Policy di sicurezza
Questa Policy di sicurezza descrive come Digital CoC affronta la protezione delle informazioni del costruttore sensibili dal punto di vista operativo nei process di preparazione eCoC, validazione, firma e consegna.
Questa pagina fornisce una dichiarazione pubblica di governance della sicurezza per Digital CoC. Non sostituisce appendici di sicurezza firmate, service level agreement, documentazione di sicurezza specifica del cliente o impegni contrattuali.
1. Introduzione
Digital CoC è progettato per supportare process eCoC operativi che possono includere informazioni veicolo, riferimenti di approvazione, file XML, file VECTO, preparazione alla firma, registrazioni di process e documenti caricati. Lo scopo di questa Policy di sicurezza è descrivere i principi di sicurezza e i limiti di responsabilità che guidano la piattaforma.
2. Principi di sicurezza
Digital CoC applica pratiche di sicurezza pensate per supportare riservatezza, integrità, disponibilità, accountability, minimo privilegio e visibilità operativa. La sicurezza viene considerata durante i process di preparazione, validazione, firma e consegna, non come elemento separato aggiunto successivamente.
3. Tipologie di informazioni protette
La piattaforma può proteggere informazioni necessarie alle operazioni eCoC lato costruttore. Le informazioni effettivamente gestite dipendono dalla configurazione del cliente, dall’ambito dei process e dalle integrazioni concordate.
- Informazioni veicolo e riferimenti di approvazione
- File XML, file VECTO e registrazioni relative a eCoC
- Informazioni di process, informazioni account e registrazioni delle attività utente
- Documenti caricati e registrazioni di preparazione operativa
- Informazioni relative alle integrazioni provenienti da sistemi ERP, connessioni API o fonti approvate dal cliente
4. Gestione degli accessi
La gestione degli accessi si basa su autorizzazioni controllate, sicurezza degli account, accesso basato sui ruoli e supervisione operativa. Gli amministratori del cliente e gli utenti autorizzati restano responsabili di concedere accessi appropriati, proteggere le credenziali e rimuovere gli accessi quando non sono più necessari.
5. Controlli di sicurezza
Digital CoC utilizza controlli di sicurezza di alto livello adeguati al contesto della piattaforma. Possono includere controlli di autenticazione, controlli di accesso, monitoraggio, salvaguardie operative e pratiche di sviluppo sicuro. Questa policy non divulga l’architettura infrastrutturale dettagliata né dettagli sensibili di implementazione.
6. Operatività della piattaforma
L’operatività della piattaforma è supportata da pratiche di revisione della sicurezza, logiche di monitoraggio, supervisione operativa e attenzione agli incidenti. Registrazioni operative e attività di process sono pensate per supportare accountability e verifica quando appropriato.
7. Dipendenze da terze parti
Digital CoC può fare affidamento su provider cloud, fornitori infrastrutturali, provider eIDAS, partner di integrazione, sistemi ERP, connessioni API o altri servizi di terze parti in base alla configurazione del cliente. Digital CoC è responsabile dei propri servizi e dei controlli concordati, non di sistemi, decisioni o interruzioni indipendenti di terzi.
8. Gestione degli incidenti
Potenziali incidenti di sicurezza sono gestiti tramite procedure di rilevazione, valutazione, risposta e comunicazione adeguate all’evento. Tempi, ambito e formato della comunicazione possono dipendere dalla natura dell’incidente, dai requisiti legali, dagli impegni contrattuali e dalla fattibilità tecnica. Questa policy non crea tempi di risposta garantiti salvo diverso accordo scritto separato.
9. Responsabilità del cliente
I clienti restano responsabili della sicurezza degli account, della protezione delle credenziali, delle autorizzazioni interne degli utenti, dell’esattezza dei dati e dell’uso lecito della piattaforma. Restano inoltre responsabili dell’accettazione delle approvazioni, dell’accettazione XML, dell’accettazione EUCARIS, dell’accettazione NAP e della conformità regolamentare.
10. Limitazioni
Digital CoC non garantisce disponibilità ininterrotta, sicurezza assoluta, prevenzione di tutti gli incidenti o prevenzione di tutti gli attacchi di terzi. Le misure di sicurezza si basano su sforzi commercialmente ragionevoli e sono soggette ai limiti di responsabilità, esclusioni e limitazioni definiti negli accordi applicabili.
11. Miglioramento continuo
Pratiche di sicurezza, salvaguardie della piattaforma e controlli operativi possono evolvere nel tempo con il cambiamento di process, tecnologia, requisiti del cliente e condizioni di rischio. Possono essere introdotte modifiche per migliorare protezione, affidabilità, manutenibilità o chiarezza operativa.
12. Informazioni di contatto
Le domande sulla sicurezza possono essere inviate a info@digitalcoc.eu. Comunicazioni contrattuali, questionari di sicurezza, richieste di audit o comunicazioni di sicurezza specifiche del cliente possono richiedere ulteriori canali formali definiti nell’accordo applicabile.
Domande sulla sicurezza della piattaforma?
Contattare Digital CoC per domande su governance della sicurezza, gestione degli accessi o protezione operativa dei dati relative alla propria organizzazione.
Digital CoC