
Qualità, sicurezza, privacy e conformità
Lo scopo di EcoVadis è “guidare tutte le aziende verso un mondo sostenibile” e questi sono i quattro obiettivi principali di EcoVadis:
- Fornire valutazioni e approfondimenti di sostenibilità indipendenti, affidabili e attuabili grazie all’eccellenza della metodologia.
- Permettere al maggior numero di aziende di continuare a migliorare le proprie pratiche commerciali e contribuire a creare un’economia rigenerativa ed equa.
- Alimentare un ambiente di apprendimento inclusivo per il nostro personale, offrendo un lavoro costruttivo e responsabilizzando le future generazioni di professionisti della sostenibilità.
- Incoraggiare l’azione collettiva all’interno del nostro ecosistema per accelerare la transizione verso un mondo sostenibile.
EcoVadis ha sviluppato un sistema di gestione della qualità (QMS) certificato ISO 9001. Perseguiamo attivamente una qualità sempre migliore attraverso un sistema di gestione dei processi che permette a ogni dipendente di svolgere sempre bene il proprio lavoro da subito in un ambiente di lavoro sicuro e stimolante. È supportato dalla nostra piattaforma IT, creata su misura e appositamente sviluppata, che guida i dipendenti attraverso l'intero processo. Ci adoperiamo costantemente per migliorare continuamente i processi, facendoci consigliare da organi specializzati come il nostro comitato metodologico.
- Programma per la formazione dei dipendenti
- Programmi di formazione sulla qualità e sicurezza delle informazioni per tutti i nuovi arrivati durante il periodo di onboarding con quiz e punteggi minimi prefissati per verificare l'efficacia, più una formazione di aggiornamento annuale obbligatoria per tutti i dipendenti seguita da quiz.
- Azione correttiva e preventiva
- Miglioramento continuo con l'identificazione di aree di miglioramento per eliminare i casi di non conformità o prevenirne la ricomparsa. Un esempio è l’utilizzo dello strumento Qualità per l’individuazione delle non conformità e la fornitura di feedback attraverso il processo di valutazione.
- Processo di gestione degli incidenti
- I reclami dei clienti e dei fornitori così come i problemi interni sono segnalati, registrati e gestiti attraverso una piattaforma di gestione degli incidenti. Tutti gli incidenti sono analizzati regolarmente dalle parti interessate e risolti entro un determinato periodo di tempo.
- Audit interno
- Il programma di audit interno è previsto per un periodo di 3 anni in cui gli audit di sicurezza delle informazioni sono condotti due volte all'anno e tutti i processi interni sono sottoposti a un audit di qualità almeno una volta all'anno. I risultati degli audit vengono analizzati e discussi durante le riunioni del Management Review.
EcoVadis fornisce servizi di valutazione di sostenibilità olistici per aziende, distribuiti attraverso una piattaforma SaaS globale basata su cloud ospitata su Microsoft Azure, uno dei provider di cloud hosting più affidabili.
Ci impegniamo a fornire il massimo livello di sicurezza delle informazioni e a migliorare continuamente per proteggere i dati di tutti gli interessati in uno scenario in evoluzione costante per quanto riguarda le minacce alla sicurezza delle informazioni. Per questa ragione, EcoVadis ha messo a punto un sistema di gestione della sicurezza delle informazioni (ISMS), sottoposto ad audit regolari di terze parti indipendenti per la conformità ISO/IEC 27001 (vedere il certificato e la dichiarazione di applicabilità).
Il nostro ISMS ci permette di operare e mantenere sistematicamente la sicurezza delle informazioni nei nostri processi e servizi aziendali e di determinare e applicare le misure di sicurezza necessarie in base alla nostra valutazione dei rischi.
Le nostre politiche di sicurezza delle informazioni vengono regolarmente riesaminate e aggiornate per assicurare che i contenuti siano sempre attuali e accurati e che siano correlati ai requisiti di conformità e alle buone prassi del settore a noi applicabili.
Abbiamo un team interno dedicato, responsabile di sviluppo, manutenzione e monitoraggio della sicurezza delle informazioni. Le priorità vengono stabilite a livello globale internamente alla nostra organizzazione per fornire una visone unica e coerente circa la protezione dei beni.
Noi di EcoVadis ci rendiamo conto che la sensibilizzazione in materia di minacce alla sicurezza delle informazioni è un processo continuo. I nostri dipendenti vengono regolarmente formati in materia di buone prassi di IT e Sicurezza delle informazioni e di allineamento agli standard di sicurezza IT di EcoVadis, nonché all’utilizzo sicuro dei sistemi IT.
Manteniamo un inventario accurato e aggiornato dei beni associati al servizio fornito e classifichiamo le informazioni in termini di requisiti legali, valore, criticità e sensibilità alla divulgazione o modifica non autorizzate.
Azure è un servizio multi tenant che prevede una separazione logica che isola i dati tra i clienti.
I diritti e i privilegi di accesso ai sistemi informativi e ai domini di rete EcoVadis devono essere assegnati in base ai requisiti specifici della funzione lavorativa dell'utente (RBAC), seguendo i principi della necessità di sapere e del minimo privilegio.
I nostri clienti gestiscono l’accesso in maniera indipendente: l’amministratore della piattaforma clienti può creare e disattivare utenti in base alle necessità. Alla piattaforma si ha accesso tramite nome utente e password. Forniamo, inoltre, una funzione di autenticazione Single sign-on (SSO) per le aziende che lo richiedono ed è possibile contattare il consueto contatto commerciale per maggiori informazioni.
I dati vengono crittografati (a riposo e in transito) utilizzando algoritmi e metodi di crittografia approvati dal settore. Seguiamo le buone prassi del settore per archiviare e gestire in maniera sicura informazioni segrete all’interno del nostro ambiente.
Le nostre piattaforme sono ospitate nei datacenter Microsoft Azure situati nell'UE. In base a un modello di responsabilità condiviso nel cloud, i controlli di sicurezza fisica rientrano tra gli obblighi di Microsoft. Maggiori informazioni sui controlli sono disponibili qui.
Ci assicuriamo che le modifiche all'organizzazione, ai processi aziendali, alle strutture di elaborazione delle informazioni e ai sistemi che influiscono sulla sicurezza delle informazioni siano controllate. Abbiamo adottato tecnologie e processi di monitoraggio e rilevamento per identificare, prevenire e gestire le vulnerabilità a malware o altri eventi rilevanti per la sicurezza all'interno della nostra infrastruttura. Vengono seguite le buone prassi di hardening della sicurezza, come il CIS (Center for Internet Security) per i sistemi operativi e le guide di hardening di Microsoft Azure per i servizi cloud.
L'accesso alla rete per i servizi interni e i server è limitato e protetto. Disponiamo di un Web Application Firewall (vedere dettagli qui) e utilizziamo Azure Front Door, un moderno servizio di Content Delivery Network (CDN) su cloud che offre prestazioni elevate, scalabilità ed esperienze utente sicure.
Seguiamo gli standard del settore per garantire la sicurezza dei nostri sistemi e del ciclo di vita dello sviluppo del software (SDLC). In tal modo si assicura che i nuovi sviluppi siano sottoposti a processi di test e convalida adeguati prima della messa in funzione. Gli ambienti di sviluppo, di test e operativi sono separati.
Abbiamo stabilito dei requisiti di sicurezza delle informazioni per i fornitori che possono accedere, elaborare, archiviare, comunicare o fornire componenti dell'infrastruttura IT per le informazioni dell'organizzazione. Effettuiamo anche valutazioni dei rischi di cybersecurity e di sicurezza dei dati dei fornitori che hanno accesso alla nostra rete, ai nostri dati o ad altre informazioni sensibili.
Lavoriamo costantemente per fornire servizi altamente sicuri ai nostri clienti, ma gli incidenti sono una realtà inevitabile che va gestita con attenzione. In EcoVadis vengono attuate misure appropriate per garantire un approccio coerente ed efficace alla gestione degli incidenti di sicurezza delle informazioni. Il nostro processo di gestione degli incidenti di sicurezza comprende, a titolo esemplificativo e non esaustivo: la notifica al cliente, il mantenimento di procedure scritte da seguire in caso di incidente di sicurezza e l'impiego di tutti gli sforzi ragionevoli per mitigarne le conseguenze.
Per di più, disponiamo di un Centro per la sicurezza delle operazioni (Security Operations Center - SOC) attivo 24 ore su 24, 7 giorni su 7, che garantisce il monitoraggio e la protezione continui dei nostri sistemi e dei nostri dati.
Ci impegniamo a garantire che le strutture di elaborazione delle informazioni siano implementate con una ridondanza sufficiente a soddisfare i requisiti di disponibilità (consultare il rapporto sul tempo di attività della nostra piattaforma, in cui vengono costantemente monitorate le prestazioni del servizio, la disponibilità e l'esperienza reale degli utenti).
I backup vengono eseguiti e testati regolarmente in conformità con la politica di backup definita.
Per avere una visione più completa della nostra conformità alla sicurezza delle informazioni, conduciamo diversi tipi di audit e revisioni tecniche:
– Revisioni delle infrastrutture
– Revisioni dei codici (SAST: Static Application Security Testing, SCA: Software Composition Analysis)
– Test di penetrazione delle applicazioni Web (viene eseguito almeno una volta all'anno da un’azienda esterna e anche da risorse interne su base periodica)
– Gestione postura esterna
– Valutazioni dei rischi interne
– Audit certificazione ISO 27001
Abbiamo compilato diversi questionari standard. Il risultato è condivisibile su richiesta
- Cybervadis
- CyberGRX
- SecurityScorecard:
- Whistic
Le certificazioni Microsoft Azure sono disponibili nel Service Trust Portal.
Librerie o componenti open source relativi a uno qualsiasi dei servizi applicabili. La soluzione EcoVadis a volte include o dipende da librerie open source. Per rispettare i requisiti di licenza delle librerie open source e il diritto morale di attribuzione del licenziatario, di seguito è riportato un elenco di software open source utilizzato per la realizzazione dei nostri prodotti; si prega di notare che tutte le informazioni qui riportate sono fornite "così come sono" e potrebbero essere soggette a modifiche da parte del licenziatario:
Licenza |
AFL-2.1 |
Apache-2.0 |
BSD-2-Clause |
BSD-3-Clause |
CC-BY-4.0 |
ISC |
JSON |
LGPL-2.1* |
LGPL-3.0* |
Licenza libreria Microsoft .NET |
MIT |
MPL-2.0 |
MS-PL |
PostgreSQL |
WTFPL |
Zlib |
* L'applicazione è legata dinamicamente alla licenza LGPL, di conseguenza il codice proprietario può essere mantenuto tale.
EcoVadis progetta, implementa e distribuisce soluzioni di IA in modo responsabile, prestando particolare attenzione alla spiegabilità dei modelli, al monitoraggio e ai principi fondamentali dell'IA affidabile. Con l'ascesa dell'IA generativa, investiamo nella sicurezza e nella governance dell'IA e assicuriamo che le soluzioni di IA generativa siano dotate di adeguati controlli.
EcoVadis ritiene che il regolamento GDPR sia un passo importante per rafforzare e armonizzare la protezione dei dati personali dei cittadini europei. In qualità di responsabile del trattamento dei dati per i servizi di valutazione forniti, Ecovadis si impegna a rispettare il GDPR e, per quanto applicabili, le normative internazionali sulla protezione dei dati e a mettere in atto le buone prassi.
Ecovadis utilizza come quadro di riferimento la norma ISO 27001, per cui è certificata, e integra gli aspetti relativi alla protezione dei dati personali nel suo sistema di gestione. Utilizziamo il quadro complementare ISO 27701 per soddisfare i requisiti del regolamento GDPR. Le nostre pratiche per la protezione dei dati e la conformità sono confermate da un audit di terze parti.
Per il trattamento dei dati effettuato al di fuori dell'UE, abbiamo stabilito delle clausole contrattuali standard (SCC) con le nostre filiali.
Selezioniamo sempre con cura i nostri fornitori (responsabili) e richiediamo la conclusione di accordi di protezione dei dati con i responsabili e clausole contrattuali standard (Standard Contractual Clauses, SCC) o regole aziendali vincolanti (Binding Corporate Rules, BCR) in caso di trattamento al di fuori della regione del SEE per poter lavorare per noi. Cerchiamo sempre di scegliere abbonamenti con fornitori che abbiano i dati ospitati su server con sede in Europa. Per fornire il nostro servizio utilizziamo i seguenti elaboratori:
Ci affidiamo alle indicazioni sulle misure supplementari emesse dall'autorità francese per la protezione dei dati CNIL e dal comitato europeo per la protezione dei dati riguardo alle possibilità di trasferire i dati negli Stati Uniti sulla base di SCC (o BCR).
Scopri di più nella nostra informativa sulla privacy dei dati
EcoVadis si impegna a rispettare tutte le leggi e i regolamenti applicabili a un operatore di servizi online di carattere generale, incluse in via esemplificativa, le leggi di Francia e Stati Uniti d’America, per quanto riguarda le proprie sedi operative per i servizi.
Restrizioni di destinazione
Tenendo conto dei rischi commerciali generali, i prodotti e i servizi EcoVadis non sono disponibili per l'esportazione, la riesportazione, il trasferimento e/o l'uso nei seguenti paesi o regioni (soggetti a modifiche senza preavviso):
- le regioni di Crimea, Donetsk e Luhansk
- Cuba
- Iran
- Corea del Nord
- Siria
Inoltre, le transazioni con o relative a determinate destinazioni che determinano un elevato rischio di sanzioni o controllo delle esportazioni sono soggette a maggiori requisiti di due diligence.
Restrizioni per l'utente finale
I prodotti e i servizi di EcoVadis non sono disponibili per le entità e gli individui con i quali le transazioni sono vietate dalle leggi applicabili sul controllo delle esportazioni e sulle sanzioni, comprese quelle elencate in qualsiasi elenco di parti sanzionate (ad es. elenco delle sanzioni dell'Unione europea, elenchi SDN (Specially Designated National) degli Stati Uniti, OFAC, sanzioni del Consiglio di sicurezza delle Nazioni Unite, elenchi locali dove figura EcoVadis).
Restrizioni all’uso finale
I Servizi EcoVadis non devono essere utilizzati per scopi vietati dalle leggi applicabili in materia di esportazione, tra cui lo sviluppo, la progettazione, la fabbricazione o la produzione di armi nucleari, chimiche o biologiche di distruzione di massa.
In EcoVadis, crediamo che l'etica e l'integrità facciano la differenza negli ambiti della continuità, della reputazione e del successo delle aziende. Abbiamo adottato il Codice etico e altre politiche e procedure. Ci atteniamo agli standard più elevati secondo gli stessi criteri che valutiamo nel nostro processo e ci assicuriamo di rispettare le leggi e le norme in vigore.
Codice etico di EcoVadis
La nostra azienda è stata fondata con la convinzione che le imprese possano avere un enorme impatto positivo sul miglioramento delle prassi ambientali e sociali a livello globale, attraverso le loro catene di fornitura. Siamo convinti che le aziende vengano misurate e premiate non solo a fronte dei loro risultati finanziari, ma anche sulla base della loro sostenibilità. Il Codice etico di EcoVadis è un insieme di principi guida che ci aiutano a prendere decisioni in modo equo e onesto. Presenta il comportamento professionale da promuovere e seguire quando svolgiamo i nostri compiti nel nostro ambiente di lavoro.
Leggete il nostro codice etico
Codice di condotta per fornitori di EcoVadis
Il codice di condotta per fornitori di EcoVadis illustra il nostro impegno rivolto a prassi commerciali etiche, sostenibili e responsabili in tutta la nostra catena di fornitura. Stabilisce chiare aspettative per i nostri fornitori, concentrandosi su aree chiave come pratiche lavorative e diritti umani, protezione dell'ambiente, integrità aziendale e acquisti sostenibili. Allineandosi a questi principi, i fornitori svolgono un ruolo fondamentale nel promuovere la trasparenza e la responsabilità, contribuendo al contempo a un futuro più sostenibile. Questo codice riflette l'impegno di EcoVadis nel sostenere un impatto positivo attraverso partnership collaborative ed etiche.
Leggete il nostro codice di condotta per fornitori
Dichiarazione di EcoVadis sulla schiavitù moderna
La Dichiarazione illustra le misure che abbiamo adottato e continuiamo ad adottare per garantire che la schiavitù moderna e la tratta di esseri umani siano assenti dalla nostra organizzazione e dalle nostre operazioni commerciali, comprese le catene di fornitura.
Consultate la Dichiarazione 2021
EcoVadis desidera ringraziare le seguenti persone per il loro prezioso contributo nel migliorare la sicurezza del sistema.
Questa pagina web ha finalità puramente informative e non costituisce una consulenza legale.
Domande? Contattaci!
Invitiamo a condividere eventuali domande relative alla sicurezza delle informazioni in EcoVadis con il vostro rappresentante commerciale o a visitare il nostro centro assistenza: support.ecovadis.com.