Sicurezza in Factorial

Factorial HR può essere sia titolare che responsabile del trattamento dei dati personali ai sensi del GDPR. Ad esempio, Factorial sarà il titolare del trattamento quando un cliente stipula un contratto direttamente con noi, per quanto riguarda il trattamento dei dati personali del cliente in questione.

Tuttavia, nella maggior parte dei casi Factorial, in virtù del suo tipo di attività, non ha rapporti diretti con i proprietari dei dati, ma si limita a eseguire il trattamento dei dati personali dell'utente finale per conto dei clienti, nel rispetto delle loro istruzioni. Perciò, per gli impiegati che utilizzano la nostra piattaforma, agiremo solo come responsabile del trattamento dei loro dati. I nostri clienti decidono gli scopi per i quali utilizzano la nostra piattaforma, nonché gli strumenti di raccolta dei dati in base alle funzionalità della nostra piattaforma adottate. 

Nel caso di utenti che navigano sul nostro sito web, Factorial sarà un  Responsabile dei dati raccolti su web, come i cookie, o di qualsiasi altro dato relativo alla fruizione dei nostri contenuti. 

Il DPA di Factorial è disponibile qui e può essere compilato e firmato online.

Factorial HR ha nominato un Responsabile della protezione dei dati.

Le seguenti sono le sue informazioni di contatto:

Pridatect, S.L. Av. de Josep Tarradellas, 8-10, 5º 08029, Barcellona, Spagna. Legal@pridatect.com

In caso d'individuazione di violazioni della sicurezza, Factorial attiverà un'apposita procedura di analisi delle violazioni finalizzata ad accertare:

-La natura della violazione di sicurezza -Le categorie dei dati personali coinvolti -Il numero approssimativo dei soggetti interessati coinvolti -Il numero approssimativo delle unità di dati coinvolte; e - Le conseguenze della violazione

Parallelamente all'indagine, Factorial intraprenderà immediatamente le azioni di contenimento e correzione più appropriate e procederà a registrare l'incidente per garantire la tracciabilità degli incidenti che si sono verificati nell'organizzazione.

Una volta terminata l'analisi, Factorial deciderà se i suoi risultati devono essere comunicati all'Autorità per la Protezione dei Dati, valutando se la violazione dei dati personali rappresenta un rischio per i diritti e le libertà dei proprietari dei dati interessati dalla violazione. 

Analogamente, Factorial deciderà se informare dell'incidente i suddetti proprietari dei dati.

In ogni caso, Factorial comunicherà al cliente la violazione di sicurezza in un periodo non superiore alle 48 ore. La suddetta comunicazione comprenderà le seguenti informazioni:

- Misure adottate per la riduzione dei rischi - Miglioramenti tecnici apportati - Cambiamenti nelle responsabilità di gestione degli incidenti - Aggiornamenti alle procedure

Per segnalare problemi è possibile inviare un'e-mail a security@factorial.co

Consigliamo di riportare le seguenti informazioni (se disponibili):

- Descrizione dell'incidente:

- Nome della società e dell'utente coinvolti:

- Tipo di dati coinvolti:

- Ambito dell'incidente individuato: 

- Livello delle conseguenze sui diritti dei proprietari dei dati:

Factorial è dotato di certificazione ISO/IEC 27001:2013 e ha rinnovato la certificazione a marzo 2023. Si tratta della certificazione di livello più elevato attualmente disponibile in materia di standard di sicurezza delle informazioni a livello globale, che garantisce ai clienti la nostra conformità ai più rigorosi standard internazionali di sicurezza.

Il nostro certificato ISO 27001 può essere scaricato qui.

Factorial dispone di un report SOC 2 Tipo I da agosto 2022 e di un report SOC 2 Tipo II da febbraio 2024.

I dettagli e i rapporti relativi alla certificazione possono essere condivisi su richiesta formale e dopo la firma di un accordo di non divulgazione da parte del richiedente.

Tutti i nostri servizi funzionano nel cloud. Non ospitiamo né eseguiamo i nostri router, bilanciatori di carico, server DNS o server fisici.

Tutti i dati dei nostri clienti sono archiviati sui server Amazon Web Services (AWS) a Francoforte, in Germania, un insieme di servizi Web nel cloud che garantiscono la massima sicurezza. Aziende come Netflix o Airbnb si affidano ad AWS per gestire i dati di milioni di utenti.

Il data center di Amazon Web Services è protetto da tre livelli fisici di sicurezza. Allo stesso modo, le strutture sono protette contro gli urti e sono accessibili solo con tessera e pin personale non trasferibili.

Puoi leggere di più sulle loro pratiche di sicurezza qui: AWS

L'architettura delle nostre infrastrutture di rete protetta comprende numerose zone di sicurezza. Controlliamo e proteggiamo la nostra rete per prevenire accessi non autorizzati, servendoci dei seguenti strumenti:

- Virtual Private Cloud (VPC)

- Si tratta di un firewall che controlla il traffico di rete in ingresso e uscita

- Crittografia dei dati in movimento: tutti i dati inviati o ricevuti tramite la nostra infrastruttura sono crittografati durante il transito, nel rispetto delle più consolidate pratiche di settore, con l'uso del protocollo Transport Layer Security (TLS). Il nostro report sulla crittografia dei dati in movimento è disponibile alla pagina SSL LABS.

- Crittografia a riposo: ci affidiamo a AWS Key Management Service (AWS KMS) per gestire le nostre chiavi crittografiche. Per impostazione predefinita, è selezionato l'algoritmo di crittografia "SYMMETRIC_DEFAULT", che attualmente sta per AES-256-GCM, un algoritmo simmetrico basato sull'Advanced Encryption Standard (AES). Tali chiavi vengono utilizzate per crittografare/decrittografare i nostri bucket S3, database, gestore segreto, lambda, redshift e Lightsail.

Per impostazione predefinita e salvo istruzioni esplicite del Cliente, Factorial eseguirà la cancellazione di tutti i dati personali 30 giorni dopo la cancellazione della fornitura dei servizi di elaborazione. Dopo il periodo di 1 anno, Factorial cancellerà tutte le copie esistenti, a meno che la conservazione dei dati personali non sia richiesta dalla legge applicabile o a meno che il Cliente non richieda espressamente la cancellazione definitiva di tali dati durante tale periodo.

- I nostri sistemi impiegano tecnologie che permettono di tenere sotto controllo errori, registri e anomalie nelle nostre applicazioni.

- I registri delle operazioni sono raccolti e conservati da un strumento di audit trail per il monitoraggio delle nostre applicazioni e attività. A seconda del piano scelto dai nostri clienti, gli amministratori possono tenere traccia di tutte le azioni e l'utilizzo dei record dei dipendenti nella piattaforma e ottenere una maggiore visibilità. Ulteriori informazioni sui registri di controllo sono disponibili qui.

Sviluppiamo le seguenti best practice e framework di sicurezza (OWASP Top 10, SANS Top 25) per garantire il massimo livello di sicurezza nel nostro software:

- Esaminiamo periodicamente il nostro codice per le vulnerabilità di sicurezza

- Aggiorniamo regolarmente le nostre dipendenze e ci assicuriamo che nessuna di esse abbia vulnerabilità note

- Utilizziamo Static Application Security Testing (SAST) per rilevare le vulnerabilità di sicurezza nella nostra base di codice e applicare gli standard di codice.

- Controlliamo regolarmente la presenza di incidenti di sicurezza - segnalati da cacciatori di taglie di bug o fornitori di pentest - e li risolviamo con entusiasmo. Il nostro ultimo pentest è stato fatto da Cobalt (https://cobalt.io/) I test di vulnerabilità interni vengono eseguiti continuamente così come i test di penetrazione continui tramite HackerOne. (https://hackerone.com/fattoriale).

- Teniamo i segreti lontani dal codice

- Manteniamo aggiornate le immagini OS e Docker ed eseguiamo i servizi con un ruolo non privilegiato

- Garantiamo la separazione degli ambienti e la segregazione dei compiti durante il processo di sviluppo. Gli sviluppatori non hanno la possibilità di migrare le modifiche negli ambienti di produzione.

- Proteggiamo costantemente i nostri utenti da possibili violazioni dei dati con il controllo e il blocco di eventuali attacchi di forza bruta.

- Forniamo anche il sistema di accesso Single Sign-On (SSO) tramite Google, Microsoft e Linkedin.

- Offriamo sistemi di controllo degli accessi in base ai ruoli degli utenti su tutti i nostri account e i nostri utenti possono definire le autorizzazioni di tali account.

- Utilizziamo lo strumento AWS Cognito che consente l'autenticazione a più fattori (MFA).

- Impieghiamo inoltre strumenti di sicurezza GitHub per ricevere notifiche in caso di vulnerabilità. I team dei nostri esperti applicano regolarmente correzioni di sicurezza ai codici.

- Eseguiamo revisioni trimestrali dei diritti di accesso sulle nostre applicazioni critiche, inclusi passaggi come la revisione delle autorizzazioni, degli account generici e la garanzia che l'accesso dei dipendenti terminati venga rimosso.

La gestione di tutti gli strumenti per l'elaborazione dei pagamenti è affidata a Stripe, un'affidabile piattaforma dotata di certificazione PCI di livello 1 come fornitore di servizi di pagamento. Non raccogliamo informazioni relative ai pagamenti per cui non siamo soggetti agli obblighi PCI.

- Utilizziamo una gestione centralizzata dell'account

- Facciamo affidamento su un sistema di gestione delle password

- Utilizziamo account nominali con 2FA applicata

- Ruotiamo le password ogni 90 giorni

- Inseriamo/escludiamo i nuovi dipendenti utilizzando una lista di controllo che tiene conto delle migliori pratiche di sicurezza.

- Garantiamo che i privilegi di accesso siano conformi al principio del privilegio minimo.

- Proteggiamo il controllo degli accessi agli uffici per garantire che solo i dipendenti possano accedervi - Ricordiamo regolarmente ai dipendenti di bloccare i propri computer

- Abbiamo stabilito procedure in termini di utilizzo di dispositivi mobili e supporti rimovibili

Garantiamo che tutti i nostri dipendenti seguano corsi di formazione specifici in materia di protezione dei dati e sicurezza delle informazioni. Inoltre, ci sono corsi di formazione e workshop sulla sicurezza mirati a pratiche di sviluppo software sicure.

Conduciamo controlli in background su potenziali nuove assunzioni.

Factorial utilizzerà tutti gli sforzi per essere disponibile con una percentuale di uptime mensile di almeno il 99,9%. Fatte salve le esclusioni SLA, se non rispettiamo l'Impegno di servizio, il cliente sarà idoneo a ricevere un Credito di servizio. Ciò significa che ti garantiamo che non riscontrerai più di 43,5 min/mese di indisponibilità.

Manteniamo una fonte pubblicamente disponibile per il nostro tempo di attività su https://status.factorialhr.comhttps://status.factorialhr.com. Per favore, sentiti libero di iscriverti per ricevere aggiornamenti sugli incidenti.et incident updates.

Factorial esegue il backup dei dati su base giornaliera e conserva i backup per 30 giorni. L'elevata disponibilità è garantita con RDS Multi-AZ. Poiché per avere una perdita di dati entrambe le zone di disponibilità dovrebbero avere un incidente contemporaneamente, ciò riduce la possibilità di perdita di dati. Il nostro Recovery Time Objective (RTO) è 1 ora e il nostro Recovery Point Objective (RPO) è di 1 giorno.

I relativi piani di business continuity e disaster recovery sono formalmente documentati in base ai requisiti del framework ISO27001 e SOC2.

I crediti di servizio sono calcolati come percentuale degli addebiti totali dovuti sulla fattura Factorial per il ciclo di fatturazione mensile in cui si è verificata l'Indisponibilità.

Per una percentuale di uptime mensile inferiore al 99,9%, avrai diritto a un credito di servizio pari al 5% degli addebiti per il periodo corrente.

Applicheremo qualsiasi Credito di servizio solo a fronte di pagamenti futuri per i Servizi altrimenti dovuti da te.

Per ricevere un credito di servizio, devi inviare un reclamo inviando un'e-mail a support@factorial.co con le date e gli orari di ogni incidente di indisponibilità che stai rivendicando.

Se la Percentuale di disponibilità mensile di tale richiesta è confermata da noi ed è inferiore all'Impegno di servizio, ti emetteremo il Credito di servizio entro un ciclo di fatturazione successivo al mese in cui la tua richiesta è stata confermata da noi. Il mancato conferimento della richiesta e di altre informazioni come sopra richiesto comporterà la squalifica dal ricevere un Credito di servizio.

L'Impegno di Servizio non si applica a qualsiasi Indisponibilità:

- Causato da fattori al di fuori del nostro ragionevole controllo, inclusi eventi di forza maggiore, accesso a Internet o problemi oltre il punto di demarcazione di Factorial.

- Ciò risulta da qualsiasi azione o inazione da parte tua o di terzi.

- Ciò risulta dall'attrezzatura, dal software o da altra tecnologia dell'utente o di terze parti (diverse dalle apparecchiature di terze parti sotto il nostro diretto controllo).

- Ciò risulta da qualsiasi Manutenzione.

Se la disponibilità è influenzata da fattori diversi da quelli utilizzati nel nostro calcolo della percentuale di uptime mensile, possiamo emettere un credito di servizio tenendo conto di tali fattori a nostra discrezione.

Qui è disponibile la versione aggiornata della nostra Politica sulla privacy.

Da qui è possibile accedere a termini d'uso per l'utilizzo di Factorial.

In via enunciativa ma non limitativa, si intenderanno per Informazioni Riservate le informazioni riferite ai dati del cliente, alla sua esistenza, alla sua struttura, ai piani di promozione e vendita, ai codici sorgente e oggetto di programmi informatici, sistemi, tecniche, invenzioni, processi, brevetti, marchi, design registrati, diritti d'autore, know-how, nomi commerciali, dati tecnici e non, disegni, schizzi, dati finanziari, progetti relativi a nuovi prodotti, dati relativi a clienti o potenziali clienti nonché ogni altra informazione utilizzata nella ambito di attività di Factorial e del Cliente.

L'obbligo di riservatezza persisterà anche dopo la risoluzione, a qualsiasi titolo, del rapporto contrattuale tra le parti senza generare alcun tipo di compenso.

La violazione dell'obbligo di riservatezza assunto nel presente contratto o la restituzione delle Informazioni Riservate sopra stabilite, daranno diritto a ciascuna delle Parti di reclamare l'intero importo dei danni che tale violazione avrebbe generato.