ACCORDO SUL TRATTAMENTO DEI DATI (DPA)

Il presente DPA è parte integrante del contratto principale (Master Services Agreement – “MSA”) o del rispettivo Modulo d’Ordine tra le parti.

1. AMBITO DI APPLICAZIONE E DEFINIZIONI

1.1 Il presente DPA disciplina il trattamento dei Dati Personali da parte di Mapp (“Responsabile”) per conto del Cliente (“Titolare”) nell’ambito dei servizi concordati.

1.2 Gerarchia

• Le leggi imperative sulla protezione dei dati prevalgono sempre.
• Qualora il Modulo d’Ordine includa espressamente Termini Speciali concordati sulla protezione dei dati, tali termini si applicano solo nella misura indicata e prevalgono sulle disposizioni contrastanti del presente DPA.
• In tutti gli altri casi, il presente DPA prevale sull’MSA per quanto riguarda la protezione dei dati personali.

1.3 Definizioni

• Leggi sulla Protezione dei Dati: indica tutte le leggi applicabili relative ai Dati Personali, inclusi il RGPD europeo, la normativa del Regno Unito e le leggi statali applicabili degli Stati Uniti, come modificate.
• Interessato: indica un individuo i cui Dati Personali sono trattati.
• Violazione dei Dati Personali: indica un incidente di sicurezza che comporta la distruzione accidentale o illecita, la perdita, l’alterazione, la divulgazione non autorizzata o l’accesso ai Dati Personali.
• Servizi: indica i servizi forniti da Mapp come descritti nell’MSA, nel Modulo d’Ordine e nell’Allegato 1.
• Affiliata: indica qualsiasi entità che controlla, è controllata da o è sotto comune controllo con una parte.
• I termini con l’iniziale maiuscola non definiti hanno il significato attribuito nell’MSA o nelle Leggi sulla Protezione dei Dati applicabili.

2. RUOLI E ISTRUZIONI

2.1 Il Cliente è il Titolare e Mapp è il Responsabile.

2.2 Ciascuna parte dovrà rispettare le Leggi sulla Protezione dei Dati applicabili al proprio ruolo.

2.3 Mapp tratterà i Dati Personali solo per fornire i Servizi e in conformità alle istruzioni documentate del Cliente, che includono:

• l’MSA e il Modulo d’Ordine;
• il presente DPA e i suoi Allegati;
• le configurazioni e le impostazioni applicate dal Cliente all’interno dei Servizi; e
• le istruzioni scritte trasmesse tramite i canali concordati di supporto o di account management.

2.4 Se Mapp ritiene ragionevolmente che un’istruzione violi le Leggi sulla Protezione dei Dati, informerà il Cliente senza indebito ritardo e potrà sospendere l’esecuzione fino a chiarimento.

2.5 Mapp non vende né condivide i Dati Personali come definito dalle leggi sulla privacy degli Stati Uniti applicabili.

3. SUB-TRATTAMENTO E TRASFERIMENTI INTERNAZIONALI DI DATI

3.1 Tutti i Sub-responsabili sono vincolati da obblighi scritti in materia di protezione dei dati non meno protettivi di quelli del presente DPA. Mapp rimane responsabile della loro conformità. Il Cliente autorizza:

• le Affiliate di Mapp situate nel SEE o nel Regno Unito; e
• Sub-responsabili necessari per la fornitura dei Servizi ordinati (come indicato nel Modulo d’Ordine).

3.2 Mapp informerà il Cliente almeno trenta (30) giorni prima di coinvolgere un nuovo Sub-responsabile. Se il Cliente solleva una preoccupazione documentata in materia di protezione dei dati, le parti collaboreranno in buona fede per risolverla. Se non risolta, il Cliente potrà recedere solo dai Servizi interessati.

3.3 I Dati Personali possono essere trattati al di fuori del SEE o del Regno Unito solo ove consentito dal presente DPA o laddove il Cliente abbia stipulato un contratto con un’entità Mapp stabilita al di fuori di tali regioni.

3.4 Laddove i Dati Personali siano trattati in paesi privi di una decisione di adeguatezza approvata, Mapp applicherà le garanzie appropriate richieste dalle Leggi sulla Protezione dei Dati. Ove richiesto, le parti collaboreranno ragionevolmente per valutare i rischi del trattamento internazionale e applicare le misure di protezione appropriate.

3.5 Mapp mantiene un elenco aggiornato dei propri Sub-responsabili sul proprio sito web (si veda Allegato 2).

4. MISURE DI SICUREZZA

4.1 Mapp implementerà misure tecniche e organizzative adeguate per garantire un livello di sicurezza commisurato al rischio, comprese misure allineate agli standard ISO 27001 ove applicabile. Tali misure mirano a proteggere i Dati Personali dal trattamento non autorizzato o illecito e dalla perdita accidentale, distruzione o danno. I dettagli sono descritti nell’Allegato 3.

4.2 Le misure di sicurezza vengono riviste regolarmente e aggiornate ove opportuno, a condizione che il livello complessivo di protezione non venga ridotto in modo sostanziale.

4.3 L’accesso ai Dati Personali è limitato al personale autorizzato soggetto a obblighi di riservatezza.

5. AUDIT E VERIFICA

5.1 Mapp fornirà le informazioni ragionevoli necessarie per dimostrare la conformità al presente DPA, incluse le certificazioni pertinenti o la documentazione standard di sicurezza.

5.2 Se tali informazioni risultano insufficienti, il Cliente può condurre un (1) audit all’anno con un preavviso di almeno venti (20) giorni lavorativi. Gli audit devono:

• essere limitati alle attività pertinenti ai Servizi;
• evitare interruzioni irragionevoli; e
• essere soggetti a riservatezza.

5.3 Il Cliente sostiene i costi dell’audit, inclusi i ragionevoli costi di supervisione interna, a meno che l’audit non sia richiesto da un’autorità di controllo, segua una Violazione dei Dati Personali confermata o si basi su prove oggettive e documentate di inadempienza sostanziale.

5.4 I revisori terzi devono essere indipendenti, vincolati dalla riservatezza e non essere concorrenti di Mapp.

6. NOTIFICA DI VIOLAZIONE DEI DATI PERSONALI

6.1 Mapp informerà il Cliente senza indebito ritardo e non oltre ventiquattro (24) ore dopo aver confermato una Violazione dei Dati Personali.

6.2 Le notifiche includeranno i dettagli disponibili sulla natura della violazione, l’impatto probabile e le fasi di mitigazione. Seguiranno aggiornamenti man mano che le informazioni si rendono disponibili.

6.3 Sono escluse le violazioni causate esclusivamente da azioni o omissioni del Cliente, a meno che non siano causate direttamente dalla mancata applicazione da parte di Mapp delle misure di cui all’Allegato 3.

7. RICHIESTE DEGLI INTERESSATI

7.1 Se Mapp riceve una richiesta di un Interessato direttamente, informerà il Cliente senza indebito ritardo e non risponderà se non autorizzata.

7.2 Il Cliente utilizzerà le funzionalità disponibili del Servizio per rispondere alle richieste.

7.3 Laddove le richieste non possano essere gestite tramite self-service, Mapp fornirà una ragionevole assistenza. Possono applicarsi tariffe ove consentito dalla legge.

8. ASSISTENZA IN MATERIA DI PROTEZIONE DEI DATI

8.1 Mapp fornirà una ragionevole assistenza per aiutare il Cliente a rispettare i propri obblighi in materia di protezione dei dati relativi alla sicurezza, alla gestione delle violazioni, alle valutazioni d’impatto e all’interazione con le autorità di regolamentazione, limitatamente al Trattamento previsto dal presente DPA e alle informazioni disponibili per Mapp.

8.2 Mapp mantiene i registri delle proprie attività di Trattamento e renderà disponibili le informazioni pertinenti su ragionevole richiesta.

9. RESTITUZIONE E CANCELLAZIONE DEI DATI

9.1 In caso di risoluzione o scadenza dell’Accordo, Mapp provvederà, a scelta del Cliente, a cancellare o restituire tutti i Dati Personali. La cancellazione finale avverrà entro trenta (30) giorni, a meno che non si applichino obblighi di conservazione previsti dalla legge o periodi di transizione diversi previsti nel Master Agreement.

9.2 Per supportare una migrazione, il periodo di conservazione può essere esteso fino a novanta (90) giorni.

9.3 Il Cliente può richiedere una copia durante questo periodo. Possono applicarsi tariffe ragionevoli.

9.4 I backup crittografati vengono cancellati in linea con le pratiche di conservazione standard di Mapp.

9.5 Su richiesta, la cancellazione sarà confermata per iscritto.

9.6 Laddove il Cliente eserciti diritti contrattuali o statutari di recupero o transizione dei dati in relazione a una modifica o interruzione dei Servizi, la cancellazione ai sensi della presente Sezione avverrà solo dopo il completamento del periodo di transizione applicabile.

10. RESPONSABILITÀ

10.1 La responsabilità di ciascuna parte derivante da o correlata al presente DPA e a tutti i DPA tra le Affiliate e Mapp è soggetta alla sezione sulla limitazione di responsabilità concordata nell’MSA.

10.2 Per evitare dubbi, la responsabilità totale di Mapp per tutti i reclami del Cliente e di tutte le sue Affiliate derivanti da o relativi all’MSA e a ciascun DPA si applicherà in forma aggregata per tutti i reclami ai sensi sia dell’MSA che di tutti i DPA stabiliti ai sensi del presente Accordo.

10.3 Se un Interessato fa valere un reclamo contro una parte, l’altra parte collaborerà ragionevolmente nella difesa di tali reclami.

11. LEGGE APPLICABILE

11.1 Il presente DPA è disciplinato dalle leggi indicate nell’MSA. Le controversie saranno risolte nei tribunali concordati ai sensi dell’MSA.

Allegato 1: DETTAGLI DEL TRATTAMENTO

Natura e Scopo del Trattamento

Mapp tratta i Dati Personali esclusivamente allo scopo di fornire i Servizi e solo in conformità alle istruzioni documentate del Cliente. Le attività di trattamento possono includere la raccolta, l’archiviazione, l’organizzazione, l’uso, l’analisi e il reporting dei dati necessari per l’esecuzione dei Servizi. Ciò può anche comportare la trasformazione, l’aggregazione, la pseudonimizzazione o l’anonimizzazione dei dati ove pertinente per la fornitura di tali Servizi. Mapp non raccoglie Dati Personali direttamente dagli individui, a meno che non sia esplicitamente avviato e configurato dal Cliente. Il Cliente rimane responsabile di garantire la raccolta e l’uso leciti dei Dati Personali ai sensi delle Leggi sulla Protezione dei Dati applicabili.

Tipi di Dati Personali Trattati

I tipi esatti di dati dipendono dall’uso dei Servizi da parte del Cliente e dalla configurazione della piattaforma. I dati possono includere, a titolo esemplificativo:

Informazioni personali e di contatto

• Nome completo
• indirizzo e-mail
• numero di telefono
• indirizzo postale

Dati demografici

• Età o data di nascita
• genere
• preferenze linguistiche
• appellativo o titolo

Dati di interazione marketing

• Stato del consenso
• record di opt-in / opt-out
• dati di interazione con i messaggi (es. aperture, clic, conversioni), dati di bounce

Identificativi online e tecnici

• Indirizzo IP
• ID cookie
• informazioni su dispositivo e browser
• URL di provenienza, landing page e timestamp delle visite

Informazioni commerciali e personalizzate

• Interessi relativi ai prodotti
• date delle transazioni
• campi dati o attributi definiti dal Titolare

Nota: I Servizi non sono progettati per trattare categorie particolari di Dati Personali (come definiti nell’Articolo 9 RGPD) o dati relativi a minori. Tale trattamento è vietato se non esplicitamente autorizzato per iscritto da Mapp , legalmente consentito e conforme alla Acceptable Use Policy di Mapp.

Categorie di Interessati

Le categorie di Interessati possono includere:

• Clienti, abbonati o utenti del Cliente
• Potenziali clienti o lead del Cliente
• Visitatori di siti web o app che interagiscono con proprietà gestite dal Cliente
• Destinatari di comunicazioni o campagne avviate dal Cliente
• Individui i cui dati vengono caricati o resi disponibili dal o per conto del Cliente

Nota: Il Cliente determina quali categorie di Interessati sono rilevanti in base al proprio uso dei Servizi. Mapp non determina tali categorie.

Allegato 2: SUB-RESPONSABILI

Società affiliate di Mapp situate nel SEE o nel Regno Unito

Sub-responsabili del trattamento necessari per l’erogazione dei Servizi ordinati

In conformità ai relativi Moduli d’Ordine applicabili.

L’elenco aggiornato dei sub-responsabili del trattamento utilizzati è disponibile online in qualsiasi momento su mapp.com/trust.

ALLEGATO 3: MISURE TECNICHE E ORGANIZZATIVE

1. Controllo degli accessi fisici

Mapp attua una serie di misure per impedire che persone non autorizzate ottengano accesso ai sistemi di trattamento dei dati utilizzati per trattare o gestire dati personali. Tali misure si applicano sia ai data center di Mapp, che ospitano l’applicazione Mapp Marketing Cloud e la relativa infrastruttura, sia agli spazi ufficio. In linea di principio, negli spazi ufficio non avviene alcun trattamento locale dei dati; le attività di manutenzione e supporto sono svolte tramite accesso remoto:

A. Misure negli spazi ufficio

• Sicurezza degli uffici: Mapp utilizza spazi ufficio situati in edifici per uffici multi-tenant conformi agli standard di settore, con più parti. Questi uffici sono protetti da sistemi elettronici di controllo degli accessi a tutti gli ingressi. Gli uffici sono generalmente chiusi e accessibili solo a personale autorizzato in possesso di una tessera/chip o di un transponder.
• Processo di rilascio: Il rilascio e la gestione di tessere/chip o transponder per i dipendenti Mapp e i fornitori di servizi rilevanti (ad es. personale di pulizia) sono disciplinati da un processo definito. Questo processo garantisce la corretta concessione e revoca delle autorizzazioni di accesso all’inizio, in caso di modifica o alla cessazione del rapporto di lavoro o di un rapporto di fornitura.
• Gestione delle chiavi: Le chiavi tradizionali vengono rilasciate esclusivamente a personale amministrativo sotto stretto controllo, per garantire l’accesso agli uffici in caso di guasto del sistema di controllo degli accessi. Tutte le chiavi, tessere/chip e transponder rilasciati sono assegnati a persone specifiche, garantendo in ogni momento la tracciabilità delle responsabilità. Eventuali chiavi o dispositivi di accesso non assegnati sono conservati in modo sicuro.
• Politica visitatori: I visitatori esterni possono accedere agli uffici solo previa registrazione. Sono esclusi spazi riunione dedicati e separati. I visitatori devono essere accompagnati per tutta la durata della visita da un dipendente o dal personale di reception e devono indossare un badge visitatore chiaramente visibile.
• Videosorveglianza: Le aree di ingresso degli uffici Mapp sono monitorate mediante sistemi di videosorveglianza. Tali misure sono attuate nel rispetto dei requisiti in materia di protezione dei dati, con finalità di deterrenza e per consentire l’accertamento di accessi non autorizzati.
• Lavoro mobile: Sono state definite specifiche policy per garantire la sicurezza fisica di dati e sistemi quando i dipendenti lavorano fuori dall’ufficio. I dipendenti ricevono regolarmente formazione per rispettare tali policy e mantenere gli standard di sicurezza.

B. Misure nei data center

• Hosting sicuro: Tutti i sistemi server che ospitano la Mapp Marketing Cloud e trattano dati dei clienti sono gestiti in data center appositamente protetti. Tali data center sono certificati secondo standard di sicurezza internazionali, almeno ISO 27001. A seconda del servizio, Mapp utilizza colocations di data center all’interno dell’Unione Europea, dove operiamo hardware di proprietà, oppure infrastrutture di data center cloud gestite dall’operatore.
• Salvaguardie: Le misure di sicurezza includono salvaguardie strutturali, tecniche e organizzative secondo ISO 27001 Allegato A o ISO 27002, ad es. l’implementazione di zone di sicurezza, sistemi di chiusura sicuri, gestione delle chiavi tracciabile, rigorosi controlli degli accessi e logging, autenticazione forte, regole chiare per la gestione dei visitatori e monitoraggio degli accessi (sistemi di allarme e videosorveglianza).
• Obblighi dei fornitori: Tutti gli accordi con gli operatori dei data center definiscono requisiti minimi di sicurezza e Mapp garantisce inoltre la conformità a standard quali ISO 27017 e ISO 27018 per i fornitori di infrastrutture di data center cloud.

2. Controllo degli accessi ai sistemi

Mapp adotta controlli di accesso rigorosi per proteggere i sistemi IT da utilizzi non autorizzati:

• Autenticazione: L’accesso ai sistemi IT di Mapp è rigorosamente controllato. Gli utenti devono autenticarsi con successo e disporre di autorizzazioni di accesso esplicite, salvo per le risorse rese intenzionalmente accessibili al pubblico.
• Gestione degli account: Gli account utente sono gestiti secondo un processo ben definito. Tale processo disciplina la creazione, modifica e disattivazione degli account all’inizio, in caso di modifica o alla cessazione del ruolo di un dipendente. Il processo assicura inoltre che le autorizzazioni basate sui ruoli siano applicate in modo coerente e aggiornate regolarmente. La gestione è centralizzata per quanto possibile. Gli account inattivi per periodi prolungati vengono automaticamente bloccati.
• Responsabilità: Ogni account utente è assegnato in modo univoco a un individuo per garantire la responsabilità. Non sono ammessi account condivisi o impersonali.
• Sicurezza delle password: Mapp applica policy password rigorose per aumentare la sicurezza. Gli utenti devono creare password con una lunghezza minima di 8 caratteri, con combinazioni complesse. Le password degli account amministrativi e di servizio devono rispettare requisiti ancora più elevati, con una lunghezza minima di 14 caratteri. Le password devono essere diverse dalle ultime otto password utilizzate. Le password vengono reimpostate dagli utenti al primo accesso o a seguito di un reset manuale da parte degli amministratori. La condivisione delle password è vietata e i dipendenti sono formati regolarmente su pratiche sicure. In caso di incidente di sicurezza, le password interessate vengono immediatamente bloccate e devono essere reimpostate dagli utenti.
• Scadenza password: I clienti possono definire la frequenza delle modifiche forzate della password per i propri account. Internamente, Mapp non impone cambi periodici della password, in linea con lo stato dell’arte.
• Protezione contro brute force: L’accesso viene temporaneamente bloccato dopo un massimo di cinque tentativi di accesso non riusciti entro un intervallo di tempo definito. La possibilità di effettuare un login interattivo all’applicazione Mapp Marketing Cloud tramite API è tecnicamente impedita.
• Gestione delle preferenze: I destinatari di e-mail tramite l’applicazione Mapp Marketing Cloud possono revocare le iscrizioni o aggiornare le proprie preferenze tramite un processo sicuro. L’autenticazione avviene tipicamente tramite un token temporaneo inviato via e-mail.
• Accesso remoto: L’accesso remoto alla rete interna di Mapp è rigorosamente limitato ai dispositivi aziendali e richiede sia una connessione VPN cifrata sia l’autenticazione a più fattori (MFA). L’accesso ad applicazioni aziendali critiche e ai sistemi di comunicazione richiede anch’esso MFA.
• Interfacce di supporto sicure: I dipendenti Mapp che forniscono servizi di supporto possono accedere ai sistemi del cliente solo utilizzando dispositivi connessi alla rete interna o dispositivi protetti da MFA.
• Accesso ai sistemi del cliente: I clienti sono responsabili della gestione dei propri account e della protezione delle credenziali di accesso. La Mapp Marketing Cloud offre un modello personalizzabile di ruoli e permessi che consente ai clienti di adattare i diritti di accesso alle proprie esigenze. Opzioni aggiuntive includono Single Sign-On (SSO), l’implementazione della MFA e la limitazione dell’accesso a indirizzi IP predefiniti.
• Least privilege: I diritti di accesso privilegiati sono concessi secondo il principio del minimo privilegio. Tali diritti sono regolarmente revisionati e strettamente controllati. I log delle attività degli account privilegiati sono monitorati e riesaminati automaticamente o manualmente. L’uso di account super-user, come “root” in Linux, è fortemente limitato.
• Segmentazione di rete: Le reti di produzione di Mapp sono segmentate per separare i sistemi sensibili da ambienti meno critici. Le reti di sviluppo, test e ufficio sono isolate dai sistemi di produzione. Le zone demilitarizzate (DMZ) assicurano che i dati del cliente non siano memorizzati su server direttamente accessibili da internet.
• Mitigazione delle minacce di rete: I firewall filtrano tutto il traffico in ingresso e in uscita dalla rete di Mapp. I servizi non necessari sono bloccati per ridurre i rischi. Nei punti di ingresso chiave sono impiegati sistemi di rilevamento e prevenzione delle intrusioni per individuare e mitigare le minacce. Le configurazioni dei firewall sono soggette a rigorosa gestione delle modifiche e vengono revisionate regolarmente.
• Logging: Mapp registra e valuta centralmente eventi rilevanti per la sicurezza, quali attività degli utenti, errori di sistema e anomalie di rete, per individuare e rispondere a comportamenti sospetti. I log sono protetti da accessi non autorizzati, manomissioni o cancellazioni e sono conservati per un periodo definito. Orologi di sistema sincronizzati garantiscono log coerenti e analizzabili.
• Sviluppo sicuro: Mapp segue un ciclo di sviluppo sicuro basato sulle linee guida OWASP, integrando la sicurezza in ogni fase dello sviluppo software, dalla progettazione alla manutenzione. Gli sviluppatori ricevono formazione regolare e il codice è sottoposto a controlli di sicurezza automatizzati e manuali.
• Gestione delle vulnerabilità: Mapp esegue almeno scansioni mensili delle vulnerabilità e penetration test indipendenti annuali per identificare tempestivamente i rischi e porvi rimedio entro un arco di tempo adeguato, secondo i processi interni.
• Protezione antimalware: Tutti i sistemi Windows e macOS sono dotati di soluzioni antimalware gestite centralmente e aggiornate regolarmente.
• Hardening dell’infrastruttura: L’infrastruttura di Mapp è sottoposta a hardening tenendo conto di benchmark di settore, come i CIS Configuration Standards, per ridurre la superficie di attacco.
• Patch management: Le patch di sicurezza per sistemi operativi e software sono installate tempestivamente, utilizzando processi automatizzati ove possibile, sulla base di una valutazione del rischio.
• Sicurezza delle postazioni: I dipendenti devono bloccare i sistemi quando si allontanano dalle postazioni. I blocchi automatici per inattività supportano la conformità e il personale viene regolarmente richiamato a questa policy.
• Scadenza della sessione: Le sessioni nell’applicazione Mapp Marketing Cloud scadono automaticamente dopo 30 minuti di inattività, richiedendo una nuova autenticazione.

3. Controllo degli accessi ai dati

Mapp assicura che l’accesso ai dati del cliente sia rigorosamente controllato e limitato a persone autorizzate:

• Autorizzazione: I permessi di accesso ai dati per i dipendenti sono concessi e revocati sulla base di un processo di autorizzazione documentato. L’accesso è assegnato in base a profili di ruolo definiti o previa approvazione dei responsabili secondo il principio del “need-to-know”. Le restrizioni geografiche previste nei contratti con i clienti sono considerate nell’assegnazione dei permessi.
• Permessi: I dipendenti possono accedere ai dati del cliente solo se necessario per l’erogazione del servizio e solo dopo la verifica di sistema dei permessi dell’account. Eseguiamo revisioni regolari dei permessi di accesso dei dipendenti per garantire che rimangano appropriati.
• Gestione degli accessi da parte del cliente: I clienti sono responsabili della gestione dei permessi di account all’interno delle proprie organizzazioni. La Mapp Marketing Cloud offre un modello flessibile di ruoli e permessi che consente ai clienti di personalizzare i livelli di accesso in base alle esigenze operative specifiche.
• Log di responsabilità: Tutte le modifiche ai permessi di accesso, inclusa la concessione o la modifica dei diritti, sono registrate a fini di responsabilità. Tali log sono revisionati periodicamente e conservati in modo sicuro per un periodo definito, per prevenire accessi non autorizzati, manomissioni o cancellazioni.
• Nessun trattamento fisico dei dati: I dati del cliente sono trattati esclusivamente in forma elettronica, senza creare copie fisiche. I dipendenti sono formati regolarmente su questa policy per garantirne il rispetto.
• Cancellazione irreversibile: I dati del cliente non più necessari, ad esempio alla cessazione di un contratto o a seguito di una richiesta di cancellazione, vengono cancellati in modo irreversibile dai sistemi di archiviazione. I supporti di memorizzazione difettosi o obsoleti sono distrutti da fornitori certificati in conformità alla norma DIN 66399, classe di protezione 2.

4. Controllo della separazione

Mapp attua misure robuste per garantire che i dati raccolti per scopi diversi siano trattati separatamente:

• Separazione logica: Dati e funzionalità all’interno della Mapp Marketing Cloud sono separati logicamente per garantire che i dati di un cliente non possano essere accessibili o trattati insieme ai dati di un altro cliente. Questa separazione si applica sia a livello applicativo sia a livello di database.
• Isolamento degli ambienti: Gli ambienti di sviluppo, test e produzione sono rigorosamente separati per prevenire accessi non autorizzati o esposizioni accidentali dei dati. Agli sviluppatori è vietato accedere o apportare modifiche direttamente all’ambiente di produzione, garantendo stabilità operativa e sicurezza.
• Dati di test: I dati del cliente non devono essere utilizzati per finalità di test, salvo istruzione esplicita del cliente a tal fine.
• Isolamento dei modelli di IA: Nell’impiego di tecnologie di IA per analisi e previsioni, Mapp utilizza modelli dedicati e specifici per cliente, addestrati esclusivamente sui dati personali forniti da quel cliente. Ciò garantisce che i dati del cliente restino logicamente isolati e protetti. Mapp vieta rigorosamente l’uso dei dati personali dei clienti per addestrare, fare fine-tuning o migliorare modelli di IA pubblici o condivisi.
• Policy sui dispositivi: Ai dipendenti è vietato utilizzare dispositivi privati per scopi aziendali, incluso l’accesso ai dati del cliente. L’accesso remoto a reti e sistemi interni è limitato ai dispositivi aziendali, protetti e gestiti centralmente.
• Restrizioni per dispositivi mobili: I dispositivi mobili possono essere utilizzati per strumenti di comunicazione aziendale come e-mail e collaborazione, ma sono limitati nell’accesso ai dati del cliente o nello svolgimento di attività amministrative. Il trattamento dei dati del cliente su dispositivi mobili è esplicitamente vietato. I dispositivi mobili sono gestiti centralmente e l’accesso alla rete è limitato per ridurre i rischi di sicurezza.

5. Pseudonimizzazione e cifratura

Mapp garantisce una solida protezione dei dati mediante tecniche di cifratura e pseudonimizzazione:

• Cifratura dei laptop: Tutti i laptop dei dipendenti sono cifrati con algoritmi di cifratura allo stato dell’arte, come AES-256, per proteggere i dati memorizzati sui dispositivi.
• Dati a riposo: I dati del cliente archiviati nella Mapp Marketing Cloud sono cifrati con standard avanzati (ad es. AES-256), ad eccezione dei dati efficacemente pseudonimizzati o anonimizzati per finalità di analisi. Chiavi di cifratura specifiche del cliente o gestite dal cliente non sono praticabili a causa dell’infrastruttura condivisa.
• Backup cifrati: Le copie di backup dei dati del cliente sono cifrate per garantire la sicurezza delle informazioni archiviate. Ciò include tutti i backup, salvo quelli contenenti esclusivamente dati pseudonimizzati o anonimizzati.
• Cifratura di rete: L’accesso amministrativo ai server e l’accesso remoto alla rete sono protetti mediante connessioni cifrate, come SSH con RSA (lunghezza minima della chiave 2048 bit).
• Scambio sicuro: Mapp offre opzioni di scambio dati cifrate, come SFTP (Secure File Transfer Protocol). Le configurazioni dei server SFTP sono regolarmente revisionate e aggiornate in linea con le best practice di settore.
• Sicurezza TLS: L’accesso alle interfacce web e alle API della Mapp Marketing Cloud è protetto almeno con TLS 1.2. Mapp utilizza esclusivamente certificati SSL rilasciati da autorità di certificazione affidabili. Le configurazioni dei web server sono regolarmente revisionate e aggiornate per mantenere la compatibilità e aderire agli standard di cifratura moderni.
• Hash delle password: Le password degli utenti sono memorizzate in modo sicuro come hash crittografici (ad es. bcrypt) con salt, e non sono mai memorizzate in chiaro.
• Standard crittografici sicuri: Mapp assicura che algoritmi crittografici con vulnerabilità note non siano utilizzati in alcun sistema o processo.
• Pseudonimizzazione: La Mapp Marketing Cloud offre opzioni di configurazione per il trattamento di dati pseudonimizzati o anonimizzati. I clienti possono personalizzare le implementazioni in base ai casi d’uso, per soddisfare requisiti di privacy e compliance.

6. Controllo dell’immissione

Mapp mantiene log e controlli dettagliati per garantire la responsabilità nell’accesso e nella modifica dei dati:

• Integrità del logging: Tutte le azioni relative ad accesso, inserimento, modifica e cancellazione dei dati sono registrate in modo dettagliato. Tali log sono conservati per un periodo definito e sono protetti da accessi non autorizzati, manomissioni o cancellazioni.
• Collegamento all’account: Le attività nel sistema sono collegate in modo univoco a specifici account utente autenticati. Gli account condivisi o impersonali sono rigorosamente vietati per garantire tracciabilità e responsabilità.
• Double opt-in: Per verificare le informazioni di contatto e-mail inserite tramite moduli di registrazione accessibili pubblicamente, la Mapp Marketing Cloud offre un meccanismo di double opt-in (DOI). Dopo l’inserimento di un indirizzo e-mail, il sistema invia un link di conferma all’indirizzo, assicurando che il titolare abbia prestato consenso alla registrazione. I log di conferma DOI sono conservati per tutto il ciclo di vita del contatto.
• Immissione autorizzata: Solo persone autorizzate possono inserire dati e tali attività sono rigorosamente controllate e monitorate nel sistema per prevenire modifiche non autorizzate.

7. Controllo dei trasferimenti

Mapp garantisce trasferimenti sicuri dei dati e monitora la conformità alle policy di trasferimento:

• Canali cifrati: Tutte le trasmissioni di dati, inclusi i dati del cliente, avvengono tramite canali cifrati. Per proteggere i dati durante il trasferimento sono utilizzati protocolli sicuri come SSH e TLS 1.2 o superiore.
• Infrastruttura di invio: L’infrastruttura di invio della Mapp Marketing Cloud supporta gli standard SPF, DKIM, DMARC e, opzionalmente, BIMI per proteggere le e-mail in uscita e prevenire l’uso improprio del dominio.
• Tracciabilità: Sono mantenuti log di tutti i trasferimenti di dati e delle comunicazioni per garantire piena tracciabilità. Questi log sono conservati in modo sicuro, protetti da accessi non autorizzati, manomissioni o cancellazioni e mantenuti per un periodo definito.
• Fornitori: I dati vengono trasferiti a fornitori di servizi esterni solo quando autorizzato dai contratti con il cliente e necessario per l’erogazione del servizio. I contratti con i fornitori includono clausole di protezione dei dati allineate agli accordi con i clienti, garantendo lo stesso livello di sicurezza e compliance.
• Trasferimenti internazionali: I dati personali sono trasferiti solo a organizzazioni in paesi al di fuori dell’UE/SEE che rispettano gli standard UE di protezione dei dati o implementano salvaguardie equivalenti (ad es. clausole contrattuali standard). Tali trasferimenti avvengono solo con l’autorizzazione del cliente.
• Ubicazione dell’infrastruttura: Mapp assicura che la propria infrastruttura cloud sia ubicata in data center all’interno dell’UE o del SEE, salvo richiesta esplicita diversa da parte del cliente. Eventuali eccezioni, come la raccolta dati opzionale al di fuori dell’UE per specifici casi d’uso, sono sempre concordate in anticipo con il cliente.
• Restrizioni di gestione: Ai dipendenti è vietato archiviare dati del cliente su dispositivi portatili, inviarli via e-mail o utilizzare piattaforme di file-sharing non autorizzate. Le porte USB sono limitate tecnicamente e i dipendenti sono regolarmente formati sulle policy di gestione sicura dei dati.

8. Controllo della disponibilità e resilienza

Mapp assicura la continuità operativa e protegge dalla perdita di dati con misure robuste di disponibilità:

• Ridondanza dei dati: I dati del cliente sono replicati in modo continuo e sottoposti a backup giornaliero in sedi geograficamente ridondanti. La ripristinabilità dei backup è testata regolarmente per garantirne l’affidabilità.
• Ridondanza dei sistemi: I componenti critici dell’infrastruttura, come web server, firewall e switch di rete, sono progettati con ridondanza per mantenere la funzionalità durante carichi elevati o guasti di singoli componenti.
• Gestione della capacità: Le connessioni di rete, le risorse di calcolo e i sistemi di storage sono revisionati regolarmente per assicurare capacità adeguata per le esigenze attuali e future. Il monitoraggio automatizzato e manuale consente risposte proattive a fluttuazioni e anomalie.
• Manutenzione: Tutti i sistemi sono sottoposti a manutenzione e aggiornamenti regolari per garantire stabilità, sicurezza e performance. Sono applicati processi di change management per ridurre i rischi durante gli aggiornamenti.
• Difesa DoS: I sistemi sono dotati di misure per rilevare e difendere dalla maggior parte delle forme di attacchi Denial of Service (DoS). Quando le misure automatizzate non sono sufficienti, sono previsti protocolli di risposta manuali.
• Disaster recovery: Mapp dispone di piani completi di disaster recovery per ripristinare i servizi in caso di gravi interruzioni, come outage di data center o attacchi ransomware. Tali piani sono testati annualmente tramite simulazioni ed esercitazioni per garantirne l’efficacia.
• Salvaguardie fisiche: I data center esterni di Mapp sono dotati di misure strutturali e tecniche per mitigare rischi ambientali quali incendio, acqua e interruzioni di corrente. Queste misure includono sistemi antincendio, inclusi rilevamento fumo e spegnimento automatico, controllo climatico per mantenere condizioni ottimali nelle sale server, gruppi di continuità (UPS) e generatori diesel di backup con riserve di carburante per almeno 24 ore. Tutte le misure di protezione sono testate regolarmente per verificarne la funzionalità.

9. Controllo delle istruzioni

Mapp assicura che i dati del cliente siano trattati rigorosamente secondo le istruzioni del cliente:

• Finalità contrattuale: Mapp tratta i dati del cliente sulla base di accordi contrattuali espliciti che definiscono tipo, ambito e finalità del trattamento. Tali accordi delineano chiaramente l’autorità del cliente di impartire istruzioni e limitano il trattamento alle finalità concordate.
• Documentazione: Le istruzioni manuali dei clienti, come richieste di supporto o ordini di trattamento speciali, sono documentate sistematicamente per garantire tracciabilità e compliance.
• Applicazione delle policy: Mapp ha stabilito policy complete che disciplinano la gestione sicura e conforme dei dati del cliente. I dipendenti sono regolarmente formati e sensibilizzati per comprendere e applicare tali policy.
• Supervisione dei sub-responsabili: Quando si avvale di fornitori esterni per attività di trattamento, Mapp assicura la compliance stipulando accordi di trattamento dei dati con tali fornitori. Questi accordi richiedono ai sub-responsabili di rispettare gli stessi requisiti rigorosi definiti nei contratti con i clienti. Mapp conduce valutazioni e revisioni regolari della compliance dei sub-responsabili per garantire il rispetto degli obblighi contrattuali e normativi.

10. Gestione della protezione dei dati

Mapp integra la protezione dei dati nei propri processi organizzativi tramite un efficace sistema di gestione:

• Sistema di gestione: Mapp opera un sistema completo di gestione per la sicurezza delle informazioni, la continuità operativa e la protezione dei dati, allineato a standard internazionali, inclusi ISO 27001, ISO 27017, ISO 27018, ISO 22301 e ISO 27701. Tali sistemi sono integrati nei flussi di lavoro aziendali per garantire un’aderenza coerente.
• Quadro delle policy: Una policy di alto livello per la sicurezza delle informazioni e la protezione dei dati, approvata dal senior management, costituisce la base. È completata da policy più dettagliate, vincolanti per i dipendenti e revisionate annualmente per verificarne pertinenza ed efficacia.
• Formazione e sensibilizzazione: I dipendenti seguono formazione obbligatoria su sicurezza delle informazioni e protezione dei dati durante l’onboarding e poi annualmente. Inoltre, Mapp fornisce aggiornamenti regolari e iniziative di awareness per affrontare minacce in evoluzione, cambiamenti delle policy e best practice.
• Ruoli e responsabilità: Mapp ha definito ruoli chiari per sicurezza delle informazioni e protezione dei dati, coperti da personale qualificato, incluso un Data Protection Officer nominato. Un team dedicato supervisiona implementazione, operatività e miglioramento continuo del sistema di gestione ed è coinvolto fin dall’inizio nei processi aziendali e IT critici, affinché requisiti di sicurezza e privacy siano integrati nelle fasi di progettazione e implementazione.
• Audit: Audit interni regolari e almeno audit esterni annuali assicurano l’efficacia del sistema di gestione. Componenti fondamentali del sistema di gestione di Mapp sono certificati secondo ISO 27001.
• Gestione degli incidenti: I dipendenti e i fornitori di servizi rilevanti sono tenuti a segnalare immediatamente sospetti o effettivi incidenti di sicurezza delle informazioni o violazioni dei dati. Un processo definito di segnalazione ed escalation assicura contenimento e risoluzione tempestivi. I processi di incident response includono responsabilità per valutazione, rimedio e segnalazioni a clienti, autorità di controllo e/o interessati, se necessario. Tutti gli incidenti sono oggetto di analisi post-mortem per migliorare i processi e prevenire recidive.
• Governance dei fornitori: Mapp assicura che i requisiti di sicurezza delle informazioni e protezione dei dati siano inclusi nei contratti con i fornitori. Un processo formale disciplina la valutazione regolare dei fornitori, nonché la gestione di modifiche o cessazioni dei rapporti con i fornitori.

Ulteriori informazioni sui nostri standard di sicurezza e sulle misure tecniche sono disponibili all’indirizzo: mapp.com/trust.