Privacy policy specifiche per le soluzioni

WithSecure™ Elements Endpoint Protection

Privacy policy di WithSecure Elements Endpoint Protection 

Maggio 2021

Informativa in breve

Elements Endpoint Protection combina VPN, gestione dei dispositivi mobili, gestione degli aggiornamenti software, oltre a sicurezza per workstation e server, il tutto controllato tramite il portale di gestione. Gli aspetti sulla privacy fondamentali di questo servizio sono:

    la raccolta dei dati si basa sul tuo dispositivo e sul nostro servizio, non su di te come individuo;

    gran parte dei dati raccolti è a disposizione dell’amministratore IT del tuo datore di lavoro, in modo che possa gestire meglio i dispositivi e le applicazioni aziendali;

    raccogliamo dati di sicurezza anonimi per proteggere il tuo dispositivo.

Il servizio non consente a WithSecure o all’amministratore IT della tua azienda di seguire i tuoi movimenti, visualizzare le tue foto o vedere i destinatari delle tue chiamate o comunicazioni, né siamo in grado di tracciare i siti da te visitati tramite il servizio.

Informativa completa

La presente informativa specifica per il servizio si concentra sugli aspetti che riteniamo più rilevanti per te, in particolare: 1) il tipo di dati personali e privati raccolti dal servizio; 2) le finalità per cui li utilizziamo; 3) la base giuridica del trattamento; 4) i casi tipici di divulgazione e 5) il periodo di archiviazione. Ulteriori informazioni su tali argomenti e su altri aspetti (diritti dell’interessato, dati di contatto e così via) del trattamento dei dati personali sono disponibili anche tramite i collegamenti integrati.

Dati utente

Dati sugli utenti di livello amministratore sul portale di gestione

Il servizio raccoglie i seguenti dati, disponibili attraverso il portale di gestione, sugli utenti amministratori:

    Nome utente

    L’indirizzo email dell’utente

    Il numero di telefono dell’utente (facoltativo)

    Registri delle azioni degli utenti

Dati su altri utenti nel portale di gestione

A seconda del software a cui sei abbonato, il servizio potrebbe raccogliere i seguenti dati riguardo te, i tuoi dispositivi e l’uso del servizio, rendendoli fruibili attraverso il portale di gestione:

    Il nome utente, l’indirizzo email dell’utente, il nome del dispositivo, gli identificatori (ad esempio: codice IMEI, nome WINS, indirizzo IP) del dispositivo e il numero di telefono che valgono da identificazione per i dati utente nel sistema.

    Il numero della versione servizio, la chiave di abbonamento, data e ora di installazione e aggiornamenti, malware bloccati (può includere il nome del file e il percorso), applicazioni bloccate, dispositivi USB bloccati, sistema operativo e versione dei dispositivi, stato delle funzionalità.

    Applicazioni installate come parte dell’offerta del servizio.

    Dispositivi USB connessi come parte della funzionalità Controllo dispositivo.

    Vari dati (ad esempio: stato di crittografia, privilegi utente, criteri password e così via) che descrivono la postura di sicurezza e l’utilizzo dei dispositivi aziendali per una migliore gestibilità.

    Il modello del dispositivo mobile e l’eventuale stato di root o jailbreak, statistiche di servizio sul dispositivo come la posizione virtuale, la quantità aggregata di traffico nel tunnel VPN, la quantità di traffico analizzato, i siti pericolosi, il numero di tentativi di tracciamento bloccati e i contatori dei siti Web bloccati.

    Altri dati sostanzialmente simili.

I dati raccolti variano in base ai dispositivi e ai servizi utilizzati.

Usiamo questi dati per fornire i servizi, gestirli (il che include identificare gli utenti autorizzati, gestire le licenze e inviare notifiche push), analizzare le prestazioni e sviluppare e migliorare ulteriormente i servizi stessi. Questi dati possono essere usati per fornire supporto e servizi di risoluzione dei problemi.

Questi dati sono visualizzabili dall’amministratore IT della tua azienda per scopi simili. Sono inoltre disponibili a WithSecure e tramite il portale. Se l’amministrazione IT dell’azienda non viene eseguita internamente, i dati saranno disponibile anche al partner esterno in questione (il "partner di distribuzione" di WithSecure) in modo che quest’ultimo possa fornire supporto e servizi IT corrispondenti alla tua azienda.

Dati dell’utente nei sistemi WithSecure

Oltre ai dati disponibili sul portale, WithSecure raccoglie anche i dati seguenti direttamente tramite il servizio. Questi dati non vengono condivisi con l’azienda o il partner di distribuzione del cliente.

    La lingua del dispositivo, in modo che corrisponda a quella del servizio, il livello

    Per i client mobili, il livello della batteria, le dimensioni della memoria interna e della scheda SD, oltre a un elenco delle applicazioni installate.

    Per il prodotto Password Protection, archiviamo le tue password in forma crittografata. La master password è conosciuta solo da te e non viene archiviata da WithSecure.

Questi dati vengono usati per fornire il servizio, risolvere i problemi, analizzare le prestazioni, oltre che per fini statistici e per sviluppare il servizio stesso.

Alcune giurisdizioni ci richiedono di raccogliere gli indirizzi IP pubblici e privati dei dispositivi degli utenti e l’avvio e la fine del tunnel VPN. Se riceviamo una richiesta legalmente valida, questi dati possono essere usati per mostrare l’indirizzo IP di origine usato per collegarsi a un indirizzo IP di destinazione in un dato momento. Ciò non compromette l’invisibilità del tuo traffico di navigazione tramite il servizio verso WithSecure o l’amministratore IT, in quanto non assoceremo a te l’indirizzo IP.

F‑Secure e i partner di vendita possono anche avviare un’ulteriore raccolta di dati diagnostici dal dispositivo protetto, laddove sia necessario risolvere un caso di assistenza. Sarai informato prima dell’invio dei dati di diagnostica a WithSecure. Maggiori informazioni su tale raccolta di dati sono disponibili nell’informativa sulla privacy WithSecure Support Tool.

Trasferimenti e dichiarazioni

I dati dell’utente nel portale di gestione sono visualizzabili per scopi simili dall’amministratore IT della tua azienda, interno o esterno. Se l’amministrazione IT dell’azienda è gestita da terzi, i dati saranno disponibili anche al partner esterno in questione (il "partner di distribuzione"/"partner rivenditore" di WithSecure), in modo che quest’ultimo possa fornire supporto e servizi IT corrispondenti alla tua azienda.

WithSecure si avvale inoltre di affiliati e subappaltatori in modo da fornire i propri servizi a livello globale.

Ambito legale

Nella misura in cui i dati elaborati da WithSecure nei servizi sono riferibili a un individuo specifico, i servizi elaborano i dati per salvaguardare i seguenti interessi legittimi:

    offrire servizi WithSecure per proteggere la sicurezza delle reti e dei dispositivi dei nostri clienti, oltre che la riservatezza e la disponibilità dei dati al loro interno;

    permettere a WithSecure di rilevare le minacce e le tendenze di sicurezza emergenti tra tutti i clienti, in modo da poter stare al passo con le minacce in evoluzione;

    permettere a WithSecure di fornire una struttura di servizi di sicurezza centralizzata in più continenti a un numero elevato di clienti e partner.

Le analisi del portale Web sono effettuate anche per migliorare i prodotti WithSecure.

Nel caso in cui i dati non siano strettamente necessari per offrirti i servizi ma che siano comunque in grado di aiutarci a migliorarli nel lungo periodo, li raccoglieremo solo previo tuo consenso.

La tua azienda stabilisce in modo indipendente i propri ambiti legali per l’elaborazione degli identificatori per i motivi di cui sopra.

Conservazione

I dati vengono conservati per la durata della fornitura del servizio all’azienda del cliente e sono visibili nel portale Elements Endpoint Protection per lo stesso periodo di tempo. Dopo la cessazione del contratto di servizio o della licenza, i dati vengono conservati da WithSecure per alcuni mesi, prima dell’eliminazione e dell’anonimizzazione finali.

Oltre a quanto indicato in precedenza, vengono conservati a turno e per tre anni i log di audit, che mostrano quali utenti hanno effettuato l’accesso al portale. I log di servizio, che mostrano le azioni avvenute nel portale, sono conservati per un anno a turno. Queste azioni includono anche i rinnovi degli abbonamenti, la creazione di utenti, le modifiche ai profili e le registrazioni di nuovi dispositivi.

Dati di sicurezza

Il servizio invia query su attività pericolose potenziali sui dispositivi e reti protetti a WithSecure Security Cloud, un sistema basato su cloud per l’analisi delle minacce informatiche gestito da WithSecure. Con Security Cloud, WithSecure può mantenere una panoramica aggiornata del panorama delle minacce globale e proteggere i clienti dalle nuove minacce quando vengono rilevate. Limitiamo l’elaborazione dei dati considerabili come sensibili per i clienti, ma raccogliamo la quantità minima di informazioni su utenti e organizzazioni per poter fornire una protezione di qualità elevata ai nostri utenti. I dati raccolti possono contenere:

    File che sono stati bloccati da WithSecure per motivi di sicurezza e metadati correlati. I metadati includono ad esempio hash del file, nome del file e percorso del file. Dobbiamo analizzare file ed e-mail alla ricerca di contenuti e comportamenti pericolosi per poterti proteggere. I file vengono elaborati in un ambiente sicuro per rilevare i comportamenti pericolosi. La raccolta di questi dati aiuta WithSecure a mantenere una mappa situazionale globale delle minacce per intervenire rapidamente in caso di nuovi pericoli.

    Indirizzi Web che hai provato a visitare ma che sono stati bloccati da WIthSecure per motivi di sicurezza o che mostrano comportamenti potenzialmente pericolosi e metadati correlati. I metadati includono ad esempio le intestazioni di risposta. Un sito può essere bloccato in base alle preferenze di protezione selezionate e a motivi legati ai Controlli genitori. Le informazioni raccolte consentono inoltre di essere protetti da attacchi di phishing e ransomware.

Gli amministratori del portale visualizzeranno solo un riepilogo dei risultati, ad esempio se il file è infetto o meno. Tuttavia, se il servizio rileva dei malware, un riepilogo del rilevamento sarà visibile nel portale e potrà essere collegato a un singolo dispositivo da coloro che hanno accesso al portale.

Raccolta dei dati per la componente VPN

Noi partiamo dal principio per cui non vogliamo spiare i contenuti esatti delle tue comunicazioni private. Analizziamo il tuo traffico di comunicazione per fornirti il servizio e per mantenere integri i trasferimenti dei tuoi dati. Più nel dettaglio,

    fornendoti il servizio elaboriamo alcuni metadati (ad esempio volume di traffico, dati temporali, indirizzi IP) legati al traffico stesso.

    L’indirizzo IP, la porta o l’URL di destinazione del traffico che transita nella VPN non vengono memorizzati in alcun modo che possa successivamente ricollegarli a te.

    Analizziamo inoltre il traffico per verificare la presenza di file o destinazioni (ad esempio URL) potenzialmente pericolosi e

    schermiamo in automatico il traffico per inibire utilizzi che vadano contro la nostra policy di utilizzo accettabile.

Altri servizi

Le capacità di gestione di Elements Endpoint Protection possono essere usate anche per gestire determinati altri servizi WithSecure. L’elaborazione dei dati relativa a tali servizi è soggetto alle rispettive politiche sulla privacy.

Analytics

In aggiunta ai dati visualizzati sul portale, il servizio usa anche un set secondario di dati raccolti per le analisi di servizio. Facciamo ciò per creare servizi che siano validi per te e per tutti i nostri clienti. WithSecure raccoglie anche dati d’analisi sul Service Portal per scoprire come gli utenti amministratori usano tale portale, per poterne migliorare l’esperienza utente.

Sicurezza

Informazioni sulle pratiche di sicurezza attuate per proteggere i tuoi dati.

I tuoi diritti

Informazioni sui tuoi diritti legali e su come contattarci.

Informazioni generali

Informazioni sulle definizioni e sulla gestione delle modifiche.

WithSecure™ Elements Vulnerability Management

Privacy policy WithSecure Elements Vulnerability Management 

Maggio 2021

 

Informativa in breve

WithSecure™ Elements Vulnerability Management è una piattaforma di analisi e gestione delle vulnerabilità che ti permette di identificare e gestire le minacce, segnalare i rischi e avere una panoramica sulla postura di sicurezza dei tuoi sistemi IT. Gli aspetti di privacy base del servizio sono:

  • il focus della raccolta dati è il rilevamento di vulnerabilità nella rete aziendale del datore di lavoro, non delle attività dei singoli;
  • gli unici dati identificativi diretti di cui abbiamo bisogno sono nome, e-mail e, facoltativamente, numero di telefono;
  • monitoriamo l’utilizzo del servizio per mantenerne le prestazioni ed evitare gli abusi.

Informativa completa

La presente informativa specifica per il servizio si concentra sugli aspetti che riteniamo più rilevanti per te, in particolare: 1) il tipo di dati personali e privati raccolti dal servizio; 2) le finalità per cui li utilizziamo; 3) la base giuridica del trattamento; 4) i casi tipici di divulgazione e 5) il periodo di archiviazione. Ulteriori informazioni su tali argomenti e su altri aspetti (diritti dell’interessato, dati di contatto e così via) del trattamento dei dati personali sono disponibili anche tramite i collegamenti integrati.

Quali dati raccogliamo e cosa ne facciamo?

Dati nel portale di gestione

In quanto utente del portale, ti chiediamo i dati di abbonamento sotto forma di nome e cognome, e-mail, password (crittografata) e numero di telefono, che fungono da identificatori per l’account personale nel sistema, così come da preferenze di fuso orario e lingua.

Il servizio raccoglie automaticamente i seguenti dati sull’ambiente e sull’utilizzo del servizio, rendendoli disponibili tramite il portale di gestione:

  • Dati sull’utilizzo del servizio; token di accesso abbonati, nodo di analisi, identificatori dispositivo (incluso l’indirizzo IP), numero versione del servizio, chiave di abbonamento, data e ora di installazione e aggiornamento e stato del sistema operativo di base (come utilizzo di memoria e disco).
  • Dati sui risultati delle analisi di vulnerabilità; informazioni sull’occorrenza di vulnerabilità e rischi noti identificati durante l’analisi come presentati all’utente tramite il servizio.
  • per le analisi di sistema autenticate di Elements Vulnerability Management:
  • Il certificato o le credenziali che fungono da token di accesso per eseguire un’analisi approfondita
  • Il software e la versione installata sui sistemi di destinazione

Il portale fornisce una visibilità limitata a coloro che condividono il medesimo abbonamento.

Dati nei sistemi WithSecure™

Oltre ai risultati dell’analisi di vulnerabilità resi disponibili all’utente tramite il servizio, WithSecure™ raccoglie anche i dati seguenti a livello di organizzazione direttamente tramite il servizio. Questi dati non vengono condivisi con l’azienda o il partner di distribuzione del cliente.

  • La quantità e il valore degli indirizzi IP univoci analizzati alla ricerca di vulnerabilità nell’organizzazione; e
  • in caso di distribuzioni di un nodo di analisi locale, i dettagli di configurazione del nodo, come la directory di installazione e l’impronta digitale hardware del dispositivo su cui è installato l’agent del nodo.

Questi dati vengono usati per fornire il servizio, risolvere i problemi, analizzare le prestazioni, oltre che per fini statistici, di registrazione e risoluzione in caso di abuso, e per sviluppare il servizio stesso.

Utilizzo lecito

Il servizio è progettato per rilevare vulnerabilità nell’hardware e software della rete aziendale del datore di lavoro, permettendo all’utente di trovarle e correggerle e di impediri quindi violazioni da parte di malintenzionati.

Ambito legale

WithSecure™ ha un interesse legittimo a identificare gli utenti del portale e monitorarne l’utilizzo secondo quanto delineato in precedenza per assicurarsi che solo gli utenti autorizzati possano usare il servizio e che tali servizi vengano usati solo per scopi leciti. A tal proposito, l’utente è responsabile per l’accuratezza e la veridicità delle credenziali di accesso usate per il servizio.

I dati raccolti dal servizio sotto forma di “risultati di analisi di vulnerabilità” sono elaborati per il duplice scopo di i) migliorare la sicurezza di rete e dispositivi dei clienti WithSecure™ e la riservatezza e la disponibilità dei dati in essi contenuti e ii) consentire a WithSecure™ di rilevare le minacce emergenti e le tendenze di sicurezza fra i clienti, in modo da potersi tenere al passo con i pericoli informatici in evoluzione. I risultati della analisi di vulnerabilità, per impostazione predefinita, non contengono dati identificativi personali.

Trasferimento e divulgazione

Per aiutarti a gestire abbonamenti e impostazioni e per fare in modo di aiutarti in maniera più efficace in caso di problemi, i dati seguenti di tutti i dispositivi e tutti gli utenti nell’abbonamento sono visibili per coloro che condividono il medesimo abbonamento: indirizzo e-mail, nome, cognome. La visibilità del numero di telefono (se fornito) è limitata agli utenti con ruolo di amministratore aziendale.

I dati dell’utente nel portale di gestione sono visualizzabili per scopi simili dall’amministratore IT della tua azienda, interno o esterno. Se l’amministrazione IT dell’azienda è gestita da terzi, i dati saranno disponibili anche al partner esterno in questione (il "partner di distribuzione"/"partner rivenditore" di WithSecure™), in modo che quest’ultimo possa fornire supporto e servizi IT corrispondenti alla tua azienda.

WithSecure™ si avvale inoltre di affiliati e subappaltatori in modo da fornire i propri servizi a livello globale.

Conservazione

I dati dei risultati delle analisi di vulnerabilità vengono archiviati in conformità alle impostazioni del servizio, regolabili dal cliente.

Altrimenti; i dati identificativi personali vengono archiviati per la durata del provisioning del servizio all’azienda cliente e sono visibili nel portale per la stessa durata. Dopo la cessazione dell’abbonamento, i dati vengono archiviati per 8 (otto) mesi prima dell’eliminazione finale.

A prescindere dall’eliminazione di cui sopra, WithSecure™ continua a conservare determinati log di applicazioni, che contengono un set di dati limitato di quanto indicato in precedenza, per risolvere eventuali abusi del servizio.

Sicurezza

Informazioni sulle pratiche di sicurezza attuate per proteggere i tuoi dati.

I tuoi diritti

Informazioni sui tuoi diritti legali e su come contattarci.

Informazioni generali

Informazioni sulle definizioni e sulla gestione delle modifiche.

WithSecure™ Elements Collaboration Protection

Privacy policy WithSecure Elements Collaboration Protection

 

Informativa in breve

WithSecure™ Elements Collaboration Protection è un servizio di sicurezza basato su cloud progettato per ridurre i rischi aziendali delle e-mail nelle organizzazioni, con una protezione dalle minacce efficace per i messaggi e-mail di Microsoft 365 contro le e-mail interne pericolose, gli attacchi phishing avanzati e i contenuti e URL pericolosi. Oltre ai messaggi e-mail, vengono analizzati anche altri elementi di Exchange come attività, appuntamenti dei calendari, contatti e note in evidenza alla ricerca di contenuti e URL pericolosi.

  • Il focus della raccolta dati è il rilevamento di contenuti pericolosi nelle cassette postali degli utenti e non sui dati personali dei singoli individui
  • Gran parte dei dati elaborati e raccolti rimane nel tenant Microsoft 365 del cliente

Informativa completa

La presente informativa specifica per il servizio si concentra sugli aspetti che riteniamo più rilevanti per te, in particolare: 1) il tipo di dati personali e privati raccolti dal servizio; 2) le finalità per cui li utilizziamo; 3) la base giuridica del trattamento; 4) i casi tipici di divulgazione e 5) il periodo di archiviazione. Ulteriori informazioni su tali argomenti e su altri aspetti (diritti dell’interessato, dati di contatto e così via) del trattamento dei dati personali sono disponibili anche tramite i collegamenti integrati.

Dati elaborati e loro utilizzo

Sicurezza

WithSecure™ Elements for Microsoft 365 elabora contenuti come messaggi e-mail, appuntamenti del calendario, attività, contatti e gruppi nelle caselle postali di Microsoft 365 dei dipendenti, definiti nell’informativa di sicurezza e con una licenza valida assegnata.

Durante l’elaborazione dei dati, la soluzione analizza gli allegati dei file, i link Web (URL) inclusi nei testi dei messaggi e alcune parti delle intestazioni dei messaggi. Per identificare le minacce di sicurezza, allegati e URL vengono inviati a WithSecure™ Security Cloud per i controlli di reputazione e un’analisi delle minacce avanzate.

WithSecure™ Security Cloud è un sistema di analisi delle minacce e reputazione basato su cloud che analizza i dati alla ricerca di contenuti pericolosi. I dati inviati a Security Cloud sono sempre resi anonimi e non possono essere associati in alcun modo a un utente singolo.

Se vengono rilevati contenuti pericolosi (come allegati o URL), la soluzione sposta o copia l’intero oggetto o le parti interessate nella cartella di quarantena nascosta situata nel tenant Microsoft 365 del cliente. Le proprietà rilevanti degli elementi in quarantena, come casella postale dell’utente, indirizzi di mittente e destinatario, soggetto, nome cartella e nome e URL degli allegati pericolosi vengono salvate nel database di quarantena.

Per gli utenti che gestiscono la soluzione tramite il portale WithSecure™ Elements Collaboration Protection, le informazioni di contatto (indirizzo e-mail) e le credenziali (nome utente, password) vengono archiviate e usate per gestire l’accesso dell’amministratore al portale.

In merito ai dati raccolti dall’attività di analisi, i risultati sono resi disponibili agli utenti amministratori della soluzione tramite il portale WithSecure™ Elements Collaboration Protection. I risultati possono includere:

  • nome della casella postale dell’utente in cui è stato rilevato il messaggio o l’elemento con i contenuti pericolosi
  • l’indirizzo e-mail del mittente (metadati di messaggistica)
  • gli indirizzo e-mail dei destinatari (metadati di messaggistica)
  • l’oggetto del messaggio o elemento (metadati di messaggistica)
  • le intestazioni del messaggio e-mail (metadati di messaggistica)
  • il nome della cartella in cui è stato rilevato il contenuto pericoloso (metadati di messaggistica)
  • i nomi dei file in cui è stato rilevato il contenuto pericoloso
  • i link Web (URL) pericolosi

WithSecure™ elabora i dati per proteggere le reti e i dispositivi di destinazione e i dati in essi contenuti. In particolare:

  • per bloccare contenuti notoriamente o potenzialmente pericolosi nel traffico e-mail in uscita, in entrata e interno
  • per rilevare attività pericolose e sospette nelle caselle di posta degli utenti
  • per rilevare altre minacce e altri attacchi di sicurezza contro o tramite i servizi Microsoft 365
  • per analizzare i dati del servizio e di sicurezza raccolti allo scopo di migliorare le funzionalità di rilevamento dei servizi WithSecure™, con un’enfasi sul miglioramento di funzionalità, fruibilità e rilevamento di questo servizio

Il portale WithSecure™ Elements Collaboration Protection raccoglie dati di telemetria non identificativi sull’utilizzo delle relative funzioni per scopi di miglioramento del servizio. L’amministratore può scegliere di non inviare tali dati anonimi nelle impostazioni dell’informativa.

WithSecure™ verifica il tuo indirizzo e-mail periodicamente in caso di violazioni di dati. WithSecure™ coinvolge un provider di terze parti con lo scopo di indagare e raccogliere informazioni sulle violazioni legate ai dati e all’indirizzo e-mail monitorato da WithSecure™.

Contatti

L’elaborazione dei dati personali dei contatti rilevanti di un’azienda cliente è illustrata nell’informativa sulla privacy aziendale.

Ambito legale

WithSecure™ e ogni azienda cliente operano come controllori indipendenti nelle proprie rispettive aree di elaborazione dati nel contesto dei servizi.

Nella misura in cui i dati elaborati da WithSecure™ nei servizi sono riferibili a un individuo specifico, i servizi elaborano i dati per salvaguardare i seguenti interessi legittimi:

  • offrire servizi WithSecure™ per proteggere la sicurezza delle reti e dei dispositivi dei nostri clienti, oltre che la riservatezza e la disponibilità dei dati al loro interno;
  • permettere a WithSecure™ di rilevare le minacce e le tendenze di sicurezza emergenti tra tutti i clienti, in modo da poter stare al passo con le minacce in evoluzione;
  • permettere a WithSecure™ di fornire una struttura di servizi di sicurezza centralizzata in più continenti a un numero elevato di clienti e partner.

L’elaborazione dei dati effettuata dal servizio è obbligatoria per una protezione efficiente dei dati dell’azienda cliente nella relativa organizzazione Microsoft 365. Le impostazioni di un servizio individuale possono consentire a un amministratore Microsoft 365/IT di limitare l’elaborazione dei dati di sicurezza da parte di WithSecure™, ma tali regolazioni non sono consigliate in quanto rischiano di non permettere di raggiungere gli scopi dei servizi menzionati in precedenza.

Trasferimento e divulgazione

I dati dell’utente nel portale di gestione sono visualizzabili per scopi simili dall’amministratore IT della tua azienda, interno o esterno. Se l’amministrazione IT dell’azienda è gestita da terzi, i dati saranno disponibili anche al partner esterno in questione (il "partner di distribuzione"/"partner rivenditore" di WithSecure™), in modo che quest’ultimo possa fornire supporto e servizi IT corrispondenti alla tua azienda.

Conservazione

Dati controllati dal cliente

Gli elementi in quarantena e le relative proprietà vengono rimossi in base ai criteri definiti dal cliente.

Dati controllati da WithSecure™

I dati vengono conservati per la durata della fornitura del servizio all’azienda del cliente e sono visibili nel portale WithSecure™ Elements Collaboration Protection per lo stesso periodo di tempo. Dopo la cessazione del contratto di servizio o della licenza del cliente, i dati vengono conservati da WithSecure™ per 4 (quattro) mesi, prima dell’eliminazione e dell’anonimizzazione finali.

I dati di sicurezza e statistici resi anonimi vengono archiviati nei server WithSecure™ senza una data di scadenza, fino a quando risulteranno utili per gli scopi per cui sono stati raccolti.

Gli altri tipi di dati (come dati di supporto tecnico o informazioni di contatto) menzionati in precedenza sono conservati per la durata indicata nelle rispettive informative sulla privacy. Dopodiché, vengono eliminati o resi anonimi.

Sicurezza

Informazioni sulle pratiche di sicurezza attuate per proteggere i tuoi dati.

I tuoi diritti

Informazioni sui tuoi diritti legali e su come contattarci.

Informazioni generali

Informazioni sulle definizioni e sulla gestione delle modifiche.

WithSecure™ Cloud Protection for Salesforce

Privacy policy WithSecure™ Cloud Protection for Salesforce

Maggio 2019

 

Informativa in breve

WithSecure™ Cloud Protection for Salesforce è una soluzione di sicurezza basata su cloud, progettata per completare ed estendere le caratteristiche di sicurezza native delle piattaforme Salesforce. Il servizio protegge le organizzazioni dalle minacce di file e link Web (URL) caricati o condivisi tramite il cloud Salesforce.

Gli aspetti principali legati alla privacy di questo servizio sono:

  • il focus della raccolta dati è sull'organizzazione Salesforce dell'azienda cliente, non sugli individui;
  • gran parte dei dati elaborati e raccolti rimane nell'organizzazione Salesforce dell'azienda cliente;
  • quando i dati sono inviati a WithSecure™ Security Cloud, sono intenzionalmente resi anonimi a WithSecure™;
  • l'amministratore IT o di Salesforce dell'azienda cliente ha accesso ai dati raccolti in un formato identificabile.

Informativa completa

La presente informativa specifica per il servizio si concentra sugli aspetti che riteniamo più rilevanti per te, in particolare: 1) il tipo di dati personali e privati raccolti dal servizio; 2) le finalità per cui li utilizziamo; 3) la base giuridica del trattamento; 4) i casi tipici di divulgazione e 5) il periodo di archiviazione. Ulteriori informazioni su tali argomenti e su altri aspetti (diritti dell'interessato, dati di contatto e così via) del trattamento dei dati personali sono disponibili anche tramite i collegamenti integrati.

Dati raccolti e loro utilizzo

Sicurezza

La soluzione è composta da un'applicazione Salesforce nativa e da WithSecure™ Security Cloud.

L'applicazione WithSecure™ Cloud Protection viene installata nell'organizzazione Salesforce dell'azienda client. L'appliaczione esamina tutti i file caricati come file o allegati Salesforce con oggetti standard o personalizzati nella piattaforma Salesforce. Per l'analisi avanzata del malware, l'applicazione WithSecure™ Cloud Protection potrà inviare i contenuti effettivi dei file con reputazione sconosciuta a WithSecure™ Security Cloud. Tali contenuti verranno analizzati in WithSecure™ Security Cloud ed eliminati subito dopo l'analisi. Consulta la sezione "Conservazione" per altri dettagli. È possibile disabilitare l'invio dei contenuti effettivi dei file tramite le impostazioni di controllo della privacy disponibili nella configurazione dell'applicazione.

I link Web (URL) sono esaminati solo in alcuni oggetti standard come messaggi Chatter, commenti Chatter, descrizioni di casi, commenti di casi e testi di e-mail. Per verificare la reputazione di sicurezza e la classificazione dei link Web, l'applicazione WithSecure™ Cloud Protection li invia a WithSecure™ Security Cloud. L'applicazione non invia i testi effettivi di messaggi o altro che contengono i link Web.

WithSecure™ Security Cloud è un sistema di analisi delle minacce e reputazione basato su cloud che analizza i dati alla ricerca di contenuti pericolosi. I dati inviati a Security Cloud sono sempre resi anonimi e non possono essere associati in alcun modo a un utente singolo.

In merito ai dati raccolti dall'attività di scansione, i risultati sono resi disponibili agli amministratori Salesforce/IT dell'azienda cliente tramite avvisi e log degli eventi di scansione. I risultati possono includere, a titolo esemplificativo:

  • Nome utente (vero e soprannome)
  • Indirizzo IP della rete o del dispositivo di origine per i contenuti caricati o scaricati da Salesforce
  • Ora e data dell'accesso ai contenuti (caricati o scaricati)
  • Nome, tipo e dimensioni dei file a cui è stato effettuato l'accesso (caricati o scaricati)
  • Posizione (nome dell'oggetto standard o personalizzato) a cui un file è associato o allegato
  • Link Web (URL) di destinazione e relative categorie (ad es. gioco d'azzardo)

L'amministratore Salesforce/IT dell'azienda cliente potrà con ogni probabilità associare l'identità di un dipendente ai risultati precedenti forniti dal servizio. Ciò è necessario per permettere ad esempio agli amministratori di intervenire in caso di problemi di sicurezza rilevati dal servizio. WithSecure™ non ha accesso a questi dati in un formato tale da poter identificare gli utenti in questione.

Assistenza tecnica

Se il servizio non funziona come previsto e non ci sono soluzioni al problema, l'amministratore Salesforce/IT dell'azienda cliente potrà richiedere a WithSecure™ di analizzare e risolvere i problemi. In tali rari casi, i tecnici di assistenza WithSecure™ potranno accedere ai dati nell'organizzazione Salesforce dell'azienda cliente da remoto, tramite lo strumento di supporto fornito da Salesforce. L'accesso remoto è concesso in modo esplicito dall'amministratore Salesforce dell'azienda cliente e ha sempre un limite di tempo.

Durante l'analisi dei problemi con il servizio WithSecure™ tramite accesso remoto, non viene raccolto alcun dato dall'organizzazione Salesforce dell'azienda cliente da parte del servizio WithSecure™, ad eccezione dei log di debug necessari. WithSecure™ è il controllore di tali dati.

Contatti

L'elaborazione dei dati personali dei contatti rilevanti di un'azienda cliente è illustrata nell'informativa sulla privacy aziendale.

Ambito legale

WithSecure™ e ogni azienda cliente operano come controllori indipendenti nelle proprie rispettive aree di elaborazione dati nel contesto dei servizi.

Nella misura in cui i dati elaborati da WithSecure™ nei servizi sono riferibili a un individuo specifico, i servizi elaborano i dati per salvaguardare i seguenti interessi legittimi:

  • offrire servizi WithSecure™ per proteggere la sicurezza delle reti e dei dispositivi dei nostri clienti, oltre che la riservatezza e la disponibilità dei dati al loro interno;
  • permettere a WithSecure™ di rilevare le minacce e le tendenze di sicurezza emergenti tra tutti i clienti, in modo da poter stare al passo con le minacce in evoluzione;
  • permettere a WithSecure™ di fornire una struttura di servizi di sicurezza centralizzata in più continenti a un numero elevato di clienti e partner.

L'elaborazione dei dati effettuata dal servizio è obbligatoria per una protezione efficiente dei dati dell'azienda cliente nella relativa organizzazione Salesforce. Le impostazioni di un servizio individuale possono consentire a un amministratore Salesforce/IT di limitare l'elaborazione dei dati di sicurezza da parte di WithSecure™, ma tali regolazioni non sono consigliate in quanto rischiano di non permettere di raggiungere gli scopi dei servizi menzionati in precedenza.

Trasferimento e divulgazione

I dati di sicurezza prodotti dal servizio sono visibili all'amministratore Salesforce e/o IT dell'azienda cliente per gli scopi definiti. Se l'azienda ha affidato in outsorcing tale amministrazione, incluso il monitoraggio del servizio, i dati potrebbero essere disponibili anche al partner di outsourcing.

Conservazione

Dati controllati dal cliente

I risultati dell'attività di scansione, ad esempio avvisi ed eventi di scansione di file e URL, sono conservati all'interno dell'organizzazione Salesforce dell'azienda cliente a seconda degli intervalli di conservazione configurati nell'applicazione WithSecure™ Cloud Protection. Gli amministratori Salesforce o IT dell'azienda cliente possono eliminarli in qualsiasi momento ed effettuarne backup in base alle necessità.

Dati controllati da WithSecure™

I dati di sicurezza e le statistiche del servizio, anonimi, sono conservati senza una data di fine e fin quando saranno utili per gli scopi di raccolta. Come eccezione, e per proteggere la riservatezza e la privacy dei contenuti dei file dell'azienda cliente, l'automazione del servizio elimina eventuali contenuti considerati non sospetti subito dopo l'analisi.

Gli altri tipi di dati (come dati di supporto tecnico o informazioni di contatto) menzionati in precedenza sono conservati per la durata indicata nelle rispettive informative sulla privacy. Dopodiché, vengono eliminati o resi anonimi.

Sicurezza

Informazioni sulle pratiche di sicurezza attuate per proteggere i tuoi dati.

I tuoi diritti

Informazioni sui tuoi diritti legali e su come contattarci.

Informazioni generali

Informazioni sulle definizioni e sulla gestione delle modifiche.

Consulting Services (PCI)

WithSecure™ consulting services privacy policy (payment card industry)

September 2019

In brief

This privacy policy sets out the data processing related to WithSecure consulting services regarding Payment Card Industries (hereon PCI) criteria. These services include Data Security Standard (hereon DSS) and 3 Domain Security (hereon 3DS) assessments. The core privacy aspects of these service are:

  • PCI DSS and 3DS security standards require the assessing organization (WithSecure) to collect and store assessment-related evidence data for three (3) years;
  • This evidence data is collected from the organization being assessed (the customer), and might include personally identifiable information;
  • Evidence data of the assessment is stored for the needs of the PCI Security Standard Council quality assurance program and is used to verify
  • WithSecure's judgement of the performed assessment, if requested by the council;
  • Evidence data is not shared with any other parties except PCI Security
  • Standard Council or their appointed auditors.

In full

This service-specific policy focuses on the items we believe are the most relevant for you. Such items are in particular 1) the type of personal and private data that the service collects, 2) what we use it for, 3) our justification, 4) typical disclosures, and 5) for how long we store it. More information on such topics as well as on other aspects (data subject rights, contact information, etc.) of the processing of your personal data is also available via the embedded links.

What do we collect and what do we do with it?

Collected evidence from the organization being assessed

During the PCI DSS or 3DS assessment, we collect evidence from the assessed organization's information systems and related devices. We also conduct documented interviews with customer organization personnel. This data is used to showcase that the organization being assessed has built its security controls to match the requirements of PCI DSS and/or 3DS, and that they are capable of performing security management processes and procedures as is required of them:

  • Screen captures of management systems;
  • Security log exports;
  • Configuration exports from the security infrastructure devices; and
  • Internal documentation of the customer organization.

Certain PCI DSS/3DS security controls require personally identifiable evidence items to be collected (for example to ensure fulfillment of audit trail requirements), others might include unintentional personally identifiable information (such as identifiable names in device configuration exports).

  • Third-party service providers' employee data; In case the organization being assessed uses third-party services to support, develop, or maintain parts (or all) of their PCI DSS/3DS-related information systems or related processes, evidence collection might include collecting personally identifiable information of third-party personnel.

Legal grounds

The PCI DSS and 3DS security standard requires the assessing organization (WithSecure) to collect and store assessment-related evidence data for three (3) years. Therefore WithSecure has a legitimate interest in collecting the evidence data, as it is necessary in order for WithSecure to provide customers with PCI DSS/3DS-related services.

For collected evidence data that WithSecure receives during the PCI DSS/3DS assessments and stores as defined in this privacy policy, WithSecure acts as a controller of the data.

During assessments, only the necessary amount of personal data is collected in order to fulfill the assessment requirements set by the PCI Security Standards Council.

Disclosures

Evidence data is stored for the needs of the PCI Security Standard Council quality assurance program and to possibly verify WithSecure's judgement of the performed assessment.

Evidence data is not shared with any external parties, except upon written request to PCI Security Standard Council or their appointed forensics investigators.

WithSecure further employs its own affiliates and subcontractors so that we can provide our services globally.

Sales and delivery

We exchange (both disclose and receive) some of your personal data with our distribution partners (resellers of corporate IT services, operators, webstores, etc.), who market, distribute, administer, and support our services. We provide these companies access to such personal data that they may need for their agreed activities. The logic of this data sharing is to provide a seamless customer experience. This includes activities such as customer management, service support, incident management and problem resolution, direct marketing, and invoicing.

Our distribution partners are likely to have a pre-existing customer relationship with you or — in the case of our corporate services — with your employer. Such partners and corporate customers process your personal data as an independent entity, based on their applicable privacy policies. Regardless, our distribution partners and corporate customers must also comply with the agreements and legislation when handling your personal data. Each such entity is by default independently responsible for its own treatment of personal data, for its own purposes.

Subcontracting

We may transfer or disclose some of your personal data to WithSecure group companies and our subcontractors who help us create the services.

Where our clients’ personal data needs to be transferred or disclosed to our subcontractors, we require, in our contracts with them, that they use such information solely for providing their agreed services (for example, to solve a support case, to send it to logistics partners for product delivery, or to send marketing mails on our behalf). We require our subcontractors to process data pertaining to you in a manner that is consistent with our statements herein.

International transfers

WithSecure operates globally. Consequently, some of our affiliates, subcontractors, distributors, and partners are located outside the European Economic Area to ensure the global reach and availability of our services. The locations of WithSecure affiliates can be viewed from WithSecure’s public web pages

When we transfer personal data outside the European Economic Area, we secure such transfers of personal data according to the requirements of the law. We do this by imposing appropriate technical and contractual safeguards on relevant subcontractors and WithSecure group companies, for example by using data transfer clauses that are approved by the European Union — the fixed content of such clauses is available here.

We only do global or cross-border data transfers for a good reason and after assessing the resulting privacy risk.

We store more sensitive customer data within Finland or the European Economic Area and keep it under our own control.

Other uses and disclosures

There are circumstances not covered by this privacy policy where the use or disclosure of personal data may be justified or permitted, or where we may be obligated by applicable laws to disclose information without acquiring your consent or independent of service provisioning.

One example includes complying with a court order or a warrant issued by the authorities in the relevant jurisdiction to compel the production of information.

Similarly, there may be other circumstances where there is a justifiable legitimate interest to disclose limited sets of information to a third party. Examples of such disclosures include cases where we need to protect ourselves against liability or to prevent fraudulent activity, where we analyze your use of our products to ensure that our products are working the way you would expect them to and that we are able to react to adverse experiences, where it is necessary to solve or contain an ongoing problem, or where we need to meet the legitimate information requirements of our insurers or governmental regulatory agencies. In any such action, we will act according to the applicable laws.

We may also need to transfer your personal data as part of a corporate transaction, such as a sale, merger, spin-off, or other corporate reorganization of WithSecure, where the information is provided to the new controlling entity in the regular course of business. WithSecure group discloses and transfers data internally as required by our then current operational model. We do, however, limit the disclosures internally to only those group companies, units, teams, and individuals who have a need to know such information for the intended purposes of processing it.

We weigh each disclosure requirement carefully and take the possibility of such disclosure requests into account when deciding where and how we store your personal data.

Sources

While we collect the majority of the above-mentioned data directly from you or your device, we also receive data from our affiliates, distribution partners (such as operators and retailers), and corporate entities from whom you have purchased the services. Such entities may be our resellers, but also include our external webstore partners. We also acquire some basic personal data (order data on purchases) and aggregate analytical data from app stores in which our services are sold. Such other sources may further include subcontractors who have provided you with support for our services, or advertising partners who have assisted us in conducting our marketing activities.

We do this to create a seamless customer experience and to have the necessary information for solving support cases.

Typical examples of third-party sources are:

  • information on your purchase made in our external webstore,
  • we acquire your credentials from previous sign-in data from our operator reseller partner, so that we can provide our service to you directly,
  • we acquire your contact data from corporate decision-maker registries for marketing purposes, and
  • when you use your social media account to register to our services, we collect the email address from your account to enable us to authenticate your registration and to contact you.

Third parties

Our services are provided in conjunction with our partners and our services and websites may embed or interoperate with third-party services. This privacy document only applies to personal data as long as that data is within WithSecure’s realm of influence. Where your personal data is processed by other entities for their independent purposes, such other party is responsible for processing your personal data in a justified manner in accordance to their policies as well as for fulfilling your rights under data protection laws.

The most prevalent such scenarios are the following:

  • Webstore. Our webstore is partially run by a third-party reseller. While the data you enter in the registration phase is handled under WithSecure policies, our webstore providers’ policies apply to the actual purchase and related activities.
  • Device location queries. When you query the location of your device via our services, the provider of maps needs to process the related geographical data. On the publication date of this policy, WithSecure uses Google maps in our device location and search features. Google privacy policies shall apply accordingly to your use of the features.

Retention

The PCI DSS and 3DS security standard requires the assessing organization (WithSecure) to collect and store assessment-related evidence data for three (3) years. WithSecure securely destroys the evidence data after this defined retention period has exceeded.

Learn more

This text complements the service-specific retention times. The default rule under the law is that personal data should be deleted or anonymized once it is no longer needed for its purpose.

However, some personal data needs to be nonetheless stored for longer periods of varying lengths due to varying reasons.

Typical reasons why we deviate from the primary retention times include the following examples:

  • grace periods and backups (e.g. keeping your personal data stored for a designated time after the end of your subscription, so that we can safeguard the data against erroneous deletion);
  • applicable laws require us to store the data (e.g. to keep track of the purchase and payment of our services);
  • to pursue available remedies or to limit any damages that we may sustain (e.g. due to an ongoing dispute or investigation);
  • to solve or contain a recurring problem or to have enough information to respond to future issues (e.g. your support ticket related to a problem that was not permanently corrected during your customership);
  • to prevent fraudulent activity (e.g. to enforce a ban on our community);
  • your personal data is incorporated to other data for a secondary purpose (e.g. retaining logs);
  • other similar circumstances, where there continues to be a legitimate need for the ongoing storage of personal data.

The final removal of your account may be delayed to avoid disturbing the other interactions you have with us. This is the case when you have an WithSecure account (e.g. you have subscribed to our consumer services with your email address) and also i) have an WithSecure Community account or ii) you continue to subscribe to our marketing messages. The WithSecure Community account deletion policy is set out in its terms of service. You can opt out from our marketing messages at any time.

If you have purchased our service via one of our operator partners, account deletion is controlled by said operator partner. Upon the partner notifying us that your subscription has been terminated, WithSecure subsequently removes the account. This removal leads to the deletion or anonymization of any personal data related to the account.

If we have received your information when providing you with technical support, the information is stored as long as the respective support case remains unsolved. Once solved, the information is gradually deleted or anonymized within two years from closing the case.

Analytics data collected with the user’s consent is retained for statistical purposes and is not deleted on removal of personal data and the user account. After termination of the account, analytics data cannot be linked to any personally identifiable user.

Data that does not contain personal data (e.g. aggregate analytical data) is retained as long as such data continues to be useful for the purpose it was collected.

Security

PCI DSS/3DS assessment-related evidence data is stored in a secure document management system, managed by WithSecure and protected by access controls, firewalls, and other protective measures.

We apply strict security measures to protect the confidentiality, integrity, and availability of your personal data when transferring, storing, or processing it.

We use physical, administrative, and technical security measures to reduce the risk of loss, misuse, or unauthorized access, disclosure, or modification of your personal data.

All personal data is stored on secure servers operated by WithSecure or our partners with access limited to authorized personnel only.

Your rights

Information on your statutory rights and how to contact us.

You have the right to the data that we have on you. In particular, you have the following rights to the personal data that we hold on you:

  • Access and rectification. You have the right to ask us what personal data we have on you and to get a copy of the data that we can identify pertaining to you in this context. Should you find any errors (e.g. obsolete information) in such data, we urge you to contact our customer care to resolve the issue. Some of our service portals allow you to update your customer information. For such, you should update any changes to your personal data, for example change of address or email address. If you cannot update the changes yourself, you may inform us of the necessary changes.
  • Objection. You are entitled to object to certain processing of personal data, including for example the processing of your personal data for marketing purposes or when we otherwise base our processing of your data on a legitimate interest. In the latter case, you need to establish a legally valid rationale for your objection.
  • Right to be forgotten. You also have the right to request us to cease storing your personal data and erase it. In this case you need to establish a legally valid rationale for your request.
  • Portability. You also have the right to ask for personal data that you yourself have provided — pursuant to a contract or your consent. You may request the data in a structured, commonly used, and machine-readable format and further that the data is transmitted to another controller, where technically feasible.
  • Withdrawing consent. In cases where the processing is based on your consent, you have the right to withdraw your consent at any time via relevant settings. For identifiable service analytics data, you can find the settings in the service user interface. You also have the right to opt out from our marketing communications via the preference center accessible through the link.
  • Restriction. If you establish that the data we have on you is incorrect or we have no legal right to use it, you may request that we cease any further processing of your personal data, and merely keep it in store until the issue is resolved.

You can exercise your rights via our customer care function. The links to contact us are in the “Contact information” section.

Note that there may be situations where our confidentiality obligations, our right of professional secrecy, and/or our obligations to provide our services (e.g. to your employer) may prohibit us from disclosing or deleting your personal data or otherwise prevent you from exercising your rights. Your above rights are also dependent on the legal grounds based on which we process your personal data.

If you have any complaints about how we process your personal data, or would like further information, please contact us at any time. If you feel that we are not enabling your statutory rights, you have the right to lodge a complaint with a supervisory authority. In most cases, this authority is the Finnish Data Protection Ombudsman (www.tietosuoja.fi).

Contact information

If you have any questions or concerns about the matters discussed in our privacy policies, please contact:

WithSecure Corporation
Tammasaarenkatu 7
PL 24
00181 Helsinki
Finland

How to contact us:

  • If you are a client of our consumer line of products, please contact us via our consumer support channels.
  • If you are a client of our corporate line of products, please contact us via corporate support channels.
  • You can contact WithSecure’s Data Protection Officer by sending a message to privacy@WithSecure.com. If you wish to exercise your rights as a data subject, please use the above links instead.

General

Information on definitions and change management.

Definitions

This is what we mean when we make certain references within this policy.

“Client”, “you”, refers to a private or corporate user or any other data subjects who buy, register for use, or use our services, whose devices and data traffic are protected by our services, or who may have submitted personally identifiable information to us. This information may have been submitted through the use of our services, websites, telephone, email, registration forms, or other similar channels.

“Personal data” refers to any information on private individuals that is identifiable to them or their family or household members. This information may include names, email and mailing addresses, telephone numbers, billing and account information, and other, more technical information that can be linked to you, your device, or the behavior of either, that we process while providing our services.

“Services” refer to any services or products that are manufactured or distributed by WithSecure, including software, web solutions, tools, and related support services.

“Website” refers to the WithSecure.com website or any other website that WithSecure hosts or controls, including subsites and browser-based service portals.

Changes

This version of the policy clarifies, updates, and replaces the previous version. To continue keeping this document up to date, we will make changes and additions to this from time to time also in the future.

We will publish the changed policy document on our website or at another interaction point where it has previously been made available. If the changes are significant, we may also notify you by other means. Any changes will apply starting from the date that we publish the revised policy document.

 

Business Suite

Privacy policy WithSecure Business Suite

Agosto 2018

Informativa in breve

WithSecure Business Suite è una suite di prodotti di sicurezza informatica per workstation e server, controllati da un portale di gestione. Gli aspetti di privacy principali del servizio sono:

  • il focus della raccolta di dati è l’interruzione e il rilevamento di attività pericolose sui dispositivi protetti;
  • i dati di sicurezza raccolti sono anonimi per WithSecure by design;
  • l’amministratore IT del datore di lavoro ha accesso ai dati raccolti in un formato identificabile.

Informativa completa

La presente informativa specifica per il servizio si concentra sugli aspetti che riteniamo più rilevanti per te, in particolare: 1) il tipo di dati personali e privati raccolti dal servizio; 2) le finalità per cui li utilizziamo; 3) la base giuridica del trattamento; 4) i casi tipici di divulgazione e 5) il periodo di archiviazione. Ulteriori informazioni su tali argomenti e su altri aspetti (diritti dell’interessato, dati di contatto e così via) del trattamento dei dati personali sono disponibili anche tramite i collegamenti integrati.

Servizi coperti

I servizi individuali di Business Suite sono Client Security e Client Security for Mac, che proteggono i computer dei dipendenti; Email Server Security e Server Security, che proteggono i server aziendali (inclusi i server Windows, Exchange e SharePoint); Linux Security, che porgette desktop e server Linux; Internet Gatekeeper, che scansiona il traffico che passa nei gateway aziendali; Scanning and Reputation Server, che scansiona i file caricati e ha lo scopo di ottimizzare le prestazioni negli ambienti virtuali.

L’ambiente del datore di lavoro può includere alcuni o tutti i servizi individuali. Gli schemi di raccolta ed elaborazione dei dati per i servizi menzionati sono simili l’uno all’altro.

Tutti i servizi individuali precedenti possono essere gestiti da Policy Manager, uno strumento di gestione centralizzata per gli amministratori IT aziendali. Policy Manager è un software server locale.

Dati raccolti e loro utilizzo

I dati di sicurezza inviati automaticamente da servizi individuali a WithSecure vengono gestiti dal componente "Security Cloud" di WithSecure o da un relativo sottocomponente. Un servizio individuale invia query a Security Cloud su attività potenzialmente pericolose sui dispositivi e sui relativi passaggi di traffico. WithSecure non associa le query all’identità dell’utente. Tuttavia, l’amministratore IT del datore di lavoro sarà probabilmente in grado di associare l’identità degli utente ai risultati forniti da Security Cloud, in quanto dovrà poter intervenire in caso vengano rilevato problemi di sicurezza tramite il servizio.

WithSecure non ha visibilità dui dati dei singoli dipendenti elaborati da un amministratore IT aziendale tramite Policy Manager per lo scopo di gestire i servizi sui dispositivi aziendali. La raccolta dei dati di WithSecure basata sull’uso del servizio è limitata ai dati statistici per la gestione dello stesso e per scopi di fatturazione da Policy Manager, attraverso i quali i singoli individui non sono identificabili.

Se i servizi non funzionano come previsto, il datore di lavoro può sfruttare le competenze di WithSecure per risolvere i problemi. In questi casi, verrà tipicamente richiesto di eseguire uno strumento di supporto WithSecure sul dispositivo (personal computer o server) su cui è installato il servizio individuale e per fornire i dati a WithSecure. L’informativa sulla privacy dello strumento di supporto WithSecure specifica spiega i processi per la raccolta e la gestione dei dati in tali casi.

L’elaborazione dei dati personali dei contatti rilevanti per un’azienda da parte di WithSecure è illustrata nell’informativa sulla privacy aziendale.

Ambito legale

Nella misura in cui i dati elaborati da WithSecure nei servizi sono riferibili a un individuo specifico, i servizi elaborano i dati per salvaguardare i seguenti interessi legittimi:

  • offrire servizi WithSecure per proteggere la sicurezza delle reti e dei dispositivi dei nostri clienti, oltre che la riservatezza e la disponibilità dei dati al loro interno;
  • permettere a WithSecure di rilevare le minacce e le tendenze di sicurezza emergenti tra tutti i clienti, in modo da poter stare al passo con le minacce in evoluzione;
  • permettere a WithSecure di fornire una struttura di servizi di sicurezza centralizzata in più continenti a un numero elevato di clienti e partner.

L’elaborazione dei dati effettuata dai servizi è obbligatoria per una protezione efficiente del dispositivo/rete. Le impostazioni di un servizio individuale possono consentire a un amministratore IT o un dipendente di limitare l’elaborazione dei dati di sicurezza da parte di WithSecure, ma tali regolazioni non sono consigliate in quanto rischiano di non permettere di raggiungere gli scopi dei servizi menzionati in precedenza.

Trasferimento e divulgazione

I dati dell’utente nel portale di gestione sono visualizzabili per scopi simili dall’amministratore IT della tua azienda, interno o esterno. Se l’amministrazione IT dell’azienda è gestita da terzi, i dati saranno disponibili anche al partner esterno in questione (il "partner di distribuzione"/"partner rivenditore" di WithSecure), in modo che quest’ultimo possa fornire supporto e servizi IT corrispondenti alla tua azienda.

WithSecure si avvale inoltre di affiliati e subappaltatori in modo da fornire i propri servizi a livello globale.

Conservazione

I dati di sicurezza resi anonimi e i dati statistici vengono archiviati senza una data di fine impostata e fino a quando non saranno utili per gli scopi per cui sono stati raccolti. Gli altri tipi di dati descritti in precedenza vengono archiviati per la durata indicata nelle rispettive informative sulla privacy, trascorsa la quale vengono eliminati o resi anonimi.

Analytics

Alla data di questa policy, i servizi individuali all’interno di Business Suite non raccolgono dati di analisi aggiuntivi. La raccolta dei dati è limitata a quanto strettamente necessario per fornire il servizio.

Policy Manager riporta analisi statistiche sul proprio utilizzo (ad esempio le funzioni usate) a WithSecure. Le analisi statistiche fanno riferimento all’uso generico del servizio e non a singoli individui.

Sicurezza

Informazioni sulle pratiche di sicurezza attuate per proteggere i tuoi dati.

I tuoi diritti

Informazioni sui tuoi diritti legali e su come contattarci.

Informazioni generali

Informazioni sulle definizioni e sulla gestione delle modifiche.

Freedome for Business

Privacy policy WithSecure Freedome for business

Maggio 2021

Informativa in breve

Freedome for Business combina la navigazione su VPN con la gestione dei dispositivi mobili, entrambe le funzionalità sono controllate tramite il portale di gestione. Per farlo:

  • il servizio crittografa il traffico dati da terze parti;
  • la raccolta dei dati si basa sul tuo dispositivo e sul nostro servizio, non su di te come individuo;
  • gran parte dei dati raccolti è a disposizione dell’amministratore IT del tuo datore di lavoro, in modo che possa gestire meglio i dispositivi e le applicazioni aziendali;
  • raccogliamo dati di sicurezza anonimi per proteggere il tuo dispositivo;

Lo scopo del servizio è proteggere e gestire il dispositivo e le relative connessioni. Il servizio non è progettato per monitorare i dipendenti e non consente a WithSecure o all’amministratore IT della tua azienda di seguire i tuoi movimenti, visualizzare le tue foto o vedere i destinatari delle tue chiamate o comunicazioni, né siamo in grado di tracciare i siti da te visitati tramite il servizio.

Informativa completa

La presente informativa specifica per il servizio si concentra sugli aspetti che riteniamo più rilevanti per te, in particolare: 1) il tipo di dati personali e privati raccolti dal servizio; 2) le finalità per cui li utilizziamo; 3) la base giuridica del trattamento; 4) i casi tipici di divulgazione e 5) il periodo di archiviazione. Ulteriori informazioni su tali argomenti e su altri aspetti (diritti dell’interessato, dati di contatto e così via) del trattamento dei dati personali sono disponibili anche tramite i collegamenti integrati.

Le tue comunicazioni private

Noi partiamo dal principio per cui non vogliamo spiare i contenuti esatti delle tue comunicazioni private. Analizziamo il tuo traffico di comunicazione solo per fornirti il servizio e per mantenere integri i trasferimenti dei tuoi dati. Più nel dettaglio,

  • necessitiamo di elaborare alcuni metadati (come il volume del traffico e gli indirizzi IP) del tuo traffico quando ti forniamo il servizio. Per salvaguardare la tua privacy, l’indirizzo IP di destinazione, la porta o l’URL del traffico inviati tramite la VPN non vengono archiviati in un modo che li possa ricondurre a te;
  • analizziamo il traffico per verificare la presenza di file o destinazioni (ad esempio URL) potenzialmente pericolosi e
  • schermiamo in automatico il traffico per inibire utilizzi che vadano contro la nostra policy di utilizzo accettabile.

Dati utente

Dati dell’utente nel portale di gestione

Il servizio raccoglie i seguenti dati su di te, sul dispositivo e sull’utilizzo, rendendoli disponibili tramite il portale di gestione:

  • Nome utente, indirizzo e‑mail e numero di telefono. Questi dati sono collegati all’"ID dispositivo" che funge da identificatore dei dati dell’utente nel sistema.
  • Il numero di versione del servizio, gli identificatori del dispositivo (ad esempio IMEI, modello, ecc.), chiave di abbonamento, data e ora di installazioni e aggiornamenti, sistema operativo e versione, stato delle funzionalità.
  • Oltre a quanto indicato in precedenza, il servizio raccoglie: il modello del dispositivo mobile e l’eventuale stato di root o jailbreak, statistiche di servizio sul dispositivo come la posizione virtuale, la quantità aggregata di traffico nel tunnel VPN, la quantità di traffico analizzato, i siti pericolosi, il numero di tentativi di tracciamento bloccati e i contatori dei siti Web bloccati.

I dati raccolti variano in base ai dispositivi e ai servizi utilizzati.

Usiamo questi dati per fornire i servizi, gestirli (il che include identificare gli utenti autorizzati e gestire le licenze), analizzare le prestazioni e sviluppare e migliorare ulteriormente i servizi stessi. Questi dati possono essere usati per fornire supporto e servizi di risoluzione dei problemi.

Questi dati sono visualizzabili dall’amministratore IT della tua azienda e sono inoltre disponibili a WithSecure e tramite il portale. Se l’amministrazione IT dell’azienda non viene eseguita internamente, i dati saranno disponibili anche al partner esterno in questione (il "partner di distribuzione" di WithSecure) in modo che quest’ultimo possa fornire supporto e servizi IT corrispondenti alla tua azienda.

Dati dell’utente nei sistemi WithSecure

Oltre ai dati resi disponibili nel portale, WithSecure raccoglie anche i seguenti dati tramite il servizio:

  • l’ID del tuo dispositivo, in modo da poter inviare notifiche push ai dispositivi e combinare vari tipi di dati degli utenti;
  • la lingua del dispositivo, in modo che corrisponda a quella del servizio e
  • possiamo anche raccogliere dati su carica della batteria, dimensioni della memoria interna e della scheda SD e sulle applicazioni installate (per verificare che il servizio sia installato correttamente) per motivi di sviluppo di funzionalità di gestione.

Alcune giurisdizioni ci richiedono di raccogliere gli indirizzi IP pubblici e privati dei dispositivi degli utenti e l’avvio e la fine del tunnel VPN. Se riceviamo una richiesta legalmente valida, questi dati possono essere usati per mostrare l’indirizzo IP di origine usato per collegarsi a un indirizzo IP di destinazione in un dato momento. Ciò non compromette l’invisibilità del tuo traffico di navigazione tramite il servizio verso WithSecure o l’amministratore IT, in quanto non assoceremo a te l’indirizzo IP.

Analytics

Per conoscere i tempi e le modalità con cui utilizzi i nostri servizi al fine di migliorarli e scoprire come i clienti arrivano a conoscere il servizio, quest’ultimo raccoglie dati di completamento dell’installazione, percorsi di installazione e attivazione, prestazioni, ambiente operativo, connessioni, funzionalità utilizzate e altri dati simili. Tale raccolta ci consente di offrire a te e agli altri clienti servizi di qualità.

Informativa sulla privacy Elements Endpoint Protection

L’uso di Security Cloud, i ruoli in cui le varie parti elaborano i tuoi dati personali, le regole di conservazione dei dati e le basi legali su cui i dati personali vengono elaborati sono descritti nell’informativa sulla privacy di Elements Endpoint Protection di WithSecure.

Sicurezza

Informazioni sulle pratiche di sicurezza attuate per proteggere i tuoi dati.

I tuoi diritti

Informazioni sui tuoi diritti legali e su come contattarci.

Informazioni generali

Informazioni sulle definizioni e sulla gestione delle modifiche.