Responsabilità condivisa
Responsabilità di controllo applicabile sia all'utente sia a Zoho.
Gestione delle identità e degli accessi
Forniamo l'infrastruttura per la gestione degli account utente tramite il servizio IAM (gestione delle identità e degli accessi), facilitando:
- Registrazione dell'utente, opzioni di annullamento della registrazione e specifiche sul loro utilizzo.
- Funzionalità per la gestione dei diritti di accesso degli utenti cloud.
- Tecniche di autenticazione avanzate, come autenticazione a più fattori e limitazione degli indirizzi IP.
Sei responsabile di:
- Implementare controlli efficaci per la gestione degli accessi degli utenti.
- Configurare password complesse in base alle policy dell'organizzazione e proteggerle.
- Attivare l'autenticazione a più fattori per gli utenti dell'organizzazione.
- Amministrare account e privilegi degli utenti, configurando i ruoli in base al principio dei privilegi minimi.
- Definire gli amministratori dell'account dell'organizzazione e disporre di un processo appropriato per i trasferimenti di proprietà. Adottare le misure necessarie per garantire che la tua organizzazione non perda il controllo degli account amministratore.
- Esaminare periodicamente l'elenco degli utenti che hanno accesso ai dati e revocare l'accesso a chiunque non debba averlo.
- Controllare spesso i dispositivi collegati agli account utente dell'organizzazione e rimuovere i dispositivi non utilizzati o non autorizzati.
- Monitorare gli account utente dell'autorizzazione per individuare casi di accesso o utilizzo dannoso.
- Informare Zoho di qualsiasi utilizzo non autorizzato degli account dell'organizzazione.
- Informare gli utenti dell'importanza di una buona gestione delle password, dei rischi correlati al riutilizzo delle credenziali, agli accessi social e agli attacchi di phishing.
Gestione dei dati
Forniamo una piattaforma per la gestione dei dati con:
- Funzioni di condivisione dei dati per i controlli a livello di amministratore e utente.
- Funzionalità di verifica dei dati dei clienti per garantire la trasparenza sulle attività importanti e per tenere traccia delle modifiche.
- Interoperabilità dei dati, cioè la possibilità di eseguire un backup completo dei dati e delle configurazioni per la migrazione totale o parziale dei dati a un altro provider SaaS.
- Conservazione e smaltimento dei dati, che vengono conservati nel tuo account finché decidi di utilizzare i servizi Zoho. Dopo che avrai chiuso il tuo account utente Zoho, i tuoi dati saranno eliminati dal database attivo durante la successiva pulizia, che viene eseguita una volta ogni sei mesi. I dati eliminati dal database attivo saranno eliminati dai backup dopo tre mesi.
- Funzioni di limitazione degli accessi per impedire ai dipendenti di accedere ai dati dei clienti e garantire che possano farlo solo con un valido motivo specifico.
Sei responsabile di:
- Applicare la due diligence durante il trattamento di informazioni appartenenti a categorie speciali (ad es. dati personali/sensibili) adottando controlli appropriati per la conformità ai requisiti di legge applicabili.
- Configurare le autorizzazioni di condivisione e visualizzazione corrette.
- Esaminare regolarmente i report di controllo per identificare eventuali attività sospette.
- Mantenere aggiornate le informazioni di contatto con Zoho.
- Estrarre i dati dal sistema una volta terminato l'utilizzo dei nostri servizi. In caso contrario, questi saranno eliminati in modo permanente senza alcuna possibilità di recupero.
Gestione dei dati conto terzi
Lavoriamo per ottenere integrazioni ed estensioni sicure alle nostre applicazioni:
- Applicazioni del Marketplace: esecuzione di test funzionali, di sicurezza e sulla privacy dopo che ci viene inviata un'applicazione. Eseguiamo anche la revisione dei prodotti e dei contenuti.
- Responsabili secondari del trattamento: valutazione delle procedure di sicurezza e privacy adottate dai responsabili secondari del trattamento dei dati con i quali potrebbe essere sottoscritto un contratto, al fine di garantire che questi siano in linea con gli standard di sicurezza e privacy dei dati di Zoho. In seguito, vengono siglati accordi specifici per la protezione dei dati con tali responsabili secondari.
- Esaminiamo l'informativa sulla privacy e le condizioni di servizio dei nostri fornitori e ci assicuriamo che le loro operazioni siano conformi.
Sei responsabile di:
- Attivare o disattivare le integrazioni di terze parti dopo aver preso in considerazione i dati condivisi con ambienti di terze parti. Sei tenuto a leggere le condizioni e l'informativa sulla privacy del servizio di terze parti per quanto riguarda la raccolta, l'utilizzo o la divulgazione dei dati.
- Esprimere la tua preferenza rispetto alla condivisione delle tue informazioni con i fornitori ogni volta che viene installata un'estensione.
- Valutare l'idoneità delle app del Marketplace e la ragionevolezza delle autorizzazioni richieste prima dell'installazione.
- Segnalare a Zoho qualsiasi comportamento dannoso identificato nelle app del Marketplace.
Diritti del soggetto interessato
Siamo responsabili di:
- Fornire funzionalità che consentano ai clienti di garantire e proteggere i diritti dei propri clienti.
- Informarti di eventuali richieste da parte dei tuoi clienti quando ci contattano direttamente per l'esercizio dei propri diritti.
Sei tenuto a:
- Onorare e gestire le richieste dei clienti per l'accesso ai dati, la rettifica, l'eliminazione e le restrizioni nel trattamento dei dati personali.
Crittografia
Proteggiamo i tuoi dati in transito e a riposo utilizzando la crittografia nei seguenti modi:
- Dati in transito: i dati dei clienti trasmessi ai nostri server su reti pubbliche sono protetti da rigorosi protocolli di crittografia. Imponiamo l'utilizzo della crittografia Transport Layer Security (TLS 1.2/1.3) con chiavi di crittografia complesse a tutte le connessioni ai nostri server, tra cui accesso Web, accesso API, app per dispositivi mobili e accesso IMAP/POP/SMTP.
- Dati a riposo: i dati sensibili dei clienti vengono crittografati a riposo utilizzando l'algoritmo AES (Advanced Encryption Standard) a 256 bit. I dati crittografati a riposo variano in base ai servizi che scegli. Possediamo e gestiamo le chiavi tramite il nostro servizio di gestione delle chiavi (KMS) interno.
Ti consigliamo di:
- Determinare le tue esigenze di crittografia. Per i dati a riposo, in molti casi, durante l'utilizzo dei nostri servizi, potresti essere responsabile della definizione dei campi da crittografare.
- Quando i dati vengono scaricati o esportati dal nostro cloud nel tuo ambiente o sincronizzati all'interno di integrazioni in Zoho o con qualsiasi altra integrazione di terze parti, devi assicurarti che vengano applicati i controlli di crittografia pertinenti. Ad esempio, attivare la crittografia del disco sui dispositivi, utilizzare la funzione di esportazione con protezione tramite password attivata, ecc.
Backup
Siamo dotati di un sistema affidabile per:
- Mantenere i backup a livello di sistema crittografati con l'algoritmo AES a 256 bit e archiviati in modo sicuro. Eseguire automaticamente i controlli di integrità e convalida dei backup completi.
- Abilitare le richieste di ripristino dei dati e fornire un accesso sicuro entro il periodo di conservazione. Fornire ai clienti una funzione per esportare ed eseguire un backup dei dati.
Da parte tua, puoi:
- Pianificare un backup dei dati, esportarli dai rispettivi servizi Zoho e archiviarli a livello locale nella tua infrastruttura, se necessario. Sei responsabile della conservazione dei dati in modo sicuro.
Gestione degli incidenti
Da parte nostra, ci assicuriamo di:
- Segnalare tutti i casi di violazione di cui siamo a conoscenza e che ti riguardano, insieme a informazioni dettagliate sull'impatto e azioni appropriate. In caso di incidenti specifici di un singolo utente o di un'organizzazione, avviseremo la parte interessata via e-mail (utilizzando l'indirizzo registrato).
- Monitorare e chiudere questi incidenti.
- Implementare controlli per evitare che si ripetano situazioni simili.
- Se richiesto, forniremo ulteriori prove relative all'incidente che ti interessa.
Sei responsabile di:
- Intraprendere le azioni suggerite da Zoho in caso di violazione.
- Soddisfare i requisiti di notifica e divulgazione delle violazioni dei dati, ad esempio la segnalazione agli utenti finali e alle autorità competenti in materia di protezione dei dati, se del caso.
- Segnalare all'indirizzo incidents@zohocorp.com gli incidenti relativi alla sicurezza e alla privacy di cui si è a conoscenza.
Consapevolezza e formazione
Ci assumiamo la completa responsabilità di:
- Formare i nostri dipendenti affinché acquisiscano consapevolezza della sicurezza e aderiscano a uno standard di sviluppo sicuro. I nuovi assunti partecipano alla formazione obbligatoria sulla sicurezza e sulla privacy, oltre a ricevere regolarmente materiale formativo sulla consapevolezza della sicurezza tramite e-mail informative, presentazioni e risorse disponibili sulla nostra rete Intranet.
- Formare i nostri dipendenti sulla corretta gestione dei dati dei clienti dei servizi cloud.
Sei responsabile della formazione degli utenti cloud a proposito di:
- Norme e procedure per l'uso dei nostri servizi.
- Modalità di gestione dei rischi relativi ai nostri servizi.
- Rischi per il sistema generale e l'ambiente di rete.
- Considerazioni legali e normative applicabili.
Policy e conformità
Ci atteniamo a una serie di linee guida, ad esempio:
- Disponiamo di un programma completo di gestione dei rischi e attuiamo efficacemente i controlli.
- Agiamo nel rispetto delle leggi delle varie giurisdizioni in cui operiamo.
- Forniamo prove di conformità alle normative applicabili e in base ai nostri requisiti contrattuali.
- Forniamo assistenza per le valutazioni DPIA dei nostri clienti, nella misura consentita dalle leggi applicabili.
Sei responsabile di:
- Valutare le normative e le leggi a te applicabili e verificare la conformità alle normative e agli standard necessari per la tua azienda. Puoi richiedere ulteriori informazioni a conferma della nostra conformità.
- Comprendere le nostre policy, i relativi metodi di valutazione e il modo in cui eseguiamo il trattamento dei dati.
- Eseguire le valutazioni DPIA come richiesto dalle leggi sulla protezione dei dati applicabili alla tua organizzazione prima/durante il trattamento dei dati.
- Valutare la tua base giuridica prima di qualsiasi trattamento di dati personali/sensibili. Nel caso in cui la base giuridica sia il consenso, assicurati di ottenere il consenso dai tuoi clienti.
- Valutare l'idoneità dei nostri servizi cloud in base alle informazioni fornite e assicurarsi che siano in grado di soddisfare le tue esigenze di conformità.
- Comprendere il profilo di rischio e la sensibilità dei dati ospitati nei servizi Zoho e applicare i controlli appropriati.
