Misure di sicurezza Jitterbit

In vigore dal 8 dicembre 2022

Ultimo aggiornamento: 20 febbraio 2026

Le principali misure di sicurezza implementate da Jitterbit per proteggere i dati del cliente sono delineate in questo allegato sulle misure di sicurezza di Jitterbit:

Panoramica

Il presente documento sulle misure di sicurezza di Jitterbit (le "Misure di sicurezza") descrive le misure di sicurezza amministrative, tecniche e fisiche implementate da Jitterbit per proteggere i dati del cliente da accessi, divulgazioni, alterazioni o distruzioni non autorizzati.

Queste misure di sicurezza supportano gli obblighi di Jitterbit in base ai requisiti legali, normativi e contrattuali applicabili, inclusi, a titolo esemplificativo ma non esaustivo, SOC 1, SOC 2, ISO 27001, ISO 27017, ISO 27018, ISO 42001, HIPAA, GDPR, CCPA e NZISM.

Il presente documento fa parte del più ampio quadro normativo di sicurezza e privacy di Jitterbit ed è menzionato nei contratti con i clienti applicabili, inclusi i Contratti di Elaborazione Dati (DPA) e i Contratti di Collaborazione Commerciale (BAA). In caso di conflitto tra le presenti Misure di Sicurezza e un contratto con il cliente, prevarrà il contratto con il cliente per quanto riguarda l'oggetto.

I termini in maiuscolo non definiti nel presente documento hanno il significato stabilito nel contratto o nella documentazione applicabile.

Privacy by Design e Privacy by Default

Privacy di design
Jitterbit tiene conto della privacy e della protezione dei dati durante l'intero ciclo di vita dei suoi prodotti e servizi, compresi progetti interni, sviluppo software, progettazione delle infrastrutture e operazioni IT.

Privacy per impostazione predefinita
I prodotti e i servizi Jitterbit sono configurati con impostazioni di protezione della privacy predefinite. I dati personali vengono raccolti, trattati e conservati solo nella misura necessaria per fornire il servizio, adempiere agli obblighi contrattuali e soddisfare i requisiti legali e normativi.

1. Accesso e gestione dei dati del cliente

1.1 I clienti controllano l'accesso ai propri account Jitterbit tramite identità utente, controlli di accesso basati sui ruoli e autenticazione a più fattori.

1.2 Il personale di Jitterbit non accede ai Dati del Cliente non crittografati, a meno che non sia esplicitamente autorizzato dal Cliente per scopi di supporto, risoluzione dei problemi o operativi.

1.3 Jitterbit elabora i Dati del Cliente esclusivamente in base alle istruzioni del cliente, nella misura necessaria a fornire, mantenere e supportare l'Applicazione Jitterbit in conformità con l'accordo applicabile.

1.4 I metadati delle applicazioni client e dei progetti generati dall'applicazione Jitterbit sono ospitati solo all'interno della regione geografica da cui provengono (NA, EMEA o APAC), salvo diverso accordo contrattuale.

1.5 Jitterbit mantiene diagrammi di flusso dei dati documentati che descrivono il modo in cui i dati del cliente fluiscono attraverso l'applicazione Jitterbit e fornisce tali diagrammi su richiesta ragionevole.

2. Separazione logica dei dati del cliente

Jitterbit impone la separazione logica dei dati del cliente attraverso controlli tecnici a più livelli, tra cui:

  • Architetture di database segmentate con schemi separati
  • Connessioni service-to-service affidabili e autenticate
  • Crittografia dei dati sensibili
  • Livelli di filtraggio logico tra tenant e risorse condivise
  • Meccanismi di controllo degli accessi per limitare l'accesso ai dati in base all'identità e al ruolo

 

3. Gestione dell'accesso all'infrastruttura applicativa

3.1 L'accesso ai sistemi e alle infrastrutture che supportano l'applicazione Jitterbit è limitato al personale autorizzato in base alle responsabilità lavorative e ai principi del privilegio minimo.

3.2 L'accesso ai registri di sistema e delle applicazioni è limitato al personale autorizzato per scopi di supporto operativo, risoluzione dei problemi e monitoraggio della sicurezza.

3.3 L'accesso amministrativo richiede credenziali utente univoche, autenticazione avanzata e autenticazione a più fattori su connessioni sicure.

3.4 Gli standard delle password per server e infrastrutture soddisfano o superano i requisiti riconosciuti del settore.

3.5 I privilegi di accesso vengono revocati o modificati tempestivamente in caso di cessazione del rapporto di lavoro o di cambio di ruolo.

3.6 L'accesso degli utenti all'infrastruttura di produzione viene rivisto periodicamente.

3.7 I tentativi di accesso e le azioni amministrative vengono registrati e monitorati.

3.8 L'accesso alla rete è limitato mediante configurazioni di gruppo di sicurezza negate per impostazione predefinita.

3.9 I firewall e i controlli di segmentazione della rete vengono utilizzati per limitare il traffico in ingresso e in uscita.

3.10 Gli strumenti di rilevamento e monitoraggio delle intrusioni vengono utilizzati per rilevare attività sospette o anomale.

4. Gestione del rischio

4.1 Jitterbit mantiene un programma formale di gestione del rischio allineato con framework riconosciuti, come il NIST.

4.2 Durante tutto l'anno vengono condotte valutazioni dei rischi tecnici e non tecnici, tra cui scansioni automatizzate, revisioni interne, valutazioni di terze parti e pentest.

4.3 I risultati della valutazione vengono esaminati dai responsabili della sicurezza e della privacy e monitorati attraverso processi di correzione definiti.

4.4 I rischi identificati vengono classificati in base alle priorità e affrontati utilizzando strategie di rimedio basate sul rischio.

4.5 Le fonti di intelligence sulle minacce vengono monitorate per identificare minacce e vulnerabilità emergenti.

5. Scansione delle vulnerabilità e test di penetrazione

5.1 Vengono eseguite regolarmente scansioni automatiche delle vulnerabilità sui sistemi che supportano l'applicazione Jitterbit.

5.2 Le vulnerabilità rilevate vengono valutate in base alla gravità, alla sfruttabilità e all'impatto aziendale.

5.3 Le vulnerabilità che soddisfano le soglie di rischio definite hanno la priorità per la correzione.

5.4 Almeno una volta all'anno vengono condotti test di penetrazione indipendenti da terze parti.

5.5 Vengono eseguite regolarmente attività di test di sicurezza interna e di revisione del codice.

5.6 Le pratiche di sviluppo sicure includono la gestione delle dipendenze, i test statici e dinamici e il monitoraggio delle correzioni.

6. Accesso remoto e sicurezza degli endpoint

6.1 L'accesso amministrativo agli ambienti cloud richiede connessioni sicure e un'autenticazione avanzata.

6.2 I dati del cliente non vengono archiviati sui dispositivi locali dei dipendenti, a meno che non sia esplicitamente richiesto e siano protetti da controlli appropriati.

6.3 La protezione degli endpoint, il rafforzamento dei dispositivi e i controlli di monitoraggio vengono applicati ai dispositivi gestiti da Jitterbit.

7. Ubicazione dell'applicazione e residenza dei dati

7.1 I dati del cliente vengono archiviati in regioni designate dell'applicazione Jitterbit (USA, UE, APAC).

7.2 Gli ambienti di produzione sono progettati per impedire la replicazione non autorizzata tra regioni.

7.3 Le configurazioni di disaster recovery rispettano i requisiti di residenza dei dati, salvo diversamente concordato contrattualmente.

8. Registrazione e monitoraggio degli eventi di sistema

8.1 Gli strumenti di monitoraggio raccolgono eventi relativi a infrastrutture, applicazioni e sicurezza.

8.2 I registri sono centralizzati, protetti da manomissioni e con accesso controllato.

8.3 I periodi di conservazione dei registri sono definiti in base alla criticità del sistema, ai requisiti normativi e alle esigenze operative.

9. Amministrazione del sistema, prevenzione del malware e gestione delle patch

9.1 I sistemi sono rafforzati secondo le migliori pratiche del settore.

9.2 I sistemi operativi e le applicazioni vengono aggiornati regolarmente.

9.3 Vengono implementati e mantenuti controlli di rilevamento e prevenzione del malware.

9.4 Le vulnerabilità ad alto rischio vengono prioritarie per la correzione in base alle tempistiche definite.

10. Formazione sulla sicurezza e controlli del personale

10.1 Tutto il personale riceve una formazione sulla sicurezza e sulla privacy al momento dell'assunzione e almeno una volta all'anno.

10.2 Il personale riconosce la responsabilità di segnalare sospetti incidenti di sicurezza.

10.3 Vengono condotte periodicamente attività di sensibilizzazione, tra cui simulazioni di phishing.

10.4 La verifica dei precedenti penali viene effettuata laddove legalmente consentito.

10.5 Le terze parti che hanno accesso ai Dati del Cliente sono contrattualmente tenute a rispettare gli standard di sicurezza di Jitterbit.

11. Sicurezza fisica

11.1 L'applicazione Jitterbit è ospitata da fornitori di servizi cloud che mantengono controlli di sicurezza fisica e certificazioni indipendenti.

11.2 Jitterbit esamina annualmente i report di garanzia di terze parti pertinenti.

12. Notifica di violazione della sicurezza

12.1 Una violazione della sicurezza include l'accesso non autorizzato o la divulgazione dei Dati del Cliente, oppure l'accesso non autorizzato ai sistemi che elaborano i Dati del Cliente.

12.2 Jitterbit informa i Clienti interessati senza indebito ritardo, in conformità con i requisiti contrattuali e normativi.

12.3 Le notifiche includono dettagli rilevanti riguardanti l'incidente e le azioni di risposta.

12.4 Jitterbit indaga, contiene e mitiga gli incidenti di sicurezza utilizzando procedure di risposta agli incidenti consolidate.

13. Ripristino di emergenza e continuità aziendale

13.1 Jitterbit mantiene piani documentati di disaster recovery e di continuità aziendale.

13.2 Le capacità di ripristino in caso di disastro vengono testate periodicamente.

13.3 I clienti sono responsabili della configurazione delle proprie strategie di backup e interregionali, ove applicabile.

14. Conformità e garanzia della sicurezza

Jitterbit mantiene valutazioni e certificazioni indipendenti, che possono includere:

  • Rapporti SOC 1 e SOC 2
  • Certificazione ISO 27001 (che copre anche gli allegati ISO 27017, ISO 27018)
  • Certificazione ISO 42001
  • Conformità HIPAA per gli obblighi dei soci commerciali
  • Programmi di conformità GDPR, CCPA, LGPD e NZISM
  • Test di penetrazione indipendenti e valutazioni della vulnerabilità

15. Distribuzione di agenti locali e cloud

15.1 Jitterbit Cloud è progettato con controlli di sicurezza rigorosi abilitati per impostazione predefinita.

15.2 Le opzioni di distribuzione dell'agente locale consentono ai clienti di elaborare dati sensibili all'interno dei propri ambienti.

16. Crittografia dei dati

16.1 I dati del cliente inattivi vengono crittografati utilizzando algoritmi di crittografia AES standard del settore.

16.2 I dati del cliente in transito sono protetti mediante protocolli di comunicazione sicuri come TLS.

17. Controlli di sicurezza dell'intelligenza artificiale

17.1 Jitterbit applica misure di sicurezza aggiuntive alle funzionalità e ai sistemi abilitati dall'intelligenza artificiale.

17.2 I modelli, le configurazioni e i set di dati di intelligenza artificiale sono soggetti a controllo di accesso e protetti da modifiche o estrazioni non autorizzate.

17.3 I dati relativi all'intelligenza artificiale vengono classificati e gestiti in conformità con gli standard di protezione dei dati di Jitterbit.

17.4 I sistemi di intelligenza artificiale vengono monitorati per verificarne la sicurezza, l'integrità e le anomalie operative.

17.5 Le pratiche di governance dell'IA sono in linea con gli standard emergenti, tra cui ISO 42001, e sottolineano la supervisione umana, la responsabilità e l'uso responsabile.

17.6 I sistemi di intelligenza artificiale non utilizzano dati dei clienti per addestrare i modelli LLM.

17.7 Agenti AI e flussi di lavoro autonomi
Gli agenti AI di Jitterbit e i flussi di lavoro autonomi operano entro limiti definiti per garantire un comportamento sicuro, verificabile e responsabile. I clienti rimangono i titolari del trattamento dei dati e mantengono la flessibilità di utilizzare i propri Large Language Model (LLM) o i provider di AI preferiti tramite il framework di connettività di Jitterbit. Gli agenti AI sono soggetti a rigorosi controlli di identità, autenticazione e autorizzazione, con autorizzazioni limitate al minimo delle azioni richieste. Tutte le attività degli agenti sono registrate, monitorate e verificabili. Agli agenti AI è vietato accedere, elaborare o esfiltrare i dati del cliente al di fuori dei casi d'uso esplicitamente autorizzati. Le azioni automatizzate eseguite dagli agenti AI sono progettate con supervisione umana, checkpoint di approvazione ove appropriato e meccanismi di sicurezza per prevenire risultati indesiderati o dannosi. Gli agenti AI vengono costantemente valutati per la sicurezza, l'integrità dei dati e la conformità agli standard di governance, protezione dei dati e gestione del rischio di AI di Jitterbit.

18. Modello di responsabilità condivisa

La sicurezza è una responsabilità condivisa tra Jitterbit e i suoi clienti. Mentre Jitterbit implementa solidi controlli di sicurezza della piattaforma, i clienti sono responsabili di:

  • Gestione dell'accesso e delle credenziali degli utenti
  • Configurazione delle funzionalità di sicurezza all'interno dei propri account
  • Gestire le proprie strategie di backup e ripristino dei dati

Hai domande? Siamo qui per aiutare.

Contattaci