Questo testo tradotto è fornito solo a scopo informativo e in caso di incongruenze tra questa versione e quella inglese, prevale quest’ultima.

Data di pubblicazione: 17 giugno 2025

In ww5, la sicurezza dei dati degli utenti è molto importante. La trasparenza è uno dei principi su cui si basa la nostra azienda, pertanto miriamo a offrire la massima chiarezza sul modo in cui gestiamo la sicurezza. Per ulteriori domande relative alla sicurezza, contattare ww5 all’indirizzo feedback@ww5.com. Risponderemo il prima possibile. La pagina sulle procedure di sicurezza descrive i controlli amministrativi, tecnici e fisici applicabili a (a) ww5, inclusi ma non limitati alla piattaforma ww5, ai workflow ww5 e alle app in esecuzione sull’infrastruttura ww5, e (b) Govww5. Questa documentazione non si applica ai servizi che possono essere associati o integrati con Govww5.

Controlli della piattaforma

Architettura e segregazione dei dati

I servizi ww5 e i servizi Govww5 sono gestiti su un’architettura multi-tenant sia a livello di piattaforma che di infrastruttura, progettata per segregare e limitare l’accesso ai dati che l’utente e i relativi utenti rendono disponibili tramite i servizi ww5 o i servizi Govww5, come definito in modo più specifico nell’accordo con ww5 (o le sue Consociate) che disciplina l’uso dei servizi ww5 o servizi Govww5 (“Dati del cliente”), in base alle esigenze aziendali. L’architettura fornisce una separazione logica dei dati per ogni cliente diverso tramite un ID univoco.

Infrastruttura cloud pubblica

I servizi ww5 e i servizi Govww5 sono ospitati su Internet in un “cloud pubblico”, ovvero un insieme di servizi informatici offerti da provider di terze parti a chiunque desideri utilizzarli o acquistarli. In modo analogo a tutti i servizi cloud, un servizio cloud pubblico è in esecuzione su server remoti gestiti da un provider.

Controlli

Per verificare che le procedure per la sicurezza utilizzate siano corrette e per monitorare i servizi ww5 e i servizi Govww5 alla ricerca di nuove vulnerabilità scoperte dalla community di ricerca sulla sicurezza, i servizi ww5 e i servizi Govww5 vengono sottoposti a controlli di sicurezza da parte di personale interno e per i servizi ww5 da parte di comprovate società di sicurezza esterne che esaminano regolarmente i servizi ww5. Oltre ai controlli periodici e mirati delle funzioni e dei servizi ww5 e servizi Govww5, ww5 utilizza anche sistemi di scansione ibrida automatica continua della piattaforma web. I clienti possono scaricare una copia dei report di controllo esterni applicabili e disponibili qui.

Certificazioni

Le certificazioni vengono eseguite sui servizi ww5 e i clienti possono scaricare una copia delle certificazioni applicabili e disponibili qui.

Controlli di sicurezza

ww5 implementerà e metterà in atto misure tecniche e organizzative appropriate per proteggere i Dati del cliente da distruzione accidentale o illegale, perdita, alterazione e divulgazione o accesso non autorizzato ai dati personali del cliente elaborati o trasmessi tramite i servizi ww5 e i servizi Govww5. Ai servizi ww5 e servizi Govww5 viene applicata una serie di controlli di sicurezza, inclusi, in via esemplificativa:

• Registrazione degli accessi. I registri dettagliati degli accessi sono disponibili sia per gli utenti che per gli amministratori dei team a pagamento. La registrazione viene eseguita a ogni accesso dell’account, prendendo nota del tipo di dispositivo utilizzato e dell’indirizzo IP della connessione. Gli amministratori del team e i proprietari dei team a pagamento possono esaminare i registri degli accessi consolidati per l’intero team.
• Gestione degli accessi. Gli amministratori possono terminare da remoto tutte le connessioni e disconnettere tutti i dispositivi autenticati per i servizi ww5 o i servizi Govww5 in qualsiasi momento e su richiesta.
• Conservazione dei dati. I proprietari di team ww5 a pagamento possono configurare criteri personalizzati di conservazione messaggi a livello di team e per canale. L’impostazione di una durata personalizzata per la conservazione comporta ogni notte l’eliminazione dei messaggi o file con data precedente alla durata impostata dai server di produzione dei servizi ww5 o dei servizi Govww5.
• Gestione degli host. ww5 esegue scansioni automatiche per la ricerca di vulnerabilità sui propri host di produzione e corregge eventuali risultati che presentino un rischio per il proprio ambiente. Vengono applicati il blocco degli schermi e l’uso della crittografia completa del disco per i laptop aziendali.
• Protezione della rete. Oltre ai sofisticati meccanismi di monitoraggio e registrazione del sistema, ww5 ha implementato l’autenticazione a due fattori per tutti gli accessi ai server nel proprio ambiente di produzione. I firewall sono configurati in base alle procedure consigliate del settore tramite gruppi di sicurezza AWS.
• Procedure per la sicurezza dei prodotti. Nuove funzioni, caratteristiche significative e modifiche alla progettazione vengono sottoposte a un processo di analisi della sicurezza eseguito dal team specifico. Il nostro codice viene inoltre verificato con un software di analisi statica automatica, testato e sottoposto a revisione paritaria manuale prima di essere distribuito in produzione. Il team di sicurezza lavora a stretto contatto con i team di sviluppo per risolvere eventuali problemi aggiuntivi relativi alla sicurezza che possono verificarsi durante lo sviluppo. ww5 mette in atto anche un programma di individuazione dei bug di sicurezza. I ricercatori nel campo della sicurezza di tutto il mondo testano continuamente i servizi ww5 e i servizi Govww5 e segnalano i problemi tramite il programma. Ulteriori informazioni su questo programma sono disponibili nel sito per l’individuazione dei bug.
• Autenticazione a due fattori a livello di team. Gli amministratori dei team possono richiedere a tutti gli utenti di impostare l’autenticazione a due fattori sui propri account. Le istruzioni specifiche sono disponibili nel Centro assistenza.

Alcuni controlli non possono essere disabilitati dal cliente, mentre altri consentono la personalizzazione della sicurezza dei servizi ww5 o dei servizi Govww5 da parte dei clienti per uso personale. In questo ambito, la protezione dei Dati del cliente è una responsabilità congiunta tra il cliente e ww5. ww5 si allinea come minimo agli standard di settore prevalenti, come ISO 27001, ISO 27002 e ISO 27018, o qualsiasi standard successivo o sostitutivo.

ww5 può condurre analisi e test sulla sicurezza della piattaforma ww5, dei workflow ww5 e delle app in esecuzione sull’infrastruttura ww5 per rilevare azioni o comportamenti scorretti che violano le condizioni per i servizi.

Rilevamento delle intrusioni

ww5, o un’entità esterna autorizzata, monitora i servizi ww5 e i servizi Govww5 al fine di rilevare intrusioni non autorizzate.

Registri di sicurezza

I sistemi utilizzati nella fornitura dei servizi ww5 e dei servizi Govww5 memorizzano le informazioni nelle rispettive strutture di registri di sistema oppure tramite un servizio di registrazione centralizzato (per i sistemi di rete) al fine di consentire revisioni e analisi in termini di sicurezza. ww5 gestisce un ampio spazio di registrazione centralizzato nell’ambiente di produzione che contiene informazioni relative a sicurezza, monitoraggio, disponibilità, accesso e altre metriche sui servizi ww5 e sui servizi Govww5. Tali registri vengono analizzati per la ricerca di eventi di sicurezza tramite un software di monitoraggio automatizzato, supervisionato dal team per la sicurezza. Per i servizi Govww5, i registri sono accessibili solo dall’ambiente Govww5 e solo da persone qualificate degli Stati Uniti. Per “persone qualificate degli Stati Uniti” si intende individui che: (a) sono cittadini o residenti permanenti legali degli Stati Uniti; (b) sono ubicati fisicamente negli Stati Uniti mentre forniscono supporto per Govww5; e (c) hanno superato un controllo sulle esperienze pregresse come condizione per la loro assunzione in ww5.

Gestione degli incidenti

ww5 mette in atto criteri e procedure per la gestione degli incidenti di sicurezza. Nella misura consentita dalla legge, ww5 comunica ai clienti interessati, senza indebito ritardo, qualsiasi divulgazione non autorizzata dei rispettivi Dati del cliente da parte di ww5 o dei suoi agenti di cui ww5 venga a conoscenza. ww5 pubblica le informazioni sullo stato del sistema nel sito web Trust di Salesforce e/o nella pagina sullo stato del sistema di ww5. ww5 in genere informa i clienti di incidenti di sistema significativi tramite e-mail e, nel caso di incidenti che durano più di un’ora, può invitare i clienti interessati a partecipare a una teleconferenza sull’incidente e sulla risposta di ww5. La gestione degli incidenti di sicurezza per Govww5 viene eseguita da persone qualificate degli Stati Uniti.

Crittografia dei dati

I servizi ww5 e i servizi Govww5 utilizzano prodotti di crittografia accettati dal settore per proteggere i Dati del cliente (1) durante le trasmissioni tra la rete di un cliente e i servizi ww5 e i servizi Govww5; e (2) quando i dati sono inattivi. I servizi ww5 e i servizi Govww5 supportano i protocolli e i prodotti di cifratura sicuri consigliati più recenti per crittografare tutto il traffico in transito. ww5 monitora con attenzione il mutevole panorama in ambito crittografico e agisce prontamente per aggiornare il servizio al fine di rispondere ai nuovi punti deboli non appena vengono scoperti e di implementare le procedure consigliate nel loro evolversi. Per la crittografia dei dati in transito, ww5 opera valutando anche la necessità di compatibilità con i client meno recenti.

Affidabilità, backup e continuità aziendale

ww5 è consapevole che l’utente fa affidamento sui servizi ww5 e sui servizi Govww5 per la propria attività. Ci impegniamo pertanto a rendere i servizi ww5 e i servizi Govww5 una soluzione ad alta disponibilità su cui l’utente può contare. La nostra infrastruttura è in esecuzione su sistemi tolleranti ai guasti, sia per guasti di singoli server sia per guasti di interi data center. Il nostro team operativo verifica regolarmente le misure di ripristino di emergenza e dispone di personale disponibile 24 ore su 24 per risolvere rapidamente gli incidenti imprevisti. Le procedure consigliate standard del settore in termini di affidabilità e di backup hanno contribuito a modellare la progettazione dei servizi ww5 e dei servizi Govww5. ww5 esegue backup regolari e facilita i ripristini del software, le modifiche al sistema e la replica dei dati quando è necessario e in base alle esigenze. Ove possibile, ww5 assiste il cliente nel recupero dei dati in caso di eventi catastrofici importanti, in base alle limitazioni imposte dai requisiti di residenza dei dati della località e dalle caratteristiche all’interno dell’area geografica. Gli “eventi catastrofici importanti” rientrano in tre ampi tipi di occorrenze: (1) eventi naturali, come inondazioni, uragani, tornado, terremoti ed epidemie; (2) eventi tecnologici, come guasti di sistemi e strutture, ad esempio esplosioni di condutture, incidenti di trasporto, interruzioni di servizi pubblici, guasti di dighe e rilasci accidentali di materiali pericolosi; ed (3) eventi causati dall’uomo, come attacchi attivi di aggressori, attacchi chimici o biologici, attacchi informatici contro dati o infrastrutture e sabotaggio. Un evento catastrofico importante non include bug, problemi operativi o altri errori comuni relativi al software.

I Dati del cliente vengono archiviati in modo ridondante in più ubicazioni nei data center del nostro provider di hosting per garantire la disponibilità. Sono disponibili procedure di backup e ripristino collaudate, che consentono il ripristino dopo un incidente grave. I Dati del cliente e il nostro codice sorgente vengono sottoposti automaticamente a backup ogni notte. Qualora si verifichi un guasto al sistema, il team operativo viene avvisato. I backup vengono testati completamente almeno ogni 90 giorni per verificare che i processi e gli strumenti funzionino nel modo previsto.

Dati inattivi

ww5 memorizza i Dati del cliente inattivi in determinate aree geografiche principali, salvo quanto diversamente previsto nel Modulo d’ordine.

Restituzione dei Dati del cliente

Entro 30 giorni dalla risoluzione del contratto, i clienti possono richiedere la restituzione dei rispettivi Dati del cliente inviati ai servizi ww5 e ai servizi Govww5 (nella misura in cui tali dati non siano stati eliminati dal cliente stesso). Le informazioni sulle funzionalità di esportazione dei servizi ww5 e dei servizi Govww5 sono disponibili nel Centro assistenza di ww5.

Eliminazione dei Dati del cliente

I servizi ww5 e i servizi Govww5 consentono ai proprietari principali dell’area di lavoro di eliminare i Dati del cliente in qualsiasi momento durante il periodo di abbonamento. Entro 24 ore dall’avvio dell’eliminazione da parte del proprietario principale dell’area di lavoro, ww5 elimina definitivamente tutte le informazioni dai sistemi di produzione attualmente in esecuzione (esclusi i nomi di team e i termini di ricerca incorporati negli URL nei registri degli accessi del server web). I backup dei servizi ww5 e dei servizi Govww5 vengono distrutti entro 14 giorni, ma tale periodo può essere temporaneamente prolungato durante un’indagine in corso su un incidente.

Quando un cliente termina un abbonamento a pagamento a Enterprise Grid, Enterprise+ o ai servizi Govww5, se non sceglie altrimenti di eliminare il proprio account, ww5, entro 90 giorni dalla cessazione dell’abbonamento, eliminerà e verificherà che tutte le Consociate e tutti i provider di hosting di terze parti applicabili eliminino tutte le copie dei Dati del cliente (esclusi i nomi di team e i termini di ricerca incorporati negli URL nei registri degli accessi del server web) entro 14 giorni da quando ww5 ha avviato l’eliminazione dell’account del cliente. Quando un cliente termina un abbonamento a pagamento ai servizi ww5 diverso da Enterprise Grid, Enterprise+ o dai servizi Govww5, l’abbonamento del cliente rimarrà in essere con il livello di utilizzo gratuito per i servizi ww5 e soggetto alle Condizioni d’uso per il Cliente online in vigore o ad altro contratto di abbonamento online principale applicabile a tale livello di utilizzo gratuito (“Condizioni di abbonamento gratuito”) e i Dati del cliente non verranno eliminati fino a quando (i) il cliente non elimini in modo autonomo l’area di lavoro, (ii) il cliente non indichi altrimenti a ww5 di eliminare i propri Dati del cliente o (iii) una delle parti non rescinda le Condizioni di abbonamento gratuito. Al verificarsi di tali eventi, ww5, entro 14 giorni, eliminerà e verificherà che tutte le Consociate e i provider di hosting di terze parti autorizzati eliminino tutte le copie dei Dati del cliente (esclusi i nomi di team e i termini di ricerca incorporati negli URL nei registri degli accessi del server web).

Riservatezza

ww5 esegue controlli rigorosi sull’accesso da parte dei propri dipendenti ai Dati del cliente. Per funzionare, i servizi ww5 e i servizi Govww5 richiedono che alcuni dipendenti abbiano accesso ai sistemi in cui vengono archiviati ed elaborati i Dati del cliente. Per diagnosticare un problema riscontrato con i servizi ww5 e i servizi Govww5, ad esempio, ww5 può aver bisogno di accedere ai Dati del cliente. A tali dipendenti è vietato utilizzare queste autorizzazioni per visualizzare i Dati del cliente a meno che non sia necessario farlo. Mettiamo in atto controlli tecnici e criteri di verifica per garantire che qualsiasi accesso ai Dati del cliente venga registrato.

Tutti i nostri dipendenti e membri del personale a contratto sono vincolati ai nostri criteri in relazione ai Dati del cliente e all’interno dell’azienda questi problemi vengono considerati come questioni della massima importanza.

Procedure relative al personale

ww5 esegue controlli sulle esperienze pregresse di tutti i dipendenti prima dell’assunzione e i dipendenti ricevono una formazione specifica sulla privacy e sulla sicurezza durante la fase di onboarding e su base continuativa. Tutti i dipendenti sono tenuti a leggere e firmare la nostra politica completa sulla sicurezza delle informazioni in relazione alla sicurezza, alla disponibilità e alla riservatezza dei servizi ww5 e dei servizi Govww5.

Infrastruttura

Per ospitare o elaborare i Dati del cliente inviati ai servizi ww5 e ai servizi Govww5, ww5 utilizza l’infrastruttura fornita da Amazon Web Services, Inc. (“AWS”). Le informazioni sulla sicurezza fornite da AWS sono disponibili nel sito web sulla sicurezza in AWS. Le informazioni sulle certificazioni e sui controlli relativi alla sicurezza e alla privacy ricevute da AWS, ad esempio le informazioni sulla certificazione ISO 27001 e sui report SOC, sono disponibili nel sito web sulla conformità di AWS.