Area Legale​

Dettagli sulla sicurezza delle informazioni di LutinX.com

Ultimo Aggiornamento: 
Luglio 26, 2024

LutinX ha accettato di adottare misure tecniche e organizzative appropriate per proteggere i Dati del Cliente da trattamenti non autorizzati o illeciti (“Programma di sicurezza delle informazioni“) e da perdite o distruzioni accidentali o danni ai Dati del Cliente. Il Programma di sicurezza delle informazioni di LutinX includerà requisiti di sicurezza specifici per il suo personale e tutti i subappaltatori, LutinX o agenti che hanno accesso ai Dati del Cliente (“Personale dei dati“). I requisiti di sicurezza di LutinX copriranno le aree sottostanti.

1. Norme e standard di sicurezza delle informazioni.

LutinX manterrà norme, standard e procedure di sicurezza delle informazioni. Tali norme, standard e procedure saranno aggiornati e rivisti ogniqualvolta vengano apportate modifiche rilevanti ai sistemi informativi che utilizzano o archiviano i Dati del Cliente. Tali norme, standard e procedure saranno progettati e implementati per:

• Impedire a persone non autorizzate di ottenere l’accesso fisico ai Dati del Cliente;
• Impedire che i Dati del Cliente vengano utilizzati senza autorizzazione;
• Garantire che il personale addetto ai dati abbia accesso solo ai dati del cliente a cui ha diritto e che, nel corso dell’elaborazione o dell’uso e dopo l’archiviazione, i dati del cliente non possano essere letti, copiati, modificati o eliminati senza autorizzazione;
• Garantire che i dati del cliente non possano essere letti, copiati, modificati o eliminati senza autorizzazione durante la trasmissione elettronica, il trasporto o l’archiviazione e che i destinatari di qualsiasi trasferimento di dati del cliente che utilizzi strutture di trasmissione dati possano essere stabiliti e verificati;
• Garantire l’istituzione di una traccia di controllo per documentare se e da chi i dati del cliente sono stati inseriti, modificati o rimossi dall’elaborazione dei dati del cliente;
• Garantire che i dati del cliente siano elaborati esclusivamente seguendo le istruzioni del cliente;
• Garantire che i dati del cliente siano protetti da distruzione o perdita accidentale;
• Garantire che i dati del cliente raccolti per scopi diversi possano essere elaborati separatamente;
• Garantire che i dati del cliente mantenuti o elaborati per clienti diversi siano elaborati in posizioni logicamente separate;
• Garantire che tutti i sistemi che elaborano i dati del cliente siano soggetti a un ciclo di vita di sviluppo software sicuro;
• e Assicurarsi che tutti i sistemi che elaborano i dati del cliente siano soggetti a un programma di gestione delle vulnerabilità che includa, senza limitazioni, la scansione delle vulnerabilità interne ed esterne con risultati di valutazione del rischio e piani di bonifica formali per affrontare qualsiasi vulnerabilità identificata.

2. Sicurezza fisica

• Controlli di accesso fisico. I servizi LutinX sono ospitati in data center situati in strutture anonime di proprietà e gestite da terzi provider di hosting (le “Strutture”). I controlli delle barriere fisiche vengono utilizzati per impedire l’ingresso non autorizzato alle Strutture sia nel perimetro che nei punti di accesso dell’edificio. Il passaggio attraverso le barriere fisiche nelle Strutture richiede la convalida del controllo di accesso elettronico o la convalida da parte del personale di sicurezza umano. Ai dipendenti e ai contraenti vengono assegnati badge identificativi con foto che devono essere indossati mentre i dipendenti e i contraenti si trovano in una qualsiasi delle Strutture. I visitatori devono registrarsi con il personale designato, mostrare un’identificazione appropriata, viene assegnato loro un badge identificativo per visitatori che deve essere indossato mentre il visitatore si trova in una qualsiasi delle Strutture e vengono costantemente accompagnati da dipendenti o contraenti autorizzati durante la visita alle Strutture.
• Accesso limitato per dipendenti e contraenti. Il provider di hosting di LutinX fornisce l’accesso alle Strutture a quei dipendenti e appaltatori che hanno una legittima necessità aziendale di tali privilegi di accesso. Quando un dipendente o un appaltatore non ha più una necessità aziendale per i privilegi di accesso assegnati, i privilegi di accesso vengono prontamente revocati, anche se il dipendente o l’appaltatore continua a essere un dipendente del provider di hosting di LutinX o delle sue Affiliate.
• Protezioni di sicurezza fisica. Tutti i punti di accesso sono mantenuti in uno stato sicuro. I punti di accesso alle Strutture sono monitorati da telecamere di videosorveglianza progettate per registrare tutti gli individui che accedono alle Strutture. Il provider di hosting di LutinX mantiene anche sistemi elettronici di rilevamento delle intrusioni progettati per rilevare l’accesso non autorizzato alle Strutture, inclusi il monitoraggio dei punti di vulnerabilità con contatti delle porte, dispositivi di rottura dei vetri, rilevamento del movimento interno o altri dispositivi progettati per rilevare gli individui che tentano di accedere a Tutti gli accessi fisici alle Strutture da parte di dipendenti e appaltatori vengono registrati e sottoposti a verifica di routine.

3. Sicurezza organizzativa.

LutinX manterrà politiche e procedure di sicurezza delle informazioni che riguardano:

• Smaltimento dei dati. Sono state implementate procedure per quando i supporti devono essere smaltiti o riutilizzati per impedire qualsiasi successivo recupero di qualsiasi dato del cliente archiviato sui supporti prima che vengano ritirati dall’inventario o dal controllo di LutinX.
• Minimizzazione dei dati. Sono state implementate procedure per quando i supporti devono lasciare i locali in cui si trovano i file a seguito di operazioni di manutenzione per impedire il recupero indebito dei dati del cliente archiviati sui supporti.
• Classificazione dei dati. Sono state implementate e mantenute politiche e procedure per classificare le risorse di informazioni sensibili, chiarire le responsabilità di sicurezza e promuovere la consapevolezza per tutti i dipendenti.
• Risposta agli incidenti. Tutti gli incidenti di sicurezza dei dati del cliente sono gestiti da appropriate procedure di risposta agli incidenti.
• Crittografia. Tutti i dati del cliente vengono archiviati e trasmessi utilizzando meccanismi di crittografia standard del settore e suite di cifratura avanzate, come AES-512.

4. Sicurezza della rete.

Il sistema LutinX è ospitato in un data center situato in strutture anonime di proprietà e gestite da un provider di hosting di terze parti. LutinX non gestisce una rete interna. Il team di ingegneria LutinX utilizza reti private virtuali (“VPN”) standard del settore per gestire le risorse infrastrutturali e accedere al sistema LutinX.

5. Controllo degli accessi (Governance)

• LutinX gestisce l’accesso ai sistemi informativi che elaborano i dati dei clienti.
• Il sistema LutinX è ospitato in un data center situato in strutture anonime di proprietà e gestite da un provider di hosting di terze parti. LutinX non gestisce una rete interna. Il team di ingegneria LutinX utilizza reti private virtuali (“VPN”) standard del settore per gestire le risorse infrastrutturali e accedere al sistema LutinX.
• Solo il personale LutinX autorizzato può concedere, modificare o revocare l’accesso a un sistema informativo che elabora i dati dei clienti.
• Le procedure di amministrazione degli utenti vengono utilizzate da LutinX per (i) definire i ruoli degli utenti e i loro privilegi; (ii) regolamentare come l’accesso viene concesso, modificato e terminato; (iii) affrontare un’adeguata separazione dei compiti; e (iv) definire i requisiti e i meccanismi per la registrazione/monitoraggio.
• A tutto il personale dei dati vengono assegnati ID utente univoci.
• I diritti di accesso vengono implementati aderendo all’approccio del “privilegio minimo”.
• LutinX implementa misure di sicurezza fisiche e tecniche ragionevoli dal punto di vista commerciale per creare e proteggere le password.

6. Controlli di virus e malware.

LutinX protegge i dati del cliente da codice dannoso e installerà e manterrà un software di protezione antivirus e malware su qualsiasi sistema che gestisca i dati del cliente.

7. Personale

• LutinX ha implementato e mantiene un programma di sensibilizzazione sulla sicurezza per formare tutti i dipendenti sui loro obblighi di sicurezza. Questo programma include la formazione sugli obblighi di classificazione dei dati, sui controlli di sicurezza fisica, sulle pratiche di sicurezza e sulla segnalazione degli incidenti di sicurezza.
• LutinX ha chiaramente definito ruoli e responsabilità per i dipendenti.
• I potenziali dipendenti vengono sottoposti a screening, inclusi controlli dei precedenti per il personale dei dati o le persone che supportano l’ambiente tecnico o l’infrastruttura del cliente, prima dell’assunzione e dei termini e delle condizioni di impiego che vengono applicati in modo appropriato.
• Il personale dei dati segue rigorosamente le politiche e le procedure di sicurezza stabilite.
• Viene applicato un processo disciplinare se il personale dei dati non rispetta le politiche e le procedure pertinenti.
• LutinX adotterà misure ragionevoli per garantire l’affidabilità di qualsiasi dipendente, agente o appaltatore che potrebbe elaborare i dati del cliente.

8. Continuità aziendale.

LutinX implementa piani di ripristino di emergenza e ripresa aziendale. I piani di continuità aziendale vengono testati e aggiornati regolarmente per garantire che siano aggiornati ed efficaci.