Trust Center
Information Security
I data center sono protetti in conformità ai requisiti attuali, come l’ISO27001, BSI basic protection e il BSI C5 catalog. Questo include misure fisiche e organizzative.
Ulteriori informazioni sono disponibili in questi link:
- Encryption:
Tutte le trasmissioni di dati sono cifrate tramite SSL, sia durante la trasmissione tra l’utente e il servizio SaaS, sia sulle interfacce tecniche. - Access control:
L’implementazione di controlli e metodi di accesso rigorosi, come l’accesso ssh solo con chiave, garantisce che solo utenti autorizzati possano accedere a sistemi e dati. È stato stabilito un principio di “need to know”. - Regular security updates:
Tutti i sistemi, i framework e i componenti software vengono aggiornati nell’ambito della manutenzione e secondo necessità, al fine di chiudere le falle di sicurezza e ridurre al minimo i potenziali punti di attacco. - Firewalls:
Le regole dei firewall non consentono traffico dati non intenzionale. - Monitoring and documentation:
Il traffico di rete viene monitorato continuamente e le attività vengono registrate per individuare e reagire ad attività sospette o insolite. - Data separation and isolation:
I dati tra clienti diversi sono separati per garantire che altri dati non possano essere accessibili compromettendo un singolo sistema.
Per proteggere le connessioni dati vengono utilizzati protocolli basati su SSL, come https o connessioni SMTP o IMAP protette tramite TLS. L’accesso al sistema è consentito tramite ssh. Le e-mail possono essere cifrate end-to-end tramite PGP o S/Mime. Se necessario, è possibile configurare facilmente la cifratura del disco rigido.
I componenti principali sono progettati in modo ridondante o configurati come cluster. Per tutte le istanze SaaS viene creato un backup giornaliero e archiviato in modo geo-ridondante su server sicuri non accessibili da Internet. Le istanze possono essere ripristinate entro il periodo definito contrattualmente. Il disaster recovery viene testato regolarmente in modo automatico.
- Considerazione dei potenziali rischi e delle minacce alla sicurezza a partire dalla fase di pianificazione e progettazione, lungo l’intero processo di sviluppo.
- La consapevolezza in materia di sicurezza viene mantenuta aggiornata nel team di sviluppo tramite corsi di formazione e sessioni periodiche di training.
- Vengono adottate linee guida di secure code, come le OWASP Secure Coding Practices.
- Controlli regolari, ad esempio delle librerie utilizzate e code review, aiutano a identificare ed eliminare tempestivamente potenziali falle di sicurezza.
- Una rigorosa separazione tra sistemi di sviluppo, staging, test e produzione impedisce la divulgazione accidentale di dati sensibili.
- Per verificare vulnerabilità dinamiche, OTRS utilizza strumenti esterni per il monitoraggio continuo e dinamico delle applicazioni core rispetto ai rischi di sicurezza comuni delle applicazioni web.
- Ecco in breve i dettagli della nostra “Vulnerability Disclosure Policy”: VDP.
OTRS offre, tra le altre cose:
- Password policy
- SSO tramite SAML
- Autenticazione a due fattori configurabile
- Memorizzazione sicura delle password con algoritmi sicuri, come SHA2 o Blowfish
- Controllo dei diritti di accesso tramite un concetto di autorizzazione basato sui ruoli
- Gestione dei certificati per https ed e-mail
- Filtro IP
- SPF, DKIM e DMARC
- PGP e S/Mime per le e-mail
Alcune opzioni sono disponibili solo per OTRS SaaS.
I dipendenti del Gruppo OTRS vengono sensibilizzati sui temi della sicurezza e sulle normative di conformità relative al trattamento dei dati personali. Ciò avviene tramite formazione sugli argomenti sopra menzionati e sui servizi tecnici. Tutti i dipendenti sono obbligati a mantenere riservatezza e segretezza in conformità alle linee guida e alle leggi applicabili e vengono formati nelle aree della protezione dei dati e della sicurezza dei dati tramite test interni.
Data Security
Lei Geral de Proteção de Dados Pessoais („LGPD“) – Brasile
La legge brasiliana sulla protezione dei dati, nota anche come Lei Geral de Proteção de Dados Pessoais (“LGPD”), è entrata in vigore il 18 settembre 2020. La LGPD è una legge completa sulla protezione dei dati che regola le attività dei titolari (controllers) e dei responsabili del trattamento (processors), nonché i diritti degli interessati (data subjects).
I clienti OTRS che raccolgono e conservano dati personali in OTRS possono essere classificati come “titolari del trattamento” (controllers) ai sensi della legge brasiliana sulla protezione dei dati (LGPD). I titolari del trattamento hanno la responsabilità principale di garantire che il loro trattamento di dati personali sia conforme alle leggi pertinenti in materia di protezione dei dati, inclusa la LGPD. OTRS agisce come “responsabile del trattamento” (processor) in relazione al trattamento dei dati personali tramite i Servizi forniti, come definito nella LGPD.
California Consumer Privacy Act (CCPA) e California Privacy Rights Act (CPRA)
Il California Consumer Privacy Act, Cal. Civ. Code §§ 1798.100 et seq. (“CCPA”), è una legge statunitense approvata dallo Stato della California ed in vigore dal 1° gennaio 2020. Disciplina i diritti alla privacy riconosciuti a determinati consumatori californiani e richiede che alcune aziende rispettino diversi requisiti di privacy. Si prega di leggere anche i Regolamenti CCPA e il California Privacy Rights Act (CPRA). Alcune disposizioni del CPRA sono diventate efficaci il 16 dicembre 2020 e le restanti disposizioni del CPRA sono diventate efficaci il 1° gennaio 2023.
OTRS non “vende” alcuna informazione personalmente identificabile dei propri clienti o agenti, come definito dal CCPA. Potremmo condividere con terze parti informazioni aggregate e/o anonimizzate sull’uso dei Servizi, che non sono considerate Informazioni Personali ai sensi del CCPA, per aiutarci a sviluppare e migliorare i Servizi e a fornire ai nostri clienti contenuti e offerte di servizio più pertinenti, come stabilito nei nostri contratti.
Regolamento generale UE sulla protezione dei dati (GDPR)
Questo approccio include il supporto ai nostri clienti in relazione alla conformità ai requisiti UE in materia di protezione dei dati, come quelli stabiliti nel GDPR (“DSGVO”).
Se un abbonato raccoglie, trasferisce, ospita o analizza dati personali di cittadini UE, il GDPR richiede che l’abbonato utilizzi responsabili del trattamento esterni in grado di garantire la loro capacità di implementare i requisiti tecnici e organizzativi previsti dal GDPR. Come ulteriore misura di rafforzamento della fiducia in relazione al GDPR, il nostro Accordo sul trattamento dei dati (“DPA”) è stato aggiornato per fornire ai nostri clienti garanzie contrattuali riguardo alla normativa UE applicabile in materia di protezione dei dati e all’implementazione di ulteriori disposizioni contrattuali richieste dal GDPR.
Richieste da parte degli interessati:
Un individuo che desideri esercitare i propri diritti in materia di protezione dei dati in relazione ai dati personali archiviati o trattati da noi per conto di uno dei nostri abbonati come parte dei dati di servizio dell’abbonato (inclusa la richiesta di accesso, correzione, modifica, cancellazione, trasferimento o limitazione del trattamento di tali dati personali) dovrebbe indirizzare tale richiesta ai nostri clienti (i titolari del trattamento). Al ricevimento di una richiesta da parte di uno dei nostri clienti di cancellare dati personali da OTRS, risponderemo a tale richiesta entro trenta (30) giorni. Conserviamo i dati personali che trattiamo e memorizziamo per conto dei nostri clienti per il tempo necessario a fornire i servizi ai nostri clienti.
Data Protection Officer:
Il Responsabile della protezione dei dati (DPO) di OTRS può essere contattato all’indirizzo aumiller@iitr.de o dataprivacy@otrs.com.
Personal Data Protection Act di Singapore (PDPA)
Il Personal Data Protection Act di Singapore stabilisce disposizioni di legge che regolano la raccolta, l’uso e la divulgazione dei dati personali a partire dal 2 luglio 2014. OTRS è un intermediario dei dati riconosciuto dalla Infocomm Development Authority of Singapore (IDA) nella sua capacità di fornitore “Software-as-a-Service” (“SaaS”).
GDPR e Brexit
Il Regno Unito ha lasciato l’Unione Europea il 31 gennaio 2021. Il 28 giugno 2021, la Commissione Europea ha adottato decisioni di adeguatezza per il trasferimento di dati personali nel Regno Unito ai sensi del GDPR.
Puoi concludere e/o visualizzare il contratto DPA di OTRS su portal.otrs.com/externalhttps://portal.otrs.com/external/c/data-processing-documents
Il DPA di OTRS copre le specifiche procedure di trattamento dei dati e le misure di sicurezza applicabili ai nostri servizi e include le nuove Clausole Contrattuali Standard UE (“EU SCCs”).
Se devi aggiornare il tuo DPA OTRS esistente per includere le nuove EU SCCs e l’allegato UK (UK Annex), ma non desideri stipulare un nuovo DPA, puoi visualizzare e/o firmare l’OTRS Data Transfer Annex su https://portal.otrs.com/external/c/data-processing-documents
Qui trovi la nostra Privacy Policy dettagliata.
I nostri clienti possono visualizzare tutti i dettagli e i documenti contenenti informazioni sul trattamento dei loro dati all’interno del portale clienti OTRS.
Tutti i fornitori di servizi esterni vengono regolarmente auditati da OTRS in conformità agli standard legali applicabili. Tutti i fornitori che lavorano con noi, in particolare quelli che possono accedere ai nostri dati o sistemi, rispettano le linee guida vigenti.
Se hai domande o commenti, contattaci presso:
security@otrs.com o datenschutz@otrs.com