Controlli

L’azienda richiede ai dipendenti di firmare un accordo di riservatezza durante l’onboarding.

L’azienda dispone di Piani di Continuità Operativa e di Disaster Recovery che definiscono i piani di comunicazione per mantenere la continuità della sicurezza delle informazioni in caso di indisponibilità del personale chiave.

I requisiti di conservazione dell'azienda sono documentati e le informazioni personali vengono conservate, come richiesto, per finalità aziendali e/o in conformità alle leggi o ai regolamenti applicabili.

Le politiche e le procedure di sicurezza delle informazioni dell'azienda sono documentate e riesaminate almeno una volta all'anno.

L’azienda utilizza protocolli sicuri di trasmissione dei dati per crittografare i dati riservati e sensibili quando vengono trasmessi su reti pubbliche.

L’azienda documenta nuove finalità per le informazioni raccolte in precedenza, informa gli interessati, ottiene il consenso ove richiesto e garantisce che i dati siano utilizzati in conformità con la finalità documentata.

L’azienda ha definito un’informativa sulla privacy redatta in un linguaggio semplice e chiaro, chiaramente datata, e che fornisce informazioni sulle pratiche e sulle finalità dell’azienda per la raccolta, l’elaborazione, la gestione e la divulgazione dei dati personali.

L’azienda ha adottato una metodologia formale per il ciclo di vita dello sviluppo dei sistemi (SDLC) che disciplina lo sviluppo, l’acquisizione, l’implementazione, le modifiche (incluse quelle di emergenza) e la manutenzione dei sistemi informativi e dei requisiti tecnologici correlati.

L’azienda dispone di processi e procedure per acquisire, registrare e verificare richieste, quesiti, reclami o controversie relativi ai diritti alla privacy di una persona riguardo all’accesso, alla consultazione, alla modifica e/o alla cancellazione delle informazioni personali. Le richieste di accesso vengono registrate per finalità storiche e di audit.

L’azienda effettua ispezioni di manutenzione delle misure di sicurezza ambientale presso i data center aziendali almeno una volta all’anno.

L'azienda rende disponibile la propria informativa sulla privacy a clienti, dipendenti e terze parti pertinenti prima o al momento della raccolta di informazioni personali da un individuo.

L'azienda effettua controlli dei precedenti sui nuovi dipendenti.

L’azienda esegue autovalutazioni dei controlli almeno una volta all’anno per ottenere garanzia che i controlli siano in atto e operino in modo efficace. Le azioni correttive vengono intraprese sulla base dei risultati pertinenti. Se l’azienda si è impegnata a rispettare un SLA per un rilievo, l’azione correttiva viene completata entro i termini previsti da tale SLA.

L'azienda dispone di un'informativa sulla privacy che descrive chiaramente l'ambito delle informazioni personali raccolte, gli obblighi dell'azienda, i diritti dell'individuo di accedere, aggiornare o cancellare le informazioni personali e fornisce recapiti aggiornati per domande, richieste o dubbi.

L’azienda ha accordi scritti con fornitori e terze parti che includono impegni di riservatezza e tutela della privacy.

L’azienda rimuove dall’ambiente applicativo i dati dei clienti contenenti informazioni riservate quando i clienti lasciano il servizio, in conformità alle migliori pratiche.

L'azienda rivede e aggiorna la propria informativa sulla privacy secondo necessità o quando intervengono modifiche, per garantire la conformità continua alle leggi, ai regolamenti e agli standard pertinenti applicabili.

L’azienda fornisce le informazioni richieste, previa verifica, in modo tempestivo e in conformità con la normativa applicabile.

L'azienda verifica l'informativa sulla privacy quando necessario o in caso di modifiche e la aggiorna di conseguenza per garantire la conformità alle leggi, ai regolamenti e agli standard appropriati applicabili.

L’azienda mantiene un’assicurazione di cybersicurezza per mitigare l’impatto finanziario delle interruzioni delle attività.

L’azienda, per policy, vieta che dati riservati o sensibili dei clienti vengano utilizzati o archiviati in sistemi/ambienti non di produzione.

L'azienda riesamina l'accesso ai data center almeno una volta all'anno.

L'azienda richiede che l'autenticazione agli archivi dati di produzione utilizzi meccanismi di autenticazione sicuri autorizzati, come una chiave SSH univoca.

L’azienda adotta una strategia multi-sede per gli ambienti di produzione, progettata per consentire la ripresa delle attività presso altri data center aziendali in caso di perdita di una struttura.

Ai sistemi di produzione dell'azienda è possibile accedere da remoto solo da parte di dipendenti autorizzati tramite una connessione crittografata approvata.

L’azienda convalida le richieste di cancellazione e, una volta confermate, elimina le informazioni richieste in conformità alle leggi e ai regolamenti applicabili.

L'azienda ottiene, documenta e conserva il consenso esplicito prima della raccolta, dell'uso o della divulgazione di informazioni sensibili, in conformità ai requisiti legali e normativi applicabili.

L'azienda ha procedure formali di conservazione e smaltimento in atto per guidare la conservazione e lo smaltimento sicuri dei dati aziendali e dei clienti.

Ai sistemi di produzione dell'azienda è possibile accedere da remoto solo da parte di dipendenti autorizzati in possesso di un metodo valido di autenticazione a più fattori (MFA).

L’azienda fornisce ai clienti linee guida e risorse di supporto tecnico relative alle operazioni del sistema.

L'azienda ha predisposto, mantiene e riesamina, almeno annualmente, la documentazione sulla natura, l'entità e la finalità delle informazioni personali raccolte, trattate, archiviate e/o divulgate a terze parti.

Le valutazioni del rischio dell'azienda vengono effettuate almeno una volta all'anno e includono l'identificazione di minacce, cambiamenti e rischi di frode che possono influire sugli obiettivi.

L’azienda rivede e aggiorna regolarmente le proprie politiche e procedure relative alle informazioni personali per garantire che i dati raccolti siano chiaramente identificati come essenziali o facoltativi, trattati con il livello di consenso appropriato in conformità ai requisiti legali e normativi applicabili e utilizzati esclusivamente per le finalità definite nell’informativa sulla privacy.

L'azienda dispone di un programma di gestione del rischio documentato, che include l'identificazione delle minacce, la valutazione del rischio e le strategie di mitigazione.

I ruoli e le responsabilità per la progettazione, lo sviluppo, l’implementazione, l’operatività, la manutenzione e il monitoraggio dei controlli di sicurezza delle informazioni sono formalmente assegnati nelle descrizioni delle mansioni e/o nella policy su Ruoli e Responsabilità.

Prima di concedere l’accesso alle informazioni personali, l’azienda verifica l’identità dell’interessato o del suo rappresentante autorizzato e assicura che tale accesso sia legalmente consentito.

L'azienda esamina e approva fonti di informazioni personali di terze parti per garantire l'affidabilità dei dati e la raccolta conforme alla legge.

L'azienda testa il proprio piano di risposta agli incidenti almeno una volta all'anno.

Il consiglio di amministrazione dell'azienda dispone di uno statuto documentato che ne definisce le responsabilità di supervisione in materia di controllo interno.

I membri del consiglio di amministrazione dell’azienda dispongono di competenze sufficienti per supervisionare la capacità del management di progettare, implementare e gestire i controlli di sicurezza delle informazioni. Il consiglio si avvale, se necessario, di esperti e consulenti terzi in materia di sicurezza delle informazioni.

L'azienda ha documentato e comunicato politiche e procedure di risposta agli incidenti di sicurezza e privacy.

Il consiglio di amministrazione della società si riunisce almeno una volta all'anno e mantiene verbali formali delle riunioni. Il consiglio include amministratori indipendenti dalla società.

L’azienda richiede ai dipendenti di completare la formazione sulla consapevolezza in materia di sicurezza entro trenta giorni dall’assunzione e almeno una volta all’anno successivamente.

Il consiglio di amministrazione della società o un sottocomitato competente viene informato dal senior management almeno una volta all’anno sullo stato dei rischi di cybersicurezza e privacy dell’azienda. Il consiglio fornisce feedback e indicazioni alla direzione secondo necessità.

L'azienda ha processi documentati per garantire che i reclami relativi alla privacy siano gestiti, documentati e comunicati agli interessati.

L'azienda fornisce una descrizione dei propri prodotti e servizi agli utenti interni ed esterni.

L’azienda smaltisce in modo sicuro le informazioni personali in conformità con le policy documentate. I dati personali vengono anonimizzati, cancellati in modo sicuro e/o distrutti quando non sono più necessari.

La direzione aziendale ha stabilito ruoli e responsabilità definiti per supervisionare la progettazione e l'implementazione dei controlli di sicurezza delle informazioni.

Gli impegni di sicurezza dell'azienda vengono comunicati ai clienti nei Master Service Agreement (MSA) o nei Termini di Servizio (TOS).

La rete dell'azienda è segmentata per impedire accessi non autorizzati ai dati dei clienti.

L'azienda specifica i propri obiettivi per consentire l'identificazione e la valutazione dei rischi correlati a tali obiettivi.

L'azienda ha processi in atto per concedere, modificare e revocare l'accesso fisico ai data center aziendali sulla base di un'autorizzazione da parte dei responsabili dei controlli.

Gli utenti possono acconsentire o rifiutare i cookie non essenziali e nessun dato personale viene trattato senza un consenso valido.

L’azienda mantiene un organigramma che descrive la struttura organizzativa e le linee di riporto.

Completa una descrizione del tuo sistema per la Sezione III del rapporto di audit.

L'azienda crittografa i dispositivi di archiviazione portatili e rimovibili quando vengono utilizzati.

L'azienda dispone di un sistema di supporto rivolto all'esterno che consente agli utenti di segnalare guasti di sistema, incidenti, criticità e altri reclami al personale competente.

I manager dell’azienda sono tenuti a completare le valutazioni delle prestazioni per i propri collaboratori diretti almeno una volta all’anno.

L'azienda richiede che le modifiche ai componenti software e infrastrutturali del servizio siano autorizzate, formalmente documentate, testate, revisionate e approvate prima di essere implementate nell'ambiente di produzione.

L'azienda comunica le modifiche di sistema agli utenti interni autorizzati.

Gli individui, i clienti o i titolari di account autorizzati possono aggiornare le proprie informazioni personali per garantirne l’accuratezza e la completezza.

L'azienda dispone di una politica di classificazione dei dati per garantire che i dati riservati siano adeguatamente protetti e accessibili solo al personale autorizzato.

L’azienda comunica le correzioni o le cancellazioni delle informazioni personali di un individuo agli utenti autorizzati e alle terze parti pertinenti con cui tali informazioni personali sono state condivise o trasferite.

L'azienda richiede ai dipendenti di riconoscere un codice di condotta al momento dell'assunzione. I dipendenti che violano il codice di condotta sono soggetti a provvedimenti disciplinari in conformità con una politica disciplinare.

L'azienda richiede l'autenticazione alla "rete di produzione" utilizzando nomi utente e password univoci oppure chiavi Secure Shell (SSH) autorizzate.

L'azienda richiede ai collaboratori di firmare un accordo di riservatezza al momento dell'incarico.

L’azienda fornisce un avviso quando le informazioni personali vengono raccolte o utilizzate per nuove finalità non precedentemente indicate nell’informativa sulla privacy.

L’azienda informa i clienti in merito a modifiche critiche al sistema che potrebbero influire sull’elaborazione.

La direzione e/o il consulente legale esaminano e approvano i metodi di raccolta delle informazioni personali per garantire un trattamento equo e conforme alla legge.

L'azienda ottiene il consenso e le preferenze di un individuo al momento o prima della raccolta dei dati, conserva la documentazione e implementa tempestivamente le preferenze selezionate.

L'azienda richiede ai visitatori di registrarsi, indossare un badge visitatore ed essere accompagnati da un dipendente autorizzato quando accedono al data center o alle aree sicure.

Le politiche formali dell'azienda delineano i requisiti per la gestione delle vulnerabilità e il monitoraggio dei sistemi.

L’azienda richiede che l’autenticazione a sistemi e applicazioni utilizzi un nome utente e una password univoci oppure chiavi Secure Shell (SSH) autorizzate.

L'azienda richiede che i contratti con gli appaltatori includano un codice di condotta o un riferimento al codice di condotta aziendale.