Sicurezza e privacy
Fiducia
Da sempre ThousandEyes dà la massima priorità alla sicurezza e alla privacy dei clienti, che infatti si affidano a noi per raccogliere e archiviare informazioni sulle prestazioni delle reti e delle applicazioni che usano. A seconda dello scenario di implementazione e di utilizzo specifico del cliente, queste informazioni possono includere dati provenienti da Internet che sono di dominio pubblico e/o dati di reti aziendali private. Pertanto, trattiamo tutti i dati raccolti come estremamente sensibili e abbiamo implementato un sistema di gestione per garantirne la riservatezza, l'integrità, la disponibilità e la privacy.
L'adozione dello standard ISO/IEC 27001, ampiamente riconosciuto e rispettato, costituisce le fondamenta del nostro sistema di gestione della sicurezza informatica. Il nostro sistema di gestione della privacy ha la certificazione ISO 27701.
Insieme questi framework formano il ThousandEyes Unified Security and Privacy Management Framework (USPMF), supportato da policy, standard, tecnologie e processi rigorosi. Miglioriamo costantemente il nostro USPMF con l'implementazione di controlli tecnici e organizzativi aggiuntivi, al fine di garantire che i dati dei clienti siano sempre protetti con le best practice più aggiornate ed efficaci.
In qualità di provider di servizi cloud, ThousandEyes condivide la responsabilità di sicurezza e privacy con i propri clienti. Consulta le informazioni di seguito per comprendere il tuo ruolo nell'implementazione dei controlli di sicurezza e delle attività operative.
ThousandEyes consiglia ai clienti le seguenti linee guida per proteggere le password e gli account.
Programma Bug Bounty
ThousandEyes si impegna a garantire elevati livelli di sicurezza ai propri clienti e partner e alla community. Il programma di ricompense per la segnalazione di vulnerabilità di Cisco ThousandEyes fa parte della nostra strategia di sicurezza globale e incoraggia i ricercatori esterni a collaborare con il nostro team della sicurezza per mantenere la nostra piattaforma sicura.
Se pensi di aver scoperto una vulnerabilità in uno dei prodotti, servizi, siti Web o altre infrastrutture di ThousandEyes o vuoi segnalare un potenziale uso malevolo, invia la tua segnalazione a bugcrowd.com/thousandeyes-og. Dopo aver ricevuto la richiesta, Bugcrowd e il team della sicurezza di ThousandEyes la valuteranno ed elaboreranno una risposta. Ti invitiamo a fornire tutte le informazioni relative al problema e a collaborare con noi in modo responsabile per proteggere i nostri clienti e partner e la community.
Sicurezza informatica
Organizzazione della sicurezza informatica
L'organizzazione della sicurezza informatica di ThousandEyes è gestita dal CISO. Il suo team controlla tutti gli aspetti della protezione dei dati: business, sicurezza e privacy fisiche e tecniche. Sono inclusi anche audit e conformità, così come la gestione generale dei rischi.
Sicurezza delle Risorse Umane
Riteniamo che la sicurezza informatica abbia inizio dalle persone e che non sia sufficiente proteggere semplicemente i sistemi fisici. È a tal proposito che investiamo nella sensibilizzazione e nella formazione sulla sicurezza per tutti i dipendenti, in modo che dispongano delle conoscenze necessarie per supportare i nostri sistemi di gestione della sicurezza e della privacy fin dal primo giorno.
Gestione degli asset e dei rischi
Tutte le informazioni sono classificate in termini di riservatezza secondo un modello a tre livelli e richiediamo l'implementazione congiunta di controlli di sicurezza specifici. Le valutazioni dei rischi devono essere condotte per ogni asset di informazioni critico, per confermare che i controlli esistenti soddisfino i criteri definiti. Tutte le informazioni dei clienti sono classificate come riservate per impostazione predefinita e, di conseguenza, richiedono sempre il livello di protezione più elevato e rigoroso.
Controllo degli accessi
L'accesso alle informazioni è concesso caso per caso e controllato da un processo gestito che si occupa dell'autorizzazione per nuovi accessi, della revoca quando non sono più necessari e di un'analisi periodica degli elenchi di accesso alle informazioni critiche.
Crittografia
Tutti i controlli crittografici di ThousandEyes sono conformi alle normative e agli obblighi legali e richiedono robuste procedure di gestione delle chiavi.
Sicurezza fisica e ambientale
I data center e gli uffici sono tutti dotati di sistemi di controllo degli accessi e videosorveglianza, con sicurezza presente in loco 24 ore su 24 e 7 giorni su 7. Per poter essere approvati da ThousandEyes, i data center devono soddisfare i requisiti Tier III.
Sicurezza operativa
Tutti i sistemi, le applicazioni e le reti vengono configurati, implementati e sottoposti a backup in modo sicuro per garantirne il funzionamento previsto. Viene inoltre utilizzato un anti-malware in tutti i sistemi critici che servono i clienti.
Sicurezza delle comunicazioni
Tutte le risorse di comunicazione di ThousandEyes vengono usate in conformità ai nostri principi etici e di business e dispongono di controlli pertinenti come l'utilizzo della crittografia per la trasmissione dei dati sensibili.
Acquisizione, sviluppo e manutenzione di sistemi
I nostri controlli includono, a titolo di esempio, il test di penetrazione e l'analisi del codice come fasi vitali del processo di approvazione. Inoltre, le nostre metodologie sicure per la progettazione e l'implementazione del ciclo di vita di sviluppo software vengono migliorate costantemente in modo da rimanere al passo con le best practice più aggiornate e contrastare le minacce più recenti.
Servizi di terze parti
Quando le terze parti sotto contratto agiscono per nostro conto, devono rispettare i nostri stessi rigorosi standard di sicurezza e privacy interni. Questa fase di due diligence fa parte del nostro processo di gestione dei rischi dei fornitori esterni, che include un'analisi di sicurezza completa dell'organizzazione esterna, nonché del suo prodotto o servizio offerto.
Monitoraggio e gestione degli incidenti di sicurezza
Monitoriamo costantemente reti, sistemi e applicazioni per rilevare vari tipi di eventi. La nostra stessa soluzione di monitoraggio nel cloud, inoltre, monitora se stessa e altri componenti della nostra infrastruttura tecnologica. Quando viene registrato un evento critico, si attiva immediatamente il piano di risposta agli incidenti.
Privacy
L'informativa sulla privacy online di Cisco e la presente sintesi sono applicabili ai siti Web di Cisco e a quelli delle nostre società consociate che rimandano a tale informativa.
Cisco rispetta i dati personali e si impegna a tutelarli. L'Informativa sulla privacy riflette gli attuali principi e gli standard mondiali in materia di trattamento dei dati personali: trasparenza, correttezza e responsabilità. Riportiamo di seguito alcuni paragrafi salienti dell'informativa sulla privacy online di Cisco. Ulteriori informazioni sul trattamento dei dati personali da parte di Cisco sono reperibili nelle schede tecniche sulla privacy, nelle descrizioni delle offerte o in altri avvisi forniti prima o al momento della raccolta dei dati.
Dati personali
Cisco raccoglie dati personali per diversi motivi, tra cui l'elaborazione degli ordini dell'utente, il provisioning di siti web e le Soluzioni e l'attivazione delle relative funzionalità, l'abbonamento alla newsletter, l'invio di comunicazioni aziendali o di marketing, la personalizzazione dell'esperienza dell'utente o la gestione delle domande di lavoro.
L'utente viene informato dello scopo della raccolta dei propri dati personali al momento di tale raccolta. I dati sono conservati per raggiungere tale scopo o secondo quanto richiesto dalla legge applicabile o per fini legittimi.
La società si riserva di aggregare le informazioni raccolte dall'utente alle informazioni ottenute da altre fonti, al fine di migliorarne l'accuratezza e completezza complessiva e per migliorare e personalizzare le interazioni e prestazioni con gli utenti stessi.
La società si riserva anche di raccogliere informazioni in merito dall'utilizzo da parte degli utenti di siti e Soluzioni web della società, attraverso varie tecnologie, tra cui i cookie.
Avviso e opzioni disponibili agli utenti in merito all'utilizzo dei dati
Cisco utilizza i dati personali dell'utente per gli scopi per i quali sono stati raccolti e si astiene dall'utilizzarli per finalità diverse senza aver prima ottenuto il consenso dell'utente o avere un legittimo interesse a farlo.
La società chiede il consenso dell'utente prima di condividere i suoi dati personali con terze parti per scopi diversi dai motivi alla base della raccolta o da quelli descritti nell'informativa sulla privacy online.
Per ulteriori informazioni sulle opzioni relative al modo in cui Cisco elabora i dati personali o sull'utilizzo di cookie o altre tecnologie web, consultare l'Informativa sulla Privacy Online completa.
Accesso ai dati e integrità degli stessi
Per aggiornare i dati personali e indicare le preferenze in tema di comunicazioni, fare clic qui oppure visitare il sito web del prodotto o servizio di interesse.
Sicurezza dei dati
Cisco si impegna a proteggere i dati personali dell'utente nei confronti di qualsiasi utilizzo o divulgazione non autorizzati.
Trasferimenti
Essendo un'organizzazione globale, Cisco può trasferire i dati personali dell'utente a Cisco negli Stati Uniti d'America, a qualsiasi società controllata Cisco nel mondo o a terzi che agiscono per conto di Cisco al di fuori del paese di raccolta dei dati, ove gli standard in tema di protezione dei dati possono differire.
La società non trasferisce i dati personali degli utenti a terze parti a meno che queste non si impegnino a implementare misure di protezione equivalenti.
Informazioni importanti
Le informative e le prassi di Cisco in materia di protezione e privacy dei dati personali sono concepite per rispettare le normative applicabili in vigore in tutto il mondo e per meritare e mantenere la fiducia degli utenti.
Cisco è certificata ai sensi dei sistemi APEC Cross Border Privacy Rules e Privacy Recognition for Processors per quanto riguarda il trattamento dei dati personali e i trasferimenti da e verso i Paesi membri dell'APEC. Per ulteriori informazioni sull'ambito della nostra partecipazione o per inviare una richiesta di informazioni sulla privacy tramite BBB National Programs, che agisce come nostro rappresentante di responsabilità, fare clic sul simbolo ufficiale qui sotto:
Il titolare del trattamento dei dati secondo le norme vincolanti d'impresa (BCR-R) di Cisco garantisce che i trasferimenti di dati personali europei effettuati da Cisco in tutto il mondo siano tutelati in modo adeguato.
Cisco è certificata e aderisce ai quadri normativi EU-US e Swiss-US Privacy Shield, come stabilito dal Dipartimento del commercio degli Stati Uniti, per quanto riguarda la raccolta, l'utilizzo e il trattamento dei dati personali provenienti da UE/EEA, Regno Unito e Svizzera.
Per qualsiasi domanda, commento o dubbio relativo all'Informativa sulla privacy o al trattamento dei dati personali, fare clic qui.
In caso di problemi di privacy o utilizzo dei dati non risolti in modo soddisfacente, contatta il nostro fornitore terzo di risoluzione delle controversie con sede negli Stati Uniti (gratuito).
Riferimenti
Per maggiori informazioni sulle prassi adottate in merito alla privacy, consultare la versione completa dell'Informativa sulla Privacy Online di Cisco.
Ultimo aggiornamento: 1 dicembre 2021
Conformità
ThousandEyes e i nostri dipendenti sono conformi a diverse leggi e normative:
Abbiamo adottato un approccio a due fasi per la conformità. Innanzitutto, ci assicuriamo che tutti i requisiti interni ed esterni siano integrati nelle nostre policy e supportati da standard, tecnologie e processi sottostanti. Quindi, tramite valutazioni e audit dei rischi interni, effettuiamo test periodici per garantire che tutti i controlli di sicurezza siano implementati in modo corretto e che funzionino in modo efficace.
Utilizziamo un ente indipendente per eseguire l'attestazione AT Section 101, che produce un report SOC2 Type II per il principio di sicurezza valido per un periodo di 12 mesi. Inoltre, il nostro sistema di gestione della sicurezza informatica alla base della nostra applicazione Software-as-a-Service (SaaS) di gestione delle prestazioni ha ricevuto i certificati ISO/IEC 27001:2013 e ISO/IEC 27018:2019 da un ente di certificazione indipendente. In aggiunta, il nostro sistema di gestione delle informazioni di privacy a supporto della nostra applicazione Software-as-a-Service (SaaS) di gestione delle prestazioni di rete ha ricevuto il certificato ISO/IEC 27701:2019 da un ente di certificazione indipendente. Infine, un ente indipendente esegue una valutazione annuale dei rischi delle nostre risorse informatiche critiche.
ThousandEyes è un membro aziendale di Cloud Security Alliance, dove condividiamo informazioni e collaboriamo con altre aziende leader del settore al fine di mantenere il più alto livello di best practice di sicurezza. ThousandEyes è inoltre membro del Center for Internet Security, un ente non profit all'avanguardia che sfrutta la potenza della community IT globale per salvaguardare le organizzazioni private e pubbliche dalle minacce informatiche.