Politica di conservazione dei dati

La presente Politica di conservazione dei dati (la "Politica") delinea i principi e le pratiche in base ai quali Credenti "Credenti", "noi", "nostro" o "ci") raccoglie, conserva e smaltisce i dati personali e organizzativi. La Politica è stata concepita per garantire la conformità agli obblighi legali e normativi applicabili, agli impegni contrattuali e alle migliori pratiche del settore.

Definizioni

  • Dati: qualsiasi informazione, in formato digitale o fisico, raccolta, archiviata, elaborata o trasmessa dai Credenti .
  • Dipendente: qualsiasi persona impiegata da Credenti, inclusi appaltatori, personale temporaneo e altre persone che svolgono attività lavorative sotto la direzione Credenti.
  • Responsabile della protezione dei dati (DPO): la persona designata da Credenti supervisionare la strategia di protezione dei dati, la conformità e i rapporti con le autorità di regolamentazione in conformità con le leggi applicabili.
  • GDPR: Regolamento generale sulla protezione dei dati (UE) 2016/679, una legge completa sulla privacy che disciplina la protezione dei dati e la privacy nell'Unione Europea.
  • Interessato: una persona fisica identificata o identificabile i cui dati personali sono trattati da Credenti per suo conto.
  • Dati personali: qualsiasi informazione relativa a una persona fisica identificata o identificabile, inclusi nomi, numeri di identificazione, dati sulla posizione, identificatori online o altri attributi.
  • Trattamento: qualsiasi operazione o insieme di operazioni compiute con o senza l'ausilio di processi automatizzati e applicate ai dati personali, quali la raccolta, la registrazione, l'organizzazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione, la diffusione o la distruzione.
  • Responsabile del trattamento: una persona fisica o giuridica, un'autorità pubblica, un'agenzia o altro organismo che tratta dati personali per conto del titolare del trattamento.
  • Categorie speciali di dati personali / Dati personali sensibili: dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, i dati genetici, i dati biometrici utilizzati ai fini dell'identificazione, i dati relativi alla salute o i dati relativi alla vita sessuale o all'orientamento sessuale di una persona fisica.
  • SIEM (Security Information and Event Management): piattaforma tecnologica o soluzione che fornisce analisi in tempo reale degli avvisi di sicurezza e dei registri generati da applicazioni, hardware di rete e sistemi. Gli strumenti SIEM sono comunemente utilizzati per raccogliere, normalizzare, archiviare e analizzare i dati a fini di monitoraggio della sicurezza e conformità normativa.

1. Scopo

La presente Politica di conservazione dei dati ("Politica") fornisce indicazioni relative alla corretta conservazione e alla tempestiva distruzione di tutte le informazioni, i dati e i documenti, indipendentemente dal formato, generati in relazione all'attività della Società.

Il proprietario del presente documento è il Responsabile della protezione dei dati di Credenti.

Le presenti linee guida sono riviste annualmente dal Responsabile della protezione dei dati e possono anche essere riviste e aggiornate continuamente, se ritenuto necessario dal Responsabile della protezione dei dati.

Lo scopo della presente Politica è definire i periodi e le procedure di conservazione dei dati trattati da Credenti relazione ai propri prodotti e servizi. La conservazione è limitata al periodo necessario per adempiere agli obblighi contrattuali, legali e operativi.

2. Ambito di applicazione

La presente Informativa si applica a tutti i dati raccolti, trattati o conservati da Credenti, inclusi, a titolo esemplificativo ma non esaustivo:

  • Registri di autenticazione del sistema ed eventi di accesso
  • Identità dell'utente e metadati del dispositivo
  • Politiche di accesso e file di configurazione
  • Documentazione relativa alle attività amministrative

3. Periodi di conservazione

Salvo diversamente specificato in un accordo vincolante, Credenti i dati in conformità con i seguenti programmi categorizzati. Tali programmi sono stati stabiliti per garantire la conformità agli obblighi legali e normativi pertinenti, tenendo conto dell'efficienza operativa e dei limiti delle prestazioni del sistema. In particolare, a causa dell'elevato volume e della natura transitoria di alcuni tipi di log, come quelli relativi alle attività degli utenti e quelli amministrativi, tali categorie vengono conservate per periodi di tempo più brevi. Si consiglia vivamente ai clienti di implementare procedure di esportazione e archiviazione tempestive sfruttando soluzioni esterne di gestione delle informazioni e degli eventi di sicurezza (SIEM) o sistemi comparabili per facilitare la conservazione a lungo termine, l'analisi e la conformità.

Questa politica si applica a tutti i modelli Credenti , inclusi cloud multi-tenant, cloud privato dedicato e ambienti on-premise.

  • Registri delle attività degli utenti: includono registrazioni delle sessioni degli utenti, dell'utilizzo delle applicazioni e degli eventi di accesso/disconnessione. Conservati per un periodo non superiore a 90 giorni. Si consiglia vivamente di trasferirli su sistemi SIEM esterni o sistemi di conservazione dei registri.
  • Registri amministrativi: comprendono le azioni eseguite all'interno delle console amministrative, quali provisioning degli utenti, aggiornamenti delle politiche e modifiche alla configurazione. Conservati per 90 giorni. I clienti devono implementare l'inoltro dei registri a sistemi esterni per un accesso prolungato.
  • Registri di autenticazione e accesso: riguardano le attività di accesso basate su credenziali, inclusi eventi di tocco badge, autenticazioni biometriche e utilizzo di passkey. Conservati per 90 giorni dalla data di raccolta.
  • Metadati utente: si riferiscono ai dati identificativi quali i dati del profilo utente, le associazioni dei dispositivi e gli stati di registrazione. Conservati per tutta la durata dell'account cliente o fino alla chiusura dell'account.
  • Dati di configurazione e criteri: comprendono impostazioni, modelli, regole di accesso e criteri di sessione. Conservati per tutta la durata dell'account del cliente o fino alla chiusura dell'account.

Su richiesta, è possibile apportare modifiche alle finestre di conservazione standard, a condizione che tali modifiche siano supportate dai requisiti legali o normativi applicabili e siano in linea con le capacità della piattaforma. Le richieste devono essere documentate e autorizzate tramite un accordo formale di elaborazione dei dati o di servizio.

4. Conservazione dei dati dei dipendenti

Credenti i dati relativi ai dipendenti solo nella misura necessaria per le operazioni aziendali, gli obblighi normativi o la governance interna. La conservazione e il trattamento di tali dati sono soggetti alle leggi sul lavoro e alle normative sulla protezione dei dati applicabili.

  • Registri delle attività amministrative: conservati per 24 mesi
  • Registrazioni degli accessi autenticati: conservate per 12 mesi dalla data dell'ultimo utilizzo
  • Metadati relativi all'occupazione: rimossi entro 90 giorni dalla cessazione del rapporto di lavoro, salvo diversamente previsto da obblighi di legge.

Tutti i dati dei dipendenti sono soggetti agli stessi controlli applicati ai dati dei clienti, inclusi crittografia, restrizioni di accesso e procedure di audit.

5. Procedure di minimizzazione e cancellazione dei dati

Credenti il principio di minimizzazione dei dati conservando solo i dati necessari per le finalità dichiarate. In conformità con la legge applicabile, incluso ma non limitato al GDPR, i Dati Personali non saranno conservati per un periodo superiore a quello necessario per le finalità per cui sono stati raccolti. Una volta raggiunte tali finalità, i Dati Personali saranno cancellati in modo sicuro, a meno che non sia richiesto o consentito dalla legge un periodo di conservazione più lungo.

I metodi di cancellazione e distruzione dei dati utilizzati da Credenti basano sulle funzionalità di cancellazione sicura fornite da Amazon Web Services (AWS), il nostro fornitore di infrastrutture. Questi includono, a titolo esemplificativo ma non esaustivo, la cancellazione delle chiavi di crittografia gestite da AWS (crypto-shredding), le politiche sul ciclo di vita dello storage e le procedure di sovrascrittura sicura o di disattivazione. Tutti i metodi sono progettati per essere conformi agli standard industriali riconosciuti e agli obblighi normativi.

Credenti che la cancellazione dei Dati personali tramite i meccanismi AWS sia conforme a uno dei seguenti metodi legali riconosciuti:

  • Anonimizzazione: comporta la rimozione o la trasformazione permanente di tutti gli elementi dei dati personali che potrebbero identificare una persona fisica. Una corretta anonimizzazione garantisce che i dati non possano in alcun modo essere ricondotti a un individuo, nemmeno dalla parte responsabile dell'anonimizzazione. In particolare, i dati crittografati o tokenizzati non sono considerati anonimizzati se esiste un modo per invertire il processo.
  • Distruzione: si riferisce alla cancellazione completa e irreversibile dei dati personali in modo tale che non possano essere ricostruiti o recuperati. Se del caso, la distruzione può essere ottenuta tramite la cancellazione crittografica (nota anche come crypto-shredding), che comporta l'eliminazione delle chiavi di crittografia utilizzate per proteggere i dati, rendendoli permanentemente inaccessibili. Questi processi di cancellazione vengono eseguiti utilizzando meccanismi supportati da AWS progettati per soddisfare gli standard legali e tecnici applicabili. Il livello di rigore tecnico applicato dipende dalla classificazione e dalla sensibilità dei dati in questione.

I metodi specifici con cui i dati personali vengono cancellati o distrutti nei sistemi Credentivengono implementati utilizzando le funzionalità di base messe a disposizione da Amazon Web Services (AWS). Il responsabile della protezione dei dati (DPO) Credentidefinisce gli standard interni e le politiche di governance che applicano questi meccanismi supportati da AWS in modo da soddisfare gli obblighi normativi, i parametri di sicurezza e gli impegni contrattuali pertinenti.

Qualora i Dati Personali siano trattati o conservati utilizzando un fornitore di servizi terzo (ad esempio, piattaforme Software-as-a-Service o Business Process Outsourcing), Credenti e documenterà il metodo con cui viene eseguita la cancellazione. In tali casi, il requisito della cancellazione sicura dei Dati Personali sarà esplicitamente incluso negli accordi contrattuali con il fornitore di servizi, garantendo che Credenti il suo responsabile del trattamento designato eseguano la cancellazione in modo lecito ed efficace.

6. Conformità normativa e legale

La presente Politica ha lo scopo di garantire la conformità alle leggi applicabili in materia di protezione dei dati e sicurezza delle informazioni, incluse, a titolo esemplificativo ma non esaustivo:

  • Regolamento generale sulla protezione dei dati (GDPR)
  • Privacy dei consumatori della California (CCPA)
  • Legge sulla portabilità e responsabilità dell'assicurazione sanitaria (HIPAA)
  • Programma federale di gestione dei rischi e delle autorizzazioni (FedRAMP)
  • Politica di sicurezza dei servizi di informazione sulla giustizia penale (CJIS)
  • Standard di sicurezza dei dati del settore delle carte di pagamento (PCI DSS)

7. Revisione e modifiche della politica

La presente Politica viene rivista almeno una volta all'anno o secondo quanto richiesto dalle modifiche apportate alle leggi, ai regolamenti o ai requisiti operativi. Qualsiasi modifica sostanziale alla presente Politica sarà comunicata alle parti interessate tramite canali ufficiali o pubblicata sul nostro Portale Trust.

Informazioni di contatto

Le domande relative alla presente Informativa devono essere inviate all'indirizzo credenti o per iscritto al seguente indirizzo: 5177 Richmond Ave, STE 1160, Houston, TX 77056. Si prega di notare che le comunicazioni via e-mail potrebbero non essere sicure. Di conseguenza, si raccomanda di non includere informazioni personali o altre informazioni sensibili nella corrispondenza e-mail inviata alla nostra azienda.