Politica di protezione dati personali (PII)

 

La presente Politica sulla protezione dei dati regola il trattamento (raccolta, archiviazione, utilizzo, condivisione e smaltimento) di tutti i dati forniti e recuperati tramite le API di Amazon MWS.

Conservazione.
Conserviamo le PII solo allo scopo di gestire gli ordini. Il periodo di conservazione non è mai superiore a 30 giorni dall’evasione e dall’avvenuta ricezione della merce da parte del cliente. Bazzacco srl non è tenuta per legge a conservare copie di archivio delle PII, pertanto oltre il periodo di conservazione di 30 giorni, non conserviamo alcun dato. Vengono effettuate delle copie di salvataggio offline solo per garantire la fruibilità dei dati nel caso questi non siano accessibili perché cancellati, persi o non disponibili per sospensione del servizio. Si precisa che queste copie sono crittografate e contengo sempre gli ultimi 30 giorni delle PII. Le copie vengono automaticamente eliminate assieme ai dati originali al termine del periodo di 30 giorni.

Crittografia e archiviazione.
Il backup dei dati e le informazioni inattive vengono archiviati in NAS offline tramite software che permette la compressione crittografata dei dati con algoritmo AES-256. Non vengono archiviate informazioni personali su supporti rimovibili o applicazioni cloud pubbliche non protette.

 

Politica di protezione dei dati

 

Registrazione e monitoraggio.
In azienda è presente il seguente sistema di sorveglianza per la protezione dei dati:

  • Firewall con sistema di log che segnala allo sviluppatore via mail eventuali tentativi di intrusione;
  • Sistema operativo con event log segnala via email eventuali tentativi di collegamento da ip diversi da quelli aziendali tramite email o tentativi di intrusione;
  • Sistema di monitoraggio del servizio avvisa lo sviluppatore tramite email nel caso di:
    1. Blocco del servizio;
    2. Numero di chiamate anomalo;
    3. Errore nell’accesso ai dati;

In tutti i registri di log non vengono salvate le PII.

Oltre ad un monitoraggio quotidiano sul corretto funzionamento del servizio ed il controllo dei log del firewall e del server, lo sviluppatore viene informato del tentativo di intrusione tramite email, sarà compito dello sviluppatore investigare ed eventualmente richiedere l’intervento del sistemista incaricato per controllare l’eventuale intrusione analizzando i log presenti nel firewall e nel server.

Piano di risposta agli incidenti.
Nel caso di incidente viene avvertito il titolare di Bazzacco Srl e contestualmente si verificano le seguenti informazioni:

  • Verifica del tipo di incidente Esempio: virus, worm, intrusione, abuso, danno…;
  • Se il dispositivo interessato è critico per l’azienda;
  • Il grado di gravità del problema;
  • Identificazione dell’origine dell’attacco tramite IP e qualsiasi informazione valida;
  • Verifica se il problema è reale o solo percepito;
  • Verifica se l’incidente è ancora in corso;
  • Verifica di quali dati o proprietà sono minacciati e quanto critici sono;
  • Impatto aziendale nel caso di successo dell’attacco (nullo, minimo, serio o critico);
  • Quali sistemi sono presi di mira e dove si trovano fisicamente sulla rete;
  • Verifica se il problema è nella rete sicura;
  • Valutazione dell’urgenza della risoluzione;
  • Verifica sulla tempistica di risoluzione;

I membri dello staff stabiliranno in base all’analisi del problema una delle seguenti azioni:

  1. Procedura di risposta al worm
  2. Procedura di risposta al virus
  3. Procedura di guasto del sistema
  4. Procedura di risposta attiva alle intrusioni – I dati critici sono a rischio?
  5. Procedura di risposta alle intrusioni inattive
  6. Procedura di abuso del sistema
  7. Procedura di risposta al furto di proprietà
  8. Procedura di risposta negativa al servizio del sito web
  9. Database o file Denial of Service Response procedure
  10. Procedura di risposta allo spyware.

Il team può creare procedure aggiuntive che non sono previste in questo documento allo scopo di risolvere gli incidenti e migliorare lo stesso.
Se non esiste una procedura applicabile, il team deve documentare ciò che è stato fatto e successivamente stabilire una procedura per l’incidente. I membri del team utilizzeranno tecniche forensi, tra cui la revisione dei registri di sistema, la ricerca di lacune nei registri, la revisione dei registri di rilevamento delle intrusioni e l’intervista ai testimoni e alla vittima dell’incidente per determinare come è stato causato l’incidente.
Solo il personale autorizzato deve eseguire interviste o esaminare le prove e il personale autorizzato può variare in base alla situazione e all’organizzazione. I membri del team consiglieranno modifiche per evitare che il problema si ripeta o infetti altri sistemi.
Dopo l’approvazione del titolare, le modifiche verranno implementate.

Come parte del nostro piano di risposta agli incidenti e in base ai requisiti della politica di protezione dei dati di Amazon, Bazzacco srl informerà Amazon entro 24 ore dal rilevamento di eventuali incidenti di sicurezza.