GDPR e SLA - Documento Tecnico

GDPR e SLA - Documento Tecnico

Data Protection & Privacy

Diritto alla portabilità dei dati personali
- I dati inseriti in EGG finance possono essere estratti tramite interfaccia grafica o tramite REST API.  I formati di esportazione sono CSV e JSON.

Diritto all’oblio
È possibile eliminare i dati in modo temporaneo e successivamente in modo definitivo. L'eliminazione si propaga nelle ore successive in tutta l'infrastruttura, rimuovendo eventuali dati in cache. L'eliminazione temporanea può avvenire tramite la funzione o l'icona di eliminazione presente nell'entità o impostando lo stato/rapporto come "Concluso".

L'eliminazione definitiva, invece, può essere effettuata accedendo al menu Configurazione > Data, Sicurezza e Privacy e specificando il corretto ID. In alternativa, è possibile attivare l'opzione automatizzata Oggetti: Elimina definitivamente "Pratiche, Anagrafiche, Lead, Campagne e Calendario eliminati temporaneamente".

L'eliminazione definitiva comporta la rimozione dell'entità indicata e delle relative entità collegate. Ad esempio, eliminando una pratica, verranno eliminate anche gli elementi di calendario, richieste, preventivi, notifiche e tutti i dati dipendenti dalla pratica. Tuttavia, l'eliminazione di una pratica non comporta l'eliminazione dell'anagrafica associata, poiché non è considerata un'entità dipendente, e viceversa.

L'eliminazione definitiva si applica a tutte le tipologie di anagrafiche e lead. Vista l'irreversibilità della funzione, si sconsiglia l'utilizzo dell'opzione Pratiche, Anagrafiche, Lead, Campagne e Calendario eliminati temporaneamente.

Gli utenti non vengono mai eliminati definitivamente poiché sono interni a EGG Finance. In tali casi, si consiglia l'anonimizzazione dei dati modificando le informazioni ritenute sensibili.

Nei vari oggetti dove è definito uno stato o rapporto, si consiglia di utilizzare il valore Sospeso per evitare l'eliminazione definitiva dell'oggetto.

Per quanto riguarda le anagrafiche, vengono eliminati automaticamente solo i clienti.

Consenso
Non è prevista una gestione automatizzata del consenso; tuttavia, è fondamentale rispettare i clienti utilizzando moduli specifici e sfruttando i campi personalizzati o le funzioni offerte da EGG Finance per conformarsi alla normativa vigente. È importante abilitare un flag per la funzione "do not call" e l'opzione email opt-out.

Diritto alla restrizione del trattamento
In EGG finance, i record possono essere identificati, esportati ed eliminati dopo aver ricevuto una richiesta verificata per limitare l'elaborazione. Se la restrizione viene revocata in un secondo momento, i record possono essere reimportati.

Per ulteriori informazioni sulla tua istanza accedi ad EGG finance al menù Configurazione -> Data, Privacy e Sicurezza

Data Processing Agreement

L'allegato DPA (Data Processing Agreement) é al disponibile seguente link https://www.eggfinance.it/dpa.html


Sicurezza

Certificati SSL

- Ogni connessione ad EGG finance, è protetta da un certificato SSL fornito da Google Trust Services LLC con algoritmo SHA-256.

Gli endpoints di accesso sono https://finance.blackbird71.com (EGG finance CRM 1.0), http://eggfinance.blackbird71.com (EGG Colibri 2.0) e https://app.eggfinance.cloud  (EGG finance 3.0)

Log 

- Per ogni accesso viene memorizzato l'orario, l’utente, l’IP nonché la sezione dell’applicativo coinvolta, l’ID dell’eventuale elemento nonché il tipo di operazione effettuata (Visualizzazione, Modifica, Eliminazione).

- Nessun utente ha modo di variare o eliminare i log attività.

- Il periodo di conservazione dei log può variare a seconda delle attività:  1 anno per i log di accesso e autenticazione, 6 mesi per i log di attività utente, 1-3 mesi per i log di debug/errore, 5 anni per i log legati a transazioni / interazioni tra il cliente ed EGG finance.

Supporto EGG finance

- Il supporto tecnico di EGG finance non effettua nessun tipo di operazione non prevista e precedentemente comunicata, salvo previa autorizzazione mediante ticket nel portale di assistenza da parte del cliente

- Anche in caso di supporto telefonico, ogni operazione dovrà essere autorizzata dal cliente mediante apposito ticket

- L’accesso a EGG finance da parte del supporto tecnico può essere effettuato con un apposito processo monitorato e solamente da range di IP autorizzati da EGG finance. Ogni accesso viene memorizzato in un log attività al quale il supporto tecnico non ha i privilegi per accedere


Luogo Svolgimento Attività
- Tutte le attività strettamente associate all'erogazione del servizio sono svolte in Europa.

Accesso e Autenticazione

- Gli utenti con privilegio amministratore possono creare, modificare ed eliminare le password di accesso degli utenti nella propria organizzazione e definire i criteri di sicurezza (autenticazione a due fattori, scadenza password, limitazione IP ecc ...).  É compito del cliente definire i criteri di sicurezza legati all'accesso dei propri utenti ad EGG finance nel rispetto dei propri processi aziendali e della normativa vigente.

Monitoraggio Sicurezza e Penetration Test

Per assicurare un monitoraggio continuo e accurato delle nostre infrastrutture di sicurezza, utilizziamo il servizio di Astrasec.com. Questo ci consente di effettuare un monitoraggio costante e reporting dettagliato dello stato della sicurezza. Oltre a questo, eseguiamo penetration test specifici con cadenza regolare per identificare e correggere tempestivamente eventuali vulnerabilità. Questi test non solo migliorano la nostra capacità di prevenire attacchi, ma dimostrano anche il nostro impegno nel mantenere un alto livello di sicurezza.

Periodicamente, aggiorniamo il nostro documento di sicurezza per riflettere le ultime novità e best practice in materia di sicurezza informatica. Questo processo di aggiornamento continuo assicura che le nostre politiche e procedure siano sempre in linea con gli standard più recenti, rafforzando ulteriormente la protezione dei dati personali e la conformità alle normative GDPR.  

Il cliente può richiedere l'ultimo documento di sicurezza aggiornato in qualsiasi momento aprendo relativo ticket.


Service Level Agreement

SLA 99% 

Tutti i servizi di EGG finance all'interno dell'infrastruttura cloud sono concepiti per essere scalabili, replicabili con procedure di auto-ripristino in caso di malfunzionamenti.  EGG finance offre una copertura garantita fino al 99% su tutte le edizioni.

È possibile monitorarla accedendo al seguente link.

In caso di un uptime inferiore al 99% all'interno di un mese, il cliente può richiedere un credito finanziario del canone mensile legato al servizio software come indicato nella tabella sottostante.  Gli interventi di manutenzione programmata, incidenti dovuti a fattori terzi non gestibili da EGG finance e malfunzionameti dovuti a personalizzazioni / versioni beta o funzionalità terze richiste dal cliente non sono incluse nell'SLA.


Tabella Credito Finanziario
SLA < 99.0% fino a 98.5%10%
SLA < 98.5% fino a 95.0% 25%
SLA < 95.0%50%

High Availability Dati

I dati di tipo documentale e i dati legati alle configurazioni hanno un backup con classe Multi-Region utilizzando il servizio Google Storage come indicato nel seguente link.

I dati presenti nel database hanno un backup giornaliero incrementale e vengono archiviati tramite il servizio Google Cloud SQL come indicato nel seguente link.

In alcune edizioni di EGG finance (o come servizio aggiuntivo) è  attivabile un servizio di HA (High Availability). Con questo servizio i dati vengono memorizzati in replica ma in caso di incidente il ripristino è gestito automaticamente dal servizio Google Cloud SQL come indicato nelle condizioni HA. In caso di HA lo spazio dati viene conteggiato doppio.  Un 1GB in modalità HA viene conteggiato come 2GB.

É disponibile inoltre la modalità HA Enterprise che offre ulteriori benefici come riduzione del downtime in caso di incidenti, maggiore prestazioni e rid.

Il backup è giornaliero e incrementale, in base allo status di EGG finance o alle condizioni di fornitura, viene definito il periodo  (da 1 giorno a 7 giorni nel servizio standard e da 7 giorni a 30 giorni nel servizio Enterprise).  Nel servizio Enterprise inoltre è possibile ottenere un ripristino point-in-time dal momento che vengono conservati i log fino a 30 giorni a seconda delle condizioni di fornitura.


Disaster Recovery

Nel contesto della conformità GDPR, il nostro approccio al disaster recovery è strutturato per garantire la massima sicurezza e integrità dei dati. I backup dei dati sono effettuati in diversi datacenter situati in Europa, sfruttando due fornitori distinti. Questo approccio multi-fornitore offre numerosi benefici, tra cui una maggiore ridondanza, la mitigazione del rischio di perdita di dati e un miglioramento della resilienza complessiva del sistema. Inoltre, l'utilizzo di più datacenter garantisce una distribuzione geografica ottimale, riducendo il rischio di indisponibilità dovuta a disastri naturali o guasti tecnici localizzati.

Infrastruttura

Provider: Google Cloud (https://cloud.google.com/security/gdpr/?hl=it)
Paese: Belgio (Infrastruttura, Servzi e Dati Principali) - Europa: Backup e dati secondari

Provider: Microsoft Azure Cloud (https://learn.microsoft.com/en-us/compliance/regulatory/gdpr)
Paese: Germania, Italia (Servizi) - Europa: Backup e dati secondari

Provider: AWS (https://aws.amazon.com/it/compliance/gdpr-center/)
Paese: Germania, Italia (Servizi) - Europa: Backup e dati secondari

Provider: Mailgun (https://www.mailgun.com/gdpr/)
Paese: Europa

Provider: Twilio / SendGrid (https://www.twilio.com/en-us/legal/gdpr)
Paese: Europa

Provider: Trustfull (https://trustfull.com/legal)
Paese: Europa




    • Related Articles

    • Piani e Benefici

      Il presente documento rappresenta un allegato contrattuale e contiene informazioni di dettaglio sui servizi, i piani e i benefici offerti da EGG Finance nelle varie edizioni. EGG finance 3.0 Allegato EGG finance 3.0 - Piani Utente Descrive le ...

    • Condizioni e Limiti Utilizzo

      Condizioni e Limiti Utilizzo Utenti Il limite degli utenti è indicato nelle condizioni di fornitura e nell’allegato edizioni. Gli utenti conteggiati sono quelli che hanno accesso con user e password ad EGG finance. Rimuovendo l’accesso, non verranno ...

    • Moduli Attività e Pianificazione Progettuale

      In questa sezione puoi scaricare i moduli da utilizzare per inviare le specifiche per gestire le progettualità in EGG finance.

    • IP e Hostname

      Traffico in uscita EGG finance utilizza i seguenti IP/Hostname nel traffico in uscita: IP Hostname Identificativo Note 34.140.28.69 69.140.28.34.bc.googleusercontent.com test Utilizzato in ambiente test 172.111.253.38 172.111.253.38 dev Utilizzato in ...

    • EGG zen

      EGG zen EGG zen è un servizio aggiuntivo relativo ad attività di analisi, consulenza, supporto tecnico avanzato, progettazione, sviluppo e interventi tecnici ad hoc su EGG finance. La modalità principale di interazione con EGG zen é il portale ...