QUESTA PAGINA È STATA TRADOTTA AUTOMATICAMENTE ED È FORNITA PER VOSTRA COMODITÀ; POTREBBE NON RISPECCHIARE FEDELMENTE IL SIGNIFICATO ORIGINALE IN LINGUA INGLESE. IL SIGNIFICATO DEI TERMINI, DELE CONDIZIONI E DELLE AFFERMAZIONI PRESENTI NEL DOCUMENTO SONO SOGGETTE ALLE LORO DEFINIZIONI E INTERPRETAZIONI IN LINGUA INGLESE. IN CASO DI DISCREPANZA O CONFLITTI TRA LA VERSIONE IN INGLESE DEL TESTO E LA TRADUZIONE, FARÀ FEDE LA VERSIONE IN INGLESE.

In vigore dal 16 giugno 2021

Il presente Addendum sulla Sicurezza delle Informazioni ("Addendum") delinea i requisiti di sicurezza che Cloudflare manterrà come parte del Servizio ("Requisiti di Sicurezza") ed è incorporato nell'Abbonamento Enterprise Condizioni del servizio ("Contratto") da e tra Cloudflare e il Cliente. I termini in maiuscolo utilizzati nel presente Addendum senza una definizione avranno il significato loro attribuito nel Contratto.

1. Generale

1.1 Cloudflare (i) implementerà e manterrà un programma di sicurezza delle informazioni completo e scritto; (ii) aggiornerà e rivedrà tale programma, come necessario, su base regolare o in caso di modifiche sostanziali nella fornitura del Servizio; e (iii) assicurerà che tale programma (x) sia conforme alle Leggi applicabili e agli standard di settore applicabili (tra cui ISO/IEC 27001:2013, PCI DSS, SOC 2 Type II), (y) includa adeguate salvaguardie amministrative, logiche, tecniche e fisiche conformi al presente Addendum, e (z) sia ragionevolmente progettato per raggiungere i seguenti obiettivi:

(A) garantire la sicurezza e la riservatezza, l'integrità e la disponibilità dei dati del cliente;

(B) proteggere da eventuali minacce o pericoli per la sicurezza e l'integrità dei dati del cliente; e

(C) per impedire l'accesso, l'acquisizione, la distruzione, la perdita, la cancellazione, la divulgazione, l'alterazione o l'utilizzo non autorizzati o accidentali dei dati del cliente.

1.2 Le disposizioni del presente Addendum prevarranno in caso di conflitto tra il Contratto (compresi eventuali altri allegati, reperti o prospetti) e il presente Addendum.

2. {Politiche; sensibilizzazione e formazione

2.1 Cloudflare rivedrà le politiche relative alla sicurezza delle informazioni almeno una volta all'anno, tra cui, a titolo esemplificativo e non esaustivo: gestione degli accessi e dell'autenticazione, gestione degli asset, gestione delle modifiche, crittografia, risposta agli incidenti di sicurezza e privacy, ciclo di vita dello sviluppo del software e politica di gestione del rischio di terze parti.

2.2 Cloudflare fornirà una formazione sulla sicurezza ai dipendenti Cloudflare al momento dell'assunzione e successivamente ogni anno. La formazione sarà regolarmente aggiornata per includere le informazioni applicabili sui temi della sicurezza, tra cui le responsabilità per la protezione dei dati e dei sistemi e le minacce e le tendenze emergenti.

3. {Gestione e identificazione degli accessi; autenticazione

3.1 Cloudflare consentirà l'accesso ai dati del cliente solo al personale Cloudflare e ai terzi autorizzati ai sensi del Contratto (collettivamente, "Utenti Autorizzati"). Il personale autorizzato di Cloudflare e le terze parti autorizzate utilizzeranno i dati del cliente esclusivamente come consentito dal Contratto e dal presente Addendum.

3.2 Cloudflare seguirà gli standard del settore per autenticare e autorizzare gli utenti.

3.3 Gli Utenti autorizzati non utilizzeranno credenziali di identificazione condivise o generiche per accedere ai dati del cliente.

3.4 Cloudflare richiederà agli Utenti autorizzati di utilizzare l'autenticazione a due fattori per accedere ai sistemi in cui risiedono i dati del cliente.

3.5 Cloudflare manterrà un archivio centralizzato di tutte le credenziali di identificazione utilizzate per accedere alla rete di Cloudflare dove risiedono i dati del cliente.

3.6 Cloudflare revocherà l'accesso agli Utenti Autorizzati che non hanno più bisogno di accedere ai dati del cliente.

3.7 Cloudflare rivedrà periodicamente e revocherà i diritti di accesso degli Utenti autorizzati, se necessario.

3.8 L'autenticazione alle risorse di rete, alle piattaforme, ai dispositivi, ai server, alle workstation, a app e ai dispositivi di Cloudflare non sarà consentita con password predefinite.

3.9 Cloudflare garantirà che le connessioni di rete esterne alla rete di Cloudflare siano sicure.

3.10 Cloudflare modificherà le password predefinite dei server prima di mettere in produzione il dispositivo o il sistema.

3.11 Le postazioni di lavoro inattive per un certo periodo di tempo vengono automaticamente bloccate.

4. {Gestione sicura dei dati

4.1 Cloudflare cripterà i dati del cliente a riposo, in transito e in uso tramite crittografia AES a 128 bit minimo e chiave di cifratura a 1024 bit.

4.2 Cloudflare applicherà e manterrà la crittografia completa del disco di qualsiasi dato del cliente a riposo su tutti i sistemi di Cloudflare che accedono, trasmettono o memorizzano dati del cliente.

4.3 Le chiavi di crittografia simmetrica e la chiave asimmetrica privata saranno criptate durante il transito e l'archiviazione, protette da accessi non autorizzati e messe in sicurezza. Le procedure di gestione e rotazione della chiave di crittografia saranno documentate. L'accesso alle chiavi di crittografia sarà limitato ai custodi delle chiavi. Cloudflare seguirà gli standard del settore per generare, archiviare e gestire le chiavi di crittografia utilizzate per crittografare i dati del cliente.

4.4 Cloudflare manterrà procedure di smaltimento dei dati sicure, tra cui, a titolo esemplificativo e non esaustivo, l'utilizzo di comandi di cancellazione sicuri, degaussing e "crypto shredding", come appropriato, e in conformità agli standard del settore.

4.5 I dati del cliente saranno logicamente separati da quelli degli altri clienti Cloudflare.

5. {Infrastruttura & Sicurezza della rete

5.1 Cloudflare installerà, configurerà e manterrà controlli di sicurezza perimetrali e di rete per prevenire accessi non autorizzati ai dati del cliente.

5.2 Cloudflare eseguirà un monitoraggio e un logging continui, e i relativi avvisi per gli eventi di sicurezza, inclusi gli accessi tentati e riusciti, le modifiche non autorizzate su endpoint, dispositivi di rete e sistemi server che contengono dati del cliente, e altri indicatori di compromissione. Tutti i registri saranno protetti da accessi o modifiche non autorizzati.

5.3 Cloudflare implementerà e manterrà standard di sicurezza e di hardening per i dispositivi di rete, basati sulle migliori pratiche del settore.

5.4 Cloudflare seguirà procedure documentate di gestione delle modifiche.

6. app Sicurezza

Cloudflare seguirà le pratiche di codifica sicura del ciclo di vita dello sviluppo del software, come quelle sviluppate dall'Open Web app Security Project (OWASP) Top 10 (disponibile all'indirizzo https://www.owasp.org/), per garantire che non venga fornito codice dannoso e che vengano seguite le migliori pratiche. Le pratiche di codifica includeranno (i) ambienti di sviluppo, test e produzione separati; (ii) revisioni periodiche del codice di sicurezza; (iii) scansione di tutto il software Cloudflare e/o app che memorizza, elabora o trasmette dati del cliente; e (iv) utilizzo di soli dati non di produzione, offuscati o de-identificati utilizzati in ambienti non di produzione (ad esempio, sviluppo o test).

7. Gestione del rischio; Assicurazioni di terze parti/Cloudflare

7.1 Cloudflare manterrà un programma di gestione del rischio di terze parti che include (i) il mantenimento di accordi di sicurezza delle informazioni per assicurare che le terze parti di Cloudflare con accesso ai dati del cliente siano vincolate a requisiti di sicurezza dei dati almeno altrettanto restrittivi di quelli stabiliti nel presente Addendum; e (ii) il monitoraggio e l'audit della conformità delle terze parti con accesso ai dati del cliente con i requisiti stabiliti nel presente Addendum.

7.2 La gestione del rischio includerà la correzione da parte di Cloudflare di qualsiasi risultato identificato commisurato al rischio e l'evidenza del completamento.

7.3 Cloudflare manterrà un programma di valutazione del rischio, che definisce ruoli e responsabilità per l'esecuzione della valutazione del rischio e la risposta ai risultati. Cloudflare eseguirà regolarmente valutazioni del rischio per verificare la progettazione dei controlli che proteggono le operazioni aziendali e le tecnologie informatiche.

8. {Vulnerabilità & Gestione delle patch

8.1 Cloudflare eseguirà scansioni di routine della rete e del livello appper individuare le vulnerabilità e le correggerà in base agli standard del settore (ad es. PCI DSS).

8.2 Almeno una volta all'anno, Cloudflare incaricherà una società di sicurezza indipendente per eseguire un test di penetrazione della rete e di Web app . Su richiesta, Cloudflare fornirà un riepilogo dei risultati dei test di penetrazione.

8.3 Cloudflare applicherà patch di sicurezza e aggiornamenti di sistema al software gestito da Cloudflare e a app, alle appliance e ai sistemi operativi in base agli standard del settore (ad es. PCI DSS).

9. Business Continuità e disaster recovery

Cloudflare manterrà un programma documentato e operativo di continuità aziendale e ripristino d'emergenza ("BC&DR"). Cloudflare eserciterà e aggiornerà il piano del programma BC&DR almeno annualmente.

10. {Notifica di violazione della sicurezza

10.1 Cloudflare manterrà e aggiornerà annualmente un piano di azione e risposta documentato per la violazione dei dati.

10.2 Se Cloudflare scopre o viene informata di una violazione della sicurezza, che si traduce in un accesso, acquisizione, divulgazione o utilizzo non autorizzato relativo a qualsiasi dato del cliente ("violazione dei dati"), Cloudflare provvederà prontamente a proprie spese a: (i) notificare al Cliente la violazione dei dati senza indebito ritardo; (ii) indagare sulla violazione dei dati; (iii) mitigare gli effetti della violazione dei dati; e (iv) eseguire valutazioni post-incidente e riferire i risultati di tali valutazioni al Cliente.

11. Reporting & Audit

11.1 Almeno una volta all'anno, Cloudflare si rivolgerà a un valutatore indipendente per: (i) condurre una valutazione della conformità e fornire un'attestazione, una revisione o un rapporto completo ai sensi di (A) Controllo dell'organizzazione di servizi (SOC 2 Tipo II) o (B) un'altra valutazione di conformità indipendente simile riconosciuta dal settore.

11.2 Su richiesta, Cloudflare fornirà una copia del rapporto SOC 2 Type II più recente di Cloudflare.

11.3 Cloudflare collaborerà con il Cliente in ogni ragionevole indagine su possibili usi fraudolenti o non autorizzati di o accesso ai dati del cliente da parte di dipendenti di Cloudflare o di terzi. Cloudflare si impegna a discutere con l'Utente i risultati applicabili e qualsiasi piano di correzione associato.

Se avete domande su questi termini o su qualsiasi altra cosa relativa a Cloudflare, non esitate a contattarci:

+1 (650) 319-8930

Cloudflare, Inc.
101 Townsend St,
San Francisco, CA 94107
USA