Il DPA di Zscaler è disponibile all'indirizzo zscaler.it/privacy/dpa.In caso di domande sul DPA, puoi rivolgerti al tuo responsabile Zscaler di riferimento o inviare un'e-mail all'indirizzo: [email protected].

2. Perché Zscaler raccoglie e utilizza i miei dati personali?

I nostri prodotti consentono ai nostri clienti di garantire ai loro utenti autorizzati un accesso diretto e sicuro a Internet o ad applicazioni specifiche, da qualsiasi luogo e da qualsiasi dispositivo.Utilizzano quindi alcune informazioni personali, come l'identità basata sul contesto, per garantire ai clienti di potersi difendere dalle intrusioni e di poter autenticare le richieste di accesso dei loro utenti autorizzati.

3. Quali sono i dati personali raccolti da Zscaler?

Zscaler archivia una quantità limitata di dati personali (ad es. indirizzi IP, URL, ID utente, gruppi di utenti e reparti dalle directory aziendali) e non elabora o archivia alcuna categoria speciale o sensibile di dati personali (ad es. informazioni sensibili sulle carte di credito o sanitarie).

Per maggiori informazioni, puoi consultare l'Allegato A del nostro DPA, che è disponibile qui.

5. In che modo Zscaler ottempera alle responsabilità contrattuali dell'azienda in qualità di responsabile del trattamento dati ai sensi dell'RGPD?

In qualità di responsabile del trattamento dei dati, Zscaler elaborerà solamente i dati personali per conto del titolare del trattamento e previa autorizzazione scritta da parte di quest'ultimo (ovvero mediante un contratto o un ordine; i dettagli di tali istruzioni sono specificati nel DPA)

Inoltre, stipuliamo accordi scritti con i nostri responsabili secondari e rimaniamo responsabili degli atti e delle omissioni di questi ultimi.Le nostre attività di due diligence prevedono inoltre la verifica che i medesimi preservino la conformità alle normative sulla protezione dei dati.

6. Zscaler impiega responsabili secondari per fornire i propri servizi?

Sì. Come accade per ogni fornitore di servizi cloud, Zscaler impiega dei subincaricati per erogare i propri servizi. Tuttavia, nessuno dei dati condivisi con gli stessi viene utilizzato per altri scopi, come la pubblicità di terzi. Zscaler adotta una politica di due diligence sulle pratiche di sicurezza e privacy dei suoi subincaricati per garantire che i medesimi abbiano un livello di sicurezza e privacy adeguato, in base al loro accesso ai dati dei clienti (che possono includere i Dati personali) e al tipo di servizi che forniscono. Zscaler richiede agli stessi di sottoscrivere impegni contrattuali per iscritto in modo da fornire un'adeguata protezione e riservatezza dei dati, in conformità alle politiche sulla privacy di Zscaler.

Per consultare un elenco aggiornato dei nostri responsabili secondari del trattamento, fai clic qui.

7. Zscaler archivia i dati personali dei clienti?

Per la maggior parte dei servizi e dei prodotti di Zscaler, il contenuto delle transazioni HTTP, HTTPS e non-HTTP (che include ogni parte materiale della richiesta, come messaggi, file, ecc.) non viene mai archiviato da Zscaler o scritto su disco. Tutte le ispezioni vengono effettuate nella memoria.

Per i clienti che ordinano Zscaler Cloud Sandbox, Zscaler registra i contenuti dannosi su un disco di archiviazione. Tuttavia, sono i clienti a decidere quali file inviare alla sandbox di Zscaler (in base al tipo di file, alla categoria di URL, all'utente/gruppo, ecc.).

Per Zscaler Client Connector, i clienti possono abilitare o disabilitare a livello globale l'acquisizione di pacchetti tramite le policy stabilite con Zscaler e di eliminarne i log dal PC portatile, desktop o dispositivo mobile personale interessato.

I Registri delle transazioni del cliente (Registri del cliente) non vengono mai archiviati come testo in chiaro e vengono indicizzati, compressi e tokenizzati nel momento in cui vengono generati; questo significa che, come identificativo, nel registro viene impiegato un token, e non il nome utente. Pertanto, gli unici identificativi che rimangono nel registro sono relativi a informazioni innocue, come il gruppo AD, l'indirizzo IP o la sede dell'ufficio.Ciò garantisce che un singolo Registro del cliente sia privo di significato senza una stringa completa di Registri storici e l'accesso agli indici archiviati nella Central Authority (CA) di Zscaler.Quando un utente privilegiato (come l'amministratore di un cliente) desidera tradurre in chiaro i registri, il nostro sistema sostituisce nuovamente il nome utente con il token prima di mostrare o rendere i registri disponibili per il download.Perciò, anche con l'accesso ai dati archiviati, i dati personali non possono essere ottenuti senza che l'interfaccia utente di Zscaler riunisca le informazioni dai Registri del cliente e dalla CA.

8. Dove vengono elaborati i miei dati?

Zscaler elaborerà i dati degli utenti, tokenizzati e cifrati, in uno degli oltre 150 data center globali che gestisce, il più vicino possibile agli utenti del cliente; questo significa che il cliente avrà il controllo su quali data center utilizzare e quali non utilizzare a seconda di dove sono collocati gli utenti (ad esempio, data center dell'UE per gli utenti in UE, data center degli Stati Uniti per gli utenti in USA).Se un utente dell'UE si reca negli Stati Uniti, Zscaler elaborerà i suoi dati personali dal data center più vicino situato negli Stati Uniti. I data center non sono responsabili secondari del trattamento, ma strutture colocalizzate (cioè spazi rack in locazione) dove Zscaler controlla in ogni momento l'elaborazione.

Anche se gli utenti del cliente si trovassero solo in UE, Zscaler offre servizi di supporto globale non solo dall'UE, ma anche da USA, India e Costa Rica (solo per alcune aziende con sede negli USA), per garantire la copertura 24 ore al giorno, 7 giorni su 7, 365 giorni all'anno. Questa è una pratica comune per la maggior parte dei fornitori cloud.

9. Cosa sono i Registri del cliente?

I Registri del cliente sono le registrazioni dei metadati del traffico di rete, raccolte e memorizzate per ogni singola transazione. Gli amministratori possono accedere ed esaminare questi registri tramite il Portale di amministrazione per autenticare le richieste web degli utenti dei clienti. I Registri del cliente includono vari campi, che possono contenere anche dati personali, come il Titolare del dispositivo, l'Utente, il Nome dell'host, ecc.

Zscaler offre ai clienti la possibilità di archiviare i propri Registri solo in UE e in Svizzera, indipendentemente dal luogo in cui avviene l'elaborazione globale dei dati.I nostri clienti possono definire questa scelta con Zscaler in fase di distribuzione.

10. Zscaler si impegna ad avvisare gli utenti in caso di modifica dell'informativa?

In caso di modifiche significative apportate alla nostra Informativa sulla privacy, i clienti saranno informati via e-mail e/o tramite un avviso pubblicato sul Sito web di Zscaler prima dell'entrata in vigore delle stesse.L'utilizzo del Sito web, dei Contenuti o dei Prodotti dopo la pubblicazione di tali modifiche rappresenta una manifestazione di consenso alle modifiche apportate.

11. Zscaler informa gli utenti in caso di violazioni dei dati?

Nel caso in cui Zscaler venga a conoscenza di una violazione dei dati, i clienti interessati riceveranno una notifica di conferma dell'incidente senza alcun ritardo ingiustificato.Zscaler adotterà misure ragionevoli per (a) identificare la causa dell'Incidente di sicurezza e (b) intraprendere tutte le azioni necessarie e idonee per rimediare alla causa di tale Incidente di sicurezza, nella misura in cui tale rimedio rientri ragionevolmente sotto il controllo di Zscaler.

12. In relazione al trasferimento dei dati personali al di fuori dell'UE, qual è il quadro giuridico approvato a cui Zscaler fa riferimento?

Per fornire i suoi servizi, Zscaler elabora i dati personali in tutto il mondo attraverso la sua rete di oltre 150 data center. In base a quanto stabilito dall'RGPD, il trasferimento dei dati personali al di fuori dell'UE deve essere protetto da un quadro normativo approvato, come le Clausole contrattuali standard dell'UE. Pertanto, per quanto concerne i trasferimenti di dati personali al di fuori dell'UE, della Svizzera o del Regno Unito, Zscaler aderisce alle Clausole contrattuali standard dell'UE e agli addenda pertinenti.

Alcune delle modalita' secondo cui garantiamo la protezione dati in base alle Clausole contrattuali standard dell'UE sono:

• Trattamento dei dati personali unicamente per conto dei nostri clienti e in base alle loro istruzioni.

• Implementazione di misure di sicurezza tecniche e organizzative, come specificato nel DPA, prima del trattamento dei dati personali. Ad esempio, la tokenizzazione è uno dei metodi per proteggere i Registri del cliente.

• Notifica ai nostri clienti di qualsiasi richiesta legalmente vincolante di trasmissione dei dati personali presentata dalle autorità, salvo nel caso in cui tale comunicazione sia vietata da norme specifiche.

• Archiviazione dei registri esclusivamente in UE (Germania, Paesi Bassi) e Svizzera per i nostri clienti che distribuiscono i nostri prodotti per la prima volta.

• Verifica che i nostri clienti prestino il consenso all'impiego di responsabili secondari del trattamento dei dati e che questi ultimi offrano una protezione equivalente dei dati che elaborano per nostro conto.

• Nel rispetto di determinati requisiti e controlli messi in atto da Zscaler e previa comunicazione scritta, consentiamo ai nostri clienti e partner di eseguire audit e ispezioni automatiche annuali del nostro cloud.

• Impegno a garantire la continua conformità alle Clausole contrattuali standard dell'UE e a implementare qualsiasi ulteriore misura legale necessaria entro un termine ragionevole.

• Impegno a implementare misure di riservatezza per garantire la protezione dei dati personali.

Per ulteriori dettagli, consulta il nostro Accordo sul trattamento dei dati (DPA).

Pur basandoci sulle Clausole contrattuali standard nel nostro DPA standard, Zscaler ha scelto di eseguire una autocertificazione per i Privacy Shield Framework UE-USA e Svizzera-USA gestiti dal Dipartimento del commercio degli Stati Uniti ("Privacy Shield").Zscaler rispetta i principi del Privacy Shield in materia di Notifica, Scelta, Responsabilità per il trasferimento successivo, Sicurezza, Integrità dei dati e Limitazione dello scopo, Accesso e Ricorso, Applicazione e Responsabilità.

13. Quali misure adotta Zscaler per proteggere i miei dati personali?

Zscaler aderisce a rigorosi standard di sicurezza, disponibilità, riservatezza e privacy, in modo che i clienti possano affidarsi serenamente ai nostri servizi.

Il nostro team che si occupa di conformità garantisce che tutti i prodotti di Zscaler siano certificati e in linea con gli standard e le linee guida governative e commerciali riconosciute a livello internazionale, per rafforzare la fiducia dei clienti offrendo soluzioni sempre aggiornate.

Zscaler è un'azienda certificata secondo gli standard ISO 27001 e System and Organization Controls (SOC) 2 Tipo II, ed è sottoposta a verifica annuale da una terza parte indipendente per garantire la continua conformità a tali certificazioni.Zscaler testa e valuta periodicamente l'efficacia delle proprie misure di sicurezza.Su richiesta scritta, e previa adozione di adeguate misure di protezione della riservatezza, Zscaler può fornire ai clienti una copia del proprio certificato ISO 27001 più recente e/o di un report SOC 2 Tipo II.

Per saperne di più sulle nostre numerose certificazioni in materia di privacy e sicurezza, fai clic qui.

14. In che modo l'abilitazione dell'ispezione SSL rispetta i requisiti di sicurezza e conformità rispetto alle normative sulla privacy?

Abilitare l'ispezione SSL non cambia la quantità limitata di dati elaborati o archiviati da Zscaler. Il suo scopo è quello di consentire ai nostri clienti di rispettare i propri obblighi in base all'Articolo 32 dell'RGPD fornendo un adeguato livello di sicurezza per il trattamento dei dati personali. Sebbene l'utilizzo dell'ispezione SSL abbia delle implicazioni per l'azienda, la privacy e la sicurezza che i nostri clienti devono prendere in considerazione, è necessario considerare anche l'obbligo di garantire che i diritti di ogni singolo dipendente del cliente vengano tutelati da minacce e attacchi. Perciò, piuttosto che una minaccia per la privacy, l'ispezione SSL dev'essere considerata uno strumento a supporto della conformità di un'organizzazione in materia di privacy.

Zscaler offre funzionalità complete di ispezione TLS/SSL per proteggere i dati dei clienti dalle minacce nascoste nel traffico cifrato. Una volta completata l'ispezione, il flusso dei dati procede senza ostacoli, e nessun record dei dati di origine è preservato, se non il log della transazione stessa.

15. Come posso esercitare il mio diritto di accesso, correzione ed eliminazione dei dati personali?

Zscaler dispone di una procedura interna per rispondere alle richieste degli interessati.Tuttavia, è importante ricordare che in qualità di titolare del trattamento dei dati, il nostro cliente è responsabile della revisione e della convalida delle richieste e dell'invio di un ticket di assistenza a Zscaler.Una richiesta relativa ai dati può essere effettuata solo se il soggetto interessato (generalmente un dipendente o utente del cliente) ha inoltrato tale richiesta al nostro cliente.Se una richiesta relativa ai dati viene inviata direttamente a Zscaler, il mittente verrà reindirizzato al nostro cliente, che dovrà verificare la richiesta e rispondere.

I clienti che necessitano di ulteriore supporto possono inviare un'e-mail all'indirizzo: [email protected].

16. Per quanto tempo verranno conservati i miei dati da Zscaler?

Trattiamo e conserviamo i Dati personali solo per il periodo necessario a raggiungere lo scopo della conservazione stessa o secondo quanto consentito dalla legge.Il criterio utilizzato per determinare il periodo di conservazione delle informazioni è il rispettivo periodo di conservazione legale.Se non più necessarie per l'adempimento di un contratto, decorso tale periodo, le informazioni corrispondenti vengono eliminate di routine.

17. Zscaler dispone di un organo esecutivo responsabile dei rischi legati alla privacy e alla sicurezza dei dati?

Sì, il consiglio di amministrazione di Zscaler ha la responsabilità di supervisionare tutti i rischi aziendali, compresi quelli per la privacy.Il CdA delega parte di tale responsabilità a comitati permanenti che riferiscono all'intero Consiglio.Il Comitato di revisione e il Comitato per le nomine e la governance societaria sono incaricati di supervisionare i rischi per la privacy e le minacce alla sicurezza informatica.

18. Zscaler dispone di un responsabile della conformità e della protezione dei dati/privacy?

Sì, il nostro Team per la privacy ha il compito di garantire che Zscaler ottemperi alle leggi sulla protezione dei dati e che non incorra nei rischi a cui sono soggette le organizzazioni che elaborano dati personali.I membri del Team per la privacy sono esperti dell'organizzazione e rappresentano l'anello di congiunzione tra il pubblico e Zscaler in materia di trattamento dei dati personali.Tale Team è l'organo a cui vengono indirizzate le domande relative alla protezione dei dati, e i suoi membri sono professionisti della privacy certificati (CIPP, Certified Information Privacy Professionals).A livello generale, il Vice Presidente delle Operazioni Cloud (VP of Cloud Operations) è responsabile del monitoraggio della conformità rispetto all'Informativa.

19. I dipendenti e i collaboratori sono stati istruiti sui rischi e le procedure in materia di sicurezza dei dati e/o privacy?

La privacy è fondamentale per Zscaler.Per questo chiediamo ai nostri dipendenti e collaboratori di completare un percorso formativo sulla privacy e sulla sicurezza durante il loro processo di assunzione e di seguire annualmente corsi di aggiornamento.

20. Come ottempera Zscaler alle leggi sulla privacy a livello globale?

Zscaler si impegna a preservare la conformità e monitora attentamente lo sviluppo della legislazione e dei regolamenti sulla privacy nei vari Paesi.Per ulteriori informazioni su come Zscaler ottempera alle varie normative sulla privacy, visita zscaler.it/privacy/global-privacy-laws.

Per ulteriori dettagli sui trasferimenti internazionali di dati, visita zscaler.it/privacy/international-data-transfer-policy.

21. Zscaler memorizza il mio numero di telefono?

Zscaler può utilizzare una piattaforma di autenticazione unificata, il che significa che può memorizzare il numero di telefono dell'utente nel processo di autenticazione a più fattori.

Come utilizziamo il numero di telefono:

1. Zscaler non utilizza questi numeri di telefono per l'invio di messaggi promozionali.
2. Zscaler non utilizza questi numeri di telefono per effettuare telefonate a scopo di marketing.
3. Zscaler utilizza questi numeri di telefono solo per l'invio di una OTP (one-time password) sicura quando l'utente finale si autentica nei nostri sistemi.

22. A chi devo rivolgermi in caso di domande?

Puoi inviarci un'e-mail a [email protected].

Consulta la nostra Panoramica sulla privacy

Domande frequenti

Introduzione

1. Dove posso trovare l'Accordo sul trattamento dei dati (DPA) di Zscaler?