Privacy e fiducia

Certificazioni

Qualità (ISO 9001)

Lo scopo di EcoVadis è “guidare tutte le aziende verso un mondo sostenibile” e questi sono i quattro obiettivi principali di EcoVadis:

Fornire valutazioni e approfondimenti di sostenibilità indipendenti, affidabili e attuabili grazie all’eccellenza della metodologia.
Permettere al maggior numero di aziende di continuare a migliorare le proprie pratiche commerciali e contribuire a creare un’economia rigenerativa ed equa.
Alimentare un ambiente di apprendimento inclusivo per il nostro personale, offrendo un lavoro costruttivo e responsabilizzando le future generazioni di professionisti della sostenibilità.
Incoraggiare l’azione collettiva all’interno del nostro ecosistema per accelerare la transizione verso un mondo sostenibile.

EcoVadis ha sviluppato un sistema di gestione della qualità (QMS) certificato ISO 9001 (vedere il certificato). Perseguiamo attivamente il miglioramento continuo della qualità attraverso un sistema di gestione dei processi che consente a ciascun dipendente di svolgere il proprio lavoro in modo corretto sin dal primo tentativo e in ogni occasione, in un ambiente di lavoro sicuro e stimolante. Il sistema è supportato dalla nostra piattaforma IT personalizzata e sviluppata internamente, che guida i dipendenti attraverso l'intero processo.

Ci impegniamo costantemente per migliorare continuamente i processi, avvalendoci della consulenza di organismi specializzati come il nostro comitato metodologico.

Programma per la formazione dei dipendenti

Programmi di formazione sulla qualità e sicurezza delle informazioni per tutti i nuovi arrivati durante il periodo di onboarding con quiz e punteggi minimi prefissati per verificare l'efficacia, più una formazione di aggiornamento annuale obbligatoria per tutti i dipendenti seguita da quiz.

Azione correttiva e preventiva

Miglioramento continuo con l'identificazione di aree di miglioramento per eliminare i casi di non conformità o prevenirne la ricomparsa. Un esempio è l’utilizzo dello strumento Qualità per l’individuazione delle non conformità e la fornitura di feedback attraverso il processo di valutazione.

Reclami dei clienti

I reclami dei clienti e dei fornitori così come i problemi interni sono segnalati, registrati e gestiti attraverso una piattaforma di gestione degli incidenti. Tutti gli incidenti sono analizzati regolarmente dalle parti interessate e risolti entro un determinato periodo di tempo.

Audit interno

Il programma di audit interno è previsto per un periodo di 3 anni in cui gli audit di sicurezza delle informazioni sono condotti due volte all'anno e tutti i processi interni sono sottoposti a un audit di qualità almeno una volta all'anno. I risultati degli audit vengono analizzati e discussi durante le riunioni del Management Review.

Sicurezza delle informazioni (ISO 27001)

EcoVadis fornisce servizi di valutazione di sostenibilità olistici per aziende, distribuiti attraverso una piattaforma SaaS globale basata su cloud ospitata su Microsoft Azure, uno dei provider di cloud hosting più affidabili.

Ci impegniamo a fornire il massimo livello di sicurezza delle informazioni e a migliorare continuamente per proteggere i dati di tutti gli interessati in uno scenario in evoluzione costante per quanto riguarda le minacce alla sicurezza delle informazioni. Per questa ragione, EcoVadis ha messo a punto un sistema di gestione della sicurezza delle informazioni (ISMS), sottoposto ad audit regolari di terze parti indipendenti per la conformità ISO/IEC 27001 (vedere il certificato e la dichiarazione di applicabilità).

Il nostro ISMS ci permette di operare e mantenere sistematicamente la sicurezza delle informazioni nei nostri processi e servizi aziendali e di determinare e applicare le misure di sicurezza necessarie in base alla nostra valutazione dei rischi.

Governance della sicurezza delle informazioni

Le nostre politiche sulla sicurezza delle informazioni sono soggette a revisioni e aggiornamenti regolari per garantirne la tempestività, l'accuratezza e il continuo allineamento con i requisiti di conformità applicabili e le migliori pratiche del settore. Disponiamo di un team interno dedicato responsabile dello sviluppo, della manutenzione e del monitoraggio della sicurezza delle informazioni. Le priorità sono stabilite a livello globale all'interno della nostra organizzazione per fornire una visione coerente della protezione dei beni aziendali.

Gestione patrimoniale e locazione

Manteniamo un inventario preciso e aggiornato di tutte le risorse relative ai servizi. Le informazioni sono classificate formalmente in base ai requisiti legali, al valore, alla criticità e alla sensibilità alla divulgazione o alla modifica non autorizzata. Utilizzando Azure come servizio multi-tenant, applichiamo una separazione logica per garantire il completo isolamento dei dati tra i clienti.

Gestione dei rischi di terze parti

I requisiti di sicurezza delle informazioni sono stabiliti per i fornitori che possono accedere, elaborare, archiviare, comunicare o fornire componenti dell'infrastruttura IT. Effettuiamo valutazioni periodiche dei rischi per la sicurezza informatica e dei dati dei fornitori che hanno accesso alla nostra rete o a dati sensibili, con azioni di follow-up definite che vengono formalmente monitorate e implementate.

Operazioni di sicurezza e risposta agli incidenti

Un centro operativo di sicurezza (SOC) attivo 24 ore su 24, 7 giorni su 7, garantisce il monitoraggio e la protezione continui dei sistemi e dei dati. Abbiamo implementato misure rigorose per garantire un approccio coerente ed efficace alla gestione degli incidenti relativi alla sicurezza delle informazioni. Il nostro processo di gestione degli incidenti di sicurezza prevede la conservazione di procedure scritte, l'adozione di tutte le misure ragionevoli per mitigare le conseguenze e la notifica al cliente.

Continuità operativa e ripristino di emergenza (BCP)

Garantiamo che le strutture di elaborazione delle informazioni siano implementate con una ridondanza sufficiente a soddisfare i requisiti di disponibilità. Le prestazioni del servizio, la disponibilità e l'esperienza reale degli utenti sono monitorate continuamente (si prega di consultare il rapporto sull'uptime della nostra piattaforma, dove le prestazioni del servizio, la disponibilità e l'esperienza reale degli utenti sono costantemente monitorate). I backup vengono eseguiti e testati regolarmente in conformità con la politica di backup definita.

Sensibilizzazione, istruzione e formazione

Il personale è soggetto a corsi obbligatori e continui di sensibilizzazione, formazione e addestramento in materia di sicurezza delle informazioni. Questo programma è stato concepito per allinearsi agli standard di sicurezza IT di EcoVadis, istruire il personale sulle pratiche operative sicure per i sistemi IT e garantire la comprensione delle minacce alla sicurezza applicabili. Vengono condotte frequentemente campagne di phishing simulate per migliorare la consapevolezza in materia di sicurezza informatica e testare i protocolli di risposta del personale.

Prima dell'assunzione

In conformità con i requisiti legali e normativi, durante il processo di selezione vengono effettuati controlli sistematici delle referenze di tutti i candidati. Inoltre, viene effettuata una verifica dei precedenti penali per tutti i nuovi assunti, ove legalmente autorizzato, come ad esempio per il personale con sede negli Stati Uniti.

Controllo degli accessi

I diritti di accesso e i privilegi ai sistemi informativi e ai domini di rete di EcoVadis sono assegnati sulla base di un modello di controllo degli accessi basato sui ruoli (RBAC), nel rigoroso rispetto dei principi della necessità di conoscere e del privilegio minimo.

Gestione dell'accesso dei clienti

I clienti mantengono il controllo sul proprio ambiente utente. L'amministratore della piattaforma cliente ha la facoltà di gestire gli account utente, compresa la creazione e la disattivazione. L'accesso alla piattaforma è protetto principalmente tramite autenticazione con nome utente e password, con funzionalità Single Sign-On (SSO) offerta alle aziende richiedenti (per ulteriori informazioni, contattare il proprio referente commerciale abituale).

Crittografia

Tutti i dati sono protetti sia in fase di archiviazione che di trasmissione utilizzando algoritmi e metodi di crittografia approvati dal settore. Le informazioni riservate sono archiviate e gestite in modo sicuro in conformità con le migliori pratiche consolidate del settore.

Sicurezza delle operazioni

Gestione del cambiamento e rafforzamento

I cambiamenti che hanno un impatto sull'organizzazione, sui processi aziendali, sulle strutture di elaborazione delle informazioni e sui sistemi sono controllati in modo formale. Seguiamo rigorose linee guida per il rafforzamento della sicurezza, tra cui i benchmark del Center for Internet Security (CIS) per i sistemi operativi e le guide di rafforzamento di Microsoft Azure per i servizi cloud.

Monitoraggio e gestione delle minacce

Le tecnologie di monitoraggio e rilevamento vengono implementate per identificare, prevenire e gestire malware, vulnerabilità e altri eventi rilevanti per la sicurezza nella nostra infrastruttura.

Sicurezza delle comunicazioni

L'accesso alla rete ai servizi e ai server interni è limitato e protetto. Utilizziamo un Web Application Firewall (WAF – per maggiori dettagli, consultare qui ) e sfruttiamo Azure Front Door, una rete di distribuzione dei contenuti (CDN) cloud, per garantire prestazioni elevate, scalabilità e un'esperienza utente sicura.

Acquisizione, sviluppo e manutenzione del sistema.

La sicurezza è integrata nel nostro SDLC tramite l'adesione agli standard di settore. I nuovi sviluppi sono soggetti a processi di test e convalida obbligatori prima dell'implementazione. Gli ambienti di sviluppo, test e operativi sono separati.

Le nostre piattaforme sono ospitate nei data center Microsoft Azure situati nell'Unione Europea. Secondo un modello di responsabilità condivisa nel cloud, i controlli di sicurezza fisica sono di competenza di Microsoft. Maggiori informazioni sui controlli sono disponibili qui.

Per garantire l'integrità e la resilienza continue della nostra piattaforma, manteniamo un programma di sicurezza multilivello. Il nostro approccio combina il monitoraggio automatizzato in tempo reale con un'analisi manuale approfondita in diversi ambiti di sicurezza. Questa strategia di difesa approfondita include:

Test di sicurezza

Test di sicurezza delle applicazioni: integrazione di test di sicurezza statici delle applicazioni (SAST) per un'analisi approfondita del codice, analisi della composizione del software (SCA) per monitorare le dipendenze open source e test di sicurezza dinamici delle applicazioni (DAST) per valutare l'applicazione in stato di esecuzione, oltre alle regolari revisioni manuali e automatizzate dei nostri specialisti.
Revisioni dell'infrastruttura: ci affidiamo alle nostre soluzioni di gestione della sicurezza cloud (CSPM) e a diverse piattaforme di scansione delle vulnerabilità e automazioni.
Accesso sicuro: oltre ai nostri controlli perimetrali, come il nostro Web Application Firewall (WAF), il nostro framework SASE fornisce una connettività sicura e crittografata alla nostra forza lavoro globale, garantendo che le politiche di sicurezza siano applicate in modo coerente all'estremità più vicina all'utente.
Convalida indipendente: oltre alle revisioni interne e alle nostre certificazioni, ci avvaliamo di rinomate società di sicurezza terze per condurre test di penetrazione annuali.

Obiettivi di bonifica

Diamo priorità alla risoluzione dei problemi di sicurezza in base alla loro gravità. I nostri obiettivi di correzione strutturati garantiscono che i rischi critici vengano affrontati con urgenza:

Critico – 7 giorni
Alto – 1 mese
Medio – 3 mesi
Basso – non è stata stabilita una data di scadenza specifica

Sebbene ci impegniamo a rispettare tali tempistiche, i programmi definitivi di risoluzione dei problemi potrebbero subire modifiche in base alla complessità della correzione e al contesto specifico di rischio.

Convalida indipendente

Inoltre, il nostro impegno per la sicurezza è convalidato da revisori indipendenti e piattaforme di valutazione standard del settore:

ISO 27001: utilizziamo questo standard come riferimento principale per la gestione della sicurezza delle informazioni.
Valutazioni standardizzate: manteniamo profili aggiornati sulle principali piattaforme di rischio per la sicurezza, tra cui Cybervadis, CyberGRX e Whistic. I risultati possono essere condivisi su richiesta.
Certificazioni CSP: le certificazioni Microsoft Azure sono disponibili nel Service Trust Portal.

Governance della sicurezza delle informazioni

Le nostre politiche sulla sicurezza delle informazioni sono soggette a revisioni e aggiornamenti regolari per garantirne la tempestività, l'accuratezza e il continuo allineamento con i requisiti di conformità applicabili e le migliori pratiche del settore. Disponiamo di un team interno dedicato responsabile dello sviluppo, della manutenzione e del monitoraggio della sicurezza delle informazioni. Le priorità sono stabilite a livello globale all'interno della nostra organizzazione per fornire una visione coerente della protezione dei beni aziendali.

Gestione patrimoniale e locazione

Manteniamo un inventario preciso e aggiornato di tutte le risorse relative ai servizi. Le informazioni sono classificate formalmente in base ai requisiti legali, al valore, alla criticità e alla sensibilità alla divulgazione o alla modifica non autorizzata. Utilizzando Azure come servizio multi-tenant, applichiamo una separazione logica per garantire il completo isolamento dei dati tra i clienti.

Gestione dei rischi di terze parti

I requisiti di sicurezza delle informazioni sono stabiliti per i fornitori che possono accedere, elaborare, archiviare, comunicare o fornire componenti dell'infrastruttura IT. Effettuiamo valutazioni periodiche dei rischi per la sicurezza informatica e dei dati dei fornitori che hanno accesso alla nostra rete o a dati sensibili, con azioni di follow-up definite che vengono formalmente monitorate e implementate.

Operazioni di sicurezza e risposta agli incidenti

Un centro operativo di sicurezza (SOC) attivo 24 ore su 24, 7 giorni su 7, garantisce il monitoraggio e la protezione continui dei sistemi e dei dati. Abbiamo implementato misure rigorose per garantire un approccio coerente ed efficace alla gestione degli incidenti relativi alla sicurezza delle informazioni. Il nostro processo di gestione degli incidenti di sicurezza prevede la conservazione di procedure scritte, l'adozione di tutte le misure ragionevoli per mitigare le conseguenze e la notifica al cliente.

Continuità operativa e ripristino di emergenza (BCP)

Garantiamo che le strutture di elaborazione delle informazioni siano implementate con una ridondanza sufficiente a soddisfare i requisiti di disponibilità. Le prestazioni del servizio, la disponibilità e l'esperienza reale degli utenti sono monitorate continuamente (si prega di consultare il rapporto sull'uptime della nostra piattaforma, dove le prestazioni del servizio, la disponibilità e l'esperienza reale degli utenti sono costantemente monitorate). I backup vengono eseguiti e testati regolarmente in conformità con la politica di backup definita.

Sensibilizzazione, istruzione e formazione

Il personale è soggetto a corsi obbligatori e continui di sensibilizzazione, formazione e addestramento in materia di sicurezza delle informazioni. Questo programma è stato concepito per allinearsi agli standard di sicurezza IT di EcoVadis, istruire il personale sulle pratiche operative sicure per i sistemi IT e garantire la comprensione delle minacce alla sicurezza applicabili. Vengono condotte frequentemente campagne di phishing simulate per migliorare la consapevolezza in materia di sicurezza informatica e testare i protocolli di risposta del personale.

Prima dell'assunzione

In conformità con i requisiti legali e normativi, durante il processo di selezione vengono effettuati controlli sistematici delle referenze di tutti i candidati. Inoltre, viene effettuata una verifica dei precedenti penali per tutti i nuovi assunti, ove legalmente autorizzato, come ad esempio per il personale con sede negli Stati Uniti.

Controllo degli accessi

I diritti di accesso e i privilegi ai sistemi informativi e ai domini di rete di EcoVadis sono assegnati sulla base di un modello di controllo degli accessi basato sui ruoli (RBAC), nel rigoroso rispetto dei principi della necessità di conoscere e del privilegio minimo.

Gestione dell'accesso dei clienti

I clienti mantengono il controllo sul proprio ambiente utente. L'amministratore della piattaforma cliente ha la facoltà di gestire gli account utente, compresa la creazione e la disattivazione. L'accesso alla piattaforma è protetto principalmente tramite autenticazione con nome utente e password, con funzionalità Single Sign-On (SSO) offerta alle aziende richiedenti (per ulteriori informazioni, contattare il proprio referente commerciale abituale).

Crittografia

Tutti i dati sono protetti sia in fase di archiviazione che di trasmissione utilizzando algoritmi e metodi di crittografia approvati dal settore. Le informazioni riservate sono archiviate e gestite in modo sicuro in conformità con le migliori pratiche consolidate del settore.

Sicurezza delle operazioni

Gestione del cambiamento e rafforzamento

I cambiamenti che hanno un impatto sull'organizzazione, sui processi aziendali, sulle strutture di elaborazione delle informazioni e sui sistemi sono controllati in modo formale. Seguiamo rigorose linee guida per il rafforzamento della sicurezza, tra cui i benchmark del Center for Internet Security (CIS) per i sistemi operativi e le guide di rafforzamento di Microsoft Azure per i servizi cloud.

Monitoraggio e gestione delle minacce

Le tecnologie di monitoraggio e rilevamento vengono implementate per identificare, prevenire e gestire malware, vulnerabilità e altri eventi rilevanti per la sicurezza nella nostra infrastruttura.

Sicurezza delle comunicazioni

L'accesso alla rete ai servizi e ai server interni è limitato e protetto. Utilizziamo un Web Application Firewall (WAF – per maggiori dettagli, consultare qui ) e sfruttiamo Azure Front Door, una rete di distribuzione dei contenuti (CDN) cloud, per garantire prestazioni elevate, scalabilità e un'esperienza utente sicura.

Acquisizione, sviluppo e manutenzione del sistema.

La sicurezza è integrata nel nostro SDLC tramite l'adesione agli standard di settore. I nuovi sviluppi sono soggetti a processi di test e convalida obbligatori prima dell'implementazione. Gli ambienti di sviluppo, test e operativi sono separati.

Le nostre piattaforme sono ospitate nei data center Microsoft Azure situati nell'Unione Europea. Secondo un modello di responsabilità condivisa nel cloud, i controlli di sicurezza fisica sono di competenza di Microsoft. Maggiori informazioni sui controlli sono disponibili qui.

Per garantire l'integrità e la resilienza continue della nostra piattaforma, manteniamo un programma di sicurezza multilivello. Il nostro approccio combina il monitoraggio automatizzato in tempo reale con un'analisi manuale approfondita in diversi ambiti di sicurezza. Questa strategia di difesa approfondita include:

Test di sicurezza

Test di sicurezza delle applicazioni: integrazione di test di sicurezza statici delle applicazioni (SAST) per un'analisi approfondita del codice, analisi della composizione del software (SCA) per monitorare le dipendenze open source e test di sicurezza dinamici delle applicazioni (DAST) per valutare l'applicazione in stato di esecuzione, oltre alle regolari revisioni manuali e automatizzate dei nostri specialisti.
Revisioni dell'infrastruttura: ci affidiamo alle nostre soluzioni di gestione della sicurezza cloud (CSPM) e a diverse piattaforme di scansione delle vulnerabilità e automazioni.
Accesso sicuro: oltre ai nostri controlli perimetrali, come il nostro Web Application Firewall (WAF), il nostro framework SASE fornisce una connettività sicura e crittografata alla nostra forza lavoro globale, garantendo che le politiche di sicurezza siano applicate in modo coerente all'estremità più vicina all'utente.
Convalida indipendente: oltre alle revisioni interne e alle nostre certificazioni, ci avvaliamo di rinomate società di sicurezza terze per condurre test di penetrazione annuali.

Obiettivi di bonifica

Diamo priorità alla risoluzione dei problemi di sicurezza in base alla loro gravità. I nostri obiettivi di correzione strutturati garantiscono che i rischi critici vengano affrontati con urgenza:

Critico – 7 giorni
Alto – 1 mese
Medio – 3 mesi
Basso – non è stata stabilita una data di scadenza specifica

Sebbene ci impegniamo a rispettare tali tempistiche, i programmi definitivi di risoluzione dei problemi potrebbero subire modifiche in base alla complessità della correzione e al contesto specifico di rischio.

Convalida indipendente

Inoltre, il nostro impegno per la sicurezza è convalidato da revisori indipendenti e piattaforme di valutazione standard del settore:

ISO 27001: utilizziamo questo standard come riferimento principale per la gestione della sicurezza delle informazioni.
Valutazioni standardizzate: manteniamo profili aggiornati sulle principali piattaforme di rischio per la sicurezza, tra cui Cybervadis, CyberGRX e Whistic. I risultati possono essere condivisi su richiesta.
Certificazioni CSP: le certificazioni Microsoft Azure sono disponibili nel Service Trust Portal.

Regolamento generale sulla protezione dei dati dell'UE

EcoVadis ritiene che il GDPR sia un passo importante per rafforzare e armonizzare la protezione dei dati personali dei cittadini dell'UE. In qualità di responsabile del trattamento dei dati per i servizi di sostenibilità forniti, Ecovadis si impegna a rispettare il GDPR e, nella misura in cui sono applicabili alle normative internazionali in materia di protezione dei dati, ad attuare le migliori pratiche.

Ecovadis utilizza lo standard ISO 27001, per il quale siamo certificati, come quadro di riferimento e integra gli aspetti relativi alla protezione dei dati personali nel proprio sistema di gestione. Utilizziamo il quadro complementare ISO 27701 per soddisfare i requisiti del GDPR e della protezione dei dati. Le nostre pratiche di protezione dei dati e la nostra conformità sono confermate da un audit di terze parti.

Per il trattamento dei dati effettuato al di fuori del SEE, abbiamo stipulato clausole contrattuali standard (SCC) con le nostre controllate.

Selezioniamo sempre con cura i nostri fornitori (responsabili) e richiediamo la conclusione di accordi di protezione dei dati con i responsabili e clausole contrattuali standard (Standard Contractual Clauses, SCC) o regole aziendali vincolanti (Binding Corporate Rules, BCR) in caso di trattamento al di fuori della regione del SEE per poter lavorare per noi. Cerchiamo sempre di scegliere abbonamenti con fornitori che abbiano i dati ospitati su server con sede in Europa. Per fornire il nostro servizio utilizziamo i seguenti elaboratori:

Entità legale	Indirizzo	Finalità	Elaborazione e trasferimento dei dati	Informazioni aggiuntive sulla sicurezza
ZenDesk Inc	1019 Market Street, San Francisco, CA 94103 Stati Uniti	Centro Assistenza	link	link
SFDC SAS	SFDC Francia 3 Avenue Octave Gréard 75007 Parigi Francia	CRM e assistenza clienti	link	link
Microsoft France SAS	Microsoft France SAS 37 Quai du Président Roosevelt, 92130 Issy-les-Moulineaux, FRANCIA	Hosting della piattaforma di valutazione della sostenibilità	link	link
Google Cloud France	Google Cloud France 8 Rue de Londres, 75009 Parigi, Francia	Comunicazione con il cliente	link	link
Docebo S.p.A. Limitato	Limited 6° piano, 48 Gracechurch Street, Londra – Regno Unito	Piattaforma e-learning	link	link
Pendo.io Inc.	150 Fayetteville St #140027601 Raleigh NC, Stati Uniti	Analisi della piattaforma e sondaggio sui clienti	link	link
Productboard Inc.	612 Howard Street CA 94105 San Francisco CA, Stati Uniti	Gestione del prodotto e sondaggio sui clienti	link	link
SurveyMonkey Inc.	910 Park Pl, Suite 300, San Mateo, CA 94403, USA	Assistenza clienti	link	link
Aircall SAS	11 Rue Saint Georges, 75009 Parigi, FRANCIA	Registrazione delle chiamate	link	link
HubSpot Francia SAS	24 Rue Cambacérès 75008 Parigi Francia	Marketing e comunicazione con i clienti	link	link

Hubspot Inc.	2 Canal Park, Cambridge, Massachusetts, 02141, Stati Uniti	Marketing e comunicazione con i clienti	link	link

Amazon Web Services Canada, Inc.	120 Bremner Blvd, 26° piano, Toronto, Ontario, M5J 0A8, Canada	Hosting del servizio ULULA (piattaforma di due diligence sui diritti umani) integrato con la piattaforma di valutazione della sostenibilità	link	link

Ci affidiamo alle raccomandazioni sulle misure aggiuntive emanate dall'autorità francese per la protezione dei dati CNIL e dal Comitato europeo per la protezione dei dati in merito alle possibilità di trasferire dati verso paesi al di fuori del SEE sulla base delle SCC (o delle BCR).

Per ulteriori informazioni, consulta la nostra informativa sulla privacy.

Controllo delle esportazioni e conformità alle sanzioni

EcoVadis si impegna a rispettare tutte le leggi e i regolamenti applicabili a un operatore di servizi online di carattere generale, incluse in via esemplificativa, le leggi di Francia e Stati Uniti d’America, per quanto riguarda le proprie sedi operative per i servizi.

Restrizioni di destinazione

Tenendo conto dei rischi commerciali generali, i prodotti e i servizi EcoVadis non sono disponibili per l'esportazione, la riesportazione, il trasferimento e/o l'uso nei seguenti paesi o regioni (soggetti a modifiche senza preavviso):

le regioni di Crimea, Donetsk e Luhansk
Cuba
Iran
Corea del Nord
Siria

Inoltre, le transazioni con o relative a determinate destinazioni che determinano un elevato rischio di sanzioni o controllo delle esportazioni sono soggette a maggiori requisiti di due diligence.

Restrizioni per l'utente finale

I prodotti e i servizi di EcoVadis non sono disponibili per le entità e gli individui con i quali le transazioni sono vietate dalle leggi applicabili sul controllo delle esportazioni e sulle sanzioni, comprese quelle elencate in qualsiasi elenco di parti sanzionate (ad es. elenco delle sanzioni dell'Unione europea, elenchi SDN (Specially Designated National) degli Stati Uniti, OFAC, sanzioni del Consiglio di sicurezza delle Nazioni Unite, elenchi locali dove figura EcoVadis).

Restrizioni all’uso finale

I Servizi EcoVadis non devono essere utilizzati per scopi vietati dalle leggi applicabili in materia di esportazione, tra cui lo sviluppo, la progettazione, la fabbricazione o la produzione di armi nucleari, chimiche o biologiche di distruzione di massa.

Documenti e risorse

Condizioni generali di contratto

Termini e condizioni generali - Legge statunitense

Informativa sulla privacy dei dati

Rapporto sui tempi di attività della piattaforma

Clausole contrattuali standard per le aziende richiedenti

Rapporto di conformità all'accessibilità Edizione WCAG

Clausole contrattuali standard per le aziende valutate

Clausole contrattuali standard per i partner

ISO 27001:2022

ISO 9001:2015

Dichiarazione di applicabilità

Codice etico

Codice di condotta dei fornitori

Dichiarazione di EcoVadis sulla schiavitù moderna

*Librerie o componenti open source relativi a uno qualsiasi dei servizi applicabili. La soluzione EcoVadis talvolta include o dipende da librerie open source. Per ottemperare ai requisiti di licenza delle librerie open source e al diritto morale di attribuzione del licenziatario, di seguito è riportato un elenco dei software open source utilizzati per realizzare i nostri prodotti. Si prega di notare che tutte le informazioni qui riportate sono fornite "così come sono" e potrebbero essere soggette a modifiche da parte del licenziatario:
Licenza
AFL-2.1, Apache-2.0, BSD-2-Clause, BSD-3-Clause, CC-BY-4.0, ISC, JSON, LGPL-2.1*, LGPL-3.0*, Microsoft .NET, ASP NET MVC3 EULA, BlueOak-1.0.0, Licenza Bouncy Castle, 0BSD, Licenza Aduna BSD, BSD-4-Clause, CC-BY-3.0, CC-BY-4.0, CC-BY-SA-2.0 CC-BY-SA-3.0, CC-PDD, CCC0-1.0, JQuery, MPL-1.1, MulanPSL-2.0, OpenSSL, Python-2.0
Licenza della libreria
MIT, MPL-2.0, MS-PL, PostgreSQL, WTFPL, Zlib

* L'applicazione è legata dinamicamente alla licenza LGPL, di conseguenza il codice proprietario può essere mantenuto tale.

Politica in materia di conflitto di interessi

Politica sulla condotta professionale di terzi

Utilizzo dell’intelligenza artificiale

EcoVadis progetta, implementa e distribuisce soluzioni di IA in modo responsabile, prestando particolare attenzione alla spiegabilità dei modelli, al monitoraggio e ai principi fondamentali di un'IA affidabile.

Con l'ascesa dell'IA generativa, investiamo nella sicurezza e nella governance dell'IA e garantiamo che le soluzioni di IA generativa dispongano di adeguate misure di protezione.