Addendum sulla protezione dei dati
In vigore dal 14 dicembre 2022
Per leggere la versione precedente della Protezione dati, fare clic qui.
Il presente Addendum sulla protezione dei dati fa riferimento a e costituisce parte integrante dei Termini di servizio di NextRoll e di qualsiasi Addendum al Servizio applicabile tra NextRoll, Inc., in nome e per conto di se stessa e NextRoll Limited ("NextRoll"), e il Cliente. Entrerà in vigore all'accettazione dei Termini di servizio.
Laddove la Legge vigente in materia di protezione dei dati tuteli i dati personali trattati ai sensi del Contratto, i Clienti possono stipulare il presente Addendum sulla protezione dei dati (che integra le Clausole contrattuali standard): (i) per proteggere i dati personali secondo i requisiti della Legge vigente in materia di protezione dei dati; e (ii) per fornire tutele adeguate in relazione ai Trasferimenti limitati di dati personali al di fuori dei territori europei.
Il presente Addendum sulla protezione dei dati riflette l'accordo tra le Parti in relazione ai termini che disciplinano il trattamento di dati personali ai sensi del Contratto.
1. DEFINIZIONI
Nel presente Addendum sulla protezione dei dati, i seguenti termini avranno i seguenti significati:
-
"titolare del trattamento dei dati", "incaricato del trattamento dei dati", "soggetto interessato", "dati personali" e "trattamento" (e "trattare") avranno il significato attribuito dalla Legge vigente in materia di protezione dei dati;
-
"Dati CRM del Cliente" indica tutti gli indirizzi e-mail in chiaro (cioè testo normale, senza hash), i nomi, i titoli, la cronologia dei contatti, la cronologia degli ordini o altri dati CRM relativi agli Utenti finali forniti dal Cliente, ottenuti attraverso integrazioni di terze parti con i servizi o ottenuti da NextRoll per conto del Cliente in relazione ai servizi. I Dati CRM del Cliente non includono i Dati di servizio o i Report sulle performance. (Questa è la definizione indicata nei termini di servizio di NextRoll "Termini di servizio").
-
"Dati personali del cliente" fa riferimento ai Dati personali contenuti nei Dati CRM del cliente e nei Dati di servizio;
-
Per "Legge vigente in materia di protezione dei dati" si intende qualsiasi legge, regola e norma attualmente in vigore e applicabile in materia di privacy, trattamento e uso dei dati, protezione dei dati, sicurezza o riservatezza dei dati, includendo, senza limitazioni, il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati) (il "GDPR dell'UE"); il GDPR dell'UE come salvato nel diritto del Regno Unito in virtù della sezione 3 dell'Accordo di recesso UE-Regno Unito del 2018 ( il "GDPR del Regno Unito"); la Direttiva UE sulla privacy nelle comunicazioni elettroniche (Direttiva 2002/58/CE); la Legge della California sulla privacy dei consumatori del 2018, e relative modifiche, nonché eventuali normative promulgate ai sensi della stessa ("CCPA"); la Legge della Virginia sulla protezione dei dati dei consumatori("VCDPA"); la Legge del Colorado sulla privacy e normative correlate ("CPA"); la Legge dello Utah sulla privacy dei consumatori ("UCPA"); e la Legge del Connecticut in materia di privacy dei dati personali e monitoraggio online ("CTDPA").
-
"Dati personali" indica i dati che costituiscono "dati personali", "informazioni personali", o termini analoghi come definiti nella Legge vigente in materia di protezione dei dati;
-
"Trasferimento limitato" indica: (i) ove si applica il GDPR dell'UE, il trasferimento di dati personali dallo Spazio Economico Europeo a un Paese al di fuori dello Spazio Economico Europeo che non è soggetto a una determinazione di adeguatezza da parte della Commissione Europea; e (ii) ove si applica il GDPR del Regno Unito, un trasferimento di dati personali dal Regno Unito a qualsiasi altro Paese non soggetto alle normative sull'adeguatezza ai sensi della Sezione 17A del Data Protection Act del Regno Unito del 2018;
-
"Dati di servizio" indica i dati raccolti da NextRoll dagli Utenti finali tramite la Tecnologia sui Siti del cliente, compresi eventuali dati ottenuti da terzi durante la fornitura dei servizi. I Dati di servizio non includono i Dati CRM del cliente. Se il Cliente accetta il monitoraggio conversione o utilizza i servizi RollWorks ABM per autorizzare NextRoll a convertire in hash gli indirizzi e-mail degli Utenti finali dai Siti del cliente, tali indirizzi e-mail degli Utenti finali convertiti in hash costituiranno Dati di servizio. (Questa è la definizione indicata nei Termini di servizio).
-
"Clausole contrattuali standard" indica: (i) laddove si applica il GDPR dell'UE, le clausole contrattuali allegate alla decisione di esecuzione 2021/914 della Commissione europea del 4 giugno 2021 relativa alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio ("SCC UE"); e (ii) laddove si applichi il GDPR del Regno Unito, l'Addendum alle Clausole contrattuali standard della Commissione europea emanato dall'Information Commissioner del Regno Unito in materia di trasferimenti internazionali di dati, Versione B1.0, in vigore dal 21 marzo 2022 ("SCC del Regno Unito").
Eventuali altri termini in maiuscolo non definiti nel presente Addendum sulla protezione dei dati avranno il significato loro attribuito nel Contratto.
2. RAPPORTO TRA LE PARTI
Il Cliente (il “titolare del trattamento dei dati") nomina NextRoll come incaricato del trattamento dei Dati CRM, come ulteriormente descritto nell'Allegato I.
Ciascuna parte è titolare del trattamento dei dati che compongono i Dati di servizio, nella misura in cui tali Dati di servizio sono sotto la sua rispettiva custodia o controllo, a condizione che quanto sopra esposto non sia inteso ad alterare, modificare o limitare (a) gli obblighi di ciascuna parte in materia di notifiche, permessi e consensi relativi a tali Dati di servizio, (b) i diritti di accesso, uso, proprietà o modifica di tali Dati di servizio, come possono essere altresì esposti nei Termini di servizio, o (c) gli obblighi di contitolarità che possono essere imposti dalla legge, ad esempio per quanto riguarda l'ottenimento del consenso ai fini della Legge applicabile sulla protezione dei dati.
3. DATI PROIBITI
Il Cliente non deve divulgare alcuna categoria speciale di dati personali (come definiti nella Legge vigente in materia di protezione dei dati) per il trattamento da parte di NextRoll.
4. LIMITAZIONE DELLO SCOPO
NextRoll tratterà i Dati CRM del Cliente in qualità di incaricato del trattamento dei dati per gli scopi descritti nell'Allegato I al fine di adempiere agli obblighi previsti dal Contratto, in conformità con la Legge vigente in materia di protezione dei dati e in stretta conformità con le istruzioni documentate del Cliente (lo "Scopo consentito") salvo ove diversamente previsto da una o più leggi che non siano incompatibili con la Legge vigente in materia di protezione dei dati. In nessun caso NextRoll tratterà i Dati CRM del Cliente per i propri scopi o per quelli di terzi. NextRoll informerà immediatamente il Cliente qualora venga a conoscenza del fatto che le istruzioni di trattamento del Cliente violano la Legge applicabile sulla protezione dei dati.
5. TRASFERIMENTI LIMITATI
5.1. Le parti convengono che quando il trasferimento dei Dati personali dei clienti da parte del Cliente a NextRoll è un Trasferimento limitato, questo sarà soggetto alle Clausole contrattuali standard adeguate come stabilito nella presente clausola 5.
5.2. In relazione ai Dati di servizio protetti dal GDPR dell'UE, si applicheranno le SCC UE completate come segue:
- Sarà valido il Modulo uno;
- nella Clausola 7 si applicherà la clausola di ancoraggio facoltativa;
- nella Clausola 17 si applicherà l'Opzione 1 e le SCC UE saranno disciplinate dal diritto irlandese;
- nella Clausola 18 (b) le controversie saranno risolte dinanzi ai tribunali irlandesi;
- l'Allegato I delle SCC UE sarà considerato completato con le informazioni definite nell'Allegato I al presente Addendum sulla protezione dei dati; e
- l'Allegato II delle SCC UE sarà considerato completato con le informazioni definite nell'Allegato II al presente Addendum sulla protezione dei dati.
5.3. In relazione ai Dati CRM del Cliente protetti dal GDPR dell'UE, si applicheranno le SCC UE completate come segue:
- Sarà valido il Modulo due;
- nella Clausola 7, si applicherà la clausola di ancoraggio facoltativa;
- nella Clausola 9 si applicherà l'opzione 2 e il periodo di tempo per la notifica preventiva delle modifiche del subincaricato sarà quello indicato nella Clausola 8.3 del presente Addendum sulla protezione dei dati;
- nella Clausola 11, la lingua facoltativa non si applicherà;
- nella Clausola 17, si applicherà l'Opzione 1 e le SCC UE saranno disciplinate dal diritto irlandese;
- nella Clausola 18 (b), le controversie saranno risolte dinanzi ai tribunali irlandesi;
- l'Allegato I delle SCC UE sarà considerato completato con le informazioni definite nell'Allegato I al presente Allegato sulla protezione dei dati; e
- l'Allegato II delle SCC UE sarà considerato completato con le informazioni definite nell'Allegato II al presente Allegato sulla protezione dei dati; e
5.4. In relazione ai Dati CRM del Cliente e ai Dati di servizio protetti dal GDPR del Regno Unito, saranno applicate e saranno considerate eseguite tra il Cliente e NextRoll le SCC del Regno Unito, con le Tabelle delle SCC del Regno Unito compilate come segue:
- Tabella 1: i dettagli delle Parti saranno le Parti come indicate nell'Allegato I.A. per il presente Addendum sulla protezione dei dati e le relative affiliate nella misura in cui esse siano coinvolte in tale trasferimento. Il contatto principale per ciascuna Parte consisterà nei contatti indicati nell'Allegato I.A. per il presente Addendum sulla protezione dei dati.
- Tabella 2: le Clausole contrattuali standard approvate dell'UE di cui alla Tabella 2 saranno le SCC dell'UE, completate come precedentemente indicato nelle clausole 5.2 (per i trasferimenti che coinvolgono i Dati di servizio) o 5.3 (per i trasferimenti che coinvolgono i Dati CRM del cliente) del presente Addendum sulla protezione dei dati, in base al tipo di dati trasferiti.
- Tabella 3: gli Allegati IA, IB e II indicati nell'Allegato I e II al presente Addendum sulla protezione dei dati. L'Allegato 3 non è applicabile.
- Tabella 4: NextRoll può cessare le SCC del Regno Unito come indicato nella Sezione 19 delle SCC del Regno Unito.
5.5. Nella misura in cui una qualsiasi disposizione del presente Addendum sulla protezione dei dati o del Contratto contraddica, direttamente o indirettamente, le Clausole contrattuali standard, prevarranno le Clausole contrattuali standard.
6. RISERVATEZZA DEL TRATTAMENTO
NextRoll dovrà garantire che qualsiasi persona autorizzata a trattare i Dati personali dei clienti (inclusi il personale, gli agenti e i subincaricati di NextRoll) (una "Persona autorizzata") sia soggetta a un rigoroso obbligo di riservatezza (sia esso un obbligo contrattuale o un obbligo legale) e non dovrà consentire a nessuno di trattare i Dati personali dei clienti senza essere soggetto a tale obbligo di riservatezza. NextRoll dovrà garantire che tutte le Persone autorizzate trattino i Dati personali dei clienti solo se necessario per lo Scopo consentito.
7. SICUREZZA
NextRoll dovrà attuare misure tecniche e organizzative adeguate per proteggere i Dati personali dei clienti da distruzione, perdita, alterazione accidentale o illegale o da divulgazione o accesso non autorizzato (un "Incidente di sicurezza"). Tali misure dovranno tenere in considerazione lo stato dell'arte, i costi di implementazione e la natura, l'ambito, il contesto e gli scopi del trattamento, nonché il rischio di vari tipi di probabilità e gravità per i diritti e le libertà delle persone fisiche.
Come minimo, tali misure devono comprendere le misure di cui all'Allegato II.
8. SUB-TRATTAMENTO
8.1. La presente clausola 8 si applica solo per quanto riguarda il trattamento dei Dati CRM del Cliente da parte di NextRoll e non per il trattamento dei Dati di servizio da parte di NextRoll.
8.2. Il Cliente acconsente all'utilizzo da parte di NextRoll dei subincaricati indicati all'URL https://www.nextroll.com/terms/data-protection/subprocessors ("Pagina subincaricati") per trattare i Dati CRM del Cliente.
8.3. Il Cliente acconsente che NextRoll si avvalga di subincaricati terzi supplementari o sostitutivi per il trattamento dei Dati CRM del Cliente, a condizione che: (i) NextRoll aggiorni la sua Pagina subincaricati con i dettagli di qualsiasi modifica proposta relativamente ai subincaricati almeno quattordici 14 giorni prima della nomina o della sostituzione di un subincaricato (il Cliente può iscriversi al feed RSS per la Pagina subincaricati per ricevere automaticamente tutte le notifiche in merito); (ii) NextRoll imponga a qualsiasi subincaricato nominato termini di protezione dei Dati CRM del Cliente sostanzialmente equivalenti a quelli previsti nel presente Addendum sulla protezione dei dati; e (iii) NextRoll rimanga pienamente responsabile per qualsiasi violazione della presente clausola causata da un atto, errore od omissione del subincaricato.
8.4. Se il Cliente si oppone alla nomina da parte di NextRoll di un subincaricato aggiuntivo o sostitutivo per motivi ragionevoli relativi alla protezione dei Dati CRM del Cliente, NextRoll non nominerà il subincaricato o, qualora ciò non fosse possibile, il Cliente potrà decidere di sospendere o risolvere il Servizio in questione (a prescindere dalle spese sostenute dal Cliente prima della sospensione o della risoluzione).
9. ASSISTENZA AL CLIENTE
9.1. NextRoll assisterà il Cliente nell'adempimento degli obblighi del Cliente ai sensi della Legge vigente in materia di protezione dei dati, nella misura richiesta da tale Legge vigente in materia di protezione dei dati.
9.2. Qualora NextRoll ritenga o venga a conoscenza del fatto che il proprio trattamento dei Dati CRM del Cliente può comportare un elevato rischio per i diritti e le libertà di protezione dei dati dei soggetti interessati, informerà tempestivamente il Cliente e NexRoll fornirà al Cliente tutta l'assistenza ragionevole e tempestiva che questi richiederà per condurre una valutazione dell'impatto della protezione dei dati in conformità con la Legge vigente in materia di protezione dei dati, inclusa, se necessario, l'assistenza al Cliente nel richiedere consulenza all'autorità competente per la protezione dei dati.
9.3. Richieste del Soggetto interessato.
- Per quanto riguarda i dati CRM del Cliente, NextRoll fornirà tutta l'assistenza ragionevole e tempestiva al Cliente per consentire al Cliente di rispondere a: (i) qualsiasi richiesta di un soggetto interessato in merito all'esercizio di uno qualsiasi dei suoi diritti ai sensi della Legge vigente in materia di protezione dei dati (inclusi i suoi diritti di accesso, correzione, obiezione, cancellazione e portabilità dei dati, a seconda dei casi) in connessione con i Dati CRM del Cliente; e (ii) qualsiasi altra corrispondenza, richiesta o reclamo ricevuto da un soggetto interessato, autorità di regolamentazione o altro soggetto terzo in relazione al trattamento dei Dati CRM del Cliente. Nel caso in cui tale richiesta, corrispondenza, interrogazione o reclamo vengano inoltrati direttamente a NextRoll, NextRoll informerà tempestivamente il Cliente fornendo ogni dettaglio a riguardo.
- Per quanto riguarda i Dati di servizio, NextRoll risponderà alle richieste dei Soggetti interessati come previsto dalla Legge vigente in materia di protezione dei dati e, se del caso, il Cliente fornirà assistenza a NextRoll in relazione a tale risposta.
10. INCIDENTI DI SICUREZZA
Una volta venuta a conoscenza di un Incidente di sicurezza confermato, NextRoll informerà il Cliente senza indebito ritardo e fornirà tempestivamente tutte le informazioni e la cooperazione che il Cliente richiederà per poter adempiere ai propri obblighi di segnalazione delle violazioni relative ai dati (e in conformità con le tempistiche richieste) secondo la Legge vigente in materia di protezione dei dati. NextRoll intraprenderà inoltre tutte le misure e le azioni necessarie per porre rimedio o mitigare gli effetti di un Incidente di sicurezza confermato e terrà il Cliente aggiornato su tutti gli sviluppi relativi all'Incidente di sicurezza confermato.
11. CANCELLAZIONE O RESTITUZIONE DEI DATI
Alla risoluzione o alla scadenza del Contratto, NextRoll distruggerà tutti i Dati CRM del Cliente (incluse tutte le copie dei Dati CRM del Cliente) in suo possesso o sotto il suo controllo (inclusi i Dati personali dei clienti subappaltati a terzi per il trattamento) su richiesta del Cliente o in conformità con l'Informativa di NextRoll in materia di conservazione dei dati consultabile all'indirizzo https://www.nextroll.com/privacy. Questo requisito non si applica nella misura in cui qualsiasi legge applicabile richieda a NextRoll di conservare alcuni o tutti i Dati CRM del Cliente, nel qual caso NextRoll isolerà e proteggerà i Dati CRM del Cliente da qualsiasi ulteriore trattamento, eccetto che nella misura richiesta da tale legge fino a quando risulti possibile cancellarli.
NextRoll può conservare i Dati di servizio in conformità con le proprie politiche di conservazione ed eliminazione.
12. AUDIT
12.1. Per quanto riguarda il trattamento dei Dati di Servizio da parte di NextRoll, NextRoll metterà a disposizione del Cliente, su richiesta, la documentazione sufficiente a dimostrare la conformità di NextRoll con il presente Addendum e/o con la Legge vigente in materia di protezione dei dati.
12.2. Per quanto riguarda il trattamento dei Dati CRM del Cliente da parte di NextRoll, NextRoll dovrà consentire al Cliente (o ai suoi revisori terzi designati) di verificare la conformità di NextRoll al presente Addendum sulla protezione dei dati, e dovrà mettere a disposizione del Cliente tutte le informazioni, i sistemi e il personale necessari affinché il Cliente (o i suoi revisori terzi) possano condurre tale audit. NextRoll prende atto del fatto che il Cliente (o i suoi revisori terzi) può accedere ai locali di proprietà o sotto il controllo di NextRoll solo ai fini dello svolgimento di tale audit, a condizione che il Cliente fornisca un preavviso ragionevole della propria intenzione di procedere all'audit, la svolga durante i normali orari di lavoro e adotti ogni ragionevole misura per evitare inutili interruzioni delle operazioni di NextRoll. Il Cliente non eserciterà i propri diritti di audit (incluso l'invio a NextRoll di domande scritte relative all'audit) più di una volta nell'arco di qualsiasi periodo di dodici (12) mesi solari, eccetto (i) se e quando richiesto dalle istruzioni di un'autorità competente in materia di protezione dei dati; o (ii) qualora il Cliente ritenga che sia necessaria un ulteriore audit a causa di un Incidente di sicurezza confermato ai danni di NextRoll. Il Cliente avrà l'esclusiva responsabilità dei costi di tale audit, e NextRoll sarà autorizzata ad addebitare al Cliente il supporto da questa fornito in relazione a tale audit, in base alle tariffe giornaliere dei suoi servizi professionali in vigore al momento.
12.3. Il Cliente prende atto del fatto che NextRoll viene sottoposta a controlli regolari in base agli standard SOC 2 da parte di revisori terzi indipendenti. Su richiesta, NextRoll fornirà al Cliente una copia riepilogativa del/i suo/i rapporto/i di audit, che sarà soggetto alle disposizioni sulla riservatezza previste nel Contratto.
12.4. Il Cliente concorda che, se e nella misura in cui decida di condurre un audit relativamente al trattamento dei Dati CRM del Cliente da parte di NextRoll ai sensi della Clausola 8.9 del Modulo 2 delle Clausole contrattuali standard, tale audit sarà condotto in conformità con i requisiti della presente Clausola 13.2 - 13.4.
ALLEGATO I
DESCRIZIONE DEL TRATTAMENTO DEI DATI
IL PRESENTE ALLEGATO I È PARTE INTEGRANTE DELL'ADDENDUM SULLA PROTEZIONE DEI DATI E DESCRIVE IL TRATTAMENTO CHE NEXTROLL ESEGUIRÀ PER CONTO DEL CLIENTE.
A. Elenco delle parti
Cliente/i / Esportatore/i di dati:
Titolare del trattamento dei dati (per i Dati di servizio)
NextRoll / Importatore/i dei dati:
Titolare del trattamento dei dati (per i Dati di servizio)
В. Descrizione di trasferimento
- Soggetti interessati che sono clienti potenziali e attuali del Cliente ("Soggetti interessati clienti")
- Soggetti interessati che sono dipendenti o membri dello staff del Cliente ("Soggetti interessati dipendenti")
- Soggetti interessati che visualizzano i siti Web del cliente in cui è posizionato il pixel di NextRoll ("Utenti finali del Cliente")
- Soggetti interessati clienti: informazioni di contatto e qualsiasi altra informazione di contatto affiliata (es. indirizzo e-mail, nome, indirizzo, numero di telefono, nome azienda, qualifica professionale) sugli Utenti Finali forniti dal Cliente (in qualità di esportatore dei dati) a NextRoll (in qualità di importatore dei dati), ottenuta attraverso integrazioni di terze parti con i servizi consentiti dal Cliente, o ottenuta da NextRoll per conto del Cliente in relazione ai servizi.
- Soggetti interessati dipendenti: indirizzo e-mail e indirizzo IP.
- Utenti finali del Cliente: informazioni sul dispositivo e sul comportamento di navigazione sui siti dei Clienti raccolte dal pixel di NextRoll (ad es. cookie, informazioni sul dispositivo, indirizzo IP, dati di localizzazione non precisi, dati del browser, dati del pixel pubblicitario) e, se consentito dal Cliente, indirizzi e-mail hashed inseriti sul sito del Cliente dagli Utenti finali del Cliente.
- Nessuno.
- In maniera continuativa per la durata del Contratto.
- La fornitura di servizi di marketing digitale al Cliente ai sensi del Contratto
I servizi di marketing digitale forniti da NextRoll includeranno il trattamento dei Dati CRM del Cliente per conto del Cliente per i seguenti scopi:
- Invio di e-mail mirate ai Soggetti interessati clienti su richiesta del Cliente.
- Collegamento dei dati personali dei Soggetti interessati clienti con i Dati di servizio di NextRoll e i dati online dei partner pubblicitari terzi al fine di riconoscere i Soggetti interessati clienti quando visitano i siti web di editori terzi al fine di offrire e distribuire annunci mirati per conto del Cliente e di integrare il Dati CRM del Cliente con i comportamenti di navigazione identificati sui siti dei Clienti e le interazioni con il marketing diretto dei Clienti.
- Segnalazioni al Cliente sull'impatto delle campagne pubblicitarie via e-mail e online rivolte ai Soggetti interessati clienti;
- Utilizzo delle e-mail appartenenti ai Soggetti interessati dipendenti come dati di accesso alla piattaforma di marketing digitale di NextRoll.
I Dati di servizio possono essere trattati da NextRoll anche in qualità di titolare del trattamento dei dati per fornire e migliorare i propri servizi per tutti i clienti, includendo il targeting degli annunci, la reportistica, gli approfondimenti e le analisi (allo scopo di creare report sulle performance) e la selezione degli annunci.
- In caso di rescissione esplicita dei servizi NextRoll da parte del Cliente o NextRoll ai sensi del Contratto, NextRoll cancellerà i Dati CRM del Cliente entro 90 giorni dalla data di rescissione.
- Se l'account di un Cliente è stato sospeso per 90 giorni o più, i Dati CRM del Cliente saranno cancellati.
- Quando un Cliente non si è collegato al proprio account NextRoll negli ultimi 365 giorni e non vi è stato alcun utilizzo del prodotto negli ultimi 30 giorni e nessuna spesa per i media è stata fatta negli ultimi 30 giorni, i Dati CRM del Cliente saranno eliminati allo scadere del 366esimo giorno di mancata attività dell'account.
- In qualità di titolare del trattamento dei dati per i dati di servizio, NextRoll può conservare i Dati di servizio in conformità con le proprie politiche di conservazione dei dati.
C. Autorità di vigilanza competente
ALLEGATO II
MISURE DI SICUREZZA TECNICHE E ORGANIZZATIVE
Descrizione delle misure tecniche e organizzative attuate dal/i responsabile/i del trattamento dei dati / dall'/dagli importatore/i di dati (comprese eventuali certificazioni pertinenti) per garantire un adeguato livello di sicurezza, tenendo conto della natura, della portata, del contesto e dello scopo del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche.
Nel processo di progettazione, NextRoll punta a ridurre al minimo la raccolta e l'utilizzo dei Dati personali dei clienti ove possibile.
Laddove vengano utilizzati i Dati personali dei clienti, questi saranno pseudonimizzati mediante aggregazione, de-identificazione o hashing, a meno che i dati grezzi non siano necessari per uno scopo commerciale legittimo. Qualora siano richiesti i dati effettivi, questi verranno crittografati utilizzando gli standard di crittografia attuali.
I sistemi di NextRoll sono progettati per essere altamente disponibili e sfruttare architetture scalabili e distribuite che coprono più posizioni geografiche su AWS.
NextRoll gestisce il monitoraggio del sistema e un centro operativo 24 ore su 24, 7 giorni su 7, per affrontare i problemi operativi.
NextRoll ha creato e testa regolarmente piani di disaster recovery. Questi piani includono specifiche su come recuperare i servizi e hanno indicato obiettivi di tempo e di punto di ripristino, nonché specifici processi di risposta e reporting per incidenti che coinvolgono i dati personali.
NextRoll conduce una verifica annuale SOC 2 Tipo 2.
NextRoll gestisce un programma di conformità continuo in cui i controlli e i processi di sicurezza vengono monitorati automaticamente e le anomalie vengono segnalate per trovarvi rimedio.
Inoltre, NextRoll conduce la scansione delle vulnerabilità, gestisce un programma bug bounty continuo e ogni sei mesi conduce un test di penetrazione utilizzando un soggetto terzo. Tecnologie come cloud security posture management (CSPM) e gestione delle risorse (CMDB) effettuano continuamente l'asset discovery, ne valutano il posture e mettono i risultati in ordine di priorità in base al rischio che rappresentano.
Per ciascuna delle applicazioni AdRoll e RollWorks, NextRoll gestisce un servizio centralizzato di autenticazione e autorizzazione che supporta l'autenticazione con accesso singolo (SSO) e l'autenticazione a più fattori (MFA). I controlli degli accessi vengono applicati in base al ruolo assegnato all'utente nel dominio applicativo.
Per le applicazioni aziendali di NextRoll con accesso remoto, NextRoll utilizza una soluzione SSO SaaS di terzi che prevede l'MFA per tutti gli utenti di NextRoll. Sono stati predisposti anche i controlli di accesso basati sui ruoli (RBAC).
Le applicazioni, i sistemi e i servizi di rete di NextRoll creano una registrazione dettagliata che include, a titolo esemplificativo, il successo e il fallimento dell'accesso, la creazione degli utenti, la modifica delle autorizzazioni, l'accesso ai dati, le transazioni fraudolente e i tentativi di attacco.
Gli eventi vengono inoltrati a un deposito centrale di sola scrittura e vengono analizzati per individuare potenziali problemi di sicurezza. La soluzione SIEM (Security Information and Event Management Solution) normalizza i log e applica l'intelligence sulle minacce per individuare gli indicatori di compromissione (IoC).
NextRoll ha predisposto una serie di prodotti di sicurezza che forniscono avvisi di sicurezza specifici basati su regole di monitoraggio condizionale e delle anomalie. Questi vengono forniti e aggiornati continuamente dai fornitori, insieme a regole sviluppate internamente.
NextRoll archivia e distribuisce configurazioni di sistema standard. Queste immagini vengono scansionate utilizzando strumenti che stabiliscono che i sistemi sono configurati utilizzando le migliori prassi consigliate e che non contengono gravi vulnerabilità.
È stata predisposta la funzionalità di monitoraggio dell'integrità dei file (FIM), che segnala le modifiche al CSPM. Unitamente alla soluzione CMDB, NextRoll è in grado di individuare le discrepanze rispetto alle configurazioni standard.
NextRoll dispone di un programma di sicurezza olistico che gestisce il rischio posto da utenti, dati, sistemi e fornitori nell'intero ciclo di vita. Questo include:
- La creazione di utenti con autorizzazioni appropriate al rispettivo ruolo, l'adesione ad accordi di riservatezza e la formazione su best practice e politiche di sicurezza e privacy. L'accesso dell'utente è legato allo status lavorativo, quindi account e diritti vengono revocati automaticamente alla cessazione del rapporto di lavoro
- Gli utenti sono tenuti a utilizzare tecnologie MFA e di accesso remoto sicuro per accedere alle risorse con un approccio zero-trust.
- I dispositivi sono dotati di controlli e build standardizzati.
- I dispositivi sono protetti da malware con una soluzione aziendale gestita centralmente e integrata nelle funzionalità di monitoraggio continuo della sicurezza.
- I dispositivi non aziendali (BYOD) hanno accesso condizionale alle risorse in base all'architettura zero-trust, a seconda del punteggio di rischio che pongono e del punteggio di rischio minimo necessario per accedere alle risorse.
- I fornitori vengono controllati per garantire che non creino rischi inaccettabili.
- Viene mantenuto uno standard di sicurezza degli endpoint aziendali, che specifica la versione minima del software critico. I sistemi vengono aggiornati regolarmente.
- Le autorizzazioni vengono riesaminate e rimosse regolarmente.
- I sistemi vengono svuotati alla fine del loro ciclo di vita.
NextRoll basa il suo programma di sicurezza su NIST CSF e la utilizza per segnalare lo status al comitato per la sicurezza e la conformità.
NextRoll verifica i propri processi e prodotti e conduce un audit annuale SOC 2 di tipo 2 utilizzando un revisore esterno.
Le tecnologie CSPM e CMDB forniscono inoltre benchmark basati sulle migliori prassi e su framework di sicurezza riconosciuti.
Per i trasferimenti a subincaricati del trattamento, descrivere anche le misure tecniche e organizzative specifiche che il (sub-) incaricato del trattamento deve adottare per essere in grado di fornire assistenza al Cliente (e, per i trasferimenti da un incaricato del trattamento a un subincaricato del trattamento, all'esportatore di dati).