Qualità, sicurezza, privacy e conformità | EcoVadis Skip to content

Qualità, sicurezza, privacy e conformità

Main content

Lo scopo di EcoVadis è “guidare tutte le aziende verso un mondo sostenibile” e questi sono i quattro obiettivi principali di EcoVadis:

  1. Fornire valutazioni e approfondimenti di sostenibilità indipendenti, affidabili e attuabili grazie all’eccellenza della metodologia.
  2. Permettere al maggior numero di aziende di continuare a migliorare le proprie pratiche commerciali e contribuire a creare un’economia rigenerativa ed equa.
  3. Alimentare un ambiente di apprendimento inclusivo per il nostro personale, offrendo un lavoro costruttivo e responsabilizzando le future generazioni di professionisti della sostenibilità.
  4. Incoraggiare l’azione collettiva all’interno del nostro ecosistema per accelerare la transizione verso un mondo sostenibile.

EcoVadis ha sviluppato un sistema di gestione della qualità (QMS) certificato ISO 9001. Perseguiamo attivamente una qualità sempre migliore attraverso un sistema di gestione dei processi che permette a ogni dipendente di svolgere sempre bene il proprio lavoro da subito in un ambiente di lavoro sicuro e stimolante. È supportato dalla nostra piattaforma IT, creata su misura e appositamente sviluppata, che guida i dipendenti attraverso l'intero processo. Ci adoperiamo costantemente per migliorare continuamente i processi, facendoci consigliare da organi specializzati come il nostro comitato metodologico.

  • Programma per la formazione dei dipendenti
    • Programmi di formazione Q&IS per tutti i nuovi arrivati durante il periodo di onboarding con quiz e punteggi minimi prefissati per verificare l'efficacia, più una formazione di aggiornamento annuale obbligatoria per tutti i dipendenti seguita da quiz.
  • Azione correttiva e preventiva
    • Miglioramento continuo con l'identificazione di aree di miglioramento per eliminare i casi di non conformità o prevenirne la ricomparsa. Un esempio è l’utilizzo dello strumento Qualità per l’individuazione delle non conformità e la fornitura di feedback attraverso il processo di valutazione.
  • Processo di gestione degli incidenti
    • I reclami dei clienti e dei fornitori così come i problemi interni sono segnalati, registrati e gestiti attraverso una piattaforma di gestione degli incidenti. Tutti gli incidenti sono analizzati regolarmente dalle parti interessate e risolti entro un determinato periodo di tempo.
  • Audit interno
    • Il programma di audit interno è previsto per un periodo di 3 anni in cui gli audit di sicurezza delle informazioni sono condotti due volte all'anno e tutti i processi interni sono sottoposti a un audit di qualità almeno una volta all'anno. I risultati degli audit sono analizzati e discussi durante il nostro Management Review biennale.

EcoVadis fornisce servizi di valutazione di sostenibilità olistici per aziende, distribuiti attraverso una piattaforma SaaS globale basata su cloud ospitata su Microsoft Azure, uno dei provider di cloud hosting più affidabili.

Ci impegniamo a fornire il massimo livello di sicurezza delle informazioni e a migliorare continuamente per proteggere i dati di tutti gli interessati in uno scenario in evoluzione costante per quanto riguarda le minacce alla sicurezza delle informazioni. Per questa ragione, EcoVadis ha messo a punto un sistema di gestione della sicurezza delle informazioni (ISMS), sottoposto ad audit regolari di terze parti indipendenti per la conformità ISO/IEC 27001 (vedere il certificato e la dichiarazione di applicabilità).

Il nostro ISMS ci permette di operare e mantenere sistematicamente la sicurezza delle informazioni nei nostri processi e servizi aziendali e di determinare e applicare le misure di sicurezza necessarie in base alla nostra valutazione dei rischi.

Le nostre politiche di sicurezza delle informazioni vengono regolarmente riesaminate e aggiornate per assicurare che i contenuti siano sempre attuali e accurati e che siano correlati ai requisiti di conformità e alle buone prassi del settore a noi applicabili.

Abbiamo un team interno dedicato, responsabile di sviluppo, manutenzione e monitoraggio della sicurezza delle informazioni. Le priorità vengono stabilite a livello globale internamente alla nostra organizzazione per fornire una visone unica e coerente circa la protezione dei beni.

Noi di EcoVadis ci rendiamo conto che la sensibilizzazione in materia di minacce alla sicurezza delle informazioni è un processo continuo. I nostri dipendenti vengono regolarmente formati in materia di buone prassi di IT e Sicurezza delle informazioni e di allineamento agli standard di sicurezza IT di EcoVadis, nonché all’utilizzo sicuro dei sistemi IT.

Manteniamo un inventario accurato e aggiornato dei beni associati al servizio fornito e classifichiamo le informazioni in termini di requisiti legali, valore, criticità e sensibilità alla divulgazione o modifica non autorizzate.

Azure è un servizio multi tenant che prevede una separazione logica che isola i dati tra i clienti.

I diritti e i privilegi di accesso ai sistemi informativi e ai domini di rete EcoVadis devono essere assegnati in base ai requisiti specifici della funzione lavorativa dell'utente (RBAC), seguendo i principi della necessità di sapere e del minimo privilegio.

I nostri clienti gestiscono l’accesso in maniera indipendente: l’amministratore della piattaforma clienti può creare e disattivare utenti in base alle necessità. Alla piattaforma si ha accesso tramite nome utente e password. Forniamo, inoltre, una funzione di autenticazione Single sign-on (SSO) per le aziende che lo richiedono ed è possibile contattare il consueto contatto commerciale per maggiori informazioni.

I dati vengono crittografati (a riposo e in transito) utilizzando algoritmi e metodi di crittografia approvati dal settore. Seguiamo le buone prassi del settore per archiviare e gestire in maniera sicura informazioni segrete all’interno del nostro ambiente.

 

Le nostre piattaforme sono ospitate nei datacenter Microsoft Azure situati nell'UE. In base a un modello di responsabilità condiviso nel cloud, i controlli di sicurezza fisica rientrano tra gli obblighi di Microsoft. Maggiori informazioni sui controlli sono disponibili qui.

Ci assicuriamo che le modifiche all'organizzazione, ai processi aziendali, alle strutture di elaborazione delle informazioni e ai sistemi che influiscono sulla sicurezza delle informazioni siano controllate. Abbiamo adottato tecnologie e processi di monitoraggio e rilevamento per identificare, prevenire e gestire le vulnerabilità a malware o altri eventi rilevanti per la sicurezza all'interno della nostra infrastruttura. Vengono seguite le buone prassi di hardening della sicurezza, come il CIS (Center for Internet Security) per i sistemi operativi e le guide di hardening di Microsoft Azure per i servizi cloud.

L'accesso alla rete per i servizi interni e i server è limitato e protetto. Disponiamo di un Web Application Firewall (vedere dettagli qui) e utilizziamo Azure Front Door, un moderno servizio di Content Delivery Network (CDN) su cloud che offre prestazioni elevate, scalabilità ed esperienze utente sicure.

Seguiamo gli standard del settore per garantire la sicurezza dei nostri sistemi e del ciclo di vita dello sviluppo del software (SDLC). In tal modo si assicura che i nuovi sviluppi siano sottoposti a processi di test e convalida adeguati prima della messa in funzione. Gli ambienti di sviluppo, di test e operativi sono separati.

Abbiamo stabilito dei requisiti di sicurezza delle informazioni per i fornitori che possono accedere, elaborare, archiviare, comunicare o fornire componenti dell'infrastruttura IT per le informazioni dell'organizzazione. Effettuiamo anche valutazioni dei rischi di cybersecurity e di sicurezza dei dati dei fornitori che hanno accesso alla nostra rete, ai nostri dati o ad altre informazioni sensibili.

Lavoriamo costantemente per fornire servizi altamente sicuri ai nostri clienti, ma gli incidenti sono una realtà inevitabile che va gestita con attenzione. In EcoVadis vengono attuate misure appropriate per garantire un approccio coerente ed efficace alla gestione degli incidenti di sicurezza delle informazioni. Il nostro processo di gestione degli incidenti di sicurezza comprende, a titolo esemplificativo e non esaustivo: la notifica al cliente, il mantenimento di procedure scritte da seguire in caso di incidente di sicurezza e l'impiego di tutti gli sforzi ragionevoli per mitigarne le conseguenze.

Ci impegniamo a garantire che le strutture di elaborazione delle informazioni siano implementate con una ridondanza sufficiente a soddisfare i requisiti di disponibilità (consultare il rapporto sul tempo di attività della nostra piattaforma, in cui vengono costantemente monitorate le prestazioni del servizio, la disponibilità e l'esperienza reale degli utenti).

I backup vengono eseguiti e testati regolarmente in conformità con la politica di backup definita.

Per avere una visione più completa della nostra conformità alla sicurezza delle informazioni, conduciamo diversi tipi di audit e revisioni tecniche:

– Revisioni delle infrastrutture

– Revisioni dei codici (SAST: Static Application Security Testing, SCA: Software Composition Analysis)

– Test di penetrazione delle applicazioni web (viene eseguito almeno una volta all'anno da un’azienda esterna)

– Gestione postura esterna

– Valutazioni dei rischi interne

– Audit certificazione ISO 27001

 

Abbiamo compilato diversi questionari standard. Il risultato è condivisibile su richiesta

  • Cybervadis
  • CyberGRX
  • SecurityScorecard:

  • Whistic

Le certificazioni Microsoft Azure sono disponibili nel Service Trust Portal.

Avviso richiesto dai licenziatari di eventuali librerie o componenti open source relativi a uno qualsiasi dei servizi applicabili. La soluzione EcoVadis a volte include o dipende da librerie open source. Per rispettare i requisiti di licenza delle librerie open source e il diritto morale di attribuzione del licenziatario, di seguito è riportato un elenco di software open source utilizzato per la realizzazione dei nostri prodotti; si prega di notare che tutte le informazioni qui riportate sono fornite "così come sono" e potrebbero essere soggette a modifiche da parte del licenziatario:

 

Componente/nome progetto Licenza
ActiveUp.Net LGPL 2.1 *
AjaxControlToolkit BSD 3
Bootstrap MIT
ClosedXML MIT
DocumentFormat.OpenXml MIT
Editor_plugin LGPL 2.0 *
EPPlus LGPL 2.1 *
Highcharts CC BY NC 3.0
ICSharpCode MIT
Ionic Zlib
jQuery.dataTables MIT
jQuery.easing MIT
jQuery.easy MIT
jQuery.form MIT
jQuery.linq MIT
jQuery.multiselect MIT
jQuery.perfect-scrollbar-with-mousewheel MIT
jQuery.scrollTo MIT
jQuery.slim MIT
jQuery.tipTip MIT
jQuery.validate.unobtrusive Apache 2.0
jQuery.validate MIT
jQuery MIT
Knockout MIT
LINQ Microsoft Public
Modernizr MIT
Newtonsoft MIT
PayPal .NET SDK SDK LICENSE
Ninject Apache 2.0
NLog BSD 3
NPOI Apache 2.0
Prototype MIT
wkhtmltoimage LGPL 3.0 *
wkhtmltopdf LGPL 3.0 *
wkhtmltox LGPL 3.0 *

* L'applicazione è legata dinamicamente alla licenza LGPL, di conseguenza il codice proprietario può essere mantenuto tale.

EcoVadis ritiene che il regolamento GDPR sia un passo importante per rafforzare e armonizzare la protezione dei dati personali dei cittadini europei. In qualità di responsabile del trattamento dei dati per i servizi di valutazione forniti, Ecovadis si impegna a rispettare il GDPR e, per quanto applicabili, le normative internazionali sulla protezione dei dati e a mettere in atto le buone prassi.

Ecovadis utilizza come quadro di riferimento la norma ISO 27001, per cui è certificata, e integra gli aspetti relativi alla protezione dei dati personali nel suo sistema di gestione. Utilizziamo il quadro complementare ISO 27701 per soddisfare i requisiti del regolamento GDPR. Le nostre pratiche per la protezione dei dati e la conformità sono confermate da un audit di terze parti.

Per il trattamento dei dati effettuato al di fuori dell'UE, abbiamo stabilito delle clausole contrattuali standard (SCC) con le nostre filiali.

Selezioniamo sempre con cura i nostri fornitori (responsabili) e richiediamo la conclusione di accordi di protezione dei dati con i responsabili e clausole contrattuali standard (Standard Contractual Clauses, SCC) o regole aziendali vincolanti (Binding Corporate Rules, BCR) in caso di trattamento al di fuori della regione del SEE per poter lavorare per noi. Cerchiamo sempre di scegliere abbonamenti con fornitori che abbiano i dati ospitati su server con sede in Europa. Per fornire il nostro servizio utilizziamo i seguenti elaboratori:

 

Entità legale Indirizzo Finalità Informazioni aggiuntive sulla sicurezza
ZenDesk 1019 Market Street,
San Francisco, CA 94103 USA
Centro Assistenza https://www.zendesk.com/product/zendesk-security/
SFDC 2 Henry Adams St,
San Francisco, CA 94103 USA
CRM e assistenza clienti https://trust.salesforce.com/
Microsoft Azure Microsoft Campus,
Redmond, WA 98052 USA
Hosting della piattaforma di valutazione della sostenibilità https://azure.microsoft.com/en-us/overview/trusted-cloud/
Google 1600 Amphitheatre Parkway
Mountain View, CA 94043 USA
Comunicazione con il cliente https://cloud.google.com/security/
Selligent 20 Place des Vins de France, 75012 Parigi FRANCIA Comunicazione con il cliente https://www.selligent.com/general-data-protection-regulation
Docebo Limited
6th floor, 48
Gracechurch
Street, Londra –
UK
Piattaforma e-learning https://www.docebo.com/company/compliance-security/
Pendo 150 Fayetteville St
#140027601
Raleigh NC, USA
Analisi della piattaforma https://www.pendo.io/data-privacy-security/
Scheda prodotto 612 Howard
streetCA 94105
San Francisco CA,
USA
Gestione del prodotto https://www.productboard.com/product/security/
Aircall 11 Rue Saint
Georges, 75009
Paris, FRANCE
Registrazione delle chiamate https://aircall.io/security/

 

Ci affidiamo alle indicazioni sulle misure supplementari emesse dall'autorità francese per la protezione dei dati CNIL e dal comitato europeo per la protezione dei dati riguardo alle possibilità di trasferire i dati negli Stati Uniti sulla base di SCC (o BCR).

Scopri di più nella nostra informativa sulla privacy dei dati

EcoVadis si impegna a rispettare tutte le leggi e i regolamenti applicabili a un operatore di servizi online di carattere generale, incluse in via esemplificativa, le leggi di Francia e Stati Uniti d’America, per quanto riguarda le proprie sedi operative per i servizi.

Restrizioni di destinazione

Tenendo conto dei rischi commerciali generali, i prodotti e i servizi EcoVadis non sono disponibili per l'esportazione, la riesportazione, il trasferimento e/o l'uso nei seguenti paesi o regioni (soggetti a modifiche senza preavviso):

  • le regioni di Crimea, Donetsk e Luhansk
  • Cuba
  • Iran
  • Corea del Nord
  • Siria

Inoltre, le transazioni con o relative a determinate destinazioni che determinano un elevato rischio di sanzioni o controllo delle esportazioni sono soggette a maggiori requisiti di due diligence.

Restrizioni per l'utente finale

I prodotti e i servizi di EcoVadis non sono disponibili per le entità e gli individui con i quali le transazioni sono vietate dalle leggi applicabili sul controllo delle esportazioni e sulle sanzioni, comprese quelle elencate in qualsiasi elenco di parti sanzionate (ad es. elenco delle sanzioni dell'Unione europea, elenchi SDN (Specially Designated National) degli Stati Uniti, OFAC, sanzioni del Consiglio di sicurezza delle Nazioni Unite, elenchi locali dove figura EcoVadis).

Restrizioni all’uso finale

I Servizi EcoVadis non devono essere utilizzati per scopi vietati dalle leggi applicabili in materia di esportazione, tra cui lo sviluppo, la progettazione, la fabbricazione o la produzione di armi nucleari, chimiche o biologiche di distruzione di massa.

Questa pagina web ha finalità puramente informative e non costituisce una consulenza legale.

Domande? Contattaci!

Invitiamo a condividere eventuali domande relative alla sicurezza delle informazioni in EcoVadis con il vostro rappresentante commerciale o a visitare il nostro centro assistenza: support.ecovadis.com.

Serie di webinar +Ability: Aumentate la capacità della vostra azienda di esplorare la sostenibilità della catena di fornitura.
Registratevi subito
NOVITÀ: Barometro 2024: Trasformare l’ufficio acquisti in un partner strategico per la sostenibilità e la resilienza
Visualizza ora