El 63 % de las personas analiza el historial de seguridad y privacidad de una empresa antes de usar sus productos o servicios.
Momentive fornisce i propri prodotti in tutto il mondo e si avvale di subincaricati globali per facilitare l'erogazione di tali prodotti e servizi. Nel contratto che stipuliamo con il cliente, ci impegniamo a garantire che ogni trasferimento di dati personali sia conforme alle leggi sulla protezione dei dati. Ci assicuriamo inoltre che, quando trasferiamo i dati personali, il destinatario li protegga con misure di sicurezza non meno onerose degli standard che applichiamo ai dati personali sotto il nostro controllo.
Per assistere il cliente nel determinare l'esistenza di un livello di protezione adeguato per i dati personali trasferiti a Momentive e ad altre parti successivamente, tenendo conto della sentenza del 16 luglio 2020 della Corte di giustizia dell'UE ("CGUE") nella causa C-311/18, Data Protection Commissioner v Facebook Ireland Limited and Maximilian Schrems ("Schrems II") e della guida del Comitato europeo per la protezione dei dati ("EDPB") sulle misure supplementari, forniamo di seguito alcune informazioni su come le informazioni del cliente vengono protette durante il trasferimento.
Per ulteriori informazioni generali sulle modalità di trattamento dei dati, consultare la nostra Informativa sulla privacy.
I contratti dei clienti statunitensi includeranno un addendum sulla protezione dei dati ("DPA") con l'entità statunitense di Momentive: Momentive Inc. Se si dispone di utenti nello Spazio economico europeo ("SEE") o nel Regno Unito ("UK") e si necessita di un meccanismo per il trasferimento dei dati degli utenti a Momentive, è possibile richiedere l'aggiunta di clausole contrattuali standard ("SCC") dell'UE e/o del Regno Unito.
I contratti dei clienti con sede nel SEE o nel Regno Unito includeranno un addendum sulla protezione dei dati ("DPA") con l'entità irlandese di Momentive: Mometive Europe UC. Poiché il trasferimento dal cliente a Momentive avviene tra entità europee per le quali non è necessario alcun meccanismo di trasferimento (o che hanno riconosciuto lo status di adeguatezza reciproca), non sono richiesti altri meccanismi di trasferimento.
Se il cliente risiede al di fuori degli Stati Uniti, del SEE o del Regno Unito, ma ha utenti nel SEE o nel Regno Unito e deve garantire un meccanismo di trasferimento per il trasferimento successivo, il suo contratto includerà un DPA con l'entità irlandese di Momentive, Momentive Europe UC, e potrà richiedere l'aggiunta di SCC dell'UE e/o del Regno Unito.
L'utente trasferisce i dati personali a Momentive affinché questi vengano elaborati per le seguenti finalità:
Occorre valutare se i dati vengono trasferiti per scopi diversi.
I dati personali del cliente trasferiti a Momentive possono contenere la quantità di dati personali che il cliente decide di fornire nelle domande di indagini, moduli e questionari. Trattandosi di una piattaforma, supponiamo che venga raccolta una grande varietà di dati personali, compresi potenziali dati di categoria speciale.
I dati raccolti sono specificati nella sezione 2 della nostra Informativa sulla privacy.
Come indicato in precedenza, il cliente stipulerà un contratto con un'entità Momentive negli Stati Uniti o in Irlanda, a seconda della sua ubicazione. Sulla base dei consigli di consulenti esterni specializzati nella protezione dei dati e dell'analisi delle leggi a cui Momentive è soggetta, riteniamo che il rischio associato al regime giuridico degli Stati Uniti sia basso e che il rischio associato al regime giuridico dell'Irlanda non comporti rischi materiali per il soggetto interessato. Fare riferimento alla sezione "Misure supplementari: organizzative" per ulteriori informazioni sulla legge statunitense.
Anche nei casi in cui il rischio materiale è basso o nullo a causa del regime giuridico del paese di destinazione, Momentive ha implementato misure supplementari per salvaguardare ulteriormente i dati personali. Le misure supplementari sono suddivise in tre categorie: (i) contrattuali; (ii) organizzative e (iii) tecniche.
Come descritto in precedenza, Momentive accetterà di stipulare SCC con i clienti. La sentenza Schrems II indica che le parti possono utilizzare le SCC e (se del caso) garanzie aggiuntive per il trasferimento di dati personali dal Regno Unito e dallo Spazio economico europeo ("Dati europei") agli Stati Uniti. Se il cliente ha stipulato un contratto con Momentive o sta altrimenti ricevendo servizi da Momentive che richiederanno a Momentive di trattare i dati personali di soggetti europei, Momentive (come appropriato a seconda dell'entità Momentive con cui si sta stipulando il contratto):
Per ulteriori informazioni sul contratto vincolato dalle Clausole contrattuali standard, consultare le Condizioni di utilizzo (per i clienti self-service), il Contratto sui servizi applicabile (per i clienti SurveyMonkey Enterprise o GetFeedback Digital), o altro contratto eventualmente negoziato con Momentive.
Le preoccupazioni della CGUE in merito ai trasferimenti di dati verso gli Stati Uniti si basavano sulla raccolta di dati da parte del governo statunitense ai sensi dell'Ordine Esecutivo 12333 ("EO 12333") e della Sezione 702 del Foreign Intelligence Surveillance Act ("FISA 702"), in particolare sulla sorveglianza "a monte" ai sensi del FISA 702. I rischi posti da queste disposizioni legali statunitensi non si applicano al trattamento dei dati personali da parte di Momentive o possono essere sufficientemente attenuati dalle garanzie organizzative offerte da Momentive.
Momentive non può ricevere ordini di sorveglianza "a monte" o di massa ai sensi del FISA 702. Momentive Inc. agisce, in parte, come servizio di comunicazione elettronica ("ECS") e potenzialmente anche come servizio di elaborazione remota ("RCS") (come definito rispettivamente nelle sezioni 2510 e 2711 del titolo 18 USC) in relazione a determinati servizi o funzionalità dei prodotti che forniamo ai clienti. Momentive Inc. fa quindi parte del nutrito gruppo di aziende a cui il governo degli Stati Uniti potrebbe rivolgere una direttiva mirata ai sensi del FISA 702. Tuttavia, in base all'interpretazione e all'applicazione del FISA 702 da parte del governo degli Stati Uniti, Momentive non è idonea a ricevere il tipo di ordine che è stato il principale motivo di preoccupazione per la CGUE nella sentenza Schrems II, ovvero un ordine del FISA 702 per la sorveglianza "a monte". Nell'applicazione del FISA 702, il governo degli Stati Uniti utilizza gli ordini a monte solo per gestire il traffico che passa attraverso i fornitori di backbone Internet che trasportano il traffico Internet per conto di terzi, ovvero i vettori di telecomunicazioni. Ad esempio, si veda il rapporto del Privacy and Civil Liberties Oversight Board, "Report on the Surveillance Program Operated Pursuant to Section 702 of the Foreign Intelligence Surveillance Act" (2 luglio 2014), pp. 35-40, disponibile all'indirizzo https://fas.org/irp/offdocs/pclob-702.pdf. Momentive non fornisce tali servizi di backbone Internet, in quanto trasporta solo il traffico dei propri clienti. Di conseguenza, non siamo idonei a ricevere il tipo di ordine principalmente trattato e ritenuto problematico dalla sentenza Schrems II .
Momentive non ha ricevuto alcuna direttiva ai sensi del FISA 702 ed è improbabile che ne riceva. Alla data della presente dichiarazione, Momentive non ha ricevuto alcuna direttiva ai sensi del FISA 702 e non ha motivo di credere che una tale direttiva sarà rivolta a Momentive. È altamente improbabile che i dati personali elaborati da Momentive per i propri clienti (dati di feedback) siano rilevanti per le attività di intelligence estere disciplinate dal FISA 702. Inoltre, nel caso in cui tali dati personali fossero rilevanti per un'indagine di questo tipo, è più probabile che il governo li cerchi attraverso altre forme di procedura legale (come un mandato di perquisizione approvato da un giudice) che soddisfino gli elevati standard per l'accesso del governo ai dati descritti nella sentenza Schrems II . Questo perché sarebbe molto più veloce e facile per il governo richiedere un ordine o un mandato in base a qualcosa di diverso dal FISA 702, piuttosto che mettere in atto i meccanismi necessari al governo per notificare le direttive a Momentive in base al FISA 702.
Momentive non assiste - e non le può essere ordinato di assistere - le autorità statunitensi nella raccolta di informazioni ai sensi dell'ordine esecutivo 12333. Momentive non fornisce e non fornirà alcuna assistenza alle autorità statunitensi che effettuano attività di sorveglianza ai sensi dell'EO 12333. L'EO 12333 non dà al governo degli Stati Uniti la possibilità di obbligare le aziende a fornire assistenza per queste attività e Momentive non lo farà volontariamente. Di conseguenza, Momentive non intraprende, né può ricevere ordine di intraprendere, alcuna azione per facilitare il tipo di sorveglianza di massa ai sensi dell'EO 12333 che la sentenza Schrems II ha ritenuto problematica.
Momentive fornisce una serie di misure tecniche che neutralizzano ulteriormente le carenze fondamentali citate nella sentenza Schrems II di cui sopra (sorveglianza di massa ai sensi del FISA 702 e intercettazioni di massa ai sensi dell'EO 12333).
Momentive esegue la crittografia di tutti i dati conservati a riposo presso i nostri data centre utilizzando la crittografia basata su AES 256. Inoltre, esegue la crittografia di tutti i dati in movimento utilizzando (i) RSA con certificati basati su chiavi da 2048 bit generati da un'autorità di certificazione pubblica, per comunicazioni con soggetti esterni ai nostri data centre, e (ii) certificati RSA 256 generati dall'autorità di certificazione interna, per tutti i dati all'interno del data centre. Queste operazioni di crittografia sono volte a prevenire l'acquisizione non autorizzata di dati in forma intelligibile e a prevenire intercettazioni/manomissioni non autorizzate quando i dati sono in transito tra due punti finali.
Alcuni clienti Momentive, ad esempio i clienti di GetFeedback Digital, hanno i loro dati archiviati solo nell'Unione Europea. In questi casi, i dati non vengono archiviati negli Stati Uniti e l'accesso a tali dati negli Stati Uniti è minimo e per scopi limitati, ad esempio per fornire assistenza su richiesta ai clienti, per garantire un servizio di supporto alla sicurezza ininterrotto e/o in caso di risorse tecniche limitate per risolvere problemi tecnici/bug o per costruire sistemi.
Momentive si attiene inoltre a rigorose procedure amministrative, tecniche e fisiche per proteggere le informazioni archiviate sui propri server. L'accesso alle informazioni personali è possibile tramite credenziali di accesso ed è limitato ai dipendenti che ne hanno bisogno per svolgere le proprie funzioni lavorative. Momentive implementa tecniche di minimizzazione dei dati per limitare la quantità di dati personali trasferiti dall'UE a giurisdizioni terze, includendo, ove opportuno, la pseudonimizzazione o la deidentificazione dei dati. Inoltre, Momentive utilizza controlli di accesso come l'autenticazione a più fattori, il Single Sign-On, l'accesso su base occasionale, il controllo delle password e l'accesso limitato agli account amministrativi.
Inoltre, in quanto servizio ECS/RCS, Momentive è soggetta all'Electronic Communications Privacy Act degli Stati Uniti, 18 USC. § 2701 e seguenti ("ECPA"), che fornisce protezione ai clienti di Momentive. Ad esempio, l'ECPA vieta agli enti governativi di richiedere informazioni sui clienti di servizi come Momentive, a meno che tali enti governativi non ottengano prima un procedimento legale appropriato, tra cui un ordine del tribunale o un mandato di perquisizione per informazioni diverse da quelle di base degli abbonati. Allo stesso modo, sia il FISA che l'ECPA offrono ai clienti di Momentive la possibilità di ricorrere contro il governo degli Stati Uniti (anche con la richiesta di indennizzi pecuniari o azioni disciplinari contro le autorità governative competenti) nel caso in cui questo ottenga impropriamente informazioni su di loro (cfr. 18 USC. § 2712).
Inoltre, il consulente legale esterno di Momentive ha una lunga esperienza nel rispondere alle richieste governative statunitensi circa i dati degli utenti, comprese le richieste di sicurezza nazionale degli Stati Uniti ai sensi del FISA 702. La politica di Momentive prevede l'inoltro di tali richieste al team di conformità interno di Momentive e, se necessario, a un consulente legale esterno per la revisione. Se del caso, Momentive intende utilizzare i meccanismi legali disponibili per contestare le richieste di accesso ai dati utilizzando il FISA 702 (comprese le disposizioni di non divulgazione o gli ordini ad esso collegati) nell'improbabile caso in cui Momentive riceva una tale richiesta. La richiesta verrebbe poi esaminata da un tribunale statunitense ("Corte FISA").
Momentive riconosce inoltre che un ordine di fornire l'accesso ai dati ai sensi del FISA 702 richiederebbe a Momentive di notificare ai nostri clienti che non siamo più in grado di rispettare le Clausole contrattuali standard, consentendo loro di rescindere il loro accordo con noi e di sospendere i flussi di dati verso di noi. Non abbiamo mai avuto bisogno di produrre un tale avviso.
Tenendo conto dell'analisi di cui sopra, riteniamo che il rischio di danno per l'interessato non sia materiale.
La tabella seguente riassume le conclusioni della nostra valutazione dell'impatto del trasferimento.
Rischio "non materiale" significa che i dati personali vengono trasferiti in una giurisdizione che è stata considerata adeguata dalla Commissione europea (e quindi le protezioni legali sono equivalenti alle protezioni legali in Europa) e che sono state messe in atto misure contrattuali, tecniche e organizzative per proteggere ulteriormente i dati.
Rischio "basso" significa che i dati personali sono trasferiti a una giurisdizione in base a un meccanismo indicato nel Capitolo V del GDPR diverso dall'adeguatezza. Anche se le tutele legali non sono necessariamente equivalenti a quelle europee, il trasferimento è comunque conforme alla legge ed è rafforzato da misure contrattuali, tecniche e organizzative per proteggere ulteriormente i dati.
Mittente | Destinatario | Destinazione del trasferimento | Meccanismo di trasferimento | Rischio |
Cliente statunitense con utenti nell'UE o nel Regno Unito | Momentive Inc. | Stati Uniti | SCC + misure supplementari | Basso |
Cliente SEE o UK | Momentive Europe UC | Irlanda | Adeguatezza + misure supplementari | Non materiale |
Cliente non statunitense/SEE/Regno Unito con utenti nell'UE o nel Regno Unito | Momentive Europe UC | Irlanda | SCC + misure supplementari | Non materiale |
I subincaricati sono fornitori di Momentive che elaborano i dati personali degli utenti per aiutare Momentive a fornire il servizio al cliente. Tutti i subincaricati di Momentive sono tenuti per contratto a proteggere i dati personali con misure di sicurezza non meno onerose degli standard che applichiamo ai dati personali sotto il nostro controllo.
Quando Momentive trasferisce i dati personali ai subincaricati, conduce una valutazione dell'impatto del trasferimento ("TIA") simile alle fasi sopra descritte. Questo per garantire che i dati personali siano protetti in ogni fase, come richiesto dalla legge sulla protezione dei dati e dal contratto stipulato con il cliente. Di seguito riportiamo una sintesi dei punti salienti del TIA per ciascun subincaricato.
Si tenga presente che non tutti i subincaricati sono utilizzati nella fornitura di tutti i nostri servizi. Il nostro elenco di subincaricati è segmentato in base ai servizi specifici di Momentive.
Se si desidera ricevere notifiche via e-mail relative agli aggiornamenti del nostro elenco di subincaricati, iscriversi qui.
Subincaricati | Scopo | Dati personali | Luogo e valutazione del rischio del regime giuridico | Meccanismo di trasferimento | Misure supplementari contrattuali, organizzative e tecniche |
Amazon Web Services ("AWS") | Servizi di memorizzazione dati per l'archiviazione delle risorse e l'hosting di database; servizi di rete di distribuzione dei contenuti ("CDN"); archiviazione utilizzata a supporto delle funzioni di analisi dei dati (OpenSearch). | Dati personali Nomi delle persone (nome e/o cognome) Qualsiasi identificatore univoco che possa essere utilizzato per collegare una determinata persona nel mondo reale Numero di targa del veicolo Data di nascita Indirizzo e-mail Numero di telefono Indirizzo fisico (es. Via Fittizia 123) Codice postale (CAP) Numero civico dell'abitazione (es. Riga indirizzo 2) Indirizzo IP Codici IMSI/IMEI Indirizzo MAC Dettagli assicurazione Famigliari e persone a carico Le risposte alle indagini o le informazioni inserite nei moduli potrebbero contenere dati personali sensibili, pertanto AWS potrebbe archiviare quanto segue: ID governativo/nazionale (es. SSN, SIN), numero della patente di guida, numero di passaporto Nome utente e password, credenziali di autenticazione Informazioni finanziarie e di pagamento (accesso al conto, numero di conto corrente, carta di debito o carta di credito insieme ad eventuale codice di sicurezza o di accesso richiesto, password o credenziali che consentano l'accesso a un conto) Geolocalizzazione Razza/etnia Affiliazione religiosa/politica/sindacale Vita sessuale o orientamento sessuale Dati sanitari (compresi farmaci prescritti, procedure ed esami medici, diagnosi, medici e area di esercizio professionale, numero di tessera sanitaria e così via) Dati biometrici (ad es. impronte digitali, registrazioni vocali, foto) Dati genetici Stipendio/reddito (o relative fasce) Risposte alle indagini dei clienti (risposte ricevute da un cliente all'indagine creata per gli account Momentive) Punteggio/record di credito Comunicazioni - il contenuto delle comunicazioni private di un consumatore, a meno che l'azienda non sia il destinatario della comunicazione Fedina penale Quasi-identificatori: Potrebbero essere inclusi dati che non sono personali se non collegati ad altri dati, ad esempio identificatori web, informazioni sul dispositivo, dati del browser e altri metadati che in alcuni casi possono essere collegati ad altre categorie di dati sopra elencate. | USA - livello basso Canada - non sostanziale Irlanda - non sostanziale | CSS | Vedere gli impegni AWS per il controllo, la privacy e la sicurezza dei dati. In particolare, Momentive utilizza l'ultima generazione di EC2 che acquisisce automaticamente la protezione del sistema AWS Nitro. Grazie all'utilizzo di hardware, firmware e software appositamente creati, AWS Nitro offre una sicurezza e un isolamento unici e leader di settore, spostando la virtualizzazione delle risorse di archiviazione, sicurezza e rete su hardware e software dedicati. Questo permette di aumentare la sicurezza in quanto riduce al minimo la superficie di attacco e vieta l'accesso alle funzioni amministrative, migliorando al contempo le prestazioni. Tutti i dati in transito tra le strutture dei nostri data centre sicuri, le zone di disponibilità e le regioni vengono crittografati automaticamente a livello hardware. Momentive utilizza anche AWS Key Management Services per controllare e gestire le proprie chiavi all'interno di moduli di sicurezza hardware certificati FIPS-140-2. Indipendentemente dal fatto che i dati siano o meno crittografati, lavoreremo sempre con attenzione per proteggere i dati da qualsiasi accesso non autorizzato. Il nostro team di sicurezza ha effettuato una revisione completa di tutti i servizi dell'infrastruttura cloud AWS e le modifiche vengono costantemente controllate. Momentive esegue la crittografia di tutti i dati conservati a riposo presso i nostri data centre utilizzando la crittografia basata su AES 256. Inoltre, esegue la crittografia di tutti i dati in movimento utilizzando (i) RSA con certificati basati su chiavi da 2048 bit generati da un'autorità di certificazione pubblica, per comunicazioni con soggetti esterni ai nostri data centre, e (ii) certificati RSA 256 generati dall'autorità di certificazione interna, per tutti i dati all'interno del data centre. Queste operazioni di crittografia ostacolano l'acquisizione di dati in forma intelligibile. Inoltre, impediscono le intercettazioni tra i due punti finali durante la trasmissione o l'archiviazione dei dati. |
Microsoft (Sharepoint) | Archivio documenti interno | Dati del cliente in base ai requisiti per l'erogazione di servizi professionali (es. per la progettazione di indagini e l'analisi delle risposte) | USA - livello basso | SCC | Vedere il Microsoft Cloud Transfer Whitepaper e la documentazione sulla sicurezza. |
Affiliate Momentive (Momentive Inc., Momentive Australia Pty Limited) | Servizi di assistenza ai clienti e ai prodotti; sviluppo di prodotti, infrastrutture e servizi tecnologici. | Rispondente: informazioni di contatto, informazioni sull'uso, informazioni sul dispositivo, cookie e altre informazioni di tracciamento | Australia - livello basso USA - livello basso | SCC | Vedere la descrizione precedente e la nostra dichiarazione di sicurezza e il libro bianco sul GDPR. |
Affiliate Momentive (Momentive Canada Inc., Momentive UK Ltd.) | Servizi di assistenza ai clienti e ai prodotti; sviluppo di prodotti, infrastrutture e servizi tecnologici. | Rispondente: informazioni di contatto, informazioni sull'uso, informazioni sul dispositivo, cookie e altre informazioni di tracciamento | Canada - non sostanziale UK - non sostanziale | Adeguatezza | Vedere la descrizione precedente e la nostra dichiarazione di sicurezza e il libro bianco sul GDPR. |
Salesforce (inclusi Sales Cloud, Service Cloud, Community Cloud, Chatter, Salesforce Platform, Customer Data Platform, Marketing Cloud, Mulesoft e Tableau CRM) | Assistenza clienti | Nomi delle persone (nome e/o cognome), e-mail, numero di telefono, contenuto delle comunicazioni inviate durante la fornitura dei servizi di assistenza ai clienti | USA - livello basso | SCC | Vedere il Security Whitepaper di Salesforce, le certificazioni sulla sicurezza, le domande frequenti sul DPA e la documentazione Trust and Compliance. |
Snowflake | Archiviazione dei dati di utilizzo per l'analisi e lo sviluppo del prodotto. | Indirizzo IP, indirizzo e-mail (nome e cognome), quasi-identificatore, ID rispondente | USA - livello basso | SCC | I dati Momentive vengono conservati in formato crittografato a riposo su AWS S3. Snowflake utilizza la crittografia AES a 256 bit con un modello di chiave gerarchica. Snowflake implementa un sistema completo di monitoraggio e di registrazione. Snowflake ha ottenuto la certificazione ISO 27001 e SOC 2 e queste certificazioni sono state esaminate dal team di sicurezza di Momentive nell'ambito della nostra revisione dei rischi. Ai dipendenti viene fornita una panoramica della formazione sulla sicurezza e la privacy, che devono completare al momento dell'assunzione e successivamente con cadenza annuale. Inoltre, in base alle necessità, vengono organizzati altri corsi di formazione trimestrali su argomenti specifici relativi alla sicurezza e alla privacy, nonché corsi di formazione specifici per il personale il cui ruolo richiede procedure di sicurezza aggiuntive. L'accesso a qualsiasi ambiente di produzione si basa su regole di accesso con privilegi minimi e su controlli di accesso basati sui ruoli e il deprovisioning è gestito e monitorato in modo analogo. Per ulteriori informazioni, consultare la documentazione di Snowflake: Centro per la sicurezza e l'affidabilità dei dati. |
Sparkpost | Servizio di consegna e-mail. | Indirizzo e-mail, metadati (clic di apertura, indicatori di data/ora) | USA - livello basso | SCC | Vedere: Programma di sicurezza - SparkPost SparkPost conserva i Dati del cliente in formato crittografato a riposo e in transito utilizzando SSL, HTTPS e TLS opportunistico, a seconda dei casi. I Dati del cliente vengono crittografati quando sono in transito tra il cliente e i servizi SparkPost utilizzando HTTPS. I Dati del cliente vengono crittografati durante il transito tra SparkPost e il destinatario utilizzando il sistema TLS opportunistico. SparkPost effettua diversi audit di terze parti per attestare vari framework, tra cui SOC 2 di tipo II e regolari test di vulnerabilità e penetrazione delle applicazioni. SparkPost non archivia il corpo del messaggio di un'e-mail dopo che questa è stata consegnata al destinatario o è stata respinta dal provider della casella di posta elettronica, ovvero operazioni che avvengono a distanza di pochi secondi. In caso di rifiuto o di mancato recapito, SparkPost conserva il corpo del messaggio per un periodo di tempo limitato per consentire un nuovo tentativo di trasmissione dell'e-mail. Se la trasmissione continua a non riuscire, il corpo del messaggio viene cancellato in modo permanente. SparkPost archivia i dati personali dei destinatari in forma non elaborata solo per un periodo di tempo limitato dopo la trasmissione di un'e-mail a un destinatario. Al termine del periodo di conservazione iniziale, i dati personali vengono pseudonimizzati mediante un hash unidirezionale e conservati solo nella loro forma pseudonimizzata. Per ulteriori informazioni su questo processo, consultare le domande frequenti sui dati Sparkpost disponibili qui. |
Splunk | Software per la ricerca, il monitoraggio e l'analisi dei dati generati dalle macchine. | ID del rispondente, indirizzo e-mail del rispondente, nome e cognome, numero di telefono, informazioni sul browser, dati di risposta a testo aperto | USA - livello basso | SCC | Vedere la documentazione sulla sicurezza e i certificati di conformità di Splunk. |
Twilo | Consegna SMS. | Numero di telefono del rispondente, contenuto delle comunicazioni SMS | USA - livello basso | SCC | Vedere la certificazione di sicurezza, la dichiarazione di sicurezza e la panoramica sulla sicurezza di Twilio. |
Upwork | Potenziamento dell'attività del team di assistenza (collaboratori esterni). | Nomi delle persone (nome e/o cognome), e-mail, numero di telefono, contenuto delle comunicazioni inviate durante la fornitura dei servizi di assistenza ai clienti | Filippine - livello basso | SCC | Vedere la pagina sulla sicurezza di Upwork, oltre alle informazioni riportate di seguito. Momentive impiega il controllo remoto del desktop per gli agenti addetti all'assistenza a contratto. Tutto il personale che tratta dati personali è soggetto a obblighi di riservatezza. I controlli anti-malware e di rilevamento del software dannoso vengono effettuati per garantire che non vi sia alcun accesso non autorizzato ai dati. Tutti i dati vengono crittografati quando vengono trasferiti sulle reti pubbliche. Esistono inoltre procedure specifiche per il trattamento dei dati che garantiscono un controllo rigoroso dell'accesso in base al principio del "need to know", nonché politiche che assicurano la cancellazione dei dati dopo l'uso. Ulteriori controlli di accesso prevedono anche l'identificazione specifica dell'utente del terminale sui sistemi pertinenti, oltre alla richiesta di codici di identificazione e a standard di complessità delle password per chiunque debba accedere ai dati. Le principali procedure di controllo degli accessi integrano anche le VPN, l'autenticazione a due fattori e l'accesso basato sui ruoli. Durante la trasmissione, i dati sono soggetti a vari e rigorosi controlli di trasmissione, tra cui procedure che impediscono la lettura, la copia, la modifica o la cancellazione dei dati durante il transito. Le tecnologie di crittografia e l'uso di firewall proteggono i gateway e i firewall utilizzati per la trasmissione dei dati, mentre le connessioni VPN proteggono la connessione dei dati alle reti interne. L'infrastruttura è costantemente monitorata (ad esempio tramite ICMP-Ping a livello di rete) e il monitoraggio della sicurezza end-to-end viene eseguito per garantire la completezza e la correttezza di tutti i trasferimenti. Tutte le soluzioni di crittografia sono implementate con una chiave di almeno 128 bit per la crittografia simmetrica e una chiave di 1024 bit (o superiore) per la crittografia asimmetrica. Il controllo dell'input garantisce la possibilità di verificare e stabilire se e da chi i dati personali sono stati inseriti nei sistemi di elaborazione dati o rimossi. Tali controlli includono l'autenticazione e la registrazione. La gestione delle vulnerabilità viene effettuata per rilevare e risolvere immediatamente qualsiasi vulnerabilità del sistema. Le procedure di distruzione dei dati garantiscono inoltre che i dati oggetto del trasferimento siano protetti e non vengano conservati per un periodo superiore a quello necessario per raggiungere gli scopi dell'assistenza ai clienti. |
Xoriant, InfoSol, Tredence, Impetus, Valuelabs | Potenziamento dell'attività del team Dati e analisi (collaboratori esterni). | Dati come elencati per Snowflake | USA - livello basso | SCC | Tutti i controlli di sicurezza disponibili ed elencati in precedenza per Snowflake sono utilizzati per garantire un accesso con privilegi minimi ai nostri appaltatori terzi. Utilizziamo la sicurezza del desktop remoto e gli altri controlli di sicurezza applicabili a tutti i sistemi interni di Momentive. Per ulteriori dettagli, vedere la nostra dichiarazione di sicurezza. |
Subincaricati | Scopo | Dati personali | Luogo e valutazione del rischio del regime giuridico | Meccanismo di trasferimento | Misure supplementari contrattuali, organizzative e tecniche |
AWS | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Microsoft | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Affiliate Momentive (Momentive Inc., Momentive Australia Pty Limited) | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Affiliate Momentive (Momentive Canada Inc., Momentive UK Ltd.) | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Salesforce | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Snowflake | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Sparkpost | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Splunk | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Twilo | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Upwork | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Xoriant, InfoSol, Tredence, Impetus, Valuelabs | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Subincaricati | Scopo | Dati personali | Luogo e valutazione del rischio del regime giuridico | Meccanismo di trasferimento | Misure supplementari contrattuali, organizzative e tecniche |
AWS | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Funzione di traduzione delle risposte con testo aperto richiesta da un sottoinsieme di clienti di GetFeedback Digital. | Dati delle risposte d'indagine. Possono includere o meno dati personali, a seconda del tipo di domande d'indagine e del modo in cui il rispondente sceglie di rispondere alle domande. | USA - livello basso | SCC | https://cloud.google.com/security/ | |
Affiliate Momentive (Momentive Inc., Momentive Australia Pty Limited) | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Affiliate Momentive (Momentive Canada Inc., Momentive UK Ltd.) | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
ScaleGrid | Hosting di database | Nomi delle persone (nome e/o cognome) Qualsiasi identificatore univoco che possa essere utilizzato per collegare una determinata persona nel mondo reale Numero di targa del veicolo Data di nascita Indirizzo e-mail Numero di telefono Indirizzo fisico (es. Via Fittizia 123) Codice postale (CAP) Numero civico dell'abitazione (es. Riga indirizzo 2) Indirizzo IP Codici IMSI/IMEI Indirizzo MAC Dettagli assicurazione Famigliari e persone a carico Le risposte alle indagini o le informazioni inserite nei moduli potrebbero contenere dati personali sensibili, pertanto AWS potrebbe archiviare quanto segue: ID governativo/nazionale (es. numero di previdenza sociale, tessera sanitaria), numero della patente di guida, numero di passaporto Nome utente e password, credenziali di autenticazione Informazioni finanziarie e di pagamento (credenziali di accesso al conto, numero di conto corrente, carta di debito o carta di credito insieme ad eventuale codice di sicurezza o di accesso richiesto, password o credenziali che consentano l'accesso a un conto) Geolocalizzazione Razza/etnia Affiliazione religiosa/politica/sindacale Dati sessuali o orientamento sessuale Dati sanitari (compresi farmaci prescritti, procedure ed esami medici, diagnosi, medici e area di esercizio professionale, numero di tessera sanitaria e così via) Dati biometrici (ad es. impronte digitali, registrazioni vocali, foto) Dati genetici Stipendio/reddito (o relative fasce) Risposte d'indagine dei clienti (risposte ricevute da un cliente all'indagine creata per gli account Momentive) Punteggio/record di credito Comunicazioni - il contenuto delle comunicazioni private di un consumatore, a meno che l'azienda non sia il destinatario della comunicazione Fedina penale Quasi-identificatori: potrebbero includere dati che non sono personali se non collegati ad altri dati, ad esempio identificatori web, informazioni sul dispositivo, dati del browser e altri metadati che in alcuni casi possono essere collegati ad altre categorie di dati sopra elencate. | Irlanda - non sostanziale | I dati non vengono trasferiti fuori dall'Europa. | https://mongodb.scalegrid.io/hubfs/Whitepaper-ScaleGrid-Infrastructure-Security.pdf |
Campaign Monitor, Turbine Room Ltd (FirstOfficer.io) e Salesloft, Inc., che in precedenza erano subincaricati di GetFeedback Direct, sono stati rimossi da questo elenco.
Subincaricati | Scopo | Dati personali | Luogo e valutazione del rischio del regime giuridico | Meccanismo di trasferimento | Misure supplementari contrattuali, organizzative e tecniche |
AWS | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Functional Software Inc. (Sentry) | Acquisizione degli errori delle applicazioni (monitoraggio dello stato di salute del sito). | Informazioni di identificazione diretta (ad es. nome, indirizzo e-mail, telefono) Informazioni di identificazione indirette (ad es. titolo di lavoro, sesso, data di nascita) Dati di identificazione del dispositivo e dati sul traffico (ad es. indirizzi IP, indirizzi MAC, registri web, agenti browser) Qualsiasi dato personale fornito dagli utenti finali del servizio. | USA - livello basso | SCC | Per maggiori dettagli, vedere la pagina sulla sicurezza di Sentry. |
Ospita le risorse delle indagini e dei rispondenti, l'NLP per i dati dei rispondenti e i dati dei rispondenti ospitati sulla piattaforma Google per i dashboard di ricerca/indicizzazione. | Dati delle risposte d'indagine. Possono includere o meno dati personali, a seconda del tipo di domande d'indagine e del modo in cui il rispondente sceglie di rispondere alle domande. | USA - livello basso | SCC | https://cloud.google.com/security/ | |
Heroku (se si utilizza il data center di GetFeedback Direct, Heroku non è un subincaricato) | Host applicativo e archivio dati eseguito su AWS. | Vedere "Amazon/AWS" sopra | USA - livello basso | SCC | Consultare la documentazione su certificazioni di sicurezza e attendibilità e conformità di Heroku. |
IPdata | Ricerca della geolocalizzazione per i rispondenti | Indirizzo IP | USA - livello basso | SCC | Per ulteriori informazioni, vedere la Politica sulla privacy di IPdata. |
Affiliate Momentive (Momentive Inc., Momentive Australia Pty Limited) | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Affiliate Momentive (Momentive Canada Inc., Momentive UK Ltd.) | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Salesforce | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Splunk | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Subincaricati | Scopo | Dati personali | Luogo e valutazione del rischio del regime giuridico | Meccanismo di trasferimento | Misure supplementari contrattuali, organizzative e tecniche |
AWS | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Microsoft | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Affiliate Momentive (Momentive Inc., Momentive Australia Pty Limited) | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Affiliate Momentive (Momentive Canada Inc., Momentive UK Ltd.) | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Salesforce | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Snowflake | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Sparkpost | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Splunk | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Subincaricati | Scopo | Dati personali | Luogo e valutazione del rischio del regime giuridico | Meccanismo di trasferimento | Misure supplementari contrattuali, organizzative e tecniche |
AWS | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Engine Yard | Strumento di hosting di siti web e gestione di applicazioni cloud. | Vedere "AWS" sopra | USA - livello basso | SCC | Engine Yard si impegna per contratto a: ospitare i dati in una struttura sicura (come AWS) con limitazioni di accesso al data center, monitoraggio, personale di sicurezza e altre misure di sicurezza fisica ragionevoli dal punto di vista commerciale; mantenere un accesso limitato alla rete, firewall, misure di hardening dei server, protocolli di autenticazione degli utenti, registrazione degli eventi e altre misure di sicurezza di sistema e di rete ragionevoli dal punto di vista commerciale, volte a proteggere la sicurezza dei dati personali; crittografare i dati personali, ove possibile e ragionevole dal punto di vista commerciale, in conformità con gli standard del settore per la crittografia a riposo e in transito; concedere l'accesso in base al principio del privilegio minimo, al ruolo e alle pratiche di autorizzazione e disattivazione di Momentive. |
Microsoft | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Affiliate Momentive (Momentive Inc., Momentive Australia Pty Limited) | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Affiliate Momentive (Momentive Canada Inc., Momentive UK Ltd.) | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Salesforce | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Subincaricati | Scopo | Dati personali | Luogo e valutazione del rischio del regime giuridico | Meccanismo di trasferimento | Misure supplementari contrattuali, organizzative e tecniche |
AWS | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Engine Yard | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Microsoft | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Affiliate Momentive (Momentive Inc., Momentive Australia Pty Limited) | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Affiliate Momentive (Momentive Canada Inc., Momentive UK Ltd.) | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Salesforce | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Trattamento secondario | Scopo | Dati personali | Luogo e valutazione del rischio del regime giuridico | Meccanismo di trasferimento | Misure supplementari contrattuali, organizzative e tecniche |
AWS | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Bridgewater Labs | Potenziamento dell'attività (società di ingegneria esterne) | Tutte le possibili categorie di dati personali raccolti nei moduli di candidatura SM. | Canada - non sostanziale | SCC | Vengono utilizzati tutti i controlli di sicurezza disponibili ed elencati sopra per AWS per garantire l'accesso con privilegi minimi ai nostri collaboratori esterni. Utilizziamo la sicurezza del desktop remoto e gli altri controlli di sicurezza applicabili a tutti i sistemi interni di Momentive. Per ulteriori dettagli, vedere la nostra dichiarazione di sicurezza. |
Microsoft | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Affiliate Momentive (Momentive Inc., Momentive Australia Pty Limited) | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Affiliate Momentive (Momentive Canada Inc., Momentive UK Ltd.) | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Salesforce | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Subincaricati | Scopo | Dati personali | Luogo e valutazione del rischio del regime giuridico | Meccanismo di trasferimento | Misure supplementari contrattuali, organizzative e tecniche |
AWS | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Microsoft | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Affiliate Momentive (Momentive Inc., Momentive Australia Pty Limited) | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Affiliate Momentive (Momentive Canada Inc., Momentive UK Ltd.) | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |
Salesforce | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra | Vedere sopra |