HelloSign e conformità al GDPR

In HelloSign, la Sicurezza e la Privacy dei dati dei clienti hanno la massima priorità

HelloSign e conformità al GDPR

Il nostro impegno nei confronti dell’utenti e nella protezione dei suoi dati

A partire dal 25 maggio 2018, il “Regolamento generale sulla protezione dei dati” o GDPR è entrato in vigore in tutti gli Stati membri dell’UE. Questo regolamento di conformità ha unificato la legislazione sulle modalità di utilizzo e gestione dei dati personali e ha stabilito standard di sicurezza più uniformi per tutti. Ai sensi del GDPR, i consumatori possono beneficiare di una maggiore tutela della privacy dei propri dati personali.

Formazione e sensibilizzazione sulla privacy

Tutti i dipendenti di HelloSign hanno ricevuto una formazione sul GDPR, supervisionata dal nostro team di conformità in loco. Le sessioni di formazione vengono svolte al momento dell’assunzione di tutti i nuovi dipendenti e successivamente con cadenza annuale.

Mapping dei dati e valutazioni dell’impatto della privacy

Per verificare che le nostre pratiche sulla privacy siano appropriate, HelloSign ha condotto un esercizio iniziale di mapping dei dati. Ciò includeva una valutazione dell’impatto sulla privacy (PIA, dall’inglese Privacy Impact Assessment) per valutare il modo in cui raccogliamo, trattiamo e archiviamo i dati personali e determinare i potenziali impatti sulla privacy.

Norme sulla sicurezza delle informazioni

HelloSign ha previsto norme di sicurezza e protezione dei dati che disciplinano come e quando dipendenti e contraenti possono accedere ai dati dell’utente.

Trasferimento di Dati

HelloSign partecipa e ha certificato la sua conformità al quadro dello Scudo UE-USA per la privacy e allo Scudo Svizzera-USA per la privacy. HelloSign è responsabile del trattamento dei dati personali che riceve, ai sensi di ogni Scudo per la privacy, e successivamente trasferisce i dati a terze parti che agiscono in qualità di agente per suo conto. HelloSign rispetta gli Scudi per la privacy per tutti i successivi trasferimenti di dati personali dall’UE e dalla Svizzera, comprese le disposizioni sulla responsabilità in materia di trasferimento.

Risposta agli incidenti

Le nostre procedure di Risposta agli incidenti sono state progettate e sottoposte a test per garantire che i potenziali eventi di sicurezza siano identificati e segnalati al personale dedicato alla risoluzione. Il personale segue i protocolli definiti per la risoluzione degli eventi di sicurezza e i passaggi per la risoluzione sono documentati ed esaminati regolarmente dal team di sicurezza. Inoltre, le nostre norme e procedure includono la notifica di violazione per i casi in cui si potrebbe verificare un incidente di sicurezza che comporta la perdita o l’uso non autorizzato di informazioni personali identificabili (PII, dall'inglese Personal Identifiable Information).

Recensioni dei prodotti

Il nostro Software Development Lifecycle (“SDLC”, in italiano ciclo di vita del software) garantisce che le modifiche al sistema vengano apportate in conformità ai requisiti del GDPR, incluse considerazioni sulla privacy nelle seguenti aree:

  • pianificazione
  • documentazione delle modifiche
  • sviluppo di piani di test
  • test di modifica e documentazione dei risultati
  • revisione e approvazione Quality Assurance ("QA", controllo della qualità)
  • revisione e attestazione di terze parti
  • Revisione e aggiornamento periodici

Recensioni dei fornitori

Tutti i nostri attuali subincaricati vengono esaminati su base annuale per garantire che soddisfino i requisiti di sicurezza e privacy.

Tutele contrattuali

HelloSign ha creato un Accordo sul trattamento dei dati conforme al GDPR, nel caso in cui l’utente desideri scoprire di più in merito. Per richiedere informazioni sull’Accordo sul trattamento dei dati, contattare support@hellosign.com.

Elenco dei subincaricati autorizzati

Visualizza elenco dei subincaricati autorizzati

Certificazioni

Noi di HelloSign siamo consapevoli delle gravi conseguenze della mancanza di conformità e abbiamo sviluppato diligentemente processi per rendere il servizio conforme agli standard che regolano l’attività dell’utente.

HelloSign è conforme a:

  • SOC 2 Type II
  • ISO 27001 e ISO 27018
  • Supporto per l’implementazione HIPAA utilizzando il nostro prodotto HelloSign
  • L’eSIGN Act statunitense del 2000
  • Lo Uniform Electronic Transactions Act (EUTA) del 1999
  • Il nuovo regolamento eIDAS dell’Unione europea del 2016 (Regolamento EU 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno) che abroga la
  • direttiva europea 1999/93/CE
  • Scudo per la privacy
  • GDPR (Regolamento generale sulla protezione dei dati)

Sicurezza dei prodotti

Crittografia

Per impostazione predefinita, la comunicazione con i nostri servizi utilizza Transport Layer Security (TLS), che viene regolarmente aggiornato per utilizzare le suite di cifratura e le configurazioni TLS più recenti.  Inoltre, crittografiamo tutti i dati dei clienti quando sono inattivi utilizzando AES 256-T.

Eliminazione dei dati e accesso ai dati

Il GDPR conferisce ai consumatori il diritto legale di richiedere l’accesso e l’eliminazione dei dati personali archiviati da un’azienda.

Consentiamo ai nostri clienti di eliminare i loro dati dai nostri prodotti ogniqualvolta il trattamento dei suddetti dati è completo, sono soddisfatti i requisiti di conservazione legalmente vincolanti e tutte le parti associate all’artefatto digitale in questione hanno accettato la sua eliminazione.

Per avviare un evento di eliminazione dei dati, contattare support@hellosign.com.

Conformità dei cookie

In HelloSign, utilizziamo principalmente "cookie di sessione" che vengono eliminati automaticamente dopo ogni visita. Questi cookie ci consentono di riconoscere gli utenti ed evitare di richiedere più volte le stesse informazioni.

Tuttavia, i cookie possono essere attribuiti in modo univoco a un dispositivo e quindi sono in grado di identificare un individuo. Pertanto, abbiamo esaminato tutti i nostri cookie per garantire che venga raccolto il consenso richiesto e che siano trattati come PII, se del caso.