GDPR FAQ

Dal 25 maggio 2018 sono entrate in vigore in Europa nuove misure di sicurezza relativamente al trattamento e alla libera circolazione dei dati di natura personale. Di seguito le risposte di Exalog, sviluppatore del suo software Allmybanks, alle diverse eventuali domande sul tema.

Ecco come Exalog tratta i dati salvati dai suoi clienti nei suoi software...

Il GDPR, acronimo inglese di General Data Protection Regulation (Regolamento generale sulla protezione dei dati), è il più recente testo europeo di riferimento per la protezione delle persone fisiche riguardo al trattamento dei loro dati personali (regolamento UE n. 2016/679). Il regolamento stabilisce i diritti di tali persone fisiche, e gli obblighi che sono tenute a rispettare le organizzazioni che utilizzano i loro dati (si parla di trattamento in senso lato: manuale o automatico, e di qualsiasi forma di utilizzo, compresa la memorizzazione). Si considera come “dato personale” ogni informazione specifica di una persona che ne permetta l’identificazione. Può trattarsi di un nome, di un numero di telefono, di una foto, di un indirizzo e-mail, ecc.
Presso Exalog, ci sono due persone responsabili di questi aspetti:
  • Il Direttore della sicurezza dei sistemi informatici (DSI)
  • Il responsabile della protezione dei dati personali (DPO, dall’inglese Data Protection Officer), designato allo scopo di garantire la conformità e la sicurezza dei trattamenti all’interno dell’azienda
Se desidera contattare una di queste due figure, può utilizzare il modulo disponibile qui.
La società Exalog pone in atto misure tecniche e organizzative al fine di garantire la sicurezza dei dati salvati dai suoi clienti nei suoi software. Tra queste:
  • Hosting presso data center altamente protetti e certificati ISO 27001 e 22301
  • Protezione dei nostri sistemi contro le intrusioni e il controllo degli aggiornamenti di sicurezza
  • Procedure d’accesso protette ai nostri software (autenticazione a due fattori)
  • Crittografia delle informazioni seguenti nei database:
    • Numeri di conti (IBAN) del cliente abbonato e dei suoi terzi
    • Indirizzi e-mail degli utenti e di terzi
    • Numero di telefono e fax degli utenti e di terzi
    • Nome degli utenti
    • Numeri di carte bancaria
  • Backup regolarmente eseguiti e archiviati in forma crittografata
I software Exalog (server e database) sono ospitati in due data center altamente protetti, siti in Francia (vicino a Parigi) e di proprietà de una società di hosting riconosciuta. Questi due data center sono certificati ISO 27001 (sicurezza dei sistemi informatici), ISAE 3402 (valutazione delle prestazioni di terzi) e ISO 22301 (gestione della continuità dell’attività). I rack nei quali sono installati i server dei nostri software (server di elaborazione, server del database e server di comunicazione bancari) sono privati e interamente riservati a Exalog. La gestione e la manutenzione sono affidate esclusivamente al team di gestione di Exalog. I server e i dispositivi di rete sono di proprietà esclusiva di Exalog.
I “dati personali” (nomi degli utenti, numeri di telefono o e-mail, numeri di conti e di carte bancarie) immagazzinati nel database dei nostri software sono codificati. I dati online sono conservati per la durata definita nel contratto firmato dal cliente. In caso di rescissione del contratto, Exalog si impegna a cancellare i dati del cliente dal database del software condiviso disponibile online, entro un termine di tre mesi dalla data di fine contratto. Exalog conserverà comunque alcuni archivi di backup del database condiviso (dati di tutti i suoi clienti), creati prima della cancellazione, per un termine massimo di cinque anni. Questi archivi sono crittografati e vengono archiviati su server nelle stesse condizioni di sicurezza di hosting del software. Il cliente ha la possibilità di richiedere un recupero degli archivi, dietro preventivo.
I dati sono conservati nel modo seguente:
  • Ogni ora viene eseguito un backup del database
  • I file di backup sono conservati su server di backup protetti, nelle stesse condizioni di hosting applicate nel sito di produzione; questi file vengono compressi e crittografati
  • Durata di conservazione:
    • I backup orari vengono conservati per una settimana prima di essere eliminati
    • si conserva un backup a settimana per un termine massimo di 1825 giorni (cinque anni); trascorso questo periodo, si procede all’eliminazione di tutti i backup settimanali
I team del Servizio clienti hanno accesso alle coordinate dei clienti (cognome, nome, società, indirizzo e-mail, telefono) al fine di gestire le loro richieste di assistenza. I team commerciali, di marketing e comunicazione hanno accesso alle coordinate dei clienti (cognome, nome, società, indirizzo e-mail, telefono) che possono essere utilizzate per l’invio di newsletter o messaggi promozionali mirati. I dati raccolti sono archiviati nel nostro software di gestione del relazione cliente (CRM) protetto. Il servizio di gestione (collegato alla DSI) può altresì avere accesso ai dati dei clienti per la risoluzione di bug. In questo caso, i dati vengono resi anonimi.
Exalog non trasferisce alcun dato dei propri software fuori dall’Unione Europea, né altrove nel mondo.

...Lo stesso dicasi per i dati raccolti su questo sito web.

Quando compila uno dei nostri moduli, i dati personali raccolti (cognome, nome, indirizzo e-mail, numero di telefono, società) possono essere utilizzati a fini informativi, commerciali o promozionali. Per ciascun modulo, Le verrà fornita prima un’informativa circa l’utilizzo dei Suoi dati. Può richiedere in qualsiasi momento l’aggiornamento, la modifica o la cancellazione di questi dati facendo clic qui. Le Sue richieste saranno gestite il prima possibile, entro un termine massimo di un mese. I dati raccolti su questo sito web vengono salvati nel nostro software di gestione del relazione cliente CRM il cui accesso, protetto da login e password, è limitato al personale di Exalog. La connessione al nostro CRM è possibile solo dai locali di Exalog oppure tramite VPN. I dati vengono immagazzinati in data center certificati ISO 27001 (sicurezza dei sistemi informatici), ISAE 3402 (valutazione delle prestazioni di terzi) e ISO 22301 (gestione della continuità dell’attività).
I team commerciali, di marketing e comunicazione hanno accesso ai dati raccolti su questo sito web attraverso moduli online e possono utilizzarli per rispondere a richieste di informazioni o per l’invio di newsletter o messaggi promozionali mirati. I dati raccolti sono archiviati nel nostro software di gestione del relazione cliente (CRM) protetto.

Ulteriori domande?

In caso di ulteriori domande in merito al GDPR, restiamo a Sua completa disposizione per fornirle una risposta.