Sicurezza

In HelloSign, la sicurezza e la privacy dei dati dei clienti hanno la massima priorità

Illustrazione della cassaforte di una banca

Privacy

In HelloSign, crediamo che i dati siano proprietà degli utenti e ci impegniamo per mantenerli privati. Le nostre norme sulla privacy descrivono chiaramente in che modo gestiamo e tuteliamo i dati dell’utente. Ogni anno i nostri revisori di terze parti indipendenti verificano i nostri controlli sulla privacy, fornendoci rapporti e commenti che mettiamo a disposizione degli utenti. Per segnalare un problema relativo alla privacy, consultare la nostra pagina Segnalazione di eventi di sicurezza.


Ecco alcuni modi in cui proteggiamo i dati dell’utente:


Eliminazione/distruzione dei dati

Su richiesta, HelloSign lavorerà per eliminare tutti i dati del cliente e i documenti di proprietà esclusiva dai suoi sistemi. I documenti in possesso legale o di proprietà di più parti saranno eliminati al termine del processo di conservazione ai fini legali o dopo l’eliminazione da parte delle altre parti a loro discrezione.

Per avviare un evento di eliminazione/distruzione dei dati, contattare l’indirizzo support@hellosign.com


Informazioni relative ai pagamenti

Elaboriamo tutti i pagamenti tramite il nostro fornitore di servizi di pagamento (Stripe) e NON archiviamo i dati del titolare della carta sui nostri server. HelloSign è conforme alle norme PCI per l’elaborazione dei pagamenti.

Subincaricati HelloSign

HelloSign esegue un controllo dei suoi subincaricati almeno una volta l’anno. Nel caso in cui queste revisioni presentino risultati materiali che riteniamo essere rischi per HelloSign o per i nostri clienti, collaboriamo con il fornitore di servizi per comprendere qualsiasi potenziale impatto sui dati dei clienti e tracciare i loro tentativi di correzione fino alla risoluzione del problema.

Incidenti di sicurezza e segnalazione

Se si nota qualcosa di strano, notificarlo a HelloSign. Per segnalare un potenziale incidente di sicurezza a HelloSign, inviare a un’email al team di sicurezza HelloSign all’indirizzo abuse@hellosign.com, allegando un rapporto riepilogativo. Il team addetto alla sicurezza delle informazioni valuterà il rapporto e ne discuterà le specifiche.

Crittografia

I documenti vengono archiviati con protezione firewall e autenticati nella sessione del mittente ogni volta che viene effettuata una richiesta di tali documenti. Per la trasmissione dei dati alla nostra piattaforma, applichiamo le best practice del settore (Transport Layer Security, TLS). I dati vengono archiviati in un data center certificato SOC 1 Type II, SOC 2 Type I e ISO 27001. Quando sono inattivi, i documenti vengono archiviati e crittografati utilizzando la crittografia AES a 256 bit.

Audit trail

L’audit trail non modificabile assicura che ogni azione sui documenti del Cliente venga monitorata in modo accurato, tenendo traccia del momento in cui è avvenuta, per fornire una prova dell’accesso, della visualizzazione e della firma. Questi record includono un hash del documento PDF che possiamo confrontare con l’hash di un documento PDF equivoco per determinare se è stato modificato o manomesso.

Sicurezza delle applicazioni

HelloSign ha un programma formale di sicurezza delle applicazioni in atto con personale dedicato alla sicurezza delle applicazioni. Inoltre, eseguiamo la scansione del nostro codice per i problemi relativi alla sicurezza utilizzando strumenti di analisi del codice statico.


Per migliorare ulteriormente la sicurezza delle sue applicazioni, HelloSign gestisce un programma di bug bounty e collabora più volte all'anno con team di test di penetrazione di terze parti per garantire la sicurezza dei suoi prodotti.

Autorizzazioni

È indispensabile che il Cliente possa verificare quali azioni possono essere effettuate da ogni utente all’interno del sistema. Sia nell’HelloSign API sia nel prodotto dell’utente finale HelloSign, i diritti di accesso cambiano sulla base dei ruoli. Ulteriori informazioni sulle autorizzazioni di sicurezza sulla base dei ruoli.

Infrastruttura

HelloSign utilizza Amazon Web Services (AWS) come fornitore di Infrastructure as a Service (IaaS) con centri dati Amazon che ospitano i nostri dati negli Stati Uniti. Utilizziamo funzionalità AWS come Virtual Private Cloud (VPC), gruppi di sicurezza, crittografia a livello di disco, ecc., per garantire la riservatezza dei dati dei nostri clienti nel cloud.

Team di sicurezza

dedicato e con esperienza

HelloSign ha un programma formale di sicurezza delle informazioni in atto che fa riferimento al nostro Head of Security, che dirige un Information and Risk Management Committee (comitato per la gestione delle informazioni e dei rischi). L’Information and Risk Management Committee si riunisce periodicamente per esaminare le iniziative relative alla sicurezza a livello di prodotto, infrastruttura e azienda.


Tutti i dipendenti di HelloSign vengono sottoposti a controlli approfonditi e seguono una formazione annuale di sensibilizzazione alla sicurezza.


Disponiamo anche di Norme sull’uso accettabile e Termini di servizio per i nostri utenti finali per garantire che i nostri clienti comprendano a pieno le destinazioni e i termini d'uso dei nostri prodotti.