Prassi di sicurezza

In Smartsheet siamo consapevoli della tua necessità di sapere in che modo i tuoi dati sono al sicuro e protetti quando utilizzi i nostri Servizi online. Queste Prassi di sicurezza di Smartsheet descrivono le pratiche e le procedure di sicurezza, che includono misure fisiche, organizzative e tecniche utilizzate da Smartsheet volte a preservare la sicurezza, l’integrità e la riservatezza dei Servizi online e dei Contenuti del Cliente e a proteggere dalle minacce alla sicurezza delle informazioni.

 

1.       Generale.

1.1     Programma di sicurezza delle informazioni.  Smartsheet si impegna a mantenere un programma scritto completo per la sicurezza delle informazioni, che include politiche, standard, procedure e documenti correlati che stabiliscono criteri, mezzi, metodi e misure che disciplinano il Trattamento e la sicurezza dei Contenuti del Cliente e dei sistemi o delle reti Smartsheet utilizzati per elaborare o proteggere i Contenuti del Cliente (“Sistemi informativi Smartsheet”) in relazione alla fornitura dei Servizi ai sensi del Contratto e del Supplemento. 

1.2     Riservatezza; Formazione.  Smartsheet si assicurerà che il personale Smartsheet: (a) sia vincolato da obblighi di riservatezza in relazione ai Contenuti del Cliente con la stessa protezione di quelli stabiliti nel Contratto; e (b) sia soggetto a una formazione adeguata relativa all’elaborazione dei Contenuti del Cliente.

1.3     Definizioni

1.3.1     “Contratto” indica il contratto che regola l’accesso e l’utilizzo dei Servizi online da parte del Cliente.

1.3.2    “Cliente” indica la persona fisica o giuridica che esegue o accetta un Ordine o si registra per l’accesso e l’utilizzo gratuito di un Servizio di prova e ha stipulato un Contratto.

1.3.3    Per “Contenuti del Cliente” si intendono tutti i dati, i file allegati, i testi, le immagini, i report, le informazioni personali o altri contenuti caricati o inviati a un Servizio online dal Cliente o dagli Utenti ed elaborati da Smartsheet per conto del Cliente. 

1.3.4    Il termine “Processo” indica un’operazione o un insieme di operazioni eseguite sui Contenuti del Cliente, con strumenti manuali o automatizzati, quali la raccolta, la registrazione, l’organizzazione, la strutturazione, l’archiviazione, l’adattamento, l’alterazione, il recupero, la consultazione, l’uso, l’adeguamento, la combinazione, la limitazione, la cancellazione, la distruzione o la divulgazione tramite trasmissione, diffusione o in altro modo resi disponibili.

1.3.5    “Violazione della sicurezza” indica una violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, l’alterazione, la divulgazione non autorizzata o l’accesso ai Contenuti del Cliente.

1.3.6    Per “Servizi” si intendono i Servizi in abbonamento e qualsiasi altro servizio o applicazione online fornito o controllato da Smartsheet per l’uso con i Servizi in abbonamento.

1.3.7    Per “Personale Smartsheet”  si intende qualsiasi persona autorizzata da Smartsheet a elaborare i Contenuti del Cliente.

1.3.8    “Servizio in abbonamento” indica i servizi e le applicazioni online basati su abbonamento forniti o controllati da Smartsheet. 

1.3.9     Per “Supplemento” si intendono i criteri, i mezzi, i metodi e le misure, nonché i termini e le condizioni applicabili a determinati prodotti e servizi di Smartsheet o tipi di clienti disponibili all’indirizzo www.smartsheet.com/legal/agreement-supplement.

1.3.10   “Utente” indica qualsiasi individuo autorizzato o invitato dal Cliente o da un altro Utente ad accedere e utilizzare i Servizi online ai sensi del Contratto.

 

2.      Controlli di sicurezza.  In conformità al proprio programma di sicurezza delle informazioni, Smartsheet implementerà adeguati controlli fisici, organizzativi e tecnici volti a: (a) garantire la sicurezza, l’integrità e la riservatezza dei Contenuti del Cliente trattati da Smartsheet; e (b) proteggere i Contenuti del Cliente da minacce o pericoli noti o ragionevolmente previsti, inclusi sicurezza, integrità, perdita accidentale, alterazione, divulgazione e altre forme illecite di Trattamento. Senza limitare quanto sopra, Smartsheet utilizzerà, se necessario, i seguenti controlli:

2.1    Firewall.  Smartsheet installerà e gestirà firewall per proteggere i dati accessibili via Internet. 

2.2    Aggiornamenti.  Smartsheet manterrà programmi e routine per mantenere aggiornati i Sistemi Informativi Smartsheet con gli ultimi upgrade, aggiornamenti, correzioni di bug, nuove versioni e altre modifiche.

2.3    Antimalware.  Smartsheet distribuirà e utilizzerà un software anti-malware e lo manterrà aggiornato. Smartsheet userà tale software per mitigare le minacce provenienti da virus, spyware e altro codice dannoso che sono o dovrebbero ragionevolmente essere rilevati. 

2.4    Test.  Smartsheet verificherà regolarmente i propri sistemi, processi e controlli di sicurezza per assicurarsi che soddisfino i requisiti delle presenti Prassi di sicurezza.

2.5    Controllo degli accessi.  Smartsheet proteggerà i Contenuti del Cliente trattati dai Sistemi Informativi di Smartsheet rispettando le seguenti norme:

  • 2.5.1    Smartsheet assegnerà un ID univoco al personale Smartsheet con accesso ai Sistemi Informativi di Smartsheet. 
  • 2.5.2    Smartsheet limiterà l’accesso ai Sistemi Informativi di Smartsheet al solo Personale Smartsheet necessario per adempiere a un obbligo specifico come consentito dal Contratto. 
  • 2.5.3    Smartsheet esaminerà regolarmente (almeno una volta ogni novanta (90) giorni) l’elenco del Personale e dei servizi Smartsheet con accesso ai Sistemi Informativi di Smartsheet e rimuoverà gli account che non necessitano più dell’accesso.
  • 2.5.4    Smartsheet non utilizzerà impostazioni predefinite fornite dal produttore per le password di sistema su sistemi operativi, software o Sistemi Informativi Smartsheet, imporrà l’uso di “password complesse” nel sistema in conformità o al di là delle best practice (descritte di seguito) e richiederà che tutte le password e le credenziali di accesso siano mantenute riservate e non condivise tra il Personale Smartsheet. 
  • 2.5.5    Come caratteristiche minime, le password generate da Smartsheet: (i) conterranno almeno otto (8) caratteri; (ii) saranno diverse dalle password precedenti, dal nome di accesso dell’utente o da nomi comuni; (iii) verranno modificate ogni volta che si sospetti o si presuma una compromissione dell’account; e (iv) verranno sostituite regolarmente.
  • 2.5.6    Smartsheet applicherà il blocco dell’account disattivando gli account Che Elaborano Contenuti del Cliente quando un account supera il numero stabilito di tentativi di password errati in un determinato periodo.
  • 2.5.7    Smartsheet conserverà i dati di registro per tutti gli usi degli account o delle credenziali usate dal Personale Smartsheet per l’accesso ai Sistemi Informativi di Smartsheet ed esaminerà regolarmente i registri di accesso alla ricerca di segni di comportamenti dannosi o accessi non autorizzati. 

2.6    Politiche.  Smartsheet manterrà e applicherà adeguate politiche di sicurezza delle informazioni, riservatezza e utilizzo accettabile per il Personale Smartsheet che soddisfino gli standard stabiliti nelle presenti Prassi di sicurezza, inclusi i metodi per rilevare e registrare le violazioni alle politiche. 

2.7    Sviluppo.  Gli ambienti di sviluppo e test saranno separati dai Sistemi Informativi di Smartsheet. 

2.8    Eliminazione.  Smartsheet utilizzerà procedure almeno conformi alle raccomandazioni SP 800-88 Revisione 1 del National Institute of Standards and Technology (NIST) (o a uno standard successivo ampiamente utilizzato nel settore) per rendere irrecuperabili i Contenuti del Cliente prima dello smaltimento dei supporti.  

2.9    Crittografia.  Smartsheet utilizzerà standard crittografici che impongono algoritmi autorizzati, requisiti di lunghezza delle chiavi, e processi di gestione delle chiavi coerenti o superiori agli standard di settore in vigore al momento, comprese le raccomandazioni del NIST, e utilizzerà requisiti di hardening e configurazione coerenti nell’approccio con gli standard di settore in vigore al momento, tra cui le raccomandazioni del SANS Institute, del NIST o del Center for Internet Security (CIS). In conformità a tali standard, Smartsheet crittograferà i Contenuti del Cliente "at rest" all’interno dei Servizi online e consentirà solo connessioni crittografate al Servizio online per il trasferimento di tali Contenuti.

2.10  Accesso remoto.  Smartsheet garantirà che qualsiasi accesso dall’esterno dei propri ambienti aziendali o di produzione protetti ai Sistemi Informativi di Smartsheet o alle reti di workstation aziendali o di sviluppo di Smartsheet richieda controlli di connessione appropriati, come VPN o autenticazione a più fattori. 

 

3.      Uso di terze parti.

3.1    Generale.  Le terze parti incaricate da Smartsheet in conformità al Contratto manterranno (come minimo) livelli di sicurezza sostanzialmente simili a quelli applicabili e richiesti dalle presenti Prassi di sicurezza.

3.2   Hosting dei dati.  Smartsheet garantirà che qualsiasi provider di hosting di terze parti (“Infrastructure-as-a-Service” o “IaaS”) utilizzato da Smartsheet per elaborare i Contenuti del Cliente soddisfi i seguenti requisiti:

  • 3.2.1    Requisiti di base.  Come minimo, Smartsheet garantirà ai provider IaaS: (a) di mantenere adeguati controlli di sicurezza fisica e di accesso come stabilito nella Sezione 2.5 delle presenti Prassi di sicurezza; (b) di utilizzare impianti HVAC professionali e controlli ambientali; (c) di utilizzare un ambiente di rete/cablaggio professionale; (d) di utilizzare capacità professionali di rilevazione/soppressione degli incendi; ed (e) di mantenere un piano completo di continuità operativa.
  • 3.2.2    Audit annuale; Valutazione.  Condurre valutazioni e audit del rischio indipendenti su base annuale. Tali valutazioni e report di audit saranno forniti a Smartsheet e, se richiesto dalla legge, saranno resi disponibili al Cliente, a condizione che Smartsheet possa rimuovere tutte le informazioni commerciali e riservate o i termini non correlati alle prassi di sicurezza dell’IaaS. Inoltre, Smartsheet effettuerà revisioni e valutazioni annuali di eventuali IaaS critiche per convalidare che le misure di sicurezza soddisfino almeno i requisiti delle presenti Prassi di sicurezza.
  • 3.2.3    Requisiti rafforzati.  Possedere i requisiti e le funzionalità di un data center ridondante (“N+1”) ad alta disponibilità, in cui più componenti forniscono ciascuno almeno un componente di backup indipendente per garantire che la funzionalità del sistema continui a livelli di prestazioni accettabili in caso di guasto del sistema.

 

4.      Disponibilità del sistema.  Smartsheet manterrà (o, per quanto riguarda i sistemi controllati da terze parti, si assicurerà che tali terze parti mantengano) un programma di ripristino di emergenza (“DR”) progettato per ripristinare la disponibilità del Servizio in abbonamento in seguito a una calamità. Come minimo, tale programma di DR includerà i seguenti elementi: (a) convalida di routine delle procedure per creare regolarmente e programmaticamente copie di conservazione dei Contenuti del Cliente allo scopo di recuperare dati persi o corrotti; (b) inventari, aggiornati almeno annualmente, che elenchino tutti i Sistemi Informativi di Smartsheet critici; (c) revisione e aggiornamento annuali del programma di DR; e (d) test annuali del programma di DR progettati per convalidare le procedure di DR e la recuperabilità del servizio ivi dettagliato.

 

5.      Violazione della sicurezza.

5.1    Procedure

  • 5.1.1     Smartsheet informerà il Cliente per iscritto senza indebito ritardo quando Smartsheet viene a conoscenza della conferma di una Violazione della sicurezza. 
  • 5.1.2    Smartsheet indagherà e, se necessario, mitigherà o porrà rimedio a una Violazione della sicurezza in conformità con le politiche e le procedure di Smartsheet in materia di incidenti di sicurezza (“Gestione delle violazioni”).
  • 5.1.3    Fatti salvi i suoi obblighi legali, Smartsheet fornirà al Cliente le informazioni a sua disposizione in conseguenza della Gestione delle violazioni, inclusa la natura dell’incidente, informazioni specifiche divulgate (se note) e qualsiasi sforzo di mitigazione o misura correttiva pertinente (“Informazioni sulla violazione”), affinché il Cliente rispetti gli obblighi previsti dalle leggi applicabili a seguito di una Violazione della sicurezza.
  • 5.1.4    Qualora il Cliente richieda informazioni relative a una Violazione della sicurezza in aggiunta alle Informazioni sull’incidente, a proprie spese e su richiesta scritta del Cliente e nella misura in cui questi non sia in grado di accedere autonomamente alle informazioni aggiuntive, Smartsheet collaborerà in misura ragionevole con il Cliente come richiesto dal Cliente per tentare di raccogliere e fornire tali informazioni aggiuntive.

5.2   Tentativi non riusciti.  Un attacco o un’intrusione non riusciti non costituiscono una Violazione della sicurezza ai sensi della presente Sezione 5. Con “attacco o intrusione non riusciti” si intende un attacco che non comporta l’accesso non autorizzato o illegale ai Contenuti del Cliente e può includere, a titolo esemplificativo, ping e altri attacchi broadcast a firewall o server perimetrali, scansioni delle porte, tentativi di accesso non riusciti, attacchi Denial-of-Service, sniffing dei pacchetti (o altro accesso non autorizzato ai dati sul traffico che non comporta l’accesso oltre gli indirizzi IP o le intestazioni TCP/UDP) o incidenti simili.

5.3    Coinvolgimento del Cliente o dell’Utente.  L’accesso non autorizzato o illegale ai Contenuti del Cliente derivante dalle impostazioni di configurazione del Cliente, dalla compromissione delle credenziali di accesso di un Utente o dalla condivisione o divulgazione intenzionale o involontaria dei Contenuti del Cliente da parte del Cliente o di un Utente non costituisce una Violazione della sicurezza.

5.4    Notifiche.  Le eventuali notifiche di Violazione della sicurezza saranno inviate a uno o più utenti Amministratori di sistema del Cliente con qualsiasi mezzo ragionevole scelto da Smartsheet, inclusa l’e-mail. Il Cliente è l’unico responsabile di mantenere costantemente aggiornate le informazioni di contatto nel Servizio online.

5.5    Dichiarazione di non responsabilità.  L’obbligo di Smartsheet di segnalare o rispondere a una Violazione della sicurezza ai sensi della presente Sezione 5 non costituisce un riconoscimento da parte di Smartsheet di eventuali errori o responsabilità di Smartsheet in relazione alla Violazione.

 

6.      Audit e reportistica.

6.1    Monitoraggio.  Smartsheet monitora costantemente l’efficacia del proprio programma di sicurezza informatica conducendo vari audit, valutazioni dei rischi e altre attività di monitoraggio per garantire l’efficacia delle misure di sicurezza e dei controlli. 

6.2    Report di audit.  Smartsheet si avvale di revisori esterni per verificare l’adeguatezza delle misure di sicurezza e dei controlli per determinati Servizi, inclusi i Servizi in abbonamento. Il conseguente audit: (a) includerà il test dell’intero periodo di misurazione dalla fine del precedente periodo di misurazione; (b) verrà eseguito secondo le norme AICPA SOC2 o altre norme alternative sostanzialmente equivalenti a AICPA SOC2; (c) verrà svolto da professionisti della sicurezza terzi indipendenti a selezione e spese di Smartsheet; e (d) genererà un report SOC2 (“Report di audit”), che costituirà le Informazioni riservate di Smartsheet. Il Report di audit sarà messo a disposizione del Cliente su richiesta scritta non più di una volta all’anno, fatti salvi gli obblighi di riservatezza del Contratto o un accordo di non divulgazione comunemente concordato. A scanso di equivoci, ogni Report di audit tratterà solo i Servizi esistenti al momento dell’emissione del Report di audit; i Servizi successivamente rilasciati, se rientrano nell’ambito del Report di audit, saranno nella prossima iterazione annuale del Report di audit.  

6.3    Test di penetrazione.  Smartsheet si avvale di esperti di sicurezza esterni per condurre test di penetrazione di determinati Servizi online, inclusi i Servizi in abbonamento. Tali test: (a) saranno effettuati almeno una volta all’anno; (b) saranno svolti da professionisti della sicurezza terzi indipendenti a discrezione e spese di Smartsheet; e (c) comporteranno la generazione di un report del test di penetrazione (“Pen Test Report”), che costituirà le Informazioni riservate di Smartsheet. I Pen Test Report saranno messi a disposizione del Cliente su richiesta scritta non più di una volta all’anno, fatti salvi gli obblighi di riservatezza del Contratto o un accordo di non divulgazione comunemente concordato.  

6.4    Audit del Cliente.  Se il Cliente richiede legalmente informazioni per la propria conformità alle leggi applicabili in aggiunta ai Report di audit e ai Pen Test Report, a spese esclusive del Cliente e su richiesta scritta dello Stesso e nella misura in cui Questi non sia in grado di accedere autonomamente alle informazioni aggiuntive, Smartsheet consentirà e collaborerà a un audit richiesto dal Cliente eseguito da parte di un revisore terzo in relazione al Trattamento dei Contenuti del Cliente da parte di Smartsheet (“Audit del Cliente”), purché:

  • 6.4.1.   Il Cliente fornisca a Smartsheet un ragionevole preavviso, indicando l’identità del revisore e la data e l’ambito previsti per l’Audit del Cliente;
  • 6.4.2    Smartsheet approvi il revisore mediante comunicazione al Cliente (tale approvazione non può essere irragionevolmente negata);
  • 6.4.3    Il Cliente e il revisore agiscano in modo da evitare di causare danni, lesioni o interruzioni ai locali, alle attrezzature o all’attività di Smartsheet nel corso di tale Audit del Cliente; e 
  • 6.4.4.   Il Cliente avvii un solo Audit in ogni anno solare, salvo diversa richiesta per motivi legali.

 

Ultimo aggiornamento: 24 marzo 2023