Domande frequenti
Abbiamo riunito le seguenti Domande Frequenti per rispondere alle domande più comuni che riceviamo dai nostri clienti e partner riguardo la nostra piattaforma.
(1) Quali dati personali vengono archiviati e/o elaborati da Zscaler?
Zscaler archivia una quantità limitata di dati personali (ad es. indirizzi IP, URL, ID utente, gruppi di utenti e reparti dalle directory aziendali) e non elabora o archivia alcuna categoria speciale o sensibile di dati personali (ad es. carte di credito o informazioni sanitarie confidenziali). Inoltre, i clienti hanno l'opzione di offuscare il proprio ID utente per impedirne la visualizzazione da parte dei propri amministratori.
Il personale di Supporto di Zscaler non accederà ai dati personali dei clienti, a meno che non riceva l'autorizzazione esplicita dal cliente stesso.
Per la maggior parte dei servizi e prodotti di Zscaler, il contenuto delle transazioni HTTP, HTTPS e non-HTTP non viene mai archiviato da Zscaler o scritto su disco: qualsiasi ispezione viene effettuata nella memoria.
Per i clienti che richiedono il prodotto cloud sandbox di Zscaler, il contenuto dannoso viene registrato su un disco di archiviazione; tuttavia, i clienti possono decidere quali file vengono inviati alla sandbox di Zscaler (in base a tipo di file, categoria URL, utente/gruppo, ecc.).
Per Zscaler Client Connector, i clienti sono in grado di abilitare o disabilitare a livello globale l'acquisizione di pacchetti tramite policies Zscaler e cancellarne i registri dal PC portatile, desktop, o dispositivo mobile personale applicabile.
I registri delle transazioni dei clienti (Registri del cliente) non vengono mai archiviati come testo in chiaro e vengono indicizzati, compressi e tokenizzati nel momento in cui vengono generati, il che garantisce che un singolo Registro-cliente sia privo di significato senza una stringa completa dello storico di Registri del cliente e l'accesso agli indici archiviati nella Central Authority (CA) di Zscaler. Perciò, anche con l'accesso ai dati archiviati, i dati personali non possono essere derivati senza l'interfaccia utente di Zscaler, che riunisce le informazioni dai Registri-cliente e dalla CA.
(2) In che modo Zscaler garantisce contrattualmente la propria conformità all'RGPD?
In qualità di responsabile del trattamento dei dati, Zscaler elaborerà solamente i dati personali per conto del titolare del trattamento e previa autorizzazione scritta da parte di quest'ultimo (ovvero mediante un contratto o un ordine, con i dettagli di tali istruzioni specificati nell'Accordo per il trattamento dei dati personali).
Per ulteriori informazioni sull'Accordo per il trattamento dei dati personali di Zscaler, visita www.zscaler.com/privacy/dpa
Inoltre, abbiamo stipulato accordi scritti in conformità ai requisiti dell'articolo 28(4) dell'RGPD con tutti i responsabili secondari del trattamento e rimaniamo responsabili degli atti e delle omissioni da parte degli stessi. Le nostre attività di due diligence prevedono inoltre la verifica che i medesimi mantengano la propria conformità alle leggi sulla protezione dei dati.
(3) In che modo Zscaler protegge i dati personali elaborati e/o archiviati?
Zscaler implementa delle misure di sicurezza fisiche, tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, in conformità con le norme dell'articolo 32 dell'RGPD. Zscaler è un'azienda certificata secondo gli standard ISO 27001 e System and Organization Controls (SOC) 2, Tipo II, ed è sottoposta a verifica annuale da una terza parte, per garantire la continua conformità rispetto a tali certificazioni. Zscaler testa e valuta periodicamente l'efficacia delle proprie misure di sicurezza. Su richiesta scritta, e adottando adeguate misure di protezione della riservatezza, Zscaler può fornire al Cliente una copia del proprio certificato ISO 27001 e/o SOC 2, Tipo II, più recente. Per ulteriori informazioni, visita [link to compliance page]
(4) Zscaler è in grado di fornire servizi solamente dall'Unione Europea (UE)?
No. Poiché Zscaler è una società con sede negli Stati Uniti che fornisce una piattaforma cloud globale, per fornire i propri servizi, Zscaler elabora dati personali in tutto il mondo attraverso la sua rete di oltre 150 data center.
Zscaler elabora i dati personali sul data center più vicino all'ubicazione degli utenti del cliente (ad es. un data center nell'UE per gli utenti europei e un data center negli Stati Uniti per gli utenti statunitensi). Nel caso in cui un utente europeo sia in viaggio negli Stati Uniti, Zscaler elaborerà i dati personali di quest'ultimo dal data center più vicino, che in questo caso sarà quello situato negli Stati Uniti.
Anche se gli utenti del cliente si trovano solo nell'UE, Zscaler offre servizi di supporto globale non solo dall'UE, ma anche dagli U.S.A., India e Costa Rica (solo per alcune aziende con sede negli U.S.A.) per garantire la copertura 24 ore al giorno, 7 giorni su 7, 365 giorni all'anno. Questa è una pratica comune per la maggior parte dei fornitori cloud.
Ciononostante, e diversamente da molti altri fornitori cloud, Zscaler offre ai propri clienti l'opzione di archiviare i propri Registri-cliente solo nell'UE e in Svizzera, indipendentemente da dove viene eseguita l'elaborazione globale dei dati. I nostri clienti possono selezionare questa opzione con Zscaler in fase di distribuzione.
(5) Zscaler accede ai dati personali o li trasferisce al di fuori dell'UE?
Sì. Zscaler elabora i dati personali in tutto il mondo tramite la propria rete di oltre 150 data center per fornire i propri servizi.
In base al GDPR, il trasferimento di dati personali al di fuori dell'UE deve essere protetto da un quadro legale approvato, come le Clausole contrattuali standard dell'UE. Zscaler aderisce alle Clausole contrattuali standard dell'UE per il trasferimento dei dati personali al di fuori di SEE, Svizzera o Regno Unito.
Ciò viene trattato in modo più dettagliato nel nostro Accordo per il trattamento dei dati personali (DPA) che è disponibile su www.zscaler.com/privacy/dpa, dove può essere scaricato e firmato dai clienti.
(6) Qual è l'impatto su Zscaler della sentenza CJEU C-311/18 ("Schrems II"), che annulla il quadro normativo del Privacy Shield USA-UE?
Alla luce del verdetto Schrems II, Zscaler conferma la propria continuità nella fornitura di prodotti e servizi, nella totale conformità con le leggi applicabili in materia di protezione dati.
Non è cambiato nulla riguardo a come Zscaler trasferisce i dati personali al di fuori dell'UE per fornire i propri prodotti e servizi. La decisione del giudice europeo non influisce in alcun modo su come Zscaler fornisce i propri prodotti e servizi, sul flusso di dati o su come vengono archiviati i Registri del cliente. Storicamente, Zscaler ha sempre offerto ai propri clienti le protezioni sia in base alle Clausole contrattuali standard dell'UE che in base ai Privacy Shield per il trasferimento internazionale di dati. Le Clausole contrattuali standard dell'UE restano valide e il giudice ha confermato esplicitamente che è possibile continuare a utilizzare tale meccanismo di business.
Inoltre, Zscaler mantiene le proprie certificazioni in base ai Privacy Shield UE-USA e Svizzera-USA. Anche se Zscaler non si affida ai Privacy Shield UE-USA come base legale per il trasferimento dei Dati personali, alla luce del verdetto della Corte di Giustizia dell'UE nel Caso C-311/18, ci impegniamo a sostenere i principi di protezione dati dei Privacy Shield UE-USA.
(7) Quali garanzie aggiuntive offre Zscaler a supporto del proprio utilizzo delle Clausole contrattuali standard dell'UE quando trasferisce dei dati personali verso gli Stati Uniti?
Comprendiamo che il messaggio lanciato dal giudice europeo nel caso Schrems II è che, a seconda dei casi e tenendo in considerazione le circostanze in cui si verifica uno specifico trasferimento di dati, potrebbe essere necessario adottare alcune misure aggiuntive per assicurare che la legge del paese in cui i dati vengono trasferiti non incida sull'adeguato livello di protezione garantito dalle Clausole contrattuali standard dell'UE.
Poiché Zscaler offre ai propri clienti le protezioni assicurate dalle Clausole contrattuali standard dell'UE fin da prima della decisione sul caso Schrems II, abbiamo già effettuato tale analisi e siamo sicuri che le nostre procedure e misure di sicurezza continuino a garantire un'adeguata conformità. Naturalmente, monitoriamo continuamente le linee guida future e i cambiamenti normativi applicabili ai dati personali e attendiamo ulteriori decisioni da parte della Commissione Europea, del Comitato europeo per la protezione dei dati e dalle singole autorità di tutela.
Alcune delle modalita' secondo cui garantiamo la protezione dati in base alle Clausole contrattuali standard dell'UE sono:
- trattamento dei dati personali unicamente per conto dei nostri clienti e in base alle loro istruzioni;
- implementazione di misure di sicurezza tecniche ed organizzative come specificato nel DPA prima del trattamento dei dati personali. Ad esempio, la tokenizzazione è uno dei metodi che utilizziamo per proteggere i Registri del cliente (vedere la Domanda 1 per maggiori informazioni);
- notifichiamo al cliente di qualsiasi richiesta legalmente vincolante di diffusione dei dati personali, da parte delle forze dell'ordine, a meno che non sia diversamente proibito;
- archiviazione dei registri esclusivamente in UE (Germania, Paesi Bassi) e Svizzera per i clienti che distribuiscono i nostri prodotti per la prima volta;
- ci assicuriamo che i nostri clienti prestino il consenso all'utilizzo di sub-responsabili del trattamento dei dati e che questi ultimi offrano una protezione equivalente dei dati che elaborano per nostro conto;
- consentiamo ai nostri clienti e partner di eseguire audit e ispezioni automatiche annuali del nostro cloud, e soggette a determinati requisiti e controlli messi in atto da Zscaler, previa comunicazione scritta
- ci impegniamo a garantire la continua conformità alle Clausole contrattuali standard dell'UE e a implementare qualsiasi ulteriore misura legale necessaria, entro un ragionevole periodo di tempo.
(8) In che modo l'abilitazione dell'ispezione SSL rispetta i requisiti di sicurezza e di conformità alle leggi sulla privacy?
Abilitare l'ispezione SSL non cambia la quantità limitata di dati elaborati o archiviati da Zscaler. Piuttosto, consente ai nostri clienti di rispettare i propri obblighi in base all'Articolo 32 del GDPR, fornendo un'adeguato livello di sicurezza per il trattamento dei dati personali. Anche se esistono implicazioni per l'attività, la privacy e la sicurezza nell'uso dell'ispezione SSL, che i nostri clienti devono prendere in considerazione, queste devono essere compensate dall'obbligo di garantire che i diritti di tutti i lavoratori del cliente vengano tutelati contro minacce e attacchi. Perciò, piuttosto che una minaccia per la privacy, l'ispezione SSL dev'essere considerata uno strumento a supporto della conformità di un'organizzazione in termini di privacy.
Zscaler offre funzionalità complete di ispezione SSL/TLS, per proteggere il traffico dati dei clienti dalle minacce nascoste nel traffico criptato. Una volta completata l'ispezione dei dati, il flusso dei dati procede senza ostacoli e senza traccia dei dati-sorgente preservati, oltre al registro della stessa transazione.
(9) Zscaler utilizza responsabili secondari del trattamento per fornire i propri servizi?
Sì. Come accade con ogni fornitore di servizi cloud, Zscaler utilizza un numero limitato di responsabili secondari per fornire i propri servizi. In ottemperanza a quanto disposto nell'RGPD, Zscaler otterrà il consenso del cliente prima di coinvolgere un eventuale responsabile secondario del trattamento, e potrà richiedere di fornire il consenso contrattuale o il consenso generale. Inoltre, Zscaler fornirà ai clienti un preavviso scritto delle modifiche apportate alla sua lista di responsabili secondari e sarà responsabile delle prestazioni degli stessi. Zscaler fornisce l'elenco attuale dei propri responsabili secondari del trattamento all'indirizzo www.zscaler.com/privacy/sub-processors
(10) Zscaler può fornire assistenza per una Richiesta di diritto all'oblio (Right to be forgotten – RTBF)?
Sì. Zscaler dispone di una procedura interna per rispondere alle richieste relative al diritto all'oblio. Tuttavia, è importante ricordare che in qualità di titolare del trattamento dei dati, il nostro cliente è responsabile della revisione e della convalida delle richieste e dell'invio di un ticket di assistenza a Zscaler. Le richieste relative al diritto all'oblio devono essere effettuate solo se il soggetto interessato (generalmente un dipendente o utente del cliente) ha inoltrato tale richiesta al nostro cliente. Se Zscaler riceve una richiesta di diritto all'oblio direttamente da un dipendente o da un utente del nostro cliente, questi verrà reindirizzato al cliente, che dovrà verificare e rispondere alla richiesta.
(11) Zscaler è conforme alle normative sulla privacy diverse dalla RGPD?
Zscaler si impegna a preservare la conformità e monitora attentamente lo sviluppo della legislazione e dei regolamenti sulla privacy in vari Paesi. Per ulteriori informazioni su come Zscaler rispetta le varie leggi sulla privacy, visita il sito www.zscaler.com/privacy/international-data-transfer-policy