Privacy e fiducia

Certificazioni

Qualità (ISO 9001)

Lo scopo di EcoVadis è “guidare tutte le aziende verso un mondo sostenibile” e questi sono i quattro obiettivi principali di EcoVadis:

Fornire valutazioni e approfondimenti di sostenibilità indipendenti, affidabili e attuabili grazie all’eccellenza della metodologia.
Permettere al maggior numero di aziende di continuare a migliorare le proprie pratiche commerciali e contribuire a creare un’economia rigenerativa ed equa.
Alimentare un ambiente di apprendimento inclusivo per il nostro personale, offrendo un lavoro costruttivo e responsabilizzando le future generazioni di professionisti della sostenibilità.
Incoraggiare l’azione collettiva all’interno del nostro ecosistema per accelerare la transizione verso un mondo sostenibile.

EcoVadis ha sviluppato un sistema di gestione della qualità (SGQ) certificato ISO 9001 (si veda il certificato). Perseguiamo attivamente il miglioramento continuo della qualità attraverso un sistema di gestione dei processi che consente a ciascun dipendente di svolgere il proprio lavoro in modo corretto sin dal primo tentativo e in ogni occasione, in un ambiente di lavoro sicuro e stimolante. Il sistema è supportato dalla nostra piattaforma informatica personalizzata e sviluppata internamente, che guida i dipendenti lungo l'intero processo.

Ci impegniamo costantemente per migliorare i nostri processi, avvalendoci della consulenza di organismi specializzati come il nostro comitato metodologico.

Programma per la formazione dei dipendenti

Programmi di formazione sulla qualità e sicurezza delle informazioni per tutti i nuovi arrivati durante il periodo di onboarding con quiz e punteggi minimi prefissati per verificare l'efficacia, più una formazione di aggiornamento annuale obbligatoria per tutti i dipendenti seguita da quiz.

Azione correttiva e preventiva

Miglioramento continuo con l'identificazione di aree di miglioramento per eliminare i casi di non conformità o prevenirne la ricomparsa. Un esempio è l’utilizzo dello strumento Qualità per l’individuazione delle non conformità e la fornitura di feedback attraverso il processo di valutazione.

Reclami dei clienti

I reclami dei clienti e dei fornitori così come i problemi interni sono segnalati, registrati e gestiti attraverso una piattaforma di gestione degli incidenti. Tutti gli incidenti sono analizzati regolarmente dalle parti interessate e risolti entro un determinato periodo di tempo.

Audit interno

Il programma di audit interno è previsto per un periodo di 3 anni in cui gli audit di sicurezza delle informazioni sono condotti due volte all'anno e tutti i processi interni sono sottoposti a un audit di qualità almeno una volta all'anno. I risultati degli audit vengono analizzati e discussi durante le riunioni del Management Review.

Sicurezza delle informazioni (ISO 27001)

EcoVadis fornisce servizi di valutazione di sostenibilità olistici per aziende, distribuiti attraverso una piattaforma SaaS globale basata su cloud ospitata su Microsoft Azure, uno dei provider di cloud hosting più affidabili.

Ci impegniamo a fornire il massimo livello di sicurezza delle informazioni e a migliorare continuamente per proteggere i dati di tutti gli interessati in uno scenario in evoluzione costante per quanto riguarda le minacce alla sicurezza delle informazioni. Per questa ragione, EcoVadis ha messo a punto un sistema di gestione della sicurezza delle informazioni (ISMS), sottoposto ad audit regolari di terze parti indipendenti per la conformità ISO/IEC 27001 (vedere il certificato e la dichiarazione di applicabilità).

Il nostro ISMS ci permette di operare e mantenere sistematicamente la sicurezza delle informazioni nei nostri processi e servizi aziendali e di determinare e applicare le misure di sicurezza necessarie in base alla nostra valutazione dei rischi.

Governance della sicurezza delle informazioni

Le nostre politiche in materia di sicurezza delle informazioni sono soggette a revisioni e aggiornamenti periodici al fine di garantirne l'attualità, l'accuratezza e la costante conformità ai requisiti normativi applicabili e alle migliori pratiche del settore. Disponiamo di un team interno dedicato, responsabile dello sviluppo, della gestione e del monitoraggio della sicurezza delle informazioni. Le priorità vengono stabilite a livello globale all'interno della nostra organizzazione per fornire una visione coerente della protezione delle risorse aziendali.

Gestione patrimoniale e locazioni

Manteniamo un inventario preciso e aggiornato di tutte le risorse relative ai servizi. Le informazioni vengono classificate formalmente in base ai requisiti legali, al valore, alla criticità e alla sensibilità alla divulgazione o alla modifica non autorizzata. Utilizzando Azure come servizio multi-tenant, applichiamo la separazione logica per garantire il completo isolamento dei dati tra i clienti.

Gestione dei rischi legati a terzi

Sono stati definiti requisiti di sicurezza delle informazioni per i fornitori che possono accedere, trattare, archiviare, comunicare o fornire componenti dell'infrastruttura informatica. Effettuiamo valutazioni periodiche dei rischi relativi alla sicurezza informatica e alla protezione dei dati per i fornitori che hanno accesso alla nostra rete o a dati sensibili; le azioni di follow-up definite vengono formalmente monitorate e attuate.

Operazioni di sicurezza e risposta agli incidenti

Un Centro operativo di sicurezza (SOC) attivo 24 ore su 24, 7 giorni su 7, garantisce il monitoraggio e la protezione continui dei sistemi e dei dati. Abbiamo implementato misure rigorose per assicurare un approccio coerente ed efficace alla gestione degli incidenti di sicurezza informatica. Il nostro processo di gestione degli incidenti di sicurezza prevede la definizione di procedure scritte, l'adozione di tutte le misure ragionevoli per mitigarne le conseguenze e la notifica ai clienti.

Continuità operativa e ripristino di emergenza (BCP)

Garantiamo che le infrastrutture di elaborazione dei dati siano implementate con un livello di ridondanza sufficiente a soddisfare i requisiti di disponibilità. Le prestazioni del servizio, la disponibilità e l'esperienza utente reale sono monitorate costantemente (si prega di consultare il rapporto sull'uptime della nostra piattaforma, in cui le prestazioni del servizio, la disponibilità e l'esperienza utente reale sono monitorate costantemente). I backup vengono eseguiti e testati regolarmente in conformità con la politica di backup definita.

Sensibilizzazione, istruzione e formazione

Il personale è tenuto a seguire un programma obbligatorio e continuativo di sensibilizzazione, formazione e addestramento in materia di sicurezza delle informazioni. Questo programma è stato concepito per allinearsi agli standard di sicurezza informatica di EcoVadis, istruire il personale sulle pratiche operative sicure relative ai sistemi informatici e garantire la comprensione delle minacce alla sicurezza esistenti. Vengono condotte frequentemente campagne simulate di phishing per rafforzare la consapevolezza in materia di sicurezza informatica e testare i protocolli di risposta del personale.

Prima dell'assunzione

In conformità con gli obblighi di legge e normativi, durante il processo di selezione vengono effettuati controlli sistematici delle referenze per tutti i candidati. Inoltre, viene effettuata una verifica dei precedenti penali per tutti i nuovi assunti, laddove ciò sia consentito dalla legge, come nel caso del personale con sede negli Stati Uniti.

Controllo degli accessi

I diritti di accesso e i privilegi relativi ai sistemi informativi e ai domini di rete di EcoVadis vengono assegnati in base a un modello di controllo degli accessi basato sui ruoli (RBAC), nel rigoroso rispetto dei principi della necessità di sapere e del principio del privilegio minimo.

Gestione degli accessi dei clienti

I clienti mantengono il controllo sul proprio ambiente utente. L'amministratore della piattaforma client è autorizzato a gestire gli account utente, comprese la creazione e la disattivazione. L'accesso alla piattaforma è garantito principalmente tramite autenticazione con nome utente e password, con la possibilità di avvalersi del Single Sign-On (SSO) offerta alle aziende che ne fanno richiesta (per ulteriori informazioni, si prega di contattare il proprio referente commerciale di fiducia).

Crittografia

Tutti i dati sono protetti sia in fase di archiviazione che durante il trasferimento grazie all'utilizzo di algoritmi e metodi di crittografia riconosciuti nel settore. Le informazioni riservate vengono archiviate e gestite in modo sicuro, in conformità con le migliori pratiche consolidate del settore.

Sicurezza delle operazioni

Gestione del cambiamento e rafforzamento della sicurezza

I cambiamenti che interessano l'organizzazione, i processi aziendali, le infrastrutture informatiche e i sistemi sono sottoposti a un controllo formale. Seguiamo rigorose linee guida di rafforzamento della sicurezza, tra cui i benchmark del Center for Internet Security (CIS) per i sistemi operativi e le guide di rafforzamento di Microsoft Azure per i servizi cloud.

Monitoraggio e gestione delle minacce

Sono state implementate tecnologie di monitoraggio e rilevamento per identificare, prevenire e gestire malware, vulnerabilità e altri eventi rilevanti per la sicurezza all'interno della nostra infrastruttura.

Sicurezza delle comunicazioni

L'accesso alla rete per i servizi e i server interni è limitato e protetto. Utilizziamo un Web Application Firewall (WAF – per ulteriori dettagli clicca qui ) e ci avvaliamo di Azure Front Door, una rete di distribuzione dei contenuti (CDN) basata su cloud, per garantire prestazioni elevate, scalabilità e un'esperienza utente sicura.

Acquisizione, sviluppo e manutenzione dei sistemi.

La sicurezza è integrata nel nostro ciclo di vita dello sviluppo del software (SDLC) grazie al rispetto degli standard di settore. I nuovi sviluppi sono sottoposti a processi obbligatori di collaudo e convalida prima della loro implementazione. Gli ambienti di sviluppo, collaudo e produzione sono separati.

Le nostre piattaforme sono ospitate nei data center di Microsoft Azure situati nell'Unione Europea. In base al modello di responsabilità condivisa nel cloud, i controlli di sicurezza fisica sono di competenza di Microsoft. Maggiori informazioni su tali controlli sono disponibili qui.

Per garantire l'integrità e la resilienza costanti della nostra piattaforma, abbiamo messo in atto un programma di sicurezza a più livelli. Il nostro approccio combina il monitoraggio automatico in tempo reale con un'analisi manuale approfondita in diversi ambiti di sicurezza. Questa strategia di difesa a più livelli comprende:

Test di sicurezza

Test di sicurezza delle applicazioni: integrazione dei test statici di sicurezza delle applicazioni (SAST) per un'analisi approfondita del codice, dell'analisi della composizione del software (SCA) per monitorare le dipendenze open source e dei test dinamici di sicurezza delle applicazioni (DAST) per valutare l'applicazione in fase di esecuzione, oltre alle regolari revisioni manuali e automatizzate effettuate dai nostri specialisti.
Analisi delle infrastrutture: avvalendoci delle nostre soluzioni di gestione della sicurezza nel cloud (CSPM) e di diverse piattaforme di scansione delle vulnerabilità e automazioni.
Accesso sicuro: oltre ai nostri controlli perimetrali, come il nostro Web Application Firewall (WAF), il nostro framework SASE offre una connettività sicura e crittografata alla nostra forza lavoro globale, garantendo che le politiche di sicurezza vengano applicate in modo coerente "ai margini", il più vicino possibile all'utente.
Verifica indipendente: oltre alle revisioni interne e alle nostre certificazioni, ci avvaliamo di rinomate società di sicurezza esterne per condurre test di penetrazione annuali.

Obiettivi di bonifica

Diamo priorità alla risoluzione dei problemi di sicurezza in base alla loro gravità. I nostri obiettivi di risoluzione strutturati garantiscono che i rischi critici vengano affrontati con urgenza:

Urgente – 7 giorni
Alto – 1 mese
Medio – 3 mesi
Basso – non è stata fissata una data di scadenza specifica

Sebbene ci impegniamo a rispettare tali tempistiche, i programmi definitivi di risoluzione dei problemi potrebbero subire modifiche in base alla complessità dell'intervento e al contesto specifico di rischio.

Convalida indipendente

Inoltre, il nostro impegno in materia di sicurezza è certificato da revisori indipendenti e da organismi di valutazione riconosciuti nel settore:

ISO 27001: Utilizziamo questa norma come riferimento principale per la gestione della sicurezza delle informazioni.
Valutazioni standardizzate: manteniamo profili aggiornati sulle principali piattaforme di valutazione dei rischi di sicurezza, tra cui Cybervadis, CyberGRX e Whistic. I risultati possono essere condivisi su richiesta.
Certificazioni CSP: le certificazioni Microsoft Azure sono disponibili nel Portale Service Trust

Governance della sicurezza delle informazioni

Le nostre politiche in materia di sicurezza delle informazioni sono soggette a revisioni e aggiornamenti periodici al fine di garantirne l'attualità, l'accuratezza e la costante conformità ai requisiti normativi applicabili e alle migliori pratiche del settore. Disponiamo di un team interno dedicato, responsabile dello sviluppo, della gestione e del monitoraggio della sicurezza delle informazioni. Le priorità vengono stabilite a livello globale all'interno della nostra organizzazione per fornire una visione coerente della protezione delle risorse aziendali.

Gestione patrimoniale e locazioni

Manteniamo un inventario preciso e aggiornato di tutte le risorse relative ai servizi. Le informazioni vengono classificate formalmente in base ai requisiti legali, al valore, alla criticità e alla sensibilità alla divulgazione o alla modifica non autorizzata. Utilizzando Azure come servizio multi-tenant, applichiamo la separazione logica per garantire il completo isolamento dei dati tra i clienti.

Gestione dei rischi legati a terzi

Sono stati definiti requisiti di sicurezza delle informazioni per i fornitori che possono accedere, trattare, archiviare, comunicare o fornire componenti dell'infrastruttura informatica. Effettuiamo valutazioni periodiche dei rischi relativi alla sicurezza informatica e alla protezione dei dati per i fornitori che hanno accesso alla nostra rete o a dati sensibili; le azioni di follow-up definite vengono formalmente monitorate e attuate.

Operazioni di sicurezza e risposta agli incidenti

Un Centro operativo di sicurezza (SOC) attivo 24 ore su 24, 7 giorni su 7, garantisce il monitoraggio e la protezione continui dei sistemi e dei dati. Abbiamo implementato misure rigorose per assicurare un approccio coerente ed efficace alla gestione degli incidenti di sicurezza informatica. Il nostro processo di gestione degli incidenti di sicurezza prevede la definizione di procedure scritte, l'adozione di tutte le misure ragionevoli per mitigarne le conseguenze e la notifica ai clienti.

Continuità operativa e ripristino di emergenza (BCP)

Garantiamo che le infrastrutture di elaborazione dei dati siano implementate con un livello di ridondanza sufficiente a soddisfare i requisiti di disponibilità. Le prestazioni del servizio, la disponibilità e l'esperienza utente reale sono monitorate costantemente (si prega di consultare il rapporto sull'uptime della nostra piattaforma, in cui le prestazioni del servizio, la disponibilità e l'esperienza utente reale sono monitorate costantemente). I backup vengono eseguiti e testati regolarmente in conformità con la politica di backup definita.

Sensibilizzazione, istruzione e formazione

Il personale è tenuto a seguire un programma obbligatorio e continuativo di sensibilizzazione, formazione e addestramento in materia di sicurezza delle informazioni. Questo programma è stato concepito per allinearsi agli standard di sicurezza informatica di EcoVadis, istruire il personale sulle pratiche operative sicure relative ai sistemi informatici e garantire la comprensione delle minacce alla sicurezza esistenti. Vengono condotte frequentemente campagne simulate di phishing per rafforzare la consapevolezza in materia di sicurezza informatica e testare i protocolli di risposta del personale.

Prima dell'assunzione

In conformità con gli obblighi di legge e normativi, durante il processo di selezione vengono effettuati controlli sistematici delle referenze per tutti i candidati. Inoltre, viene effettuata una verifica dei precedenti penali per tutti i nuovi assunti, laddove ciò sia consentito dalla legge, come nel caso del personale con sede negli Stati Uniti.

Controllo degli accessi

I diritti di accesso e i privilegi relativi ai sistemi informativi e ai domini di rete di EcoVadis vengono assegnati in base a un modello di controllo degli accessi basato sui ruoli (RBAC), nel rigoroso rispetto dei principi della necessità di sapere e del principio del privilegio minimo.

Gestione degli accessi dei clienti

I clienti mantengono il controllo sul proprio ambiente utente. L'amministratore della piattaforma client è autorizzato a gestire gli account utente, comprese la creazione e la disattivazione. L'accesso alla piattaforma è garantito principalmente tramite autenticazione con nome utente e password, con la possibilità di avvalersi del Single Sign-On (SSO) offerta alle aziende che ne fanno richiesta (per ulteriori informazioni, si prega di contattare il proprio referente commerciale di fiducia).

Crittografia

Tutti i dati sono protetti sia in fase di archiviazione che durante il trasferimento grazie all'utilizzo di algoritmi e metodi di crittografia riconosciuti nel settore. Le informazioni riservate vengono archiviate e gestite in modo sicuro, in conformità con le migliori pratiche consolidate del settore.

Sicurezza delle operazioni

Gestione del cambiamento e rafforzamento della sicurezza

I cambiamenti che interessano l'organizzazione, i processi aziendali, le infrastrutture informatiche e i sistemi sono sottoposti a un controllo formale. Seguiamo rigorose linee guida di rafforzamento della sicurezza, tra cui i benchmark del Center for Internet Security (CIS) per i sistemi operativi e le guide di rafforzamento di Microsoft Azure per i servizi cloud.

Monitoraggio e gestione delle minacce

Sono state implementate tecnologie di monitoraggio e rilevamento per identificare, prevenire e gestire malware, vulnerabilità e altri eventi rilevanti per la sicurezza all'interno della nostra infrastruttura.

Sicurezza delle comunicazioni

L'accesso alla rete per i servizi e i server interni è limitato e protetto. Utilizziamo un Web Application Firewall (WAF – per ulteriori dettagli clicca qui ) e ci avvaliamo di Azure Front Door, una rete di distribuzione dei contenuti (CDN) basata su cloud, per garantire prestazioni elevate, scalabilità e un'esperienza utente sicura.

Acquisizione, sviluppo e manutenzione dei sistemi.

La sicurezza è integrata nel nostro ciclo di vita dello sviluppo del software (SDLC) grazie al rispetto degli standard di settore. I nuovi sviluppi sono sottoposti a processi obbligatori di collaudo e convalida prima della loro implementazione. Gli ambienti di sviluppo, collaudo e produzione sono separati.

Le nostre piattaforme sono ospitate nei data center di Microsoft Azure situati nell'Unione Europea. In base al modello di responsabilità condivisa nel cloud, i controlli di sicurezza fisica sono di competenza di Microsoft. Maggiori informazioni su tali controlli sono disponibili qui.

Per garantire l'integrità e la resilienza costanti della nostra piattaforma, abbiamo messo in atto un programma di sicurezza a più livelli. Il nostro approccio combina il monitoraggio automatico in tempo reale con un'analisi manuale approfondita in diversi ambiti di sicurezza. Questa strategia di difesa a più livelli comprende:

Test di sicurezza

Test di sicurezza delle applicazioni: integrazione dei test statici di sicurezza delle applicazioni (SAST) per un'analisi approfondita del codice, dell'analisi della composizione del software (SCA) per monitorare le dipendenze open source e dei test dinamici di sicurezza delle applicazioni (DAST) per valutare l'applicazione in fase di esecuzione, oltre alle regolari revisioni manuali e automatizzate effettuate dai nostri specialisti.
Analisi delle infrastrutture: avvalendoci delle nostre soluzioni di gestione della sicurezza nel cloud (CSPM) e di diverse piattaforme di scansione delle vulnerabilità e automazioni.
Accesso sicuro: oltre ai nostri controlli perimetrali, come il nostro Web Application Firewall (WAF), il nostro framework SASE offre una connettività sicura e crittografata alla nostra forza lavoro globale, garantendo che le politiche di sicurezza vengano applicate in modo coerente "ai margini", il più vicino possibile all'utente.
Verifica indipendente: oltre alle revisioni interne e alle nostre certificazioni, ci avvaliamo di rinomate società di sicurezza esterne per condurre test di penetrazione annuali.

Obiettivi di bonifica

Diamo priorità alla risoluzione dei problemi di sicurezza in base alla loro gravità. I nostri obiettivi di risoluzione strutturati garantiscono che i rischi critici vengano affrontati con urgenza:

Urgente – 7 giorni
Alto – 1 mese
Medio – 3 mesi
Basso – non è stata fissata una data di scadenza specifica

Sebbene ci impegniamo a rispettare tali tempistiche, i programmi definitivi di risoluzione dei problemi potrebbero subire modifiche in base alla complessità dell'intervento e al contesto specifico di rischio.

Convalida indipendente

Inoltre, il nostro impegno in materia di sicurezza è certificato da revisori indipendenti e da organismi di valutazione riconosciuti nel settore:

ISO 27001: Utilizziamo questa norma come riferimento principale per la gestione della sicurezza delle informazioni.
Valutazioni standardizzate: manteniamo profili aggiornati sulle principali piattaforme di valutazione dei rischi di sicurezza, tra cui Cybervadis, CyberGRX e Whistic. I risultati possono essere condivisi su richiesta.
Certificazioni CSP: le certificazioni Microsoft Azure sono disponibili nel Portale Service Trust

Regolamento generale sulla protezione dei dati dell'UE

EcoVadis ritiene che il GDPR rappresenti un passo importante per rafforzare e armonizzare la protezione dei dati personali dei cittadini dell'Unione Europea. In qualità di titolare del trattamento dei dati per i servizi di sostenibilità forniti, EcoVadis si impegna a rispettare il GDPR e le normative internazionali in materia di protezione dei dati, nella misura in cui siano applicabili, nonché ad adottare le migliori pratiche.

Ecovadis utilizza lo standard ISO 27001, per il quale siamo certificati, come quadro di riferimento e integra gli aspetti relativi alla protezione dei dati personali nel proprio sistema di gestione. Utilizziamo il quadro di riferimento complementare ISO 27701 per soddisfare i requisiti del GDPR e in materia di protezione dei dati. Le nostre pratiche di protezione dei dati e la nostra conformità sono confermate da un audit condotto da un ente terzo.

Per quanto riguarda il trattamento dei dati effettuato al di fuori del SEE, abbiamo stipulato clausole contrattuali tipo (SCC) con le nostre società controllate.

Selezioniamo sempre con cura i nostri fornitori (responsabili) e richiediamo la conclusione di accordi di protezione dei dati con i responsabili e clausole contrattuali standard (Standard Contractual Clauses, SCC) o regole aziendali vincolanti (Binding Corporate Rules, BCR) in caso di trattamento al di fuori della regione del SEE per poter lavorare per noi. Cerchiamo sempre di scegliere abbonamenti con fornitori che abbiano i dati ospitati su server con sede in Europa. Per fornire il nostro servizio utilizziamo i seguenti elaboratori:

Entità legale	Indirizzo	Finalità	Elaborazione e trasferimento dei dati	Informazioni aggiuntive sulla sicurezza
ZenDesk Inc	1019 Market Street, San Francisco, CA 94103, Stati Uniti	Centro Assistenza	link	link
SFDC SAS	SFDC Francia 3 Avenue Octave Gréard 75007 Parigi Francia	CRM e assistenza clienti	link	link
Microsoft France SAS	Microsoft France SAS 37 Quai du Président Roosevelt, 92130 Issy-les-Moulineaux, FRANCIA	Hosting della piattaforma di valutazione della sostenibilità	link	link
Google Cloud France	Google Cloud France, 8 Rue de Londres, 75009 Parigi, Francia	Comunicazione con il cliente	link	link
Docebo S.p.A. Limitato	Limited, 6° piano, 48 Gracechurch Street, Londra – Regno Unito	Piattaforma e-learning	link	link
Pendo.io Inc.	150 Fayetteville St, n. 140027601, Raleigh, NC, Stati Uniti	Analisi della piattaforma e sondaggio sui clienti	link	link
Productboard Inc.	612 Howard Street, CA 94105, San Francisco, CA, Stati Uniti	Gestione del prodotto e sondaggio sui clienti	link	link
SurveyMonkey Inc.	910 Park Pl, Suite 300, San Mateo, CA 94403, USA	Assistenza clienti	link	link
Aircall SAS	11 Rue Saint Georges, 75009 Parigi, FRANCIA	Registrazione delle chiamate	link	link
HubSpot France SAS	24 Rue Cambacérès, 75008 Parigi, Francia	Marketing e comunicazione con i clienti	link	link

HubSpot Inc.	2 Canal Park, Cambridge, Massachusetts, 02141, Stati Uniti	Marketing e comunicazione con i clienti	link	link

Amazon Web Services Canada, Inc.	120 Bremner Blvd, 26° piano, Toronto, Ontario, M5J 0A8, Canada	Hosting del servizio ULULA (piattaforma per la due diligence in materia di diritti umani) integrato con la piattaforma di valutazione della sostenibilità	link	link

Ci atteniamo alle raccomandazioni relative alle misure aggiuntive emanate dall'autorità francese per la protezione dei dati (CNIL) e dal Comitato europeo per la protezione dei dati in merito alle possibilità di trasferire dati verso paesi al di fuori del SEE sulla base delle clausole contrattuali standard (o delle norme vincolanti d'impresa).

Per saperne di più, consulta la nostra informativa sulla privacy

Controllo delle esportazioni e conformità alle sanzioni

EcoVadis si impegna a rispettare tutte le leggi e i regolamenti applicabili a un operatore di servizi online di carattere generale, incluse in via esemplificativa, le leggi di Francia e Stati Uniti d’America, per quanto riguarda le proprie sedi operative per i servizi.

Restrizioni di destinazione

Tenendo conto dei rischi commerciali generali, i prodotti e i servizi EcoVadis non sono disponibili per l'esportazione, la riesportazione, il trasferimento e/o l'uso nei seguenti paesi o regioni (soggetti a modifiche senza preavviso):

le regioni di Crimea, Donetsk e Luhansk
Cuba
Iran
Corea del Nord
Siria

Inoltre, le transazioni con o relative a determinate destinazioni che determinano un elevato rischio di sanzioni o controllo delle esportazioni sono soggette a maggiori requisiti di due diligence.

Restrizioni per gli utenti finali

I prodotti e i servizi di EcoVadis non sono disponibili per le entità e gli individui con i quali le transazioni sono vietate dalle leggi applicabili sul controllo delle esportazioni e sulle sanzioni, comprese quelle elencate in qualsiasi elenco di parti sanzionate (ad es. elenco delle sanzioni dell'Unione europea, elenchi SDN (Specially Designated National) degli Stati Uniti, OFAC, sanzioni del Consiglio di sicurezza delle Nazioni Unite, elenchi locali dove figura EcoVadis).

Restrizioni all’uso finale

I Servizi EcoVadis non devono essere utilizzati per scopi vietati dalle leggi applicabili in materia di esportazione, tra cui lo sviluppo, la progettazione, la fabbricazione o la produzione di armi nucleari, chimiche o biologiche di distruzione di massa.

Documenti e risorse

Condizioni generali

Termini e condizioni generali - Legge statunitense

Informativa sulla privacy dei dati

Rapporto sui tempi di attività della piattaforma

Clausole contrattuali standard per le aziende richiedenti

Rapporto di conformità all'accessibilità Edizione WCAG

Clausole contrattuali standard per le aziende valutate

Clausole contrattuali standard per i partner

ISO 27001:2022

ISO 9001:2015

Dichiarazione di applicabilità

Codice etico

Codice di condotta per fornitori

Dichiarazione di EcoVadis sulla schiavitù moderna

*Librerie o componenti open source relativi a uno qualsiasi dei servizi applicabili. La soluzione EcoVadis talvolta include o dipende da librerie open source. Al fine di rispettare i requisiti di licenza delle librerie open source e il diritto morale di attribuzione del licenziatario, di seguito è riportato un elenco dei software open source utilizzati per realizzare i nostri prodotti – si prega di tenere presente che tutte le informazioni qui riportate sono fornite “così come sono” e potrebbero essere soggette a modifiche da parte del licenziatario:
Licenze
AFL-2.1, Apache-2.0, BSD-2-Clause, BSD-3-Clause, CC-BY-4.0, ISC, JSON, LGPL-2.1*, LGPL-3.0*, Microsoft .NET, ASP NET MVC3 EULA, BlueOak-1.0.0, Licenza Bouncy Castle, 0BSD, Licenza Aduna BSD, BSD-4-Clause, CC-BY-3.0, CC-BY-4.0, CC-BY-SA-2.0 CC-BY-SA-3.0, CC-PDD, CCC0-1.0, JQuery, MPL-1.1, MulanPSL-2.0, OpenSSL, Python-2.0
Licenza della libreria
MIT, MPL-2.0, MS-PL, PostgreSQL, WTFPL, Zlib

* L'applicazione è legata dinamicamente alla licenza LGPL, di conseguenza il codice proprietario può essere mantenuto tale.

Politica in materia di conflitto di interessi

Politica sulla condotta professionale dei soggetti terzi

Utilizzo dell’intelligenza artificiale

EcoVadis progetta, implementa e distribuisce soluzioni basate sull'intelligenza artificiale in modo responsabile, prestando particolare attenzione alla spiegabilità dei modelli, al monitoraggio e ai principi fondamentali di un'intelligenza artificiale affidabile.

Con l'affermarsi dell'IA generativa, investiamo nella sicurezza e nella governance dell'IA e garantiamo che le soluzioni di IA generativa siano dotate di adeguati meccanismi di controllo.