Keeper è una piattaforma zero-knowledge che si impegna a mantenersi conforme al RGPD europeo

Punti chiave riguardanti la conformità al GDPR di Keeper

Cos'è il GDPR?

Il Regolamento generale sulla protezione dei dati (GDPR) è il testo giuridico più significativo della legislazione europea in materia di protezione dei dati a essere stato introdotto nell'Unione Europea negli ultimi 20 anni e sostituisce la Direttiva sulla protezione dei dati del 1995. Il GDPR potenzia i diritti di riservatezza delle persone fisiche nell'UE e impone degli obblighi rafforzati in modo significativo alle organizzazioni che gestiscono i dati. Keeper Security si impegna a mettere in atto con successo il GDPR.

Il GDPR regola il trattamento dei dati personali delle persone fisiche nell'Unione Europea, regolamentandone anche la raccolta, la memorizzazione, il trasferimento o l'utilizzo. Il concetto di "dati personali" viene ampiamente definito e indica qualsiasi informazione concernente una persona fisica identificata o identificabile, definita dal GDPR come un "interessato". Per la maggior parte delle aziende questa definizione comprende i dipendenti e i clienti.

Il GDPR identifica due soggetti che possono essere in possesso di dati personali. Un titolare del trattamento esercita il controllo sul trattamento dei dati personali e decide quali dati raccogliere. Un responsabile del trattamento agisce sotto la direzione di un titolare del trattamento per raccogliere, memorizzare, recuperare e/o cancellare dati personali. Keeper Security è un titolare del trattamento quando vende il proprio gestore di password direttamente ai consumatori; è invece un responsabile del trattamento quando vende alle aziende, che a loro volta sarebbero considerate i titolari del trattamento.

Il nostro impegno

Keeper si è adeguata al GDPR e si impegna a garantire ai suoi clienti nell'Unione Europea che le procedure aziendali adottate e i suoi prodotti continuino a essere conformi.

Il client web di Keeper, l'app per Android, l'app per Windows Phone, l'app per iPhone/iPad e le estensioni per browser sono stati certificati secondo l'EU-U.S. Data Privacy Framework ("EU-U.S. DPF"), l'estensione britannica all'EU-U.S. DPF e lo Swiss-U.S. Data Privacy Framework ("Swiss-U.S. DPF") come stabilito dal Dipartimento del commercio degli Stati Uniti. Keeper è conforme al SOC 2 di tipo 2 secondo il framework AICPA Service Organization Control. Keeper è inoltre certificata ISO 27001.

Rafforzamento dei diritti delle persone fisiche

Il GDPR fornisce un rafforzamento dei diritti delle persone fisiche nell'Unione Europea garantendo loro, tra l'altro, il diritto all'oblio e il diritto di richiedere una copia di qualsiasi dato personale memorizzato che li riguarda. Il dato deve essere in un formato leggibile da un comune dispositivo automatico e il titolare del trattamento non deve intromettersi nel trasferimento dei dati.

Obblighi di conformità

Il GDPR esige che le organizzazioni applichino politiche e protocolli di sicurezza adeguati, conducano valutazioni d'impatto sulla privacy, conservino registrazioni dettagliate delle attività che riguardano i dati e stipulino accordi scritti con i fornitori.

Rafforzamento dell'applicazione

Ai sensi del GDPR, le autorità possono multare le organizzazioni fino a 20.000.000 di Euro o fino al 4% del fatturato annuale complessivo di un'azienda (se superiore), in base alla gravità della violazione e dei danni causati. Inoltre, il GDPR fornisce un punto centrale di applicazione per le organizzazioni con presenza in più stati membri dell'UE, esigendo che le aziende lavorino con un'autorità di controllo capofila per le questioni transfrontaliere di protezione dei dati.

Nuovi requisiti per la profilazione e il monitoraggio

Il GDPR impone obblighi supplementari alle organizzazioni impegnate nella profilazione o nel monitoraggio del comportamento di persone fisiche nell'UE. Le disposizioni del GDPR si applicano globalmente a qualsiasi organizzazione che tratta dati personali di persone fisiche nell'Unione Europea, incluso il tenere traccia delle loro attività online, indipendentemente dal fatto se l'organizzazione abbia una presenza fisica nell'UE o no.

Notifica delle violazioni dei dati personali e sicurezza

Il GDPR esige che le organizzazioni denuncino le violazioni di alcuni dati alle autorità di protezione dei dati e, in determinate circostanze, agli interessati. Il GDPR ha inoltre disposto dei requisiti di sicurezza supplementari per le organizzazioni.

Accordo sul trattamento dei dati (DPA, Data Processing Agreement) di Keeper

I clienti Business potrebbero dover firmare un Accordo sul trattamento dei dati (DPA) con Keeper Security per assisterli nella conformità al GDPR. Richiedi l'accordo DPA al tuo rappresentante di Keeper Security o contattaci all'indirizzo https://keepersecurity.com/support.

Scarica l'accordo sul trattamento dei dati (DPA)

Domande frequenti

Cosa sta facendo Keeper Security per il GDPR?

Abbiamo collaborato con TrustArc, leader mondiale nell'ambito del rispetto delle norme sulla privacy, per identificare i cambiamenti nei nostri processi aziendali, nelle procedure in materia di privacy e nei prodotti necessari per assicurare la conformità al GDPR.

In quanto azienda basata sulla sicurezza zero-knowledge, il GDPR è strettamente allineato ai principali prodotti e servizi forniti da noi. Teniamo molto a conformarci alla legislazione internazionale e alla protezione della privacy dei nostri clienti.

Cosa significa "zero-knowledge"?

Keeper è un fornitore di servizi di sicurezza zero-knowledge. L'utente di Keeper è l'unica persona ad avere il pieno controllo sulla crittografia e sulla decrittografia dei propri dati. Con Keeper, la crittografia e la decrittografia avvengono solo sul dispositivo dell'utente dopo aver effettuato l'accesso alla propria cassetta di sicurezza. Ciascuna singola voce archiviata nella cassetta di sicurezza dell'utente è crittografata con una chiave AES a 256 bit che è generata in modo casuale sul dispositivo. Le chiavi sono protette da una chiave aggiuntiva, chiamata Chiave dati. Per gli utenti che accedono a Keeper utilizzando la password principale, la chiave dati è crittografata tramite una chiave derivata sul dispositivo dalla password principale dell’utente usando PBKDF2 con 1.000.000 di iterazioni. Per gli utenti che effettuano l’accesso con SSO, la chiave dati viene crittografata con una chiave privata a curva ellittica. La sincronizzazione sicura delle voci tra i dispositivi dell'utente è anch'essa crittografata al livello di rete e trasmessa attraverso la Cloud Security Vault di Keeper. Questo modello di crittografia a più livelli fornisce il più avanzato servizio di protezione dei dati disponibile sul mercato.

Quali modifiche ha implementato Keeper Security per rimanere conforme al GDPR?

Trattandosi di una piattaforma zero-knowledge, le informazioni archiviate nel nostro prodotto sono completamente crittografate e a disposizione esclusivamente dell'utente. Sono state apportate delle modifiche ai sistemi di analisi dei dati per garantire l'anonimato dei nostri clienti, oltre ad alcune modifiche per consentire agli utenti di controllare il proprio consenso sulle modalità di utilizzo o di memorizzazione di qualsiasi dato personale che possa essere raccolto.

Keeper è responsabile o titolare del trattamento?

Il GDPR identifica due entità che possono trattare i dati personali: il titolare del trattamento, che decide quali dati raccogliere e quale trattamento dei dati effettuare, e il responsabile del trattamento, che agisce sotto la direzione di un titolare del trattamento per raccogliere, memorizzare, recuperare e/o cancellare dati personali. Keeper Security è un titolare del trattamento quando vende il proprio gestore di password direttamente ai consumatori; è invece un responsabile del trattamento quando vende alle aziende, che a loro volta sarebbero da considerare i titolari del trattamento.

Come posso esportare i miei dati personali?

Per esportare i propri dati, accedere alla cassetta di sicurezza Web di Keeper all'indirizzo https://keepersecurity.com/vault e fare clic su "Altro >> Backup >> Esporta". È possibile scaricare le proprie informazioni memorizzate nei formati CSV o PDF. In caso di account scaduto, contattare il team di supporto all'indirizzo exportme@keepersecurity.com per ricevere assistenza durante l'accesso alla propria cassetta di sicurezza.

Come posso richiedere la cancellazione dei miei dati?

Scrivere all'indirizzo e-mail deleteme@keepersecurity.com e fornire l'indirizzo e-mail associato al proprio account Keeper.

Dove sono memorizzati i miei dati?

Keeper operates data centers in multiple regions throughout the world with Amazon AWS. Enterprise customers may elect to establish their Keeper tenant in any supported primary region including: United States (US), United States GovCloud (US_GOV), Europe (EU), Australia (AU), Canada (CA) and Japan (JP). Customer data and access to the platform are isolated to that specific region. From each primary region, Keeper utilizes multi-zone and multi-region replication to ensure high availability. In the United States commercial region, Keeper utilizes East and West locations. In the US GovCloud data center, Keeper utilizes East and West locations. In Europe, Keeper utilizes Ireland and Frankfurt locations. In Australia, Keeper utilizes Canada as a DR region. In Canada, data is replicated within the country. In Japan, the primary region is Tokyo and replicated to Osaka. Individual consumer users who sign up through the Keeper Web Vault, desktop app or mobile apps may select the desired data center location on the account creation screen.

Come posso trasferire i miei dati dal centro dati statunitense al centro dati europeo?

Scrivere all'indirizzo e-mail exportme@keepersecurity.com per ricevere istruzioni e assistenza per un trasferimento dati di questo tipo.

In che modo Keeper Security agevola il raggiungimento della conformità al GDPR?

Architettura zero-knowledge e sicurezza: il gestore di password di Keeper è stato creato sul concetto secondo cui il singolo utente è l'unica persona che può accedere ai propri dati. Ciò si allinea perfettamente ai principi del GDPR e ai requisiti in materia di protezione dei dati. La crittografia è interamente realizzata sul dispositivo (o i dispositivi) del singolo utente. I dati vengono crittografati in transito con Transport Layer Security (TLS) e memorizzati sotto forma di testo cifrato crittografato con AES-256. Dato che i dati e le chiavi di crittografia sono separati, nessun dipendente di Keeper potrà mai accedere ai dati del cliente archiviati nella propria cassetta di sicurezza. Come previsto dall'articolo 34, se i dati archiviati nella cassetta di sicurezza di Keeper venissero violati, il testo cifrato risulterebbe inutile per i responsabili della violazione e pertanto non sarebbe necessaria alcuna notifica.

Oltre ai consueti test e alle revisioni sulla sicurezza, Keeper viene sottoposta ogni anno ai test per le certificazioni SOC 2 Type 2 e ISO 27001.

Keeper utilizza la solida infrastruttura cloud AWS di Amazon in diverse località geografiche per ospitare e gestire la cassetta di sicurezza di Keeper. I dati a riposo e in transito vengono completamente isolati nel centro dati globale preferito dal cliente. In altre parole, i dati europei rimangono nell'UE. Questo fornisce ai clienti il più veloce e sicuro cloud storage.

Nessun trattamento supplementare: Keeper non estrapolerà mai i dati dei clienti memorizzati nella cassetta di sicurezza per alcun motivo. In primo luogo, il rispetto della privacy dei clienti occupa una posizione centrale nella politica di Keeper. In secondo luogo, ciò sarebbe tecnicamente impossibile per via dell'architettura zero-knowledge. Ciò è in linea con i principi del GDPR relativi alle misure tecniche e organizzative messe in atto per proteggere i dati personali.

Controllo dei dati: i clienti possono esportare i propri dati (nei formati CSV o PDF), modificare o cancellare le voci memorizzate nella propria cassetta di sicurezza in qualsiasi momento. Questo consente di rispettare i requisiti del GDPR in base al quale i dati personali possono essere trasferiti o cancellati non appena l'uso previsto sia stato soddisfatto, il consenso sia stato ritirato o le finalità aziendali legittime cambino. Dato che gli interessati possono utilizzare la propria cassetta di sicurezza di Keeper autonomamente, il titolare del trattamento è sollevato da un peso significativo nella conformità al GDPR. I dati sono crittografati in modo tale che soltanto l'interessato possa accedervi, per cui se nessun dipendente è in grado di vederli, tanto meno avrà la necessità di accedervi.

Controllo degli accessi in base al ruolo: il concetto di sicurezza in base al principio del privilegio minimo significa che i dipendenti dovrebbero avere accesso soltanto alla minima quantità di dati necessaria per il loro lavoro. Il più delle volte questo viene realizzato con il controllo degli accessi in base al ruolo (RBAC, role-based access control).

Keeper collabora con Microsoft Active Directory (AD) per sincronizzare i nodi (unità organizzative), i team e gli utenti. Una volta collegato, Keeper abilita il controllo degli accessi in base al ruolo per qualsiasi nodo. Tali controlli possono essere messi in cascata ai nodi di livello inferiore, se lo si desidera. I controlli sulle cassette di sicurezza di Keeper includono la forza della password principale, il tempo di rotazione, i requisiti dell'Autenticazione a 2 fattori, l'inserimento degli indirizzi IP nell'elenco elementi consentiti e altri elementi. Keeper blocca gli account che sono stati chiusi in AD e li trasferisce ad amministratori fidati; ciò fornisce agli amministratori IT il controllo degli account e delle risorse con dati di tutta l'organizzazione.

Informazioni amministrative e controlli: Keeper Enterprise fornisce informazioni dettagliate sulla forza delle password dei dipendenti, sul riutilizzo e sull'utilizzo dell'Autenticazione a due fattori. Keeper fornisce dei registri di controllo completi di data e orari nonché filtri per consentire ricerche rapide di anomalie, cattivo comportamento, scienza forense o segnalazioni relative alla conformità.

close
Vendita alle aziende
Supporto
close
Acquista ora