Legale — Toqen

Sicurezza e divulgazione responsabile

Implementiamo misure tecniche e organizzative adeguate per proteggere i dati personali e mantenere la sicurezza del servizio, e accogliamo segnalazioni responsabili di vulnerabilità.

TL;DR

  • Trasporto sicuro e crittografia ove appropriato.
  • Controlli di accesso rigorosi, separazione degli ambienti e monitoraggio.
  • Divulgazione responsabile con impegno di safe harbor per la ricerca in buona fede.

Misure di sicurezza

Manteniamo un programma di sicurezza progettato per proteggere la riservatezza, l’integrità e la disponibilità del servizio Toqen e dei dati personali trattati in relazione allo stesso. Le nostre misure sono selezionate e mantenute secondo un approccio basato sul rischio, tenendo conto dello stato dell’arte, dei costi di attuazione e della natura, dell’ambito, del contesto e delle finalità del trattamento, nonché dei rischi per gli interessati.

  • Crittografia dei dati in transito mediante standard TLS aggiornati; crittografia dei dati a riposo ove appropriato e supportato dall’infrastruttura pertinente.
  • Controlli di accesso basati sul principio del minimo privilegio, inclusi accessi amministrativi limitati e, ove appropriato, separazione delle funzioni.
  • Separazione logica tra ambienti di sviluppo, test e produzione, con controlli volti a ridurre il rischio di accessi non autorizzati e di esposizione dei dati.
  • Misure tecniche e organizzative per individuare e mitigare abusi e attacchi, quali rate limiting, mitigazione dei bot e protezione dal replay, ove applicabile.
  • Monitoraggio, registrazione e avvisi a supporto delle operazioni di sicurezza, della rilevazione degli incidenti e della diagnosi, con accesso ai log limitato a personale e processi di servizio autorizzati.
  • Pratiche di sviluppo software sicuro, incluse revisioni del codice e test automatizzati finalizzati all’individuazione di problemi di sicurezza e affidabilità.
  • Protezione dei dati di partecipazione dei Launch Partner e dei dati amministrativi correlati in sistemi protetti con accesso limitato a personale e processi di servizio autorizzati.

Rivediamo periodicamente e, ove opportuno, aggiorniamo le nostre misure tecniche e organizzative in linea con l’evoluzione dei rischi e delle modifiche al servizio.

Per motivi di sicurezza, non divulghiamo pubblicamente dettagli sensibili relativi a controlli, configurazioni o meccanismi di rilevazione specifici.

RGPD e principi di protezione dei dati dell’UE

Il nostro servizio è progettato tenendo conto dei principi di protezione dei dati dell’UE, inclusi minimizzazione dei dati, limitazione della finalità, integrità, riservatezza e limitazione della conservazione.

Laddove tecnicamente fattibile e appropriato rispetto alla funzionalità selezionata, il servizio è progettato per ridurre la conservazione a lungo termine non necessaria dei dati personali e per evitare, di default, profili incentrati sull’identità.

Ulteriori informazioni sul trattamento dei dati personali, inclusi conservazione, trasferimenti e diritti degli interessati, sono disponibili nella nostra Informativa sulla privacy. Quando Toqen tratta dati personali per conto di un partner, il rapporto è disciplinato dal Data Processing Addendum (DPA) e dagli accordi di protezione dei dati applicabili.

Sono implementate misure tecniche e organizzative adeguate a supportare la sicurezza del trattamento ai sensi dell’articolo 32 del RGPD.

Divulgazione responsabile

Se ritieni di aver individuato una vulnerabilità di sicurezza che interessa Toqen, segnalala a hi@toqen.app fornendo dettagli sufficienti per consentirci di riprodurre e analizzare il problema.

Esaminiamo le segnalazioni inviate in buona fede nell’ambito di un approccio di divulgazione responsabile e ci impegniamo a confermare le segnalazioni valide entro un termine ragionevole. Potremmo richiedere ulteriori informazioni o coordinamento per ridurre i rischi per utenti e partner.

Safe harbor: non intraprenderemo azioni legali nei confronti di soggetti che svolgono attività di ricerca sulla sicurezza in buona fede, a condizione che (i) rispettino la normativa applicabile, (ii) evitino violazioni della privacy, distruzione dei dati e interruzioni del servizio, (iii) non accedano, raccolgano, conservino, utilizzino o divulghino dati oltre quanto necessario per dimostrare la vulnerabilità, (iv) ci informino tempestivamente della vulnerabilità e ci concedano un tempo ragionevole per porvi rimedio e (v) non divulghino pubblicamente la vulnerabilità o i dettagli dell’exploit prima della risoluzione o prima di concordare una tempistica di divulgazione coordinata.

Fornitori di infrastruttura e servizi

Ci avvaliamo di fornitori di infrastruttura e servizi consolidati per l’erogazione e la protezione del servizio. Quando tali fornitori trattano dati personali, agiscono come responsabili o sub-responsabili del trattamento sulla base di adeguate condizioni contrattuali, comprese obbligazioni in materia di protezione dei dati e sicurezza, come richiesto dalla normativa applicabile.

I controlli di sicurezza sono implementati tramite misure tecniche e organizzative stratificate. Pur non divulgando dettagli sensibili di implementazione, ci impegniamo a comunicare le pratiche di sicurezza in modo chiaro, accurato e non fuorviante.