1. Programma di sicurezza delle informazioni
Constructor Technology attualmente implementa e mantiene un programma di sicurezza e conformità delle informazioni (“Programma di Sicurezza delle Informazioni”) che include controlli amministrativi, fisici e tecnici per proteggere i Dati del Cliente. Constructor Technology manterrà il Programma di Sicurezza delle Informazioni come necessario per la conformità con la legge applicabile, i requisiti contrattuali e gli standard di sicurezza dei dati del settore.
Constructor Technology conduce valutazioni periodiche del rischio e revisioni e, se appropriato, rivede il suo Programma di Sicurezza delle Informazioni almeno annualmente o ogni volta che un cambiamento materiale nelle pratiche commerciali di Constructor Technology influisce sulla sicurezza, riservatezza o integrità dei Dati del Cliente. Constructor Technology non modificherà le sue pratiche di sicurezza delle informazioni in modo da indebolire o compromettere la riservatezza, disponibilità o integrità dei Dati del Cliente.
Come parte del Programma di Sicurezza delle Informazioni, Constructor Technology ha un processo per valutare non meno di una volta all'anno queste Misure Tecniche e Organizzative per determinare che siano conformi alla legge applicabile e all'Accordo pertinente e adattarle come appropriato in base alla valutazione.
2. Personale di Constructor Technology
Constructor Technology definisce chiaramente ruoli e responsabilità per il Personale di Constructor Technology. Constructor Technology conduce screening e controlli dei precedenti per tutto il Personale di Constructor Technology prima dell'assunzione o dell'ingaggio.
Constructor Technology ha e mantiene un programma di formazione sulla sicurezza e la privacy per formare il Personale di Constructor Technology non meno di una volta all'anno sui loro obblighi di protezione dei dati. Questo programma di formazione include formazione sulle responsabilità di classificazione dei dati, controlli e pratiche di sicurezza e incidenti di sicurezza e violazioni dei dati. Prima di fornire accesso ai Dati del Cliente, Constructor Technology richiede che il Personale di Constructor Technology comprenda il loro obbligo di conformarsi al Programma di Sicurezza delle Informazioni e lo documenta.
Constructor Technology ha un processo disciplinare per il Personale di Constructor Technology che non rispetta rigorosamente il Programma di Sicurezza delle Informazioni o altre politiche o procedure di sicurezza stabilite. Constructor Technology ha un processo in atto per garantire che gli obblighi di riservatezza e non divulgazione concordati e riconosciuti dal Personale di Constructor Technology rimangano in vigore dopo la cessazione del rapporto del Personale di Constructor Technology con il Cliente.
3. Sicurezza fisica
Constructor Technology garantisce che tutti i Dati del Cliente siano elaborati in centri dati basati su cloud sicuri che aderiscono agli standard di sicurezza leader del settore. Sebbene Constructor Technology non gestisca le sedi fisiche in cui i Dati del Cliente sono elaborati, manteniamo la supervisione e la collaborazione con i nostri fornitori di cloud per garantire che siano in atto misure di sicurezza fisica complete.
Constructor Technology, in collaborazione con i suoi fornitori di servizi cloud, implementa le seguenti misure di controllo dell'accesso fisico nei centri dati cloud in cui i Dati del Cliente sono elaborati. L'accesso ai Dati del Cliente al di fuori di questi ambienti cloud sicuri è strettamente proibito:
a) Processi documentati per determinare, modificare e revocare l'autorizzazione di accesso all'infrastruttura cloud.
b) L'accesso fisico ai centri dati cloud è limitato solo al personale autorizzato.
c) Misure complete per la prevenzione e il rilevamento di accessi non autorizzati e tentativi di accesso sono impiegate dai fornitori di cloud, inclusi ma non limitati a: autenticazione a più fattori, videosorveglianza, sistemi di rilevamento delle intrusioni e protocolli di sicurezza rigorosi.
d) Revisioni periodiche e documentate delle autorizzazioni di accesso, condotte sia da Constructor Technology che dai suoi fornitori di servizi cloud, garantiscono che solo il personale autorizzato abbia accesso ai sistemi critici.
4. Controllo logico dell'accesso ai sistemi
Constructor Technology garantisce che persone non autorizzate non abbiano accesso ai sistemi di elaborazione dei dati per i Dati del Cliente. Constructor Technology implementa le seguenti misure per controllare l'accesso ai sistemi e alle reti in cui i Dati del Cliente sono elaborati:
a) Sono in atto processi documentati per autorizzare, modificare e revocare l'accesso ai sistemi di elaborazione dei dati e alle reti non pubbliche per i Dati del Cliente.
b) I diritti di accesso sono concessi su basi di "Necessità di Conoscere" e "Minimo Privilegio".
c) Controllo efficace dell'autenticazione, autorizzazione e contabilità attraverso identificazioni utente personalizzate e uniche e un processo di autenticazione sicuro sono implementati.
d) Revisioni documentate delle autorizzazioni di accesso logico sono condotte periodicamente.
e) Revisioni documentate delle autorizzazioni di accesso al sistema e assegnazione dei ruoli sono condotte periodicamente.
f) Misure appropriate per proteggere l'infrastruttura di rete sono documentate e monitorate.
5. Controllo dell'accesso ai dati del cliente
Solo le persone autorizzate a utilizzare un sistema di elaborazione dei dati possono accedere ai Dati del Cliente, soggetti alla loro autorizzazione di accesso. I Dati del Cliente non possono essere letti, copiati, modificati o rimossi senza autorizzazione durante l'elaborazione, l'uso e dopo la memorizzazione.
Constructor Technology adotterà le seguenti misure per il controllo dell'accesso, nella misura in cui siano essi stessi responsabili dell'autorizzazione di accesso ai dati ordinati:
a) È in atto un processo documentato per autorizzare l'accesso, la modifica, la copia e il ritiro dei dati.
b) Controlli efficaci dell'autorizzazione di accesso attraverso un adeguato concetto di diritti e ruoli sono in atto.
c) Revisioni regolari e documentate delle autorizzazioni di accesso ai dati e assegnazione dei ruoli sono condotte periodicamente.
d) Misure ragionevoli per la protezione delle apparecchiature terminali, dei server e di altri elementi dell'infrastruttura contro l'accesso non autorizzato sono in atto.
e) La crittografia dei supporti dati - allineata allo stato dell'arte della tecnologia attuale - algoritmi sono applicati per la protezione dei dispositivi mobili (laptop, tablet PC, smartphone, ecc.) e dei supporti dati (dischi rigidi esterni, chiavette USB, schede di memoria, ecc.)
f) L'accesso ai dati e le operazioni sui dati sono soggetti a registrazione degli audit.
g) I registri degli audit sono revisionati periodicamente.
6. Controllo dell'inserimento e dell'elaborazione dei dati
Constructor Technology ha controlli per verificare se, quando e da chi i Dati del Cliente sono stati accessi, modificati o rimossi dai sistemi di elaborazione dei dati. Constructor Technology garantisce che i Dati del Cliente siano gestiti in conformità con le istruzioni del Cliente.
Constructor Technology adotterà le seguenti misure per il controllo dell'inserimento e dell'elaborazione dei dati:
a) Le politiche e le procedure di sicurezza classificano i Dati del Cliente e le classificazioni sono verificate e mantenute aggiornate.
b) La gestione dei Dati del Cliente è documentata e include istruzioni appropriate su come i Dati del Cliente sono inseriti, accessi, modificati e rimossi.
c) Le persone incaricate dell'elaborazione dei Dati del Cliente ricevono consigli tempestivi sulle disposizioni pertinenti sulla protezione dei dati, le normative sulla protezione dei dati, le procedure interne correlate e le istruzioni specifiche del responsabile del trattamento dei dati.
d) Le operazioni di inserimento e elaborazione dei dati sono registrate in registri auditabili.
e) Quando applicabile, Constructor Technology ha misure per anonimizzare o pseudonimizzare i Dati del Cliente.
7. Controllo del trasferimento dei dati
Constructor Technology adotterà le seguenti misure per il controllo della trasmissione:
a) Misure appropriate per proteggere l'infrastruttura di rete (ad es. Sistemi di Rilevamento delle Intrusioni, uso di autenticazione a due fattori per accesso remoto e privilegiato, separazione delle reti, protocolli di rete crittografati, ecc.) sono applicate.
b) La crittografia dei supporti dati con - secondo lo stato dell'arte della tecnologia attuale - algoritmi da classificare come sicuri per la protezione dei dispositivi mobili (laptop, tablet PC, smartphone, ecc.) e dei supporti dati (dischi rigidi esterni, chiavette USB, schede di memoria, ecc.)
c) I Dati del Cliente sono trasmessi utilizzando canali sicuri.
d) I protocolli di comunicazione crittografati (come i protocolli basati su TLS, SSH, IPsec, ecc.) sono utilizzati per i Dati del Cliente.
8. Controllo della disponibilità
Constructor Technology garantisce che tutti i Dati del Cliente siano protetti contro indisponibilità, distruzione o perdita accidentale o non autorizzata.
Constructor Technology implementa le seguenti misure per garantire la disponibilità dei Dati del Cliente:
a) Constructor Technology ha e mantiene un programma documentato, formalmente implementato e testato di Continuità Operativa (BCP) e Recupero di Emergenza (DRP) per i sistemi con Dati del Cliente.
b) I processi per i backup e il recupero dei sistemi e dei dati sono documentati.
c) Constructor Technology conduce revisioni e test regolari (almeno annuali) dell'integrità dei backup per i sistemi che ospitano i Dati del Cliente.
d) Constructor Technology ha un sistema per garantire l'installazione necessaria di aggiornamenti e patch di sicurezza critici.
e) Constructor Technology implementa un software antivirus sui sistemi comunemente colpiti da malware per proteggere i sistemi dalle minacce di software dannoso attuali e in evoluzione.
Constructor Technology implementa un Piano di Risposta agli Incidenti di Sicurezza (SIRP). Il SIRP delinea le procedure, i protocolli e le responsabilità per rilevare, rispondere e mitigare efficacemente gli incidenti di sicurezza che possono influire sulla riservatezza, integrità o disponibilità dei dati del Cliente.
Il SIRP include, ma non è limitato a:
- Procedure chiare di escalation e notifica per segnalare incidenti di sicurezza come richiesto dalle leggi e regolamenti applicabili.
- Procedure per valutare la gravità e la portata di un incidente di sicurezza.
- Passi per contenere e mitigare gli incidenti di sicurezza, inclusa la coordinazione con fornitori terzi.
- Procedure per preservare le prove, condurre indagini forensi e collaborare con le forze dell'ordine, se applicabile.
- Protocolli di comunicazione per notificare le parti interessate, inclusi i clienti o i dipendenti del Cliente, in caso di violazione della sicurezza.
Passi attuabili per ripristinare i servizi, i sistemi o i dati colpiti da incidenti di sicurezza e prevenire ulteriori violazioni.
9. Controllo della separazione
Constructor Technology adotterà le seguenti misure per la separazione dei dati:
a) Constructor Technology ha e mantiene la separazione logica, fisica o crittografica dei Dati del Cliente raccolti per scopi diversi.
b) Constructor Technology mantiene la separazione logica e/o fisica degli ambienti di test, sviluppo e produzione dei sistemi.
10. Sicurezza del sito web e delle applicazioni (test di penetrazione, scansione delle vulnerabilità)
Il design delle reti, dei sistemi e delle applicazioni di Constructor Technology è in allineamento con il Programma di Sicurezza delle Informazioni di Constructor Technology. Gli standard e le politiche di sicurezza applicabili sono affrontati nel ciclo di vita dello sviluppo del sistema e durante le operazioni in corso.
Constructor Technology adotta le seguenti misure per garantire la sicurezza delle applicazioni e dei siti web:
a) Constructor Technology revisiona la sicurezza delle applicazioni e dei siti web, inclusi test per vulnerabilità comuni come quelle identificate da OWASP e questi requisiti di sicurezza utilizzando sia test automatizzati che manuali.
b) Constructor Technology esegue scansioni periodiche dei sistemi operativi, dei database, delle applicazioni server e dei dispositivi di rete per la conformità alle vulnerabilità e alla configurazione.
c) Constructor Technology esegue almeno test di penetrazione annuali su applicazioni e reti.
d) Constructor Technology sviluppa applicazioni che gestiscono Informazioni Personali utilizzando il processo SDLC standard, inclusa la valutazione web, e utilizzando strumenti approvati per garantire che i principi di “Sicurezza per Progettazione” e “Privacy per Default” siano implementati.
e) Quando applicabile, Constructor Technology utilizza misure approvate per anonimizzare o pseudonimizzare i dati personali.
11. Misure per garantire la responsabilità
a) Constructor Technology mantiene e richiede ai processori e ai sub-processori appaltatori di mantenere registri di tutte le attività di elaborazione dei Dati del Cliente.
b) Ogni accordo applicabile tra Constructor Technology e (sub)processore contiene una clausola che richiede ai (sub)processori di assistere il Cliente e Constructor Technology a dimostrare la conformità con le Leggi sulla Protezione dei Dati Applicabili.
c) Constructor Technology mantiene e richiede ai processori e ai sub-processori appaltatori di mantenere un processo per analizzare la legittimità delle richieste o degli ordini ricevuti dalle autorità governative o dalle forze dell'ordine sui Dati del Cliente e se il rilascio dei Dati del Cliente è autorizzato o richiesto dalla legge.
