Misure Tecniche e Organizzative PhotoRobot (TOMs)
Questo documento definisce le Misure Tecniche e Organizzative (TOM) di PhotoRobot ai sensi dell'Articolo 32 GDPR: Versione 1.0 – PhotoRobot Edition, uni-Robot Ltd., Repubblica Ceca. Il documento è stato aggiornato l'ultima volta al 31 dicembre 2025 e supporta il rispetto degli obblighi contrattuali di PhotoRobot ai sensi della DPA e della SLA.
1. Introduzione - PhotoRobot TOMs
Questo documento descrive le Misure Tecniche e Organizzative (TOM) implementate da uni-Robot Ltd. (PhotoRobot) per garantire un adeguato livello di sicurezza per il trattamento dei dati personali in conformità con l'Articolo 32 del Regolamento Generale sulla Protezione dei Dati (GDPR).
Queste misure si applicano al funzionamento dei servizi PhotoRobot, inclusi ma non limitati a:
- PhotoRobot Controlla la Nuvola
- PhotoRobot Cloud 2.0
- PhotoRobot Controlla Localmente (quando connesso ai servizi cloud)
- API e servizi online correlati
- Infrastruttura di supporto e sistemi interni
Questo documento funge da descrizione autorevole dei TOM di PhotoRobot e può essere citato negli Accordi di Elaborazione dei Dati (DPA), audit e revisioni di sicurezza aziendale.
2. Ambito e applicabilità
I TOM descritti qui si applicano a:
- Dati personali trattati per conto dei clienti nell'ambito dei servizi PhotoRobot
- Dati operativi interni necessari per fornire, mantenere e proteggere i servizi
Le misure sono progettate tenendo con:
- Lo Stato dell'Arte
- Costi di implementazione
- la natura, l'ambito, il contesto e gli scopi del trattamento
- I rischi per i diritti e le libertà delle persone fisiche
3. Misure di sicurezza organizzative
3.1. Governance della Sicurezza delle Informazioni
PhotoRobot mantiene politiche e procedure interne che regolano la sicurezza delle informazioni, la protezione dei dati e l'uso accettabile dei sistemi.
Le responsabilità per la sicurezza e la protezione dei dati sono chiaramente definite all'interno dell'organizzazione, inclusi i contatti designati per questioni di privacy e legali.
3.2. Riservatezza e consapevolezza dei dipendenti
- Dipendenti e appaltatori sono vincolati da obblighi di riservatezza
- L'accesso ai sistemi è garantito su base di necessità di sapere
- La consapevolezza sulla sicurezza e la protezione dei dati sono promosse come parte dell'onboarding e delle operazioni continue
4. Controllo degli accessi e autorizzazione
4.1. Controllo degli Accessi Basato sui Ruoli (RBAC)
L'accesso ai sistemi e ai dati dei clienti è controllato utilizzando i principi di controllo degli accessi basati su ruoli (RBAC ).
- Agli utenti vengono concessi i privilegi minimi necessari per svolgere i loro compiti
- L'accesso amministrativo è limitato al personale autorizzato
4.2. Autenticazione
- Meccanismi di autenticazione forti sono utilizzati per sistemi interni ed esterni
- Le politiche di password e le credenziali di accesso sono gestite in modo sicuro
- Le credenziali di accesso non devono essere condivise
5. Infrastruttura e Sicurezza di Rete
5.1. Hosting e infrastruttura cloud
I servizi PhotoRobot sono ospitati su fornitori professionali di infrastrutture cloud (ad esempio, Google Cloud Platform), che implementano controlli di sicurezza fisica e ambientale standard del settore.
5.2. Protezione della rete
- Il traffico di rete è protetto tramite firewall e controlli di accesso
- I servizi rivolti al pubblico sono isolati dai sistemi interni
- I componenti infrastrutturali vengono monitorati per la disponibilità e gli eventi di sicurezza
6. Crittografia e protezione dei dati
6.1. Dati in transito
- I dati trasmessi tra client e servizi PhotoRobot sono criptati usando TLS/HTTPS
- I canali di comunicazione sicuri sono applicati per API e interfacce cloud
6.2. Dati a riposo
- I dati memorizzati all'interno dell'infrastruttura cloud sono protetti tramite meccanismi di crittografia forniti dal provider di hosting
- L'accesso ai dati memorizzati è limitato a sistemi autorizzati e personale
7. Registrazione, monitoraggio e rilevamento degli incidenti
7.1. Registrazione
- I log di sistema vengono generati per eventi operativi e rilevanti per la sicurezza
- I log sono utilizzati per la risoluzione dei problemi, il monitoraggio e l'analisi degli incidenti
7.2. Monitoraggio
- I servizi vengono monitorati per disponibilità, prestazioni e anomalie
- Gli avvisi vengono attivati in caso di comportamenti anomali o interruzioni del servizio
8. Risposta agli incidenti e gestione delle violazioni
PhotoRobot mantiene procedure per gestire incidenti di sicurezza, incluse le violazioni dei dati personali.
Queste procedure includono:
- Identificazione e valutazione degli incidenti
- Misure di mitigazione e contenimento
- Escalation interna
- comunicazione con i clienti dove necessario
- conformità agli obblighi di notifica delle violazioni GDPR (Articoli 33 e 34 GDPR)
9. Backup, Disponibilità e Continuità del Lavoro
9.1. Backup
- I backup dei dati vengono eseguiti come parte delle operazioni cloud standard
- I backup sono utilizzati per scopi di recupero in caso di disastro e continuità del servizio
9.2. Disponibilità
- Si fanno sforzi ragionevoli per mantenere un'alta disponibilità di servizi
- Le attività di manutenzione programmata possono causare interruzioni temporanee del servizio
I dettagli riguardanti gli obiettivi di disponibilità e i tempi di risposta sono descritti separatamente negli Accordi di Livello di Servizio (SLA) applicabili.
10. Sviluppo sicuro e gestione del cambiamento
10.1. Pratiche di sviluppo sicure
PhotoRobot segue processi strutturati di sviluppo e implementazione, tra cui:
- separazione degli ambienti di sviluppo, test e produzione dove opportuno
- Procedure di dispiegamento controllata
- Controllo versione e tracciamento delle modifiche
10.2. Aggiornamenti e patch
- I componenti software vengono aggiornati per affrontare le vulnerabilità di sicurezza
- Gli aggiornamenti critici sono dati prioritariamente in base alla valutazione del rischio
11. Subprocessori e Terze Parti
PhotoRobot può coinvolgere subprocessori per supportare l'erogazione dei servizi (ad esempio, hosting, servizi email).
- I sub-processori sono selezionati in base alle loro pratiche di sicurezza e protezione dei dati
- Un elenco aggiornato dei subprocessori viene mantenuto separatamente e reso disponibile al pubblico
12. Sicurezza fisica
L'accesso fisico a server e data center è gestito dal fornitore dell'infrastruttura cloud e include:
- Controlli di accesso
- Sorveglianza e monitoraggio
- Tutele ambientali
PhotoRobot non gestisce propri data center.
13. Minimizzazione e conservazione dei dati
- Vengono trattati solo i dati necessari per la fornitura del servizio
- I dati personali sono conservati solo finché è richiesto per scopi contrattuali, legali o operativi
- I periodi di cancellazione e conservazione dei dati sono definiti nelle politiche e negli accordi pertinenti
14. Recensione e aggiornamenti
Queste Misure Tecniche e Organizzative vengono revisionate periodicamente e aggiornate secondo necessità per riflettere:
- Cambiamenti tecnologici
- Cambiamenti nei servizi
- Requisiti di sicurezza e normative in evoluzione
Modifiche materiali possono essere comunicate ai clienti se opportuno.
15. Informazioni di contatto
Per domande riguardanti queste misure tecniche e organizzative:
uni-Robot Ltd.
Vodičkova 710/31
110 00 Praga 1
Repubblica Ceca
Email: legal@photorobot.com
Nota finale
Questi TOM descrivono le attuali misure tecniche e organizzative di PhotoRobot e sono pensati per fornire trasparenza e garanzia ai clienti. Non costituiscono una garanzia di servizio ininterrotto o di sicurezza assoluta, ma riflettono un approccio basato sul rischio e proporzionato alla protezione dei dati e della sicurezza delle informazioni.