Privacy e sicurezza dei dati

In qualità di azienda SaaS con sede nell'UE, la sicurezza dei vostri dati è per noi una priorità assoluta. Di seguito, rispondiamo alle domande più frequenti sulle nostre misure di protezione. Saremo lieti di rispondere a ulteriori domande più approfondite in qualsiasi momento.

Domande frequenti

Informazioni generali sulla protezione dei dati

Zavvy ha un DPO?

Per tutte le questioni relative alla protezione dei dati, collaboriamo con gli esperti di Dataguard - uno dei fornitori leader nel settore della conformità al DSGVO.

Il nostro responsabile della protezione dei dati è il seguente:
DataCo GmbH
Dachauer Straße 65
80335 Monaco
Germania
+49 89 7400 45840

www.dataguard.de

In che altro modo Zavvy si assicura che i dipendenti incaricati di elaborare gli ordini conoscano le disposizioni di legge sulla protezione dei dati?

La formazione sulla protezione dei dati fa parte del processo di onboarding obbligatorio di Zavvy.
Tutti i dipendenti di Zavvy sono tenuti a mantenere la riservatezza o a rispettare la protezione dei dati e sono informati delle conseguenze in caso di violazioni.

Inoltre, l'azienda svolge regolarmente attività di formazione e sensibilizzazione sul trattamento dei dati personali, sul GDPR e sulle innovazioni legali. 

Dobbiamo stipulare un DPA con Zavvy?

Sì, sia i nostri clienti, in qualità di responsabili del trattamento, che noi, in qualità di incaricati del trattamento, siamo obbligati a stipulare un contratto corrispondente, ai sensi dell'art. 28 del DGSVO. 28 EU-DSGVO.

La stipula del contratto da parte di entrambe le parti è un prerequisito obbligatorio per l'utilizzo del nostro software. Saremo lieti di inviarvi il nostro modello su richiesta.

Cosa succede quando si verifica una violazione dei dati?

In caso di violazione inaspettata dei dati, in cui i dati personali raccolti dai clienti del sito web siano compromessi e la violazione possa mettere a rischio i diritti e le libertà dei dipendenti del cliente, Zavvy seguirà una procedura stabilita dal responsabile della protezione dei dati, Dataguard.

Ciò comporta la notifica tempestiva al cliente degli obblighi contrattuali in modo che il cliente possa adempiere agli obblighi legali di notifica alle autorità di controllo e agli interessati.

L'applicazione è stata sviluppata in conformità con i requisiti per la protezione dei dati attraverso la progettazione tecnologica ed è stata preimpostata in modo favorevole alla protezione dei dati?

In quanto azienda europea, la protezione dei dati e la conformità al GDPR sono componenti centrali della nostra strategia di prodotto.

Per questo motivo, già durante lo sviluppo delle nostre funzionalità prestiamo attenzione a principi quali l'economia dei dati e l'utilizzo di misure all'avanguardia per garantire un livello di protezione adeguato.

Inoltre, offriamo ai nostri clienti la possibilità di creare formati di report personalizzati per soddisfare le loro esigenze individuali in termini di anonimizzazione dei singoli componenti.

Per garantire tutto ciò in modo permanente, abbiamo anche definito un processo che incorpora costantemente i requisiti di legge nel processo di sviluppo del prodotto e rivede l'applicazione a intervalli regolari.

L'applicazione è conforme al GDPR?

Zavvy soddisfa i requisiti del Regolamento generale sulla protezione dei dati dell'UE ed è conforme alla protezione dei dati come organizzazione e software secondo l'EU-DSGVO.

A tal fine, abbiamo controllato il nostro prodotto fin dall'inizio per i requisiti legali essenziali, come la protezione dei dati attraverso la progettazione tecnologica e le impostazioni predefinite favorevoli alla protezione dei dati (Art. 25 EU-DSGVO) o anche il supporto del cliente nella salvaguardia dei diritti degli interessati come il diritto alla cancellazione, il diritto all'informazione o il diritto alla portabilità dei dati (Capitolo 3 EU-DSGVO). 25 EU-DSGVO) o anche il supporto del cliente nella salvaguardia dei diritti degli interessati come il diritto alla cancellazione, il diritto all'informazione o il diritto alla portabilità dei dati (capitolo 3 EU-DSGVO) e abbiamo apportato le opportune modifiche.

Crittografia e pseudonimizzazione

La trasmissione dei dati dei clienti è criptata?

Sì - Per tutte le comunicazioni tra gli utenti e i nostri server, l'HTTPS viene applicato con certificati SSL che vengono rinnovati ogni 3 mesi.

SSL (Secure Sockets Layer) è la tecnologia di sicurezza standard per stabilire una connessione criptata tra un server web e un browser.

Questa connessione garantisce che tutti i dati trasferiti tra il server web e il browser rimangano riservati e inalterabili. L'SSL è uno standard industriale ed è utilizzato da milioni di siti web per proteggere le transazioni online dei loro clienti.

Riservatezza e integrità

Dove Zavvy memorizza i dati relativi agli utenti?

Per l'hosting del software, Zavvy si affida ai servizi di Amazon Web Services (AWS) a Francoforte (https://aws.amazon.com/de/compliance/gdpr-center/).

I data center utilizzati sono certificati ISO/IEC 27001 e soddisfano quindi i nostri elevati requisiti per la sicurezza fisica dei dati dei nostri clienti.

Quando si selezionano fornitori di servizi esterni necessari per il funzionamento del software (ad esempio, la spedizione della posta), l'hosting dei dati all'interno dell'UE è un criterio di base obbligatorio.

Chi può accedere ai dati dei clienti di Zavvy?

L'assegnazione dei diritti di accesso è registrata e basata sul principio della "necessità di sapere".

Sul lato Zavvy, solo il nostro team di ingegneri (lato server), i nostri product manager e i dipendenti del Customer Success o del Learning Experience Team (lato sistema cliente) hanno accesso su base ad hoc.

Ciò è necessario per supportare la configurazione iniziale dell'account e l'elaborazione delle richieste di assistenza.

Come viene eseguita l'autenticazione degli utenti?

L'accesso avviene esclusivamente tramite account utente personalizzati, assegnati in modo univoco a una persona. L'accesso avviene con un nome utente e una password, che devono essere impostati al momento del primo accesso in base alla politica di password sicura implementata nell'applicazione.

I requisiti minimi della password sono:

- Almeno 8 caratteri
- Almeno 1 numero o carattere speciale
- Almeno 1 lettera minuscola
- Almeno 1 lettera maiuscola

Chi ha accesso a quali dati dal lato del cliente?

In linea di principio, i diritti di accesso sono concepiti in modo tale da soddisfare i requisiti dell'art. 24 del DSGVO per un'impostazione predefinita rispettosa della protezione dei dati. 24 EU-DSGVO per impostazioni predefinite rispettose della protezione dei dati.

Ciò significa che i nuovi dipendenti creati "per impostazione predefinita" non hanno alcun diritto oltre alla modifica del proprio profilo.

Tuttavia, il cliente ha la possibilità di assegnare diritti individuali in base al proprio concetto di autorizzazione.

Stanziamento di fondi

Chi possiede i dati?

Il cliente è "padrone dei dati" sia nel rapporto contrattuale che ai sensi della legge sulla protezione dei dati. Egli è l'unico soggetto autorizzato per quanto riguarda il potere di disporre di tutti i dati da lui utilizzati (dati inseriti, dati elaborati, dati memorizzati, dati in uscita).

Ciò significa anche, in particolare, che il Cliente è responsabile della salvaguardia dei diritti degli interessati (capitolo 3 EU-DSGVO).Zavvy è un incaricato del trattamento e pertanto elabora i dati dell'utente esclusivamente su sua istruzione e per gli scopi regolamentati nel contratto per l'elaborazione commissionata.

Ciò significa specificamente che Zavvy non venderà o condividerà i dati con terze parti in nessun caso. Ciò esclude il trasferimento dei dati a subappaltatori, che è regolamentato nel contratto per l'elaborazione degli ordini con i nostri clienti. Inoltre, Zavvy si riserva il diritto di utilizzare dati completamente anonimizzati, ad esempio a scopo di test o di ulteriore sviluppo del prodotto.

Tale anonimizzazione viene effettuata esclusivamente nell'ambito delle disposizioni di legge e tiene conto dello stato dell'arte e delle raccomandazioni del Gruppo di lavoro articolo 29 e del Comitato europeo per la protezione dei dati. L'anonimizzazione dei dati significa che non è possibile trarre conclusioni su Zavvy o sulle aziende.

Ciò significa che non vi è alcun rischio per i nostri clienti. Zavvy attribuisce particolare importanza alla protezione della privacy del cliente.

Insieme al nostro responsabile della protezione dei dati Dataguard, abbiamo quindi implementato misure tecniche e organizzative per garantire la sicurezza del trattamento, che stiamo continuamente sviluppando. Zavvy è conforme a tutti i requisiti del Regolamento generale sulla protezione dei dati dell'UE ed è conforme alla protezione dei dati come organizzazione e software secondo l'EU-DSGVO.

Cosa succede ai dati dopo la risoluzione del contratto o la cessazione dell'attività da parte di Zavvy?

Alla cessazione del rapporto commerciale, le persone autorizzate dal Cliente possono richiedere il rilascio dei dati, dopodiché questi saranno cancellati irrimediabilmente alla scadenza del periodo definito contrattualmente.

In linea di principio, nell'improbabile caso in cui Zavvy cessi l'attività commerciale, non c'è alcuna deroga a quanto sopra, in quanto il Cliente è "padrone dei dati" e Zavvy è un mero elaboratore e quindi non può/non vuole disporre altrimenti dei dati personali.

Sicurezza e recuperabilità

Vengono eseguiti backup regolari?

Creiamo backup giornalieri del nostro database e li archiviamo in modo sicuro nella nostra infrastruttura cloud AWS. Se è necessario un ripristino da un backup, i nostri ingegneri capo possono accedervi.

Come viene verificata la sicurezza del trattamento?

Effettuiamo controlli regolari della nostra organizzazione e dei nostri prodotti sulla base dei requisiti legali per la protezione dei dati. Utilizziamo i risultati di questi audit come opportunità per adottare misure per sviluppare ulteriormente la nostra documentazione, i processi, le strutture o le funzionalità, nonché le misure tecniche e organizzative. 

Avete ancora domande? Scriveteci a info@zavvy.io o fissate una consulenza individuale.