PANORAMICA

Tulip e il Regolamento generale sulla protezione dei dati

Il Regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea sostituisce la Direttiva 95/46/CE sulla protezione dei dati personali in materia di salvaguardia del diritto fondamentale dei cittadini UE alla privacy e, di conseguenza, alla protezione dei dati privati. L’obiettivo del regolamento è di armonizzare le leggi europee in materia di riservatezza dei dati, al fine di garantire la privacy di tutti i cittadini dell’Unione, e di riformulare l’approccio alla privacy dei dati delle organizzazioni che operano all’interno della regione. Il regolamento introduce requisiti severi che innalzano gli standard per la protezione dei dati, la sicurezza e la conformità. Data di entrata in vigore: 25 maggio 2018.

La protezione dei dati dei clienti e del diritto di ogni persona alla privacy e alla sicurezza è una priorità assoluta per Tulip, che opera in collaborazione con i punti vendita per assicurare la conformità al GDPR.

Ali Asaria, CEO, Tulip

La nostra promessa

La partnership con Tulip ti aiuterà a ottimizzare il processo di conformità GDPR e a ottenere risultati con maggiore rapidità. Per garantire costantemente la protezione dei dati dei clienti ci impegniamo a rispettare tutti i requisiti del GDPR. Tale processo viene controllato attentamente e gestito con la massima trasparenza, per consentire alle aziende con cui collaboriamo di verificare l’aderenza al Regolamento generale sulla protezione dei dati.

Il nostro lavoro

Ci impegniamo a fondo per garantire la privacy e la protezione dei dati che elaboriamo e archiviamo. Le nostre procedure sono descritte di seguito in questa sezione, insieme alle informazioni sulle misure adottate per proteggere i dati e aderire a tutte le normative in materia di sicurezza e privacy.

Informazioni di identificazione personale

In qualità di responsabile del trattamento, Tulip raccoglie, archivia ed elabora i dati dei clienti dei punti vendita e le informazioni sugli addetti alle vendite. Utilizziamo le informazioni in nostro possesso per fornire un accesso sicuro ai nostri servizi. Grazie a un team di tecnici specializzati, alla nostra tecnologia all’avanguardia e ai sistemi automatizzati, garantiamo la completa protezione delle informazioni in nostro possesso. In qualità di titolare, Tulip inoltre raccoglie, conserva ed elabora i dati dei propri dipendenti, dei potenziali dipendenti e degli appaltatori, oltre a quelli dei potenziali partner, lead e clienti.

Sicurezza e conformità

I nostri sistemi e le nostre infrastrutture delle informazioni si trovano in data center SOC 2 accreditati. Tulip è conforme agli Standard di sicurezza dei dati di pagamento (PCI DSS 3.2) e tale conformità viene verificata annualmente. Collaboriamo con un Qualified Security Assessor per garantire la conformità allo standard PCI DSS. Oltre a ciò, abbiamo fatto richiesta per la certificazione ISO 27001.

Criteri di sicurezza

I nostri criteri di sicurezza delle informazioni vengono periodicamente aggiornati per garantire la privacy del database degli utenti. Il CTO e il responsabile dei dipendenti per i criteri di sicurezza delle informazioni sono esperti di standard di conformità come PCI e Codifica sicura e hanno le competenze necessarie per garantire la sicurezza dei dati.  

Personale adibito alla sicurezza

Tulip dispone di un team dedicato, che si occupa della sicurezza di applicazioni, reti e sistemi ed è anche responsabile della conformità in materia di sicurezza, formazione e risposta agli incidenti.

Controllo degli accessi

Il database Tulip è accessibile solo tramite una Virtual Private Network o una query SSH e richiede un’autenticazione multifattoriale. Implementiamo criteri di robustezza delle password che includono complessità, scadenza e blocco. Tulip garantisce l’accesso alle informazioni in base alle esigenze e rivede le autorizzazioni su base trimestrale. In caso di licenziamento di un dipendente, il suo accesso al sistema viene revocato entro 24 ore.

Personale

Tulip effettua controlli dei precedenti al momento dell’assunzione (nella misura consentita dalle normative applicabili e dai vari paesi). Inoltre, Tulip comunica i propri criteri di sicurezza delle informazioni a tutto il personale, richiede ai nuovi dipendenti di firmare accordi di non divulgazione e offre costantemente corsi di formazione sulla privacy e la sicurezza.

Gestione delle vulnerabilità e penetration test

Tulip ha distribuito un programma di gestione delle vulnerabilità, che include scansioni periodiche, identificazione e correzione delle vulnerabilità di sicurezza in workstation, apparecchiature di rete, server e applicazioni. Ci avvaliamo della collaborazione di un attendibile fornitore terzo per la scansione di tutte le reti, inclusi gli ambienti di test e produzione. Gli errori critici vengono corretti in base alla priorità, mentre gli altri in base alle esigenze. Effettuiamo con regolarità penetration test interni ed esterni per garantire l’invulnerabilità dei nostri sistemi.

Sviluppo

Il nostro team di sviluppo distribuisce tecniche e best practice di codifica sicura, incentrate sull’OWASP Top Ten. Gli sviluppatori seguono un corso certificato dei criteri di sviluppo delle applicazioni Web sicure al momento dell’assunzione e successivamente ogni anno. Gli ambienti di sviluppo, test e produzione sono separati. Prima di essere applicate all’ambiente di produzione, tutte le modifiche sono sottoposte a una peer review e ne viene eseguito il logging in termini di prestazioni, audit trail e digital forensics.

Crittografia

Tulip crittografa in dati in transito mediante protocolli di crittografia TLS sicuri.

Logging e auditing

Tutti i log delle applicazioni e dei sistemi delle infrastrutture vengono inviate a un repository gestito a livello centrale per l’analisi, le revisioni di sicurezza e la risoluzione dei problemi. Inoltre, vengono conservate tutte le informazioni, come stabilito dai requisiti normativi. Tali informazioni possono essere condivise con i clienti in caso di incidenti relativi alla sicurezza che potrebbero, direttamente o indirettamente, incidere sui propri dati.

Gestione delle risorse

Tulip incorpora un criterio di gestione delle risorse che include l’identificazione, la classificazione, la conservazione e l’eliminazione di informazioni e risorse. I dispositivi e i sistemi Tulip sono dotati dei migliori software antivirus e di una completa crittografia del disco rigido. I dispositivi aziendali verranno utilizzati per accedere alle reti di produzione e ai dati aziendali.

Aspetti della sicurezza delle informazioni relativi alla gestione della continuità aziendale

Tulip ha adottato tutte le linee guida e i criteri di gestione delle risposte agli incidenti della sicurezza, incluse le indagini, le soluzioni e le comunicazioni pubbliche. Tali criteri vengono controllati ogni sei mesi.

Conformità GDPR

Garantiamo che tutti i servizi e le risorse offerte sono conformi ai requisiti GDPR di tutte le aziende associate. Grazie alla collaborazione con MNP LLP., Tulip continua ad allinearsi e a cercare di ottenere la conformità GDPR.

Reclami

Tulip è soggetta al Regolamento generale sulla protezione dei dati e altre normative e strutture in materia di privacy e sicurezza. In base a tali normative, siamo obbligati a rispondere alle richieste e a chiarire eventuali dubbi degli interessati. A oggi, Tulip non ha ricevuto domande, richieste di chiarimento o reclami da parte degli interessati, delle associazioni dei consumatori o degli enti di regolamentazione.

Domande frequenti

Cosa è il GDPR?

Il GDPR è il Regolamento generale sulla protezione dei dati che garantisce la sicurezza dei dati dei clienti nei paesi UE. Sostituirà la Direttiva sulla protezione dei dati 95/46/CE.

Cosa è regolato dal GDPR?

Il GDPR garantisce che tutte le aziende, a prescindere dal fatto che siano fisicamente presenti nei paesi UE, dovranno applicare le normative per la raccolta, la memorizzazione e il trasferimento dei dati dei cittadini UE.

Cosa sono i dati personali?

“Dati personali”, come specificato dal GDPR, è un termine di ampio significato, che include qualsiasi informazione correlata agli interessati identificati o identificabili.

Qual è la differenza fra il responsabile e il titolare del trattamento dei dati?

Il titolare del trattamento dei dati è definito come un’entità che identifica lo scopo, le condizioni e i mezzi del processo di protezione dei dati personali. Il responsabile del trattamento dei dati, d’altro canto, è un’unità responsabile dell’elaborazione dei dati personali a supporto del titolare.

Il GDPR prevede che i dati personali dei cittadini UE restino nei paesi UE?

No, il GDPR non richiede che i dati personali restino nell’UE né applica alcuna restrizione sui dati al di fuori dell’UE. I requisiti di elaborazione dei dati di Tulip e il riferimento alle clausole contrattuali della Commissione Europea resteranno in vigore per consentire ai clienti di legittimare la trasmissione dei dati personali UE al di fuori dei confini fisici dell’UE.