conforme ai requisiti PCI-DSS di livello 1), abbiamo implementato, tecnici protezioni di monitoraggio organizzativo, e ha stabilito un ampio programma di informazione e sicurezza informatica, tutto con riferimento ai Dati Personali elaborati dalla Società. La società si impegna al massimo per garantire che i propri dipendenti rispettino questa politica di sicurezza.
Controllo accesso sistema
L'accesso a tutti i sistemi di elaborazione dati avviene esclusivamente tramite i sistemi di autenticazione utente dell'azienda.
solo una parte del personale specifico ha accesso ai sistemi. Tutti gli accessi alla rete di amministrazione dei sistemi dell'azienda sono disponibili esclusivamente dall'ufficio che passa attraverso un collegamento privato, in fibra scura, al data center. I sistemi non sono accessibili da internet. Tutti gli accessi alla rete di amministrazione dei sistemi dell'azienda sono crittografati da VPN e TLS 1.2. l'autenticazione è multifattoriale. L'autenticazione per ogni sistema avviene tramite una password utente, unica per ogni dipendente o personale e da un controller di dominio diverso dedicato a tale ambiente. Conforme ai requisiti PCI-DSS di livello 1, ad esempio gli utenti predefiniti sono disabilitati, il controllo della password e il monitoraggio manuale e continuo su tutti gli accessi al sistema. UpClick ha implementato misure estreme per garantire la protezione dei dati personali.
Controllo dell'accesso ai dati
L'accesso ai Dati personali è limitato esclusivamente ai dipendenti che sono tenuti a ricevere l'accesso. I dipendenti sono istruiti e testati per quanto riguarda la sicurezza dei dati personali. Il database è accessibile esclusivamente agli amministratori di database e agli sviluppatori senior. Tutti i sistemi aziendali seguono la conformità del fornitore di servizi PCI Level 1.
Controllo di accesso fisico
Tutti i sistemi aziendali sono in una gabbia situata in una colocation. Per entrare nella colocation, è richiesto biometrico (impronta digitale) insieme alla scheda di accesso. Una volta inserito l'operatore della sicurezza 24/7, il personale deve verificare l'identità dell'individuo e registrare la voce e l'uscita. Una volta all'interno dell'Azienda, è necessaria una chiave per aprire il lucchetto a gabbia. Tutte le porte e i corridoi sono sotto sorveglianza video. Tutta la sorveglianza del filmato se conservata dalla Società per un periodo di almeno tre mesi.
Controllo trasferimento
L'obiettivo del controllo del trasferimento è garantire che i dati personali non possano essere letti, copiati, modificati o rimossi da parti non autorizzate durante la trasmissione elettronica di dati o durante il loro trasporto in movimento, al centro dati applicabile. I dati dei clienti non vengono trasferiti da nessun'altra parte che dal database aziendale. Il backup viene inviato fuori sede tramite link privato. L'area di backup fuori sede è protetta dalla scheda di accesso per l'accesso fisico. La trasmissione dei dati durante i backup è crittografata. File crittografati su SFTP. IPN su TLS 1.2 e accesso API tokenizzato.
Controllo disponibilità e controllo scopo
La Società detiene un sito di ripristino di emergenza, situato in un'altra posizione geografica ed è pronto a continuare l'operazione in caso di guasto del sistema o violazione della sicurezza. Questa posizione di backup viene visitata ogni anno da un QSA certificato. Il backup del database aziendale inviato fuori sede viene trasferito esclusivamente tramite un collegamento privato. L'area di backup fuori sede è protetta dalla scheda di accesso per l'accesso fisico. La trasmissione dei dati durante i backup è crittografata come indicato nella clausola di controllo del trasferimento. Tutti gli ambienti di test non elaborano o utilizzano dati reali.
Conservazione dei dati
I dati personali e i dati grezzi vengono eliminati il prima possibile o non appena richiesto dalla legge.
Controllo lavoro
I dipendenti e i responsabili del trattamento dei dati sono tutti firmati su accordi applicabili e vincolanti che comprendono tutti le disposizioni sui dati applicabili e gli obblighi di sicurezza dei dati. Inoltre, come parte del processo di assunzione, i dipendenti sono sottoposti a un processo di screening applicabile per legge regionale. I dipendenti sono tenuti a seguire le politiche e le procedure aziendali e le violazioni comportano azioni disciplinari fino al licenziamento. Un dipendente non avrà accesso ai Dati personali fino a quando la Società non avrà fiducia che il dipendente sia adeguatamente istruito e responsabile della gestione dei Dati personali, se necessario, in modo sicuro. Inoltre, la Società tiene una formazione annuale sulla conformità che include l'educazione alla sicurezza dei dati.
La Società ha garantito che tutti i documenti, inclusi senza limitazioni, accordi, condizioni online sulle politiche sulla privacy, ecc. Siano conformi al GDPR. Il nostro team legale è impegnato a garantire che la nostra documentazione legale sia aggiornata per riflettere eventuali modifiche e includere le disposizioni obbligatorie del Processore richieste dall'articolo 28 del GDPR.
I SERVIZI DI SICUREZZA, LEGALE, PRIVACY E DI CONFORMITÀ LAVORANO PER IDENTIFICARE IL REGIONALE LEGGI, REGOLAMENTI APPLICABILI ALLA CONFORMITÀ DELL'AZIENDA. QUINDI, QUESTA POLITICA DI SICUREZZA PU MAY ESSERE AGGIORNATA DI VOLTA IN VOLTA, SECONDO QUALSIASI NORMATIVA APPLICABILE O POLITICHE INTERNE.