Sicurezza, privacy e conformità di livello enterprise
Certificazioni, controlli documentati e documentazione di supporto per revisioni di sicurezza e processi di due diligence.
Ultimo aggiornamento: marzo 2026
Sintesi delle garanzie
27001
Certificazione ISO/IEC
GDPR
Conformità in materia di privacy
AWS
Infrastruttura certificata
2011
Anno di lancio della piattaforma
Panoramica
Panoramica del Trust Center
Il Trust Center di Peopleware copre conformità, sicurezza del prodotto e dell'infrastruttura, affidabilità, governance, privacy e accesso alla documentazione di supporto.
Conformità
Sicurezza
Affidabilità
Governance
Conformità
Garanzie principali di conformità
Le principali certificazioni, gli impegni normativi e le garanzie contrattuali sono disponibili per la revisione.
| Area | Stato |
|---|---|
| ISO/IEC 27001 | Certificato Certificazione ISO/IEC 27001:2022 per la fornitura, l'operatività, la manutenzione e la gestione della piattaforma Peopleware. La certificazione è sottoposta ogni anno ad audit da parte di un organismo di certificazione esterno accreditato. Visualizza certificato → |
| GDPR | Conforme Gli obblighi previsti dal GDPR dell'UE e del Regno Unito sono supportati da un Data Processing Agreement. È stato nominato un Data Protection Officer dedicato, contattabile all'indirizzo privacy@peopleware.com. Sono supportati i diritti degli interessati e la cancellazione su richiesta. Il DPA è disponibile in EN / DE / FR. Vengono effettuate revisioni annuali della conformità e gli audit indipendenti fanno parte del programma di conformità. privacy@peopleware.com |
| Infrastruttura AWS | Ambiente di hosting certificato Ospitato in data center AWS certificati ISO 27001, PCI DSS Service Provider Level 1 e SOC 2, con ridondanza integrata e controlli di sicurezza fisica. |
| Sub-responsabili del trattamento | Controllati e comunicati Un insieme controllato di responsabili terzi del trattamento supporta le operazioni della piattaforma. Tutti i fornitori sono soggetti a obblighi di sicurezza definiti, accordi di riservatezza e revisioni periodiche secondo la Supplier Security Policy. L'elenco completo dei sub-responsabili del trattamento è pubblicato. Visualizza sub-responsabili → |
| Misure tecniche e organizzative | Documentate Le misure tecniche e organizzative documentano le salvaguardie applicate da Peopleware per proteggere i dati dei clienti, derivate dal proprio sistema di gestione della sicurezza delle informazioni certificato ISO 27001:2022. Tutti i 93 controlli ISO 27001:2022 sono stati valutati e quelli applicabili sono stati implementati. Le TOM sono pubblicate nell'Allegato 2 del Data Processing Agreement. Visualizza TOM → |
| Assicurazione cyber | Disponibile su richiesta L'assicurazione di responsabilità civile include copertura per sinistri cyber. Il certificato viene fornito tramite il processo di richiesta della documentazione di sicurezza. |
Sicurezza
Controlli di sicurezza principali
Peopleware applica controlli documentati di sicurezza del prodotto, della piattaforma e delle operazioni per proteggere i dati dei clienti.
Gestione delle identità e degli accessi
L'accesso a tutti i sistemi e a tutte le informazioni è vietato salvo autorizzazione esplicita. Il controllo degli accessi basato sui ruoli applica profili utente definiti per governare l'accesso ai sistemi. L'SSO è il metodo di autenticazione preferito; la 2FA o le passkey sono obbligatorie quando l'SSO non è disponibile.
Crittografia
Tutti i dati dei clienti sono cifrati a riposo e in transito. AWS KMS gestisce tutte le chiavi di cifratura simmetriche per i servizi AWS che archiviano dati. I dati in transito sono protetti tramite TLS/SSL. I backup sono cifrati ove possibile.
Ciclo di vita dello sviluppo sicuro
Un Secure Product Development Lifecycle governa la sicurezza lungo l'intero processo di sviluppo software. Le modifiche in produzione richiedono un'approvazione in più fasi; nessuna singola persona può effettuare una modifica in produzione senza revisione. Vengono applicati test automatizzati di Static Application Security Testing (SAST), Software Composition Analysis (SCA) e Dynamic Application Security Testing (DAST). La revisione del codice tramite pull request è obbligatoria. Vengono effettuati penetration test annuali da parte di terzi.
Monitoraggio e risposta agli incidenti
I clienti vengono informati delle violazioni dei dati personali in conformità agli obblighi previsti dal GDPR.
Backup e resilienza
I backup vengono creati a intervalli definiti, archiviati in più sedi e cifrati ove possibile. Il ripristino viene testato annualmente per l'applicazione Peopleware. La Business Continuity Management policy definisce il quadro più ampio di preparazione alle emergenze, coprendo scenari quali indisponibilità del cloud provider, incidenti di cybersecurity ed errore umano.
Gestione delle vulnerabilità
Le banche dati CVE e gli avvisi di sicurezza vengono monitorati regolarmente per individuare vulnerabilità di nuova pubblicazione che interessano i sistemi compresi nell'ambito dell'ISMS. Viene effettuato almeno un audit interno di sistema all'anno. L'accesso agli account privilegiati viene riesaminato annualmente nell'ambito del programma di audit. Le vulnerabilità identificate vengono prioritizzate in base alla gravità e monitorate fino alla risoluzione tramite il processo di azione correttiva.
Classificazione delle informazioni
Tutti gli asset informativi sono classificati in uno dei quattro livelli: Pubblico, Interno, Riservato o Confidenziale. La classificazione determina le procedure consentite per trattamento, archiviazione, condivisione e smaltimento. La cancellazione sicura viene applicata prima dello smaltimento di apparecchiature o supporti contenenti dati Riservati o Confidenziali, e vengono mantenuti registri di smaltimento.
Sicurezza del personale
Tutti i contratti di lavoro includono clausole di riservatezza e protezione dei dati. La selezione dei candidati include verifica dell'identità personale, controlli su referenze e certificati e valutazioni delle qualifiche; i controlli sui precedenti vengono effettuati per le assunzioni nelle regioni applicabili. I nuovi dipendenti ricevono l'accesso ai sistemi basato sul ruolo prima del primo giorno di lavoro e devono firmare una Dichiarazione di accettazione dell'ISMS entro le prime due settimane lavorative.
Penetration testing
Penetration test annuali eseguiti da terzi esaminano i sistemi e le applicazioni Peopleware alla ricerca di vulnerabilità. I risultati sono disponibili su richiesta per prospect qualificati e clienti.
Affidabilit�à
Affidabilità del servizio e continuità
Gli impegni di disponibilità, la postura di backup, la pianificazione del ripristino e la visibilità dello stato del servizio supportano la resilienza operativa.
Disponibilità
Impegni supportati da SLA definiti nei GTC
Backup
Creati a intervalli definiti, cifrati e testati annualmente
RTO / RPO
Gli obiettivi di ripristino sono definiti nella Business Continuity Management policy
Pagina di stato
Visibilità pubblica del servizio su status.peopleware.com
Metriche operative
Architettura
Architettura di alto livello della piattaforma
Tutti i flussi di dati sono cifrati tramite TLS. Ogni tenant cliente è isolato logicamente.
Hosting
La piattaforma Peopleware opera su Amazon Web Services. I data center sono certificati ISO 27001, PCI DSS Service Provider Level 1 e SOC 2, con ridondanza integrata e controlli di sicurezza fisica.
Flusso dei dati e cifratura
Tutti i dati in transito sono cifrati tramite TLS/SSL con suite crittografiche robuste e HSTS. I dati a riposo, inclusi i backup, sono cifrati, con chiavi di cifratura archiviate in modo sicuro in AWS KMS.
Separazione dei clienti
Ogni ambiente cliente è isolato logicamente in un'architettura multi-tenant. A ogni tenant viene assegnato un identificativo univoco, garantendo che non sia possibile alcun accesso ai dati tra clienti.
Sub-responsabili del trattamento
Un insieme controllato di responsabili terzi del trattamento supporta le operazioni della piattaforma. Tutti i fornitori che detengono o trattano informazioni di Peopleware sono soggetti a obblighi di sicurezza definiti e vengono riesaminati regolarmente secondo la Supplier Security Policy. L'elenco completo è disponibile pubblicamente.
Governance
Governance e supervisione della sicurezza
La governance della sicurezza è documentata tramite l'ISMS, policy formali, revisioni ricorrenti e responsabilità definite.
ISMS e audit
L'Information Security Management System (ISMS) copre la fornitura, l'operatività, la manutenzione e la gestione della piattaforma Peopleware. L'ISMS è certificato ISO/IEC 27001:2022 e sottoposto ogni anno ad audit da parte di un organismo di certificazione esterno accreditato. Tutti i documenti dell'ISMS seguono un processo definito di revisione e approvazione. Viene effettuato almeno un audit interno di sistema all'anno, con revisione annuale dell'accesso agli account privilegiati.
Gestione dei rischi
I rischi sono identificati, valutati e trattati all'interno del quadro ISMS. Un processo di azione correttiva in nove fasi garantisce che le non conformità siano formalmente tracciate, assegnate e risolte. Le banche dati CVE vengono controllate regolarmente per individuare nuove vulnerabilità e le decisioni di trattamento del rischio sono documentate per tutti i controlli ISO 27001:2022 applicabili. I titolari dei rischi sono responsabili di garantire che i piani di trattamento vengano implementati e riesaminati.
Policy e controlli operativi
Peopleware mantiene un insieme formale di policy che copre tutti i principali domini dell'ISMS. Il quadro include policy per controllo degli accessi, crittografia, sviluppo sicuro, gestione degli incidenti, continuità operativa, sicurezza dei fornitori, classificazione delle informazioni, dispositivi mobili, uso accettabile e sicurezza fisica, tra gli altri.
Formazione e responsabilità
Tutti i dipendenti Peopleware sono tenuti a completare la formazione di security awareness almeno una volta all'anno. I nuovi assunti devono completare l'intero programma nell'ambito dell'onboarding aziendale. Il completamento viene monitorato centralmente, è richiesto il 100% di completamento in tutta l'organizzazione e i registri di formazione sono mantenuti come parte della documentazione ISMS.
Supervisione dei fornitori
Tutti i fornitori terzi che creano, mantengono, archiviano, accedono, trattano o trasmettono informazioni di Peopleware sono soggetti a requisiti di sicurezza definiti. I fornitori sono classificati per livello di rischio (Alto, Medio, Basso). Tutti i fornitori vengono riesaminati annualmente; i fornitori ad alto rischio vengono riesaminati ogni sei mesi. I requisiti di sicurezza sono integrati negli accordi con i fornitori.
Monitoraggio della conformità
Peopleware effettua revisioni annuali della conformità relative ai propri obblighi legali, normativi e contrattuali. Gli audit indipendenti, inclusi i penetration test di terze parti, fanno parte del programma di conformità. Le non conformità identificate tramite audit o revisioni sono gestite attraverso il processo di azione correttiva.
Miglioramento continuo
Il miglioramento continuo è un requisito formale dell'ISMS ai sensi della norma ISO/IEC 27001:2022. Gli input includono azioni correttive post-incidente, risultati degli audit, revisioni post-emergenza, revisioni annuali delle policy e risultati delle revisioni della direzione. I piani di emergenza vengono riesaminati almeno annualmente e aggiornati dopo ogni esercitazione o incidente.
Privacy e utilizzo dei dati
I vostri dati appartengono a voi
Titolarità dei dati
I dati dei clienti appartengono interamente al cliente. Peopleware li tratta esclusivamente per erogare i servizi della piattaforma secondo quanto definito nel Data Processing Agreement.
Nessuna IA o addestramento di modelli
I dati dei clienti non vengono mai utilizzati per addestrare modelli di machine learning o sistemi di IA. Il trattamento dei dati è strettamente limitato alle finalità contrattuali di erogazione del servizio.
Conservazione e cancellazione
Le procedure di conservazione e cancellazione seguono i requisiti del GDPR. La cancellazione sicura viene applicata prima dello smaltimento di apparecchiature o supporti. Le revisioni annuali della conformità coprono gli obblighi in materia di protezione dei dati.
Accesso alla documentazione
Documentazione di sicurezza e prove a supporto
La documentazione di supporto è disponibile tramite un processo di richiesta controllato. I materiali dettagliati per la due diligence vengono generalmente forniti entro un giorno lavorativo.
Per i clienti esistenti: contattate direttamente il vostro Customer Success Manager. Per segnalare un presunto incidente di sicurezza, aprite un ticket di supporto ad alta priorità tramite il normale processo di supporto.
Certificato ISO 27001
Documento di certificazione ISO/IEC 27001:2022 vigente
Visualizza certificato →Elenco dei sub-responsabili del trattamento
Elenco completo dei responsabili terzi del trattamento
Visualizza sub-responsabili →Condizioni generali
Impegni contrattuali e obiettivo di disponibilità
Visualizza GTC →Sintesi del penetration test
Risultati annuali dei penetration test di terze parti
Panoramica sulla continuità operativa
Sintesi della Business Continuity Management policy e dei piani di emergenza
Certificato di assicurazione cyber
Certificato di copertura vigente
Statement of Applicability
Elenco completo dei controlli ISO/IEC 27001:2022 con stato di implementazione
Information Security Policy
Policy ISMS di livello superiore che copre ambito, obiettivi e impegno della leadership
Incident Management Policy
Panoramica delle procedure di classificazione, escalation e notifica degli incidenti