close

Keeper Security si impegna a ottenere la conformità al GDPR

Con l'imminente GDPR entreranno in vigore dei cambiamenti importanti

Cos'è il GDPR?

Il Regolamento generale sulla protezione dei dati (GDPR) è considerato il testo giuridico più significativo della legislazione europea in materia di protezione dei dati a essere stato introdotto nell'Unione europea (UE) negli ultimi 20 anni e sostituirà la Direttiva sulla protezione dei dati del 1995. Il GDPR potenzia i diritti di riservatezza delle persone fisiche nell'UE e impone degli obblighi rafforzati in modo significativo alle organizzazioni che gestiscono i dati. Keeper Security si impegna a mettere in atto con successo il GDPR.

Il GDPR regola il trattamento dei dati personali delle persone fisiche nell'Unione Europea, regolamentandone anche la raccolta, la memorizzazione, il trasferimento o l'utilizzo. Il concetto di "dati personali" viene ampiamente definito e indica qualsiasi informazione concernente una persona fisica identificata o identificabile, definita dal GDPR come un "interessato". Per la maggior parte delle aziende questa definizione comprende i dipendenti e i clienti.

Il GDPR identifica due soggetti che possono essere in possesso di dati personali. Un titolare del trattamento esercita il controllo sul trattamento dei dati personali e decide quali dati raccogliere. Un responsabile del trattamento agisce sotto la direzione di un titolare del trattamento per raccogliere, memorizzare, recuperare e/o cancellare dati personali. Keeper Security è un titolare del trattamento quando vende il proprio gestore di password direttamente ai consumatori; è invece un responsabile del trattamento quando vende alle aziende, che a loro volta sarebbero considerate i titolari del trattamento.

Il nostro impegno

Keeper si è adeguata al GDPR e si impegna a garantire ai suoi clienti nell'Unione Europea che le procedure aziendali adottate e i suoi prodotti continuino a essere conformi.

Il client per Web, l'app per Android, l'app per Windows Phone, l'app per iPhone/iPad e le estensioni per browser di Keeper hanno conseguito la certificazione di conformità al programma EU-U.S. Privacy Shield del Dipartimento del Commercio degli Stati Uniti, soddisfacendo i requisiti della direttiva della Commissione europea in materia di protezione dei dati. Keeper ha anche una certificazione di conformità SOC 2 Type 2 che rispetta i requisiti del Service Organization Control dell'AICPA. Keeper ha ottenuto anche la certificazione ISO 27001.

Rafforzamento dei diritti delle persone fisiche

Il GDPR fornisce un rafforzamento dei diritti delle persone fisiche nell'Unione Europea garantendo loro, tra l'altro, il diritto all'oblio e il diritto di richiedere una copia di qualsiasi dato personale memorizzato che li riguarda. Il dato deve essere in un formato leggibile da un comune dispositivo automatico e il titolare del trattamento non deve intromettersi nel trasferimento dei dati.

Obblighi di conformità

Il GDPR esige che le organizzazioni applichino politiche e protocolli di sicurezza adeguati, conducano valutazioni d'impatto sulla privacy, conservino registrazioni dettagliate delle attività che riguardano i dati e stipulino accordi scritti con i fornitori.

Rafforzamento dell'applicazione

Ai sensi del GDPR, le autorità possono multare le organizzazioni fino a 20.000.000 di Euro o fino al 4% del fatturato annuale complessivo di un'azienda (se superiore), in base alla gravità della violazione e dei danni causati. Inoltre, il GDPR fornisce un punto centrale di applicazione per le organizzazioni con presenza in più stati membri dell'UE, esigendo che le aziende lavorino con un'autorità di controllo capofila per le questioni transfrontaliere di protezione dei dati.

Nuovi requisiti per la profilazione e il monitoraggio

Il GDPR impone obblighi supplementari alle organizzazioni impegnate nella profilazione o nel monitoraggio del comportamento di persone fisiche nell'UE. Le disposizioni del GDPR si applicano globalmente a qualsiasi organizzazione che tratta dati personali di persone fisiche nell'Unione Europea, incluso il tenere traccia delle loro attività online, indipendentemente dal fatto se l'organizzazione abbia una presenza fisica nell'UE o no.

Notifica delle violazioni dei dati personali e sicurezza

Il GDPR esige che le organizzazioni denuncino le violazioni di alcuni dati alle autorità di protezione dei dati e, in determinate circostanze, agli interessati. Il GDPR ha inoltre disposto dei requisiti di sicurezza supplementari per le organizzazioni.

Accordo sul trattamento dei dati (DPA, Data Processing Agreement) di Keeper

La clientela Business potrebbe dover firmare un accordo sul trattamento dei dati (DPA) con Keeper Security per agevolare la conformità al GDPR. Siete invitati a richiedere tale accordo al vostro rappresentante di Keeper Security o a scrivere all'indirizzo e-mail business.support@keepersecurity.com.

Scarica l'accordo sul trattamento dei dati (DPA)

Domande frequenti

Cosa sta facendo Keeper Security per il GDPR?

Abbiamo collaborato con TrustArc, leader mondiale nell'ambito del rispetto delle norme sulla privacy, per identificare i cambiamenti nei nostri processi aziendali, nelle procedure in materia di privacy e nei prodotti necessari per assicurare la conformità al GDPR.

In quanto azienda basata sulla sicurezza zero-knowledge, il GDPR è strettamente allineato ai principali prodotti e servizi forniti da noi. Teniamo molto a conformarci alla legislazione internazionale e alla protezione della privacy dei nostri clienti.

Cosa significa "zero-knowledge"?

Keeper è un fornitore di servizi di sicurezza zero-knowledge. L'utente di Keeper è l'unica persona ad avere il pieno controllo sulla crittografia e sulla decrittografia dei propri dati. Con Keeper, la crittografia e la decrittografia avvengono solo sul dispositivo dell'utente dopo aver effettuato l'accesso alla propria cassetta di sicurezza. Ciascuna singola voce archiviata nella cassetta di sicurezza dell'utente è crittografata con una chiave AES a 256 bit che è generata in modo casuale sul dispositivo. Le chiavi sono protette da una chiave aggiuntiva, chiamata Chiave dati, la quale viene crittografata tramite una chiave ricavata sul dispositivo a partire dalla password principale dell'utente. Anche i dati non utilizzati archiviati nel dispositivo dell'utente sono crittografati, ma tramite un'altra chiave, la Chiave client. La sincronizzazione sicura delle voci tra i dispositivi dell'utente è anch'essa crittografata al livello di rete e trasmessa attraverso la Cloud Security Vault di Keeper. Questo modello di crittografia a più livelli fornisce il più avanzato servizio di protezione dei dati disponibile sul mercato.

Quali cambiamenti sta mettendo in atto Keeper Security per assicurare la propria conformità al GDPR?

Trattandosi di una piattaforma zero-knowledge, le informazioni archiviate nel nostro prodotto sono completamente crittografate e a disposizione esclusivamente dell'utente. Sono state apportate delle modifiche ai sistemi di analisi dei dati per garantire l'anonimato dei nostri clienti, oltre ad alcune modifiche per consentire agli utenti di controllare il proprio consenso sulle modalità di utilizzo o di memorizzazione di qualsiasi dato personale che possa essere raccolto.

Keeper è responsabile o titolare del trattamento?

Il GDPR identifica due entità che possono trattare i dati personali: il titolare del trattamento, che decide quali dati raccogliere e quale trattamento dei dati effettuare, e il responsabile del trattamento, che agisce sotto la direzione di un titolare del trattamento per raccogliere, memorizzare, recuperare e/o cancellare dati personali. Keeper Security è un titolare del trattamento quando vende il proprio gestore di password direttamente ai consumatori; è invece un responsabile del trattamento quando vende alle aziende, che a loro volta sarebbero da considerare i titolari del trattamento.

Come posso esportare i miei dati personali?

Per esportare i propri dati, accedere alla cassetta di sicurezza Web di Keeper all'indirizzo https://keepersecurity.com/vault e fare clic su "Altro >> Backup >> Esporta". È possibile scaricare le proprie informazioni memorizzate nei formati CSV o PDF. In caso di account scaduto, contattare il team di supporto all'indirizzo support@keepersecurity.com per ricevere assistenza durante l'accesso alla propria cassetta di sicurezza.

Come posso richiedere la cancellazione dei miei dati?

Scrivere all'indirizzo e-mail support@keepersecurity.com e fornire l'indirizzo e-mail associato al proprio account Keeper.

Dove sono memorizzati i miei dati?

Keeper gestisce centri dati in diverse zone degli Stati Uniti e dell'Irlanda. La clientela Business può scegliere per la propria soluzione Keeper il centro dati statunitense o quello europeo. Gli utenti privati che si registrano attraverso la cassetta di sicurezza Web di Keeper negli Stati Uniti (https://keepersecurity.com/vault), su applicazione mobile o desktop, verranno assegnati come condizione predefinita al centro dati statunitense. Per gli utenti che si registrano direttamente sulla cassetta di sicurezza Web europea (https://keepersecurity.eu/vault), le informazioni personali saranno memorizzate nel centro dati europeo.

Come posso trasferire i miei dati dal centro dati statunitense al centro dati europeo?

Scrivere all'indirizzo e-mail support@keepersecurity.com per ricevere istruzioni e assistenza per un trasferimento dati di questo tipo.

In che modo Keeper Security agevola il raggiungimento della conformità al GDPR?

Architettura zero-knowledge e sicurezza: il gestore di password di Keeper è stato creato sul concetto secondo cui il singolo utente è l'unica persona che può accedere ai propri dati. Ciò si allinea perfettamente ai principi del GDPR e ai requisiti in materia di protezione dei dati. La crittografia è interamente realizzata sul dispositivo (o i dispositivi) del singolo utente. I dati vengono crittografati in transito con Transport Layer Security (TLS) e memorizzati sotto forma di testo cifrato crittografato con AES-256. Dato che i dati e le chiavi di crittografia sono separati, nessun dipendente di Keeper potrà mai accedere ai dati del cliente archiviati nella propria cassetta di sicurezza. Come previsto dall'articolo 34, se i dati archiviati nella cassetta di sicurezza di Keeper venissero violati, il testo cifrato risulterebbe inutile per i responsabili della violazione e pertanto non sarebbe necessaria alcuna notifica.

Oltre ai consueti test e alle revisioni sulla sicurezza, Keeper viene sottoposta ogni anno ai test per le certificazioni SOC 2 Type 2 e ISO 27001.

Keeper utilizza la solida infrastruttura cloud AWS di Amazon in diverse località geografiche per ospitare e gestire la cassetta di sicurezza di Keeper. I dati a riposo e in transito vengono completamente isolati nel centro dati globale preferito dal cliente. In altre parole, i dati europei rimangono nell'UE. Questo fornisce ai clienti il più veloce e sicuro cloud storage.

Nessun trattamento supplementare: Keeper non estrapolerà mai i dati dei clienti memorizzati nella cassetta di sicurezza per alcun motivo. In primo luogo, il rispetto della privacy dei clienti occupa una posizione centrale nella politica di Keeper. In secondo luogo, ciò sarebbe tecnicamente impossibile per via dell'architettura zero-knowledge. Ciò è in linea con i principi del GDPR relativi alle misure tecniche e organizzative messe in atto per proteggere i dati personali.

Controllo dei dati: i clienti possono esportare i propri dati (nei formati CSV o PDF), modificare o cancellare le voci memorizzate nella propria cassetta di sicurezza in qualsiasi momento. Questo consente di rispettare i requisiti del GDPR in base al quale i dati personali possono essere trasferiti o cancellati non appena l'uso previsto sia stato soddisfatto, il consenso sia stato ritirato o le finalità aziendali legittime cambino. Dato che gli interessati possono utilizzare la propria cassetta di sicurezza di Keeper autonomamente, il titolare del trattamento è sollevato da un peso significativo nella conformità al GDPR. I dati sono crittografati in modo tale che soltanto l'interessato possa accedervi, per cui se nessun dipendente è in grado di vederli, tanto meno avrà la necessità di accedervi.

Controllo degli accessi in base al ruolo: il concetto di sicurezza in base al principio del privilegio minimo significa che i dipendenti dovrebbero avere accesso soltanto alla minima quantità di dati necessaria per il loro lavoro. Il più delle volte questo viene realizzato con il controllo degli accessi in base al ruolo (RBAC, role-based access control).

Keeper collabora con Microsoft Active Directory (AD) per sincronizzare i nodi (unità organizzative), i team e gli utenti. Una volta collegato, Keeper abilita il controllo degli accessi in base al ruolo per qualsiasi nodo. Tali controlli possono essere messi in cascata ai nodi di livello inferiore, se lo si desidera. I controlli sulle cassette di sicurezza di Keeper includono la forza della password principale, il tempo di rotazione, i requisiti dell'Autenticazione a 2 fattori, l'inserimento degli indirizzi IP nell'elenco elementi consentiti e altri elementi. Keeper blocca gli account che sono stati chiusi in AD e li trasferisce ad amministratori fidati; ciò fornisce agli amministratori IT il controllo degli account e delle risorse con dati di tutta l'organizzazione.

Informazioni amministrative e controlli: Keeper Enterprise fornisce informazioni dettagliate sulla forza delle password dei dipendenti, sul riutilizzo e sull'utilizzo dell'Autenticazione a due fattori. Keeper fornisce dei registri di controllo completi di data e orari nonché filtri per consentire ricerche rapide di anomalie, cattivo comportamento, scienza forense o segnalazioni relative alla conformità.