I Dati Dei Nostri Venditori
La Privacy dei Nostri Merchant e soprattutto dei loro clienti è Fondamentale per la Nostra Azienda.
La reputazione di un'azienda di Servizio è soprattutto decisa dal Gradi di Sicurezza che offre alle
informazoni Sensibili dei Propri Venditori.
Il Nostro sistema di Integrazione Marketplace, raccoglie e gestisce in modalità semplificata i dati dei
Vostri acquirenti, in particolare raccogliamo:
nome, nome aziendale, indirizzo, email, numero(i) di telefono e dettagli di pagamento (non
raccogliamo dati di carte di credito e simili) direttamente dai marketplace collegati e richiesti al
proprio pannello di controllo.

Tutti i dati Acquisiti sono utilizzati esclusivamente dal Venditore per le attività di Gestione
Dell'ordinativo, Gestione Della Spedizione, Eventuali Comunicazioni con il Cliente (Tracking, rimborso,
attesa), Gestone Fiscale quali emissioni di Fatture, DDT e Corrispettivi.
Tutti i dati vengono acquisiti, gestiti, crittografati/rimossi, conservati in base alle Politiche e Policy
Privacy dei Rispettivi Marketplace, il tutto per assicurarci di rispettare gli obblighi di legge.
I Dati legati alle Vendite (Ordini e Clienti) dei nostri Venditori Non sono mai Condivisi con Aziende
Terze.

I Suddetti Dati Sensibili non sono mai profilati e/o incrociati e/o aggregati per estrapolare informazioni
superiori da utilizzare per fini diversi e contrari alla nostra politica di Riservatezza nei confronti dei
Nostri Venditori.

I Dati legati alle Vendite (Ordini e Clienti) hanno una vita media determinata dalle Singole Policy
Privacy dei Vari marketplace integrati nel nostro Sistema.
Tutti i Dati Sensibili sono Crittografati con Tecniche avanzate al fine di garantire, anche in caso di
Furto, Smarrimento, Disservizio di Qualsiasi Natura, la piena sicurezza degli Ordini e Clienti acquisiti
dai Venditori.

Infine, Precisiamo che in alcun Caso possiamo utilizzare queste informazioni per offrire pubblicità o
marketing ai Venditori e/o Clienti Finali.Dati dei clienti

Quali informazioni raccogliamo sui clienti dei nostri merchant?
Raccogliamo i seguenti dati relativi ai clienti dei nostri Merchant, limitatamente alla
necessità di gestione ordinativi: nome, email, indirizzo di spedizione e di fatturazione, dati di
pagamento, nome aziendale, numero di telefono, informazioni sugli ordini inizializzati.
Usiamo queste informazioni per fornire ai nostri merchant i Servizi, che includono assistenza ed
elaborazione degli ordini, controllo dei rischi e antifrode, autenticazione e pagamenti.
La Nostra Azienda Non utilizza in Nessun caso i Dati Dei propri Venditori per scopi diversi da
quelli del servire servizi di automatizione e gestione degli Ordinativi, Spedizioni, Fatturazione e
Stampe.

Come Vengono Raccolte queste Informazioni?
Raccogliamo queste informazioni ogni volta che il tuo Pannello di Controllo scarica un'ordinativo da un
Marketplace, o in Alternativa, viene effettuato un ordine su tuo Sito Web
Dati acquisiti con cookie e tracking:
Il Nostro Pannello di Controllo non utilizza Cookie o Tecnologie di Tracking in quanto la Gestione e
Finalità del nostro sistema Non ne richiede l'utilizzo.

App Di Terze Parti:
La Nostra Azienda Sviluppa internamente tutte le parti di cui è composta la nostra Piattaforma di
Integrazione Marketplace.

Non utilizziamo Moduli di Terze Parti, ma ne sviluppiamo nostre versioni interne, permettendo un
ideale integrazione e controllo della sicurezza necessario nella gestione dei Dati Sensibili.
I Vari moduli di PAgamento offerti sono tutti creati dalla Nostra Azienda, raccolgono dati
esclusivamente per finalità di Creazione e Gestione degli Ordinativi, comprensivi dei Vari stati di
emissione documentazioni (Vedi Fatture e DDT).

Tempo di Conservazione dei Dati Personali dei nostri Venditori:
Conserviamo i Dati dei Tuoi Acquirenti in genere per tutta la durata del Tuo Rapporto con Noi, li dove
non è in Contrasto con le Singole Policy Privacy e/o DPP dei Singoli Marketplace integrati.
Nella Fattispecie, specifichiamo che la durata dei Dati Personali (PII) acquisiti per la gestione degli
Ordini Amazon non è Mai superiore ai 30 Giorni in Movimento e gia Crittografati in fase di
acquisizione.
Dopo tale Periodo, cosi come indicato dal DPP Amazon e Policy Privacy Amazon, già Crittografati in
fase di Acquisizione, vengono Salvati a Freddo su Sistemi Non raggiungibili in modo interattivo via rete
o internet.
(Vedi Politiche e Dinamiche Ammesse per la Gestione dei dati Sensibili Amazon (PII))

La Totale Eliminazione dei Dati avviene il Giorno Stesso della comunicazione nei vari canali disposti
dalla Nostra Azienda nell'esprimere la volontà di recedere ogni ulteriore Collaborazione.
Per Tutti i Dati Sensibili legati ai propri Ordinativi, Prodotti, Scehde Clienti, li dove non in contrasto con
le Policy dei Vari Marketplace Integrati nel nostro sistema, il Venditore può richiedere copia per
Eventuale Trasferimento presso altra struttura.

Cosa Facciamo con i Tuoi Dati dei Tuoi Ordini e schede Clienti:
Noi non condividiamo né mai condivideremo, divulgheremo, venderemo, cederemo o altrimenti
forniremo dati personali ad altre aziende.
Non usiamo i dati personali raccolti da te o dai tuoi clienti per contattare direttamente anche a fini
commerciali i tuoi clienti.Come Manteniamo al Sicuro i Tuoi Dati Aziendali:
Osserviamo gli standard di settore sulla gestione della sicurezza dei dati per salvaguardare i dati
sensibili, come le informazioni finanziarie, la proprietà intellettuale.
Tutte le informazioni personali archiviate vengono crittografate utilizzando AES-256 con crittografia a
2048 bit.

Le Informazoni Sensibili legate agli ordini vengono archiviate Per scopi Fiscali, crittografate, su unità
offline e Non raggiungibili in modo interattivo via rete o internet

I Backup avvengono su Server Privati, non Pubblici, Non utilizziamo Cloud, sono protetti da Firewall
con blocco IP non Autorizzati.

Ci Serviamo di servizi di Sicurezza quali DDOS automatici, rilevazione di Malware e Rootkit, abbiamo
personale altamente competente nella rilevazione di Minaccie esterne con Alert immediati per offrire il
minor tempo di inattività possibile e risoluzione della Minaccia eventualmente subita.
Eseguiamo controlli Giornalieri sulla Sicurezza dei Nostri Pannelli di Controllo, sui loro Dati e sull'intero
nostro ecosistema, pur precisando che nessun sistema è sicuro al 100%, possiamo comunque
garantire ai nostri Venditori la Massima Reattività e Resilienza anche nel peggiore dei casi possibili.

Criteri di gestione delle vulnerabilità:
La gestione delle vulnerabilità ha lo scopo di stabilire le regole per la revisione, la valutazione,
l'applicazione e la verifica degli aggiornamenti di sistema per mitigare le vulnerabilità nell'ambiente IT
ed i rischi ad esse associati.
La Politica di gestione delle vulnerabilità di Synchrosystem Labs si applica au Dipendenti, appaltatori,
fornitori e agenti della Nostra Azienda..

Protezione endpoint (antivirus e malware)
Tutte le risorse informatiche possedute e/o gestite da Synchrosystem Labs devono utilizzare il
software e la configurazione di protezione degli endpoint approvati dalla gestione IS di Synchrosystem
Labs (Vedi dopo: Devono essere seguite le seguenti procedure).
Le workstation ed i laptop di Synchrosystem Labs devono utilizzare il software e la configurazione di
protezione degli endpoint approvati dalla gestione IS, prima di qualsiasi connessione a una Risorsa
informatica di Synchrosystem Labs (Vedi dopo: Ciò include processi e procedure che
supportano).

Il software di protezione degli endpoint non deve essere alterato, aggirato o disabilitato. (Vedi dopo:
Devono essere seguite le seguenti procedure).
Ogni gateway di posta elettronica deve utilizzare un software di protezione antivirus approvato dalla
gestione IS e deve rispettare le regole di Synchrosystem Labs per la configurazione e l'uso di questo
software, che include, ma non è limitato a, la scansione di tutti e messaggi di posta elettronica in
uscita.

Devono essere implementati controlli per prevenire o rilevare l'uso di siti Web dannosi noti o sospetti.
Tutti i file ricevuti sulle reti o da qualsiasi dispositivo di archiviazione esterno devono essere
scansionati alla ricerca di malware prima dell'uso.
Ogni virus che non viene automaticamente ripulito dal software di protezione antivirus costituisce un
incidente di sicurezza e deve essere segnalato al supporto IS di Synchrosystem Labs.Gestione delle patch
Il team IS di di Synchrosystem Labs mantiene la responsabilità generale per l'implementazione, le
operazioni e le procedure della gestione delle patch. Tutte le risorse informatiche devono essere
scansionate regolarmente per identificare gli aggiornamenti mancanti. (Vedi dopo: Devono essere
seguite le seguenti procedure: )

Tutti gli aggiornamenti software mancanti devono essere valutati in base al rischio che rappresentano
per la SynchroSystem Labs.

Gli aggiornamenti software mancanti che rappresentano un rischio inaccettabile per le risorse
informatiche di SynchroSystem Labs devono essere implementati entro un periodo di tempo
commisurato al rischio come determinato dalla patch e dalla tipologia di vulnerabilità. (Vedi dopo:
Devono essere seguite le seguenti procedure: )
Gli aggiornamenti del software e le modifiche alla configurazione applicate alle Risorse informatiche
devono essere testati prima dell'implementazione diffusa e devono essere implementati in conformità
con la Politica di controllo delle modifiche di SynchroSystem Labs (Vedi: Criteri relativi al ciclo di
vita dello sviluppo software).
La verifica della corretta distribuzione degli aggiornamenti software sarà condotta entro un periodo di
tempo ragionevole, come definito nel documento: Criteri relativi al ciclo di vita dello sviluppo software.
I Responsabili IS ed i Responsabili IT designati procederanno in test di penetrazione della rete interna,
della rete esterna e delle applicazioni ospitate, tali test devono essere eseguiti almeno una volta
l'anno (Consigliato il periodo pre-vacanze estive) ed in generale ogni volta che vi siano significativi
cambiamenti e/o modifiche all'ambiente.

Eventuali vulnerabilità sfruttabili rilevate durante un test di penetrazione verranno corrette e
nuovamente testate per verificare che la vulnerabilità sia stata corretta.
Le scansioni di vulnerabilità della rete interna ed esterna devono essere condotte almeno
trimestralmente o dopo qualsiasi modifica significativa alla rete.
I risultati della scansione delle vulnerabilità non riusciti classificati come Critico o Alto verranno
corretti e riesaminati fino a quando tutti i rischi Critico e Alto non saranno risolti.
Nella fattispecie di vulnerabilità Critiche o Alte si richiede un isolamento del dispositivo / software /
applicativo che abbia lamentato tale vulnerabilità al fine di evitare rischi ulteriori.
Qualsiasi prova di una risorsa informatica compromessa o sfruttata rilevata durante la scansione delle
vulnerabilità deve essere segnalata al responsabile IS di SynchroSystem Labs (Vedi dopo:Devono
essere seguite le seguenti procedure)
Dopo l'identificazione di nuovi problemi di vulnerabilità, gli standard di configurazione verranno
aggiornati di conseguenza.

Gestione Della Sicurezza n Caso di Intrusioni / Danneggiamento / Furto:
Come già indicato tutti i Dati hanno vari processi di Crittografazione e Servizi di Sicurezza per la
protezione dei dati dei nostri Venditori.

Attività Generali di Gestione e Rilevazione Minacce:
Tutte le risorse basate su server e workstation utilizzate per attività le Attività della SynchroSystem
Labs, siano esse connesse alla rete interna o come unità autonome (Vedi apparecchiature di nostra
proprietà date in comodato d’uso a personale autorizzato), devono utilizzare i/il software di protezione
antivirus / antimalware approvato dalla SynchroSystem Labs e la configurazione fornita dai ReferentiIS di SynchroSystem Labs.

Devono essere seguite le seguenti procedure:
Il software di protezione antivirus non deve essere disabilitato o aggirato.
Le impostazioni per il software di protezione antivirus non devono essere modificate in modo da
ridurre l'efficacia del software.
La frequenza di aggiornamento automatico non può essere modificata per ridurre la frequenza degli
aggiornamenti.
Tutti i server collegati alla rete interna della SynchroSystem Labs devono utilizzare un software di
protezione antivirus standard / approvato dai Referenti IS di SynchroSystem Labs e devono essere
configurati per rilevare e rimuovere i virus.
Tutti i gateway, i dispositivi e i server di posta elettronica devono utilizzare un software di protezione
da virus / malware / spam di posta elettronica approvato da [ SynchroSystem Labs e devono rispettare
le regole imposte per la configurazione e l'uso di questo software
Qualsiasi minaccia che non viene automaticamente pulita, messa in quarantena e successivamente
eliminata dal software di protezione da malware costituisce un incidente di sicurezza e deve essere
segnalata ai nostri Referenti IS .
Gli aggiornamenti delle firme antivirus / antimalware devono avvenire con una frequenza definita dai
Sistemisti IT ma devono avvenire almeno una volta ogni giorno dell'anno, nessuno escluso.
Tutte le applicazioni e il software autorizzati dalla SynchroSystem Labs devono essere installati ai
nostri Referenti IS. Il software antivirus e antimalware gestito dalla SynchroSystem Labs deve
garantire:
- Le applicazioni e il software autorizzati operano secondo una politica di sicurezza chiaramente
definita
- Viene impedita l'esecuzione di tutte le applicazioni e software non autorizzati.
- Le azioni di manutenzione (aggiornamenti software, aggiornamenti delle definizioni, infezioni, ecc.)
Devono essere registrate e conservate per consentire indagini adeguate sugli incidenti relativi al
malware.
- La SynchroSystem Labs deve garantire la corretta licenza, tracciabilità e documentazione correlata.
Ciò include processi e procedure che supportano:
- Installazione del software antivirus su tutti i sistemi.
- Scansione regolare delle minacce in grado di rilevare, rimuovere e proteggere tutti i tipi noti di
software dannoso.
Revisione e rivalutazione annuali di sistemi e dispositivi a basso rischio non considerati interessati da
software dannoso in base alle migliori pratiche correnti.
- Monitoraggio proattivo e meccanismi di aggiornamento che supportano questa politica
- Verifica dell'esistenza di meccanismi per impedire agli utenti di disabilitare o modificare gli strumenti
di rilevamento antivirus
Inoltre nel caso di Azioni di Disturbo, Intrusione, Danneggiamento o Furto dei dati Sensibili daremo
seguito ad una serie di procedure di seguito Descritte:

Tipologia di Minacce Rilevate:
Strutturiamo le minacce prevalentemente in 5 Categorie:
Minaccia 1: Corruzione del Database
Minaccia 2: Corruzione Del Server con impossibilità di recupero del sistema
Minaccia 3: Ransom Del Database, con conseguente DROP
Minaccia 4: Ransom Del Database, con Riscrittura o Delete dei campi con Tecniche Miste, quindi senza
cancellazione delle tabelle
Minaccia 5: Presenza di Operatore Non consentito con Accessi Consentiti in rete interna o su Server Remoto

Definiamo adeguatamente Funzionante il nostro ecosistema se è in grado di rispondere ad ognuna
delle precedenti minaccie.

Azioni impiegate per la verifica e blocco delle minacce indicate:
Ognuna delle precedenti minacce sarà inibita con tutte o alcune delle tecniche di seguito illustrate:
- bloccare ogni accesso al server e/o rete interna e/o apparecchiatura coinvolta
Procederemo ad immediato blocco dall’esterno a qualsiasi IP e/o Utenza Abilitata.
Saranno consentiti solo gli IP autorizzati ed gli IP di backup utilizzati in caso di massimo
attacco a rete interna.

- Verifica Dei Logs di Accesso, Verifica dei Setting (Router e Server), Verifica di Datazione File
altro

Procederemo a verificare le possibili cause alla base dell’accesso indesiderato. Saranno
consultati ogni Log di Accesso, Log applicativi, nel caso di sospetto attacco dei Router, procederemo a
verifica e setting di DNS, confronto con file di configurazione approvati dalla SynchroSystem Labs,
Verifica degli Accessi Consentiti con presenza nelle loro aree di pertinenza.
Verifichiamo con periodicità settimanale che tutti i file e/o cartelle generate siano
corrispondenti ai contenuti consentiti da noi.
- Verifica di rootkit sui Server e Postazioni di Lavoro
Daremo seguito alla Verifica di Rootkit, Virus e Malware con scansioni periodiche a ritmi
giornalieri.
- Procedimento di ripristino ed informazioni agli organi competenti ed alle aziende coinvolte.
Una volta che avremo debellato l’eventuale attacco, con le varie azioni di dissuasone, verifica,
pulizia, procederemo al ripristino dei dati al fine di dare seguito alle attività lavorative dei nostri
Venditori.
Procederemo alla comunicazione tempestiva sia agli organi competenti che alle aziende che
sono state coinvolte nella perdita o furto dei dati in oggetto.
Solo dove diversamente indicato dalle Policy Dei Singoli Marketplace collegati dai Vari Venditori,
procederemo ad una comunicazione diversa li dove richiesta.
In generale attueremo il principio della massima celerità nel comunicare agli attori in causa la
problematica riscontrata, le ragioni, la tipologia d attacco, le attività di difesa, le attività di verifica, le
attività di ripristino.Applicativi Consentiti per la Gestione Della nostra Sicurezza e la sicurezza dei Dati
Sensibili dei nostri Venditori:
ClamAV antivirus per il rilevamento di trojan, virus, malware e altre minacce dannose.
DenyHosts utilizzato per Verifiche e difesa da attacchi brute force.
RootkitHunter per identificare rootkit e worm
Iptables per la gestione dei Firewall (Rete interna + Pc Aziendali, Server Web e Router)

Inoltre sono periodiche le fasi di ricerca di vulnerabilità all’interno del Nostro Software di Gestione
Marketplace e Web, talvolta con la simulazione di attacchi mirati o generici che permettano una
corretta rilevazione di eventuali vulnerabilità.
Le suddette verifiche avvengono in ambienti controllati (Sandbox) è con dati Sensibili Simulati e non
realmente esistenti. In nessun caso sono coinvolti dati reali di Venditori Finali.

Conclusioni:
Questo documento fornisce ai Dipendenti e/o Collaboratori di SynchroSystem Labs le informazioni
necessarie per pianificare, preparare, risolvere, ripristinare in modo efficace ed efficiente qualsiasi
attacco interno o esterno alla Nostra Azienda al fine di proteggere le informazioni legalmente /
contrattualmente limitate (dati sensibili)ed in Genere a tutti i dati in possesso alla nostra Azienda utili
alla gestione, programmazione, organizzazione.
I membri del personale trovati in violazione delle norme possono essere soggetti ad azione disciplinare,
fino al licenziamento incluso.