Premessa

Jimdo GmbH (di seguito denominata "Jimdo" o "Responsabile del trattamento") ha attuato adeguati provvedimenti tecnici e organizzativi, come generalmente descritto di seguito, per garantire la protezione dei dati personali del Cliente di Jimdo (di seguito denominato "Cliente" o "Titolare del trattamento") trattati nell'ambito dell'Accordo Jimdo sul trattamento dei dati. Per garantire l'adeguatezza delle misure adottate, esse vengono costantemente adattate ai tipi di trattamento, all'ambito, al contesto, alle categorie di dati personali, al costo dell'attuazione, alle finalità del trattamento, nonché ai rischi, che possono variare in termini di probabilità e gravità.

Gatekeeper

Il team di sicurezza Jimdo si occupa di agevolare e sviluppare le procedure, i processi e i controlli che regolano la riservatezza, la sicurezza e l'integrità del trattamento dei dati personali tramite la piattaforma Jimdo.

Piattaforma

Per ospitare la propria infrastruttura cloud, Jimdo si serve di centri di elaborazione dati e di fornitori di servizi cloud leader di mercato. Per i suoi servizi utilizza centri di elaborazione dati e fornitori di servizi cloud leader di mercato, in particolare i centri basati su cloud di Amazon Web Services (AWS). I centri di elaborazione dati AWS utilizzati da Jimdo si trovano all'interno dell'Unione Europea. Per informazioni dettagliate sulle tecnologie di sicurezza impiegate da AWS, tutte all'avanguardia del settore, invitiamo a consultare la pagina riguardante la sicurezza di AWS.

Panoramica

Di seguito è descritta una panoramica dei provvedimenti tecnici e organizzativi generali attuati da Jimdo per garantire un livello di sicurezza adeguato al rischio:

1. Riservatezza

1.1 Controllo degli accessi

Per impedire l'accesso non autorizzato agli impianti di elaborazione in cui vengono trattati i dati personali (cosiddetti "controlli degli accessi") sono state adottate le misure seguenti.

• Sicurezza degli uffici: l'accesso agli uffici Jimdo è protetto giorno e notte con sistemi di chiusura elettronici; solo le persone autorizzate possono accedere agli stabili degli uffici.

• È stato implementato un sistema fisico di gestione delle autorizzazioni di accesso per garantire che queste ultime siano sempre aggiornate e che le chiavi siano distribuite in modo sicuro e organizzato. Solo le persone autorizzate sono in possesso delle relative chiavi elettroniche. Il sistema fisico di gestione delle autorizzazioni di accesso disciplina la concessione e/o la revoca dei permessi di accesso agli uffici sia all'inizio che alla fine del rapporto di lavoro. I permessi di accesso vengono rilasciati a un dipendente solo se legittimamente richiesto dai superiori responsabili. Per la concessione dei permessi si applica il principio di necessità.

• Dati personali sul sito: tutti i dati personali dei clienti Jimdo presenti in archivio presso la sede di Jimdo sono conservati in uffici opportunamente chiusi a chiave con diritti di accesso limitati, gestiti esclusivamente dagli amministratori incaricati. Jimdo tende inoltre a limitare la quantità di dati personali archiviati sul sito.

• Sicurezza del database: i servizi Jimdo sono ospitati in centri di elaborazione dati AWS basati su cloud. AWS soddisfa i requisiti di livello tre (Tier III) e ha ottenuto le certificazioni di sicurezza standard del settore, tra cui: ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3, inoltre è equipaggiata con adeguati meccanismi di controllo degli accessi e relative precauzioni. Maggiori informazioni sulla sicurezza di AWS sono disponibili alla pagina di AWS dedicata alla sicurezza.

• Regolamento visite: il Regolamento riguardante le visite implementato da Jimdo garantisce che i visitatori possano entrare negli uffici solo dopo che le porte principali sono state aperte dagli addetti alla portineria. Gli addetti sorvegliano costantemente le porte d'ingresso e si assicurano che ogni visitatore si identifichi direttamente in portineria. Ogni visitatore viene inserito in un apposito registro ed è accompagnato dal suo referente da un addetto della portineria. Tutti i visitatori sono sempre accompagnati da un dipendente Jimdo e sono inoltre tenuti a indossare un cartellino che li identifichi chiaramente come visitatori. Le politiche di protezione dei dati e sicurezza delle informazioni per il personale esterno e per gli accompagnatori vengono comunicate a tutto l'ufficio.

1.2 Sistema di controllo degli accessi

Sono state adottate le seguenti misure per impedire l'utilizzo di sistemi di trattamento dati da parte di terzi non autorizzati:

• Controllo degli accessi: l'accesso ai sistemi è regolato da un'apposita politica di controllo degli accessi.

• La politica di autorizzazione degli accessi Jimdo descrive il sistema di autorizzazione basato sui ruoli, che consente di assegnare autorizzazioni di accesso differenziate, garantendo così che i dipendenti ricevano i diritti di accesso alle applicazioni e ai dati a seconda della rispettiva area di responsabilità.

• Tale politica riguarda anche le modifiche e la revoca dei diritti di accesso, ad esempio a causa di cambiamenti di ruolo o cessazione del rapporto di lavoro. Gli ordini relativi ai diritti di accesso richiedono sempre l'approvazione esplicita di un manager. Jimdo applica il principio del privilegio minimo.

• Le richieste relative ai diritti di accesso seguono procedure prestabilite e sono registrate in un apposito sistema di gestione ticket, che assicura la tracciabilità dell'esecuzione e delle approvazioni. Le attività relative ai diritti di accesso (aggiunta, modifica, revoca e revisione) sono svolte da personale amministrativo opportunamente formato. Solo un numero limitato di persone è autorizzato a svolgere tali attività.

• Controllo password, autenticazione a più fattori, sicurezza delle applicazioni: Jimdo utilizza un software di gestione delle password al fine di garantire che queste ultime soddisfino i requisiti di complessità. Le politiche di Jimdo relative alle password impongono l'autenticazione a più fattori, ove tecnicamente possibile. Tutte le password sono memorizzate in forma crittografata, sia quelle degli account del personale, degli account di servizio e tutte le password dei clienti Jimdo.

• Tutti i sistemi essenziali e fondamentali sono protetti tramite autenticazione a più fattori. È possibile accedere a tali sistemi solo tramite connessione VPN.

• Jimdo monitora, rileva e blocca gli attacchi in arrivo sulla piattaforma di applicazioni web. Sulla piattaforma Jimdo vengono eseguiti periodicamente penetration test, i cui risultati vengono analizzati e corretti (a seconda dei casi) dai team di ingegneri e addetti alla sicurezza.

• Controlli degli accessi remoti: l'accesso remoto ai sistemi informatici Jimdo che trattano i dati personali, richiede una connessione tramite VPN crittografata. Quando lavorano da remoto, tutti i dipendenti sono tenuti ad aderire alla politica Jimdo sul lavoro da remoto, che impone (tra le altre cose) il blocco del computer ogni volta che questo viene lasciato incustodito.

• Gestione dispositivi mobili: la politica di gestione dei dispositivi mobili garantisce che tali dispositivi vengano sempre protetti da un codice di accesso, quindi sia telefoni aziendali che tablet e notebook, e siano registrati nel software di gestione dei dispositivi mobili.

• Sistemi di produzione: l'accesso a tutti i sistemi di produzione Jimdo all'interno dell'ambiente Amazon Web Services (AWS) richiede autenticazione e autorizzazione. Le autorizzazioni degli account vengono concesse in base al principio del privilegio minimo, con controllo dell'accesso basato sul ruolo. L'accesso admin richiede una VPN e autenticazione a più fattori ed è limitato a un gruppo ristretto di dipendenti.

• Aggiornamenti della sicurezza: tutti i sistemi di server e dei Titolari del trattamento vengono regolarmente aggiornati tramite aggiornamenti di sicurezza.

1.3 Controllo degli accessi ai dati

Sono state adottate le seguenti misure per garantire che le persone autorizzate all'uso di un sistema di trattamento dati possano accedere esclusivamente ai dati soggetti alla loro autorizzazione di accesso e che i dati personali durante il trattamento, l'uso e/o il salvataggio non possano essere letti, copiati, modificati o eliminati abusivamente.

Responsabilità dei Clienti Jimdo:

• è responsabilità del Cliente assicurare un adeguato controllo dell'accesso ai dati che memorizza all'interno della piattaforma Jimdo per tutta la durata del contratto.

• La piattaforma Jimdo applica una severa politica di protezione delle password per tutte le password degli account dei clienti.

• Come sottolineato nei Termini di servizio di Jimdo, il Cliente Jimdo è tenuto a mantenere la massima riservatezza su tutti i dati di accesso e identificazione e tutte le password, al fine di impedire a terzi di entrare in possesso dei suoi dati di accesso. È severamente vietato condividere le credenziali di accesso del cliente alla piattaforma Jimdo.

Accesso e autenticazione

Le politiche di accesso e autenticazione Jimdo si applicano ai sistemi gestiti e tenuti in esercizio da Jimdo. Tali politiche riguardano i processi di controllo che includono, a titolo esemplificativo ma non esaustivo: messa a disposizione/cancellazione dell'account, autenticazione, gestione dell'account con privilegi, identificazione dell'utente, registrazione e monitoraggio degli accessi. Per poter accedere ai sistemi informatici, i dipendenti devono disporre di idonea autorizzazione di accesso. Le politiche descrivono il controllo dell'accesso Jimdo basato sui ruoli, fondato sul principio del privilegio minimo, il quale assicura che i dipendenti ricevano i diritti di accesso alle applicazioni e ai dati solo a seconda del rispettivo ruolo e funzione aziendale. Le autorizzazioni dei dipendenti sono rilasciate dagli amministratori.

Gestione registro accessi: Jimdo ha implementato la gestione dei registri di accesso, quindi raccoglie, avvisa, controlla e conserva i registri di accesso di eventi che potrebbero aiutare a rilevare, dedurre o recuperare i dati da qualsiasi tipo di imprevisto potenziale legato alla sicurezza.

Corretta eliminazione dei dati

Jimdo applica un'apposita politica sulla cancellazione dei dati. Tale politica specifica che i supporti dati e il materiale cartaceo debbano essere distrutti da un fornitore di servizi che garantisce la distruzione in base alla norma DIN 66399.

Tutti i dipendenti Jimdo sono tenuti a eliminare le informazioni contenenti dati personali e/o informazioni relative ai progetti negli appositi contenitori di sicurezza per documenti destinati alla distruzione situati all'interno degli uffici Jimdo.

Software controllato

Jimdo applica un rigoroso processo di gestione dei fornitori terzi, che include valutazioni approfondite in materia di protezione dati e sicurezza, per qualsiasi nuovo software/servizio che potrebbe trattare dati personali. Tale processo garantisce che solo il software autorizzato da Jimdo venga utilizzato dai dipendenti.

1.4 Separazione dei dati

Le seguenti misure garantiscono che i dati raccolti per diverse finalità siano conservati e possano essere trattati separatamente:

Separazione logica dei Titolari del trattamento:

• tutti i sistemi informatici impiegati da Jimdo per trattare i dati personali riguardanti il Cliente e i servizi Jimdo che questi utilizza sono dotati di una separazione logica dei Titolari del trattamento, in modo che sia garantita la separazione dei dati da quelli trattati per altre finalità.

• Di norma, i dati con finalità di trattamento diverse sono trattati e/o memorizzati separatamente.

• Autorizzazione di accesso: è stato stabilito e implementato da tutti i dipendenti un quadro di autorizzazioni di accesso graduali, in conformità con le politiche di accesso e autorizzazione summenzionate, e in particolare negli uffici: tecnico (amministrativo), supporto, gestione domini e contabilità clienti.

• Responsabilità dei Clienti: è responsabilità del Cliente garantire la separazione dei dati personali relativi all'utilizzo dei servizi Jimdo, trattati tramite o sulla piattaforma Jimdo.

1.5 Pseudonimizzazione e crittografia

Le seguenti misure assicurano che il trattamento dei dati personali sia effettuato in modo tale che i dati non possano più essere associati a una specifica persona interessata senza la disponibilità di ulteriori informazioni, nella misura in cui tali informazioni supplementari siano conservate separatamente e siano soggette ad adeguati provvedimenti tecnici e organizzativi.

Crittografia:

• Jimdo utilizza certificati SSL per crittografare i dati in transito tra gli utenti finali del sito web e i domini dei clienti. Jimdo offre lo standard HTTP Strict Transport Security, che crittografa il contenuto e consente l'accesso ai siti web dei clienti Jimdo solo tramite HTTPS.

• L'accesso dell'amministratore ai sistemi di server è fornito tramite connessioni crittografate, inoltre i dati sui server e sui sistemi Jimdo sono archiviati esclusivamente su supporti dati crittografati. Sono impiegati altresì adeguati sistemi di crittografia del disco rigido.

• Responsabilità del Cliente: è responsabilità del Cliente crittografare i propri dati elaborati/memorizzati su e tramite la piattaforma Jimdo, utilizzando una tecnologia idonea (software).

Pseudonimizzazione

• Responsabilità del Cliente: è responsabilità del Cliente pseudonimizzare i dati personali che vengono elaborati da Jimdo per conto del Cliente stesso, ad esempio memorizzati su e tramite la piattaforma Jimdo, nella misura in cui ciò sia richiesto dalla legge.

2. Integrità

2.1 Controllo dell'inserimento dati

Mediante le seguenti misure è possibile monitorare, controllare e stabilire se e chi ha immesso, modificato o cancellato i dati personali dai sistemi di trattamento dati:

Gestione registro accessi:

• Registri di accesso generali: Jimdo ha implementato la gestione dei registri di accesso, quindi raccoglie, avvisa, controlla e conserva i registri di accesso di eventi che potrebbero aiutare a rilevare, dedurre o recuperare i dati da qualsiasi tipo di imprevisto potenziale legato alla sicurezza.

• Registri dei Clienti: Jimdo registra solo gli inserimenti e le modifiche dei dati personali da parte dei Clienti e documenta l'ora e la persona, ove previsto in istruzioni aggiuntive (come indicato nell'Accordo Jimdo sul trattamento dei dati), che devono essere presentate per iscritto e indipendentemente dall'area di amministrazione del sito web.

• Se Jimdo dovesse essere obbligato a rimuovere informazioni o a bloccare l'accesso ad esse per motivi legali (ad esempio in caso di utilizzo da parte del Cliente di servizi di telemedia e/o di servizi di comunicazione elettronica resi disponibili sui sistemi informatici per terze parti), tale blocco sarà registrato. I dati del registro vengono conservati e contengono l'identificativo del dipendente. La cancellazione viene effettuata automaticamente al termine del periodo contrattuale e/o come stabilito dai Termini di servizio Jimdo e dalle azioni associate dell'utente Jimdo, e viene registrata.

Responsabilità del Cliente:

• Il Cliente è responsabile dell'inserimento dei suoi dati personali sulla piattaforma Jimdo.

2.2 Controllo del trasferimento dei dati

Le seguenti misure garantiscono che i dati personali non possano essere letti, copiati, alterati o eliminati da persone non autorizzate durante la trasmissione elettronica o durante il trasporto o l'archiviazione su supporti di dati e che sia possibile verificare e stabilire a quali soggetti sia destinato un trasferimento di dati personali per mezzo delle attrezzature atte alla trasmissione dei dati.

Crittografia:

• In conformità con la politica di Jimdo, per l'amministrazione dei database vengono utilizzate solo connessioni crittografate (e VPN).

• Le crittografie SSL/TLS sulla piattaforma Jimdo garantiscono la riservatezza dei dati in transito, prevenendo accessi non autorizzati.

Formazione e sensibilizzazione dei dipendenti:

• Tutti i dipendenti che lavorano su un progetto del Cliente o con i dati del Cliente sono regolarmente e adeguatamente istruiti sull'uso consentito dei dati e sulle appropriate modalità di trasmissione degli stessi.

• Tutti i dipendenti sono periodicamente formati in materia di protezione dei dati e sicurezza delle informazioni. Tutti i dipendenti hanno l'obbligo di garantire la riservatezza, l'integrità e la disponibilità dei dati.

3. Disponibilità e resilienza

Le seguenti misure assicurano che i sistemi di trattamento dei dati funzionino correttamente in qualsiasi momento e che i dati personali siano protetti contro la distruzione o la perdita accidentali.

Centri di elaborazione dati:

• I centri di elaborazione dati utilizzati da Jimdo dispongono di gruppi di continuità (UPS), sale server con aria condizionata, dispositivi di monitoraggio della temperatura e dell'umidità, sistemi di rilevazione incendio e fumo, sistemi di allarme e di sicurezza.

• È attivo un sistema di allarme antincendio e di allarme rapido ad ampio raggio.

• Sono state implementate soluzioni progettate per proteggere e mitigare gli effetti degli attacchi DDoS.

• Backup: Jimdo applica un'idonea politica di backup per tutti i dati.

Emergenza e recupero:

• Jimdo ha implementato e divulgato un piano di emergenza che include anche un piano di recupero.

• I piani di emergenza e recupero Jimdo vengono testati periodicamente. I risultati dei test vengono analizzati per migliorare i piani, ove necessario.

4. Procedure per revisione periodica, controllo e valutazione

Tali misure descrivono la procedura per la revisione periodica, il controllo e la valutazione dell'efficacia delle misure tecniche e organizzative per garantire un trattamento conforme alla protezione dei dati.

4.1 Gestione della protezione dei dati

Gestione della protezione dei dati:

• Jimdo ha implementato un sistema di gestione della protezione dei dati. Sono previste politiche per la protezione e la sicurezza dei dati, nonché processi per garantire l'attuazione degli obiettivi di tali politiche.

Responsabile della protezione dei dati:

• Jimdo ha nominato un responsabile della protezione dei dati, che insieme all'ufficio legale e di sicurezza garantisce l'applicazione dei suddetti provvedimenti tecnici e organizzativi. È possibile contattare il responsabile della protezione dei dati tramite i dati di contatto indicati nell'Informativa sulla privacy Jimdo.

Ufficio sicurezza:

• È stato istituito un team di sicurezza che pianifica, attua, valuta e aggiorna adeguate misure per proteggere i dati personali e garantire la sicurezza delle informazioni. L'ufficio sicurezza è affiancato dall'ufficio legale e dal responsabile della protezione dei dati.

Monitoraggio e revisione continui:

• L''efficacia delle linee guida e delle politiche viene riesaminata e rivista periodicamente.

Risposta agli incidenti:

• Jimdo dispone di una politica di gestione della violazione dei dati, nonché di un piano di risposta agli incidenti che garantisce il riconoscimento da parte dei dipendenti di imprevisti riguardanti la sicurezza e la protezione dei dati e la loro segnalazione immediata all'ufficio sicurezza. Qualora ciò riguardasse i dati personali trattati per conto dei Clienti, questi ultimi saranno informati riguardo al tipo e all'entità dell'incidente in conformità con le condizioni dell'Accordo Jimdo sul trattamento dei dati.

• Jimdo dispone di sistemi di controllo per garantire che, laddove rientri nella responsabilità legale di Jimdo e ove necessario e appropriato, venga condotta una valutazione dell'impatto sulla protezione dei dati (DPIA).

4.2 Controllo nel conferimento di incarichi (esternalizzazione a soggetti terzi/subfornitori)

Le seguenti misure garantiscono che i dati personali trattati da Jimdo per conto del Cliente vengano gestiti solo in base alle istruzioni del Cliente Jimdo.

Gestione di terze parti:

• Laddove siano coinvolti fornitori di servizi esterni o terze parti, viene concluso un Accordo sul trattamento dei dati. Jimdo sottopone tutti i fornitori di servizi esterni a un rigoroso processo di controllo del rischio, della sicurezza e della protezione dei dati e garantisce la conformità all'RGPD. I subfornitori sono regolarmente soggetti a controlli durante tutto il rapporto contrattuale.

4.3 Protezione dei dati tramite progettazione della tecnologia e impostazioni sulla privacy predefinite (privacy by design e default)

Sviluppo software:

Il processo di sviluppo del software Jimdo è sottoposto a continua revisione e segue un ciclo di vita di sviluppo sicuro che include sistemi di threat modelling. Ciò garantisce il principio della protezione dei dati by design.

• Jimdo assicura già nella fase di sviluppo del software che in relazione alle interfacce utente sia preso in considerazione il principio di necessità, pertanto, i campi dei moduli e le schermate, ad esempio, sono configurabili in modo flessibile. In questo modo il cliente può prevedere campi obbligatori o disattivare altri campi.

• Autorizzazione di accesso: come descritto in precedenza in riferimento alla politica di autorizzazione di accesso Jimdo, i permessi relativi ai dati o alle applicazioni sono configurati in modo flessibile e granulare, in base al principio del "privilegio minimo".

• Privacy by design: Jimdo integra i principi della privacy by design per i sistemi e miglioramenti sin dalle prime fasi di sviluppo.