Skip to content
Sicurezza

Sicurezza

Come Alpha Analytics s.r.o. protegge i dati affidati alla piattaforma Carsdata.com — i nostri controlli, l'hosting e le nostre prassi.

Ultimo aggiornamento9 giugno 2026

Il nostro approccio alla sicurezza

Carsdata opera come infrastruttura di dati per il mercato automobilistico europeo, e la riservatezza, l'integrità e la disponibilità dei dati a noi affidati sono fondamentali per tale ruolo. Adottiamo un approccio di difesa in profondità (defence-in-depth): la sicurezza è integrata nel modo in cui progettiamo, realizziamo e gestiamo la piattaforma, anziché essere aggiunta a posteriori. Questa pagina riassume le misure tecniche e organizzative che manteniamo. È fornita a fini di trasparenza e non costituisce parte di alcun contratto; gli impegni specifici sono stabiliti nel pertinente contratto di servizio e nell'Accordo sul trattamento dei dati.

Governance e conformità

Il nostro programma di sicurezza è concepito attorno ai controlli e ai Trust Services Criteria stabiliti in framework riconosciuti a livello internazionale — tra cui ISO/IEC 27001 e SOC 2 — e valutiamo e miglioriamo costantemente le nostre prassi rispetto ad essi. Trattiamo i dati personali in conformità con il GDPR, e il nostro trattamento per conto dei clienti è disciplinato dal nostro Accordo sul trattamento dei dati.

La sicurezza è di competenza del livello dirigenziale ed è supportata da politiche documentate che disciplinano l'uso accettabile, il controllo degli accessi, la classificazione dei dati, la gestione delle modifiche, la gestione dei fornitori e la risposta agli incidenti. Le politiche sono riesaminate periodicamente e dopo ogni modifica significativa del nostro ambiente.

Hosting dei dati e infrastruttura

La piattaforma è eseguita sull'infrastruttura di affermati fornitori di cloud che gestiscono data center certificati e fisicamente protetti. I dati personali sono ospitati principalmente all'interno dell'Unione europea / dello Spazio economico europeo. La nostra infrastruttura è segregata a livello logico, distribuita su zone di disponibilità resilienti e gestita tramite infrastructure-as-code, in modo che gli ambienti siano coerenti, verificabili e riproducibili.

Cifratura

I dati in transito sono cifrati mediante TLS sulle reti pubbliche. I dati a riposo sono cifrati mediante algoritmi robusti e conformi agli standard di settore. Le chiavi di cifratura sono gestite tramite i servizi di gestione delle chiavi dei nostri fornitori di cloud, con accesso limitato ai sistemi e al personale autorizzati.

Controllo degli accessi

L'accesso ai sistemi e ai dati segue i principi del privilegio minimo e della necessità di conoscere (need-to-know). L'accesso amministrativo richiede l'autenticazione a più fattori, è concesso su base di ruolo, è registrato ed è riesaminato periodicamente e revocato prontamente quando non è più necessario. Ove supportato, l'accesso dei clienti alla piattaforma può essere federato tramite single sign-on (SSO).

Sicurezza di rete e delle applicazioni

La nostra rete è protetta da firewall, gruppi di sicurezza e segmentazione che limitano il traffico a quanto necessario. Le applicazioni sono protette dalle vulnerabilità web più comuni mediante progettazione sicura, validazione degli input e configurazioni rafforzate, e gli endpoint pubblici sono protetti da misure contro gli attacchi volumetrici e a livello applicativo.

Ciclo di vita di sviluppo sicuro

Le modifiche alla piattaforma passano attraverso il controllo di versione, la revisione del codice tra pari (peer code review) e i test automatizzati prima del rilascio. Utilizziamo la scansione automatizzata delle dipendenze e delle vulnerabilità nelle nostre pipeline, separiamo gli ambienti di sviluppo, di staging e di produzione, e seguiamo un processo controllato di gestione delle modifiche, in modo che i rilasci siano tracciabili e reversibili.

Monitoraggio, registrazione e rilevamento

Raccogliamo centralmente i log delle applicazioni, dell'infrastruttura e degli accessi e monitoriamo eventuali attività anomale e problemi di disponibilità. Gli avvisi sono instradati al team responsabile, affinché i potenziali problemi possano essere prontamente esaminati e risolti.

Gestione delle vulnerabilità e test

Eseguiamo regolarmente la scansione dei nostri sistemi e delle nostre dipendenze alla ricerca di vulnerabilità note e vi poniamo rimedio in base a una priorità fondata sul rischio. Incarichiamo terzi qualificati di eseguire periodicamente test di penetrazione (penetration testing) e affrontiamo i risultati in base alla loro gravità.

Backup e continuità operativa

I dati sono sottoposti regolarmente a backup, con backup cifrati e archiviati separatamente dai sistemi primari. Manteniamo piani di continuità operativa e di ripristino in caso di disastro (disaster recovery) con obiettivi di ripristino definiti, e testiamo la nostra capacità di ripristinare il servizio, così da poterci riprendere da un'interruzione con un impatto minimo.

Sicurezza del personale

Il personale è vincolato da obblighi di riservatezza e riceve una formazione in materia di sicurezza e protezione dei dati adeguata al proprio ruolo, sia all'atto dell'inserimento (onboarding) sia su base continuativa. L'accesso ai dati di produzione è limitato a coloro che ne necessitano per il proprio lavoro ed è rimosso quando cambiano ruolo o lasciano l'organizzazione.

Sub-responsabili del trattamento e gestione dei fornitori

Ci avvaliamo di un numero limitato di sub-responsabili del trattamento accuratamente selezionati — principalmente fornitori di infrastruttura e di archiviazione in cloud — per erogare i Servizi. Valutiamo il livello di sicurezza dei nostri fornitori, li vincoliamo mediante adeguati obblighi contrattuali in materia di protezione dei dati e di sicurezza, e manteniamo un elenco aggiornato dei sub-responsabili del trattamento, come indicato nel nostro Accordo sul trattamento dei dati.

Risposta agli incidenti

Manteniamo un processo documentato di risposta agli incidenti che copre il rilevamento, la classificazione (triage), il contenimento, l'eradicazione, il ripristino e la revisione successiva all'incidente. In caso di violazione dei dati personali riguardante i dati dei clienti, notifichiamo i clienti interessati senza ingiustificato ritardo e li supportiamo nell'adempimento dei propri obblighi di notifica, in linea con il GDPR e con il nostro Accordo sul trattamento dei dati.

Protezione dei dati e privacy

La sicurezza e la privacy sono gestite congiuntamente. Applichiamo i principi di minimizzazione dei dati e di limitazione delle finalità, trattiamo i dati personali in conformità con il GDPR e discipliniamo il trattamento effettuato per conto dei clienti mediante il nostro Accordo sul trattamento dei dati. Per i dettagli su come trattiamo i dati personali, si veda la nostra Informativa sulla privacy.

Segnalazione di una vulnerabilità

Accogliamo con favore le segnalazioni da parte di ricercatori in materia di sicurezza e di utenti. Qualora ritenga di aver individuato una vulnerabilità di sicurezza in Carsdata.com, La preghiamo di contattarci all'indirizzo info@carsdata.com fornendo dettagli sufficienti a riprodurre il problema. Le chiediamo di concederci una ragionevole opportunità di indagare e porre rimedio prima di qualsiasi divulgazione pubblica, e di astenersi dall'accedere a dati che non sono Suoi o dal modificarli. Confermeremo la ricezione della Sua segnalazione e La terremo informato sui nostri progressi.

Dati della società
Alpha Analytics s.r.o.
Sede legale
Gustav Mahlerplein 2
1082 MA Amsterdam
Paesi Bassi
Numero identificativo della società (IČO)
228 01 154
Registro delle imprese
Krajský soud v Ústí nad Labem
N. di fascicolo C 32406

Domande su questo documento? Scrivici all'indirizzo info@carsdata.com.