GDPR FAQ

Il GDPR, acronimo inglese di General Data Protection Regulation (Regolamento generale sulla protezione dei dati), è il più recente testo europeo di riferimento per la protezione delle persone fisiche riguardo al trattamento dei loro dati personali (regolamento UE n. 2016/679).

Il regolamento stabilisce i diritti di tali persone fisiche, e gli obblighi che sono tenute a rispettare le organizzazioni che utilizzano i loro dati (si parla di trattamento in senso lato: manuale o automatico, e di qualsiasi forma di utilizzo, compresa la memorizzazione).

I “dati personali” sono tutte le informazioni su una persona che permettono di identificarla. Può trattarsi di nome, numero di telefono, foto, indirizzo e-mail, ecc.

Presso Exalog, ci sono due persone responsabili di questi aspetti:

Il Direttore della sicurezza dei sistemi informatici (DSI)
Il responsabile della protezione dei dati personali (DPO, dall’inglese Data Protection Officer), designato allo scopo di garantire la conformità e la sicurezza dei trattamenti all’interno dell’azienda

Se desidera contattare una di queste due figure, può utilizzare il modulo disponibile qui.

Exalog implementa misure tecniche e organizzative per garantire la sicurezza dei dati registrati dai suoi clienti nel suo software. Queste misure includono:

• Hosting presso data center altamente protetti e certificati ISO 27001 e 22301
• Protezione dei nostri sistemi contro le intrusioni e il controllo degli aggiornamenti di sicurezza
• Procedure d’accesso protette ai nostri software (autenticazione a due fattori)
• Backup regolarmente eseguiti e archiviati in forma crittografata

I software Exalog (server e database) sono ospitati in due data center altamente protetti, siti in Francia (vicino a Parigi) e di proprietà de una società di hosting riconosciuta.

Questi due data center sono certificati ISO 27001 (sicurezza dei sistemi informatici), ISAE 3402 (valutazione delle prestazioni di terzi) e ISO 22301 (gestione della continuità dell’attività).

I rack di computer in cui sono installati i nostri server software (server di elaborazione, server di database e server di comunicazione bancaria) sono privati e totalmente riservati a Exalog. Solo il team operativo di Exalog li gestisce e li mantiene. I server e le apparecchiature di rete sono di proprietà esclusiva di Exalog.

I “dati personali” (nomi degli utenti, numeri di telefono o e-mail, numeri di conti e di carte bancarie) immagazzinati nel database dei nostri software sono codificati.

I dati online sono conservati per la durata definita nel contratto firmato dal cliente.

In caso di rescissione del contratto, Exalog si impegna a cancellare i dati del cliente dal database del software condiviso disponibile online, entro un termine di tre mesi dalla data di fine contratto.

Tuttavia, Exalog conserva gli archivi dei backup del database condiviso (dati di tutti i suoi clienti), realizzati prima di questa cancellazione, per un periodo massimo di 5 anni. Questi archivi sono criptati e conservati su server alle stesse condizioni di sicurezza dell’hosting del software.

Il cliente ha la possibilità di richiedere un recupero degli archivi, dietro preventivo.

I dati sono conservati nel modo seguente:

• Ogni ora viene eseguito un backup del database
• I file di backup sono conservati su server di backup protetti, nelle stesse condizioni di hosting applicate nel sito di produzione; questi file vengono compressi e crittografati
• Durata di conservazione:
  • I backup orari vengono conservati per una settimana prima di essere eliminati
  • si conserva un backup a settimana per un termine massimo di 1825 giorni (cinque anni); trascorso questo periodo, si procede all’eliminazione di tutti i backup settimanali

I team del Servizio clienti hanno accesso alle coordinate dei clienti (cognome, nome, società, indirizzo e-mail, telefono) al fine di gestire le loro richieste di assistenza.

I team di vendita, marketing e comunicazione hanno accesso ai dati di contatto dei clienti (cognome, nome, azienda, indirizzo e-mail, numero di telefono), che possono essere utilizzati per inviare newsletter o messaggi promozionali mirati. I dati raccolti sono archiviati nel nostro software sicuro di gestione delle relazioni con i clienti (CRM).

Anche il reparto operativo (parte del reparto IT) può avere accesso ai dati dei clienti per risolvere i bug. In questo caso, i dati sono anonimizzati.

Exalog non trasferisce alcun dato dei propri software fuori dall’Unione Europea, né altrove nel mondo.