Sicurezza

Lavora in tutta sicurezza. Scopri di più sul nostro impegno per garantire la sicurezza dei tuoi dati inattivi e in transito per i tuoi deployment cloud, ibridi e on-premise.

Privacy

Mantieni il controllo. Visualizza le nostre policy per decidere le modalità di accesso e utilizzo dei tuoi dati.

Compliance

Ottieni compliance completa in ogni regione. Visualizza il nostro elenco completo di normative e standard di compliance.

Resilienza

Resta informato sullo stato delle nostre soluzioni. Accedi a una panoramica chiara della disponibilità globale di servizi e prodotti.

Perché VMware Cloud Security?

Cloud, ambienti ibridi oppure on-premise: la tua sicurezza è la nostra priorità.
Vasta esperienza nella sicurezza

Dalla pubblica amministrazione e gli enti di difesa ai data center più grandi del mondo, VMware vanta una lunga tradizione come partner di fiducia negli ambienti più sensibili. Ora la stessa reputazione si è estesa anche alle offerte cloud.

 

Compliance integrata

VMware integra la sicurezza in ogni singola soluzione cloud. Ciò significa che le nostre offerte sono in linea con le principali certificazioni di compliance per garantire standard che soddisfano le best practice del settore.

 

Accelerazione senza compromessi

Affronta qualsiasi iniziativa con agilità e sicurezza, che si tratti di migrare al cloud, creare app moderne, scalare il data center o automatizzare le operation multi-cloud.

 

Funzionalità di VMware Cloud Security

Sicurezza del software

Grazie a un processo Security Development Lifecycle leader del settore e a partnership per la sicurezza di classe mondiale, VMware garantisce che i controlli di sicurezza e delle operation del cloud siano in linea con le best practice e i benchmark del settore.

Sicurezza dei dati

VMware osserva standard rigorosi in materia di protezione dei dati, al fine di garantire il trattamento adeguato a ogni livello di classificazione, dall'elaborazione e conservazione alla trasmissione e distruzione. I dati presenti nel cloud sono una responsabilità condivisa e noi definiamo i controlli per garantire che la proprietà e l'amministrazione dei dati aziendali del cliente rimangano di competenza del cliente.



Sicurezza della rete

Le soluzioni VMware Cloud si basano sui criteri di sicurezza della rete forniti dai nostri partner IaaS. Gli ambienti di rete sono separati logicamente e protetti da firewall per salvaguardare i requisiti di sicurezza aziendali e garantire protezione e isolamento adeguati.

Gestione delle identità e degli accessi

Basate sul principio del privilegio minimo, le soluzioni cloud VMware utilizzano controlli di gestione degli accessi e delle identità per riconoscere il livello di accesso appropriato a tutto il personale, affinché dati e sistemi siano sempre al sicuro.

 

Gestione di patch e vulnerabilità

Il programma VMware completo per la gestione delle vulnerabilità include test di penetrazione e scansione delle vulnerabilità di terze parti nei layer di rete, applicazioni e sistemi operativi locali, permettendoti di anticipare ed evitare eventuali nuove falle nella sicurezza.

Gestione delle operation

Le soluzioni VMware Cloud raccolgono e monitorano su base continua i registri dell'ambiente correlati a feed di minacce pubblici e privati per individuare attività sospette e insolite. Il tutto è supportato dal contatto costante con enti del settore, organizzazioni che si occupano di rischio e compliance, enti locali ed enti normativi al fine di garantire un blocco rapido delle nuove minacce.

Risorse correlate

Blog sulla sicurezza VMware

Per garantire la sicurezza della tua azienda, scegli le tendenze, i suggerimenti e le tecnologie più recenti di esperti e responsabili della sicurezza VMware.

Introduzione alla sicurezza di VMware Cloud Services

Scopri i dettagli dell'approccio alla cloud security adottato da VMware nel nostro white paper sui controlli di sicurezza implementati in VMware Cloud Services.

In che modo proteggiamo i dati che elaboriamo come azienda

Trasparenza sulle modalità di raccolta, utilizzo, divulgazione, trasferimento e archiviazione delle informazioni personali.

Informativa su prodotti e servizi

Riguarda le informazioni personali che VMware raccoglie e utilizza in correlazione all'utilizzo dei prodotti e servizi VMware da parte dell'utente, tra cui:

 

  • Cookie e tecnologie di tracciamento analoghe che possiamo utilizzare quando forniamo prodotti o servizi.
  • I dati che raccogliamo per migliorare i nostri prodotti e servizi, nonché l'esperienza del cliente.

I dettagli relativi ai programmi di analisi e Customer Experience Improvement Program di VMware relativi ai prodotti e servizi VMware sono disponibili qui.

Informativa sulla privacy

Riguarda le informazioni personali che raccogliamo quando l'utente:

 

  • Visita, interagisce con/utilizza i nostri siti web, le pagine di social media, le mobile app (laddove collegati a questa Informativa sulla privacy), le pubblicità online, le comunicazioni di marketing.
  • Visita, interagisce con/utilizza gli eventi, le vendite, il marketing e altre attività offline.
  • Acquista prodotti e servizi VMware e fornisce informazioni personali relative all'account.

Informativa sui cookie

Riguarda il modo in cui VMware utilizza cookie e tecnologie di tracciamento analoghe quando l'utente utilizza e interagisce con i nostri siti web e le nostre proprietà online.

Altre informative

Le informative VMware indicate possono essere corredate di ulteriori informative sulla privacy per specifici siti web, eventi, mobile app, tra cui informazioni "just-in-time" supplementari e informative sulla privacy specifiche all'interno di singoli prodotti. Queste informative possono completare o chiarire le pratiche in materia di privacy di VMware o fornire ulteriori opzioni sulla modalità di elaborazione dei dati da parte di VMware.

Come proteggiamo i dati in qualità di service provider

In che modo ti aiutiamo a garantire la compliance con i requisiti in materia di privacy e protezione dei dati.

Elaborazione dei Contenuti del cliente

VMware elabora, archivia e ospita i contenuti caricati da te o dai tuoi utenti finali nei servizi VMware come "Contenuti del cliente" (secondo la definizione presente nei termini del servizio VMware o altri accordi pertinenti). VMware elabora i dati personali presenti nei Contenuti del cliente in qualità di "service provider" o "responsabile del trattamento", secondo le istruzioni da te ricevute. Visualizza le nostre Domande frequenti per ulteriori informazioni.

Addendum sul trattamento dei dati

Gli obblighi e gli impegni di VMware in qualità di responsabile del trattamento sono riportati nell'Addendum sul trattamento dei dati (DPA) di VMware. VMware elabora i dati personali presenti nei Contenuti del cliente in conformità a suddetto DPA e agli accordi applicabili. Gli accordi standard per ciascun prodotto e servizio sono disponibili nella pagina Termini e condizioni per l'utente finale.

Norme aziendali vincolanti

VMware applica le Norme aziendali vincolanti (BCR, Binding Corporate Rules) in qualità di responsabile del trattamento, riconoscendo il rispetto degli standard stabiliti dal Regolamento UE sulla Protezione dei Dati Personali in materia di trasferimento internazionale dei dati personali presenti nei Contenuti del cliente.

Subincaricati del trattamento

VMware può affidare ad aziende terze il compito di fornire determinati servizi per suo conto. I service provider di terze parti responsabili del trattamento dei dati personali presenti nei Contenuti del cliente (subincaricati) sono tenuti a stipulare accordi scritti e a istituire meccanismi di trasferimento dei dati per la protezione dei dati personali secondo quanto stabilito nell'Addendum sul trattamento dei dati.

 

VMware Cloud Security

VMware offre programmi, policy e pratiche per garantire l'adeguata protezione dei dati personali presenti nei Contenuti del cliente (tra cui formazione periodica e accordi di riservatezza per i dipendenti responsabili della gestione dei dati) e per consentire di identificare, prevenire e risolvere vulnerabilità della sicurezza nei nostri prodotti e servizi. Questi programmi sono sottoposti a revisioni e aggiornamenti continui.

 

 

Gestione unificata degli endpoint

VMware offre soluzioni che consentono di proteggere, mediante controlli di gestione, i sistemi e le informazioni della tua organizzazione, resi disponibili e accessibili su dispositivi personali o aziendali. Visualizza le informazioni sul programma di privacy e sicurezza di Workspace ONE e sulla divulgazione dei dati raccolti e utilizzati dal servizio.

 

Risorse correlate

Privacy di CloudHealth by VMware

Scopri come VMware elabora e protegge i dati personali sulla piattaforma affidabile per ottimizzare gli ambienti multi-cloud.

Privacy di VMware Carbon Black Cloud

Scopri i tipi di dati personali raccolti da questa soluzione di sicurezza nativa per il cloud e come VMware li elabora e li protegge.

Privacy di VMware SD-WAN by VeloCloud

Scopri i tipi di dati personali raccolti da questa soluzione di overlay di rete e il ruolo di VMware nella protezione.

 

Privacy di VMware Workspace ONE

Scopri i tipi di dati personali raccolti da questa piattaforma di Digital Workspace e come VMware li elabora e li protegge.

Privacy di VMware Cloud on AWS

Scopri chi è responsabile dei dati personali negli SDDC VMware Cloud on AWS e come VMware protegge i dati nel proprio dominio.

Garanzia reciproca di compliance

VMware monitora su base continua gli standard e i requisiti di sicurezza esistenti ed emergenti e integra i requisiti applicabili nei nostri programmi di compliance per i servizi cloud. In qualità di cliente e partner di VMware nel garantire la compliance, dovrai assicurarti che l'offerta di servizi soddisfi gli obblighi di compliance e normativi previsti.

Per qualsiasi domanda sulla compliance, ti invitiamo ad analizzare i tuoi obiettivi aziendali con il tuo referente commerciale VMware.

Programmi di compliance del cloud esistenti

Informazioni sempre aggiornate sui programmi di compliance che ti interessano davvero.
Per informazioni sulla compliance dei prodotti VMware, fai clic qui.
Filter by
Filter by

 

 

Ulteriori informazioni sulla compliance

Grazie per l'interesse dimostrato nei confronti della compliance in VMware.

Per ulteriori informazioni sui nostri programmi per la compliance, contatta il tuo referente commerciale VMware, che potrà anche aiutarti ad accedere ai report sulla compliance non disponibili come download immediato.

Service Status

Service Location

Service Status

Domande frequenti

Trust Center

Per ulteriori informazioni su VMware Cloud Trust Center, ti consigliamo di contattare il tuo referente commerciale VMware, che potrà ottenere le informazioni di cui hai bisogno.

Privacy

I "Tuoi contenuti" o "Contenuti del cliente" sono i contenuti che tu, in qualità di cliente, carichi in un'Offerta di servizio, definita nel dettaglio nell'accordo con VMware (ad esempio, Termini del servizio VMware). Includono tutti i file di testo, audio, video o immagine e il software (incluse le immagini delle macchine), o altre informazioni caricate nell'Offerta di servizio da te o dai tuoi utenti finali per l'elaborazione, lo storage o l'hosting in relazione all'account creato con noi. I Contenuti del cliente includono, ad esempio, i dati archiviati da te o dai tuoi utenti finali in Workspace ONE. È importante sottolineare che le informazioni relative all'account, inclusi elementi associati all'account quali i nomi, i nomi utente, i numeri di telefono e le informazioni di fatturazione, non rientrano nella definizione di "Contenuti del cliente", né vi rientrano le informazioni che raccogliamo in relazione all'uso delle nostre Offerte di servizio. VMware tratterà tali informazioni in conformità alla nostra Informativa sulla privacy.

Tu mantieni sempre la proprietà dei Contenuti del cliente. Sei tu a determinare quali Offerte di servizio VMware preferisci usare per l'elaborazione, l'archiviazione e l'hosting dei Contenuti del cliente, nonché quali informazioni caricare nelle Offerte di servizio come Contenuti del cliente. Inoltre, non accederemo né utilizzeremo i Contenuti del cliente per qualsivoglia finalità, salvo quanto necessariamente previsto per fornire l'Offerta di servizio, come indicato e consentito nei Termini del servizio VMware. Infine, non utilizziamo i Contenuti del cliente per finalità di marketing o pubblicitarie.

 

VMware assume i seguenti impegni contrattuali in merito al modo in cui gestirà i mandati di comparizione, le ordinanze del tribunale, le azioni legali o qualsiasi altro requisito legale o requisito di compliance normativa per divulgare i Contenuti del cliente, come indicato nell'apposita sezione dei Termini del servizio:

Qualora la notifica al cliente non sia vietata dalla legge, VMware: 

- Informerà il cliente: informerà il cliente di qualsiasi richiesta di divulgazione dei Contenuti del cliente.

- Segnalerà il cliente all'autorità competente: comunicherà all'autorità competente che VMware è un service provider che agisce per conto del cliente e che tutte le richieste di accesso ai Contenuti del cliente devono essere inviate per iscritto alla persona di contatto identificata dal cliente o all'ufficio legale del cliente. 

- Limiterà l'accesso: fornirà l'accesso ai Contenuti del cliente solo con l'autorizzazione del cliente. Se il cliente lo richiede, e a sue spese, adotteremo misure ragionevoli per contestare qualsiasi richiesta. 

Nel caso in cui a VMware sia legalmente vietato informare il cliente, VMware: 

- Valuterà la validità legale: VMware valuterà la richiesta di divulgazione per determinare se è legalmente valida e vincolante. 

- Contesterà le richieste illecite: VMware contesterà l'ordine se ritiene ragionevolmente che non sia conforme alla legge applicabile. 

- Limiterà l'ambito della divulgazione: VMware limiterà l'ambito di qualsiasi divulgazione solo alle informazioni che è tenuta a divulgare e divulgherà le informazioni in conformità alla legge applicabile.

VMware si impegna a proteggere i Contenuti del cliente e a rispettare al contempo la legge applicabile. VMware ha di conseguenza definito nei Termini del servizio VMware (sezione dedicata alle divulgazioni obbligatorie) e nell'Informativa sul responsabile del trattamento nelle Norme aziendali vincolanti (BCR) in che modo VMware risponderà alle richieste di accesso delle autorità competenti, come ulteriormente dettagliato di seguito. VMware ha preparato i principi di VMware per la gestione delle richieste di accesso ai Contenuti del cliente da parte della pubblica amministrazione per aiutare i clienti a comprendere ulteriormente gli impegni e i processi di VMware nella gestione delle richieste di accesso della pubblica amministrazione, inclusi gli impegni stabiliti nelle BCR di VMware

VMware assume specificamente i seguenti impegni contrattuali in merito alla gestione delle richieste di accesso della pubblica amministrazione, come stabilito nella sezione dedicata alle divulgazioni obbligatorie dei Termini del servizio di VMware:

Qualora la notifica al cliente non sia vietata dalla legge, VMware: 

- Informerà il cliente: informerà il cliente di qualsiasi richiesta di divulgazione dei Contenuti del cliente.

- Segnalerà il cliente all'autorità competente: comunicherà all'autorità competente che VMware è un service provider che agisce per conto del cliente e che tutte le richieste di accesso ai Contenuti del cliente devono essere inviate per iscritto alla persona di contatto identificata dal cliente o all'ufficio legale del cliente. 

- Limiterà l'accesso: fornirà l'accesso ai Contenuti del cliente solo con l'autorizzazione del cliente. Se il cliente lo richiede, e a sue spese, adotteremo misure ragionevoli per contestare qualsiasi richiesta.

Nel caso in cui a VMware sia legalmente vietato informare il cliente, VMware:

- Valuterà la validità legale: VMware valuterà la richiesta di divulgazione per determinare se è legalmente valida e vincolante.

- Contesterà le richieste illecite: VMware contesterà l'ordine se ritiene ragionevolmente che non sia conforme alla legge applicabile.

- Limiterà l'ambito della divulgazione: VMware limiterà l'ambito di qualsiasi divulgazione solo alle informazioni che è tenuta a divulgare e divulgherà le informazioni in conformità alla legge applicabile.

In nessun caso VMware divulgherà i dati personali in modo massiccio, sproporzionato e indiscriminato che vada oltre quanto necessario in una società democratica.

Inoltre, a seguito della decisione della Corte di Giustizia dell'Unione europea (ECJ) nella controversia Data Protection Commissioner contro Facebook Irlanda e Maximillian Schrems, Caso C-311/18 (Schrems II), VMware ha preparato la dichiarazione di VMware relativa all'applicazione della FISA Sezione 702 e dell'Ordine esecutivo 12333 in vista della sentenza Schrems II per affrontare le preoccupazioni circa le agenzie di intelligence statunitensi che hanno accesso ai dati in transito dall'UE agli USA e per aiutare i clienti a comprendere la probabile applicazione di due autorità statunitensi: l'Ordine esecutivo (EO)12333 e la Sezione 702 della normativa FISA (Foreign Intelligence Surveillance Act). Data la natura dei servizi che fornisce, VMware crede fermamente che ci sia una bassa probabilità che sia soggetta alla Sezione 702 o all'Ordine esecutivo 12333 in relazione alla fornitura delle offerte di servizi.

VMware è un'azienda con presenza globale ed è quindi soggetta alle normative internazionali. L'elenco dei Paesi in cui i Dati personali presenti nei Contenuti del cliente vengono elaborati in riferimento a un'Offerta di servizi specifica è riportato negli elenchi dei subincaricati applicabili, identificati qui. VMware non è a conoscenza di alcuna normativa applicabile che pregiudichi la sua capacità di rispettare gli impegni assunti relativi alle richieste di accesso della pubblica amministrazione e alle divulgazioni obbligatorie come stabilito nei Termini del servizio di VMware.

Per quanto riguarda la fornitura di servizi VMware a un cliente, VMware può trasferire i dati personali inclusi nei Contenuti del cliente (secondo le definizioni di tali termini riportate nell'Addendum sul trattamento dei dati VMware) dallo Spazio economico europeo ("SEE"), dalla Svizzera e dal Regno Unito a Paesi terzi in qualità di responsabile del trattamento. Il Regolamento generale sulla protezione dei dati ("GDPR") è stato incorporato nella legislazione nazionale del Regno Unito e, pertanto, il meccanismo di trasferimento dei dati consentito dal GDPR per i trasferimenti di dati personali al di fuori del SEE si applica anche ai trasferimenti dal Regno Unito. Per quanto riguarda la Svizzera, la Legge federale sulla protezione dei dati ("LPD") adotta uno schema simile a quello del GDPR, pertanto gli stessi meccanismi di trasferimento dei dati sono applicati ai trasferimenti dalla Svizzera (con le modifiche necessarie per tenere conto di eventuali differenze).

I destinatari o gli importatori dei Dati personali del cliente includono le organizzazioni del Gruppo VMware e vendor di terze parti selezionati che utilizziamo per il trattamento dei Dati personali per nostro conto per fornire i nostri servizi ("Subincaricati"). Qui è riportato un elenco delle organizzazioni del Gruppo VMware e dei subincaricati che utilizziamo per il trattamento dei Dati personali dei nostri clienti in relazione alle nostre Offerte di servizi e all'assistenza clienti, insieme ai dettagli della loro ubicazione.

Trasferimenti all'interno del Gruppo: ogni volta che VMware, in qualità di responsabile del trattamento, condivide Dati personali provenienti dal SEE, agisce sulla base delle sue Norme aziendali vincolanti, approvate sia dall'Irish Data Protection Commissioner sia dalle altre autorità competenti in materia e note come Norme aziendali vincolanti di VMware ("BCR SSE di VMware"). Queste norme stabiliscono una protezione adeguata dei suddetti Dati personali e sono legalmente vincolanti per il Gruppo VMware.

Le BCR di VMware sono state approvate dalle autorità europee per la protezione dei dati il 23 maggio 2018. È possibile accertare il completamento della fase di verifica visitando questa pagina. Per ulteriori informazioni sulle Norme aziendali vincolanti di VMware e per accedere all'Informativa sul responsabile del trattamento delle BCR SEE di VMware, vedi le norme aziendali vincolanti per i responsabili del trattamento di VMware. Per visualizzare l'elenco degli affiliati VMware che hanno sottoscritto un accordo infragruppo in merito alle BCR SEE VMware, fai clic qui. Per ulteriori informazioni, fai clic qui.

L'applicazione delle Norme aziendali vincolanti di VMware del Regno Unito ("BCR UK VMware") è attualmente in sospeso e l'Addendum sul trattamento dei dati di VMware sarà aggiornato quando le BCR per il Regno Unito entreranno in vigore. Vedere la domanda frequente "Qual è la strategia di trasferimento dei dati di VMware alla luce della Brexit?" per ulteriori informazioni.

Trasferimenti a subincaricati terzi: VMware ha stipulato con i suoi subincaricati degli accordi sul trattamento dei dati (DPA) che incorporano la versione corrente delle clausole contrattuali standard per il trasferimento dal titolare del trattamento al responsabile del trattamento per garantire trasferimenti dei dati sicuri, protetti e legali da SEE, Svizzera e Regno Unito e per proteggere eventuali successivi trasferimenti. La Commissione Europea ha pubblicato una nuova bozza delle clausole contrattuali standard, disponibile qui. Una volta che le nuove clausole contrattuali standard saranno state approvate ed entreranno in vigore, VMware adotterà le misure necessarie per la loro adozione con i suoi subincaricati in conformità ai nuovi requisiti stabiliti dalla Commissione Europea.

VMware ha preparato la domanda frequente "Brexit e trasferimenti dei dati internazionali", disponibile qui, per rispondere alle preoccupazioni dei clienti in merito alla strategia di trasferimento dei dati di VMware alla luce della Brexit e, in particolare, all'uso di Norme aziendali vincolanti (BCR) e Clausole contrattuali standard (SCC).

Per ulteriori informazioni sui meccanismi che VMware ha implementato per garantire tutele adeguate per il trasferimento dei dati personali, fai riferimento alla domanda frequente "Quale meccanismo ha implementato VMware per garantire tutele adeguate per il trasferimento dei dati personali al di fuori di SEE, Svizzera e Regno Unito quando VMware agisce come responsabile del trattamento?"

La sicurezza delle nostre Offerte di servizio è di estrema importanza per VMware. Per un elenco delle misure di sicurezza attuate in relazione alle nostre Offerte di servizio, visita la pagina dedicata alla sicurezza di Trust Center.

Nell'utilizzo delle Offerte di servizi, sarai responsabile della configurazione e dell'implementazione dei controlli tecnici, organizzativi e amministrativi necessari per soddisfare qualsiasi normativa applicabile, che può dipendere dai tipi di dati che hai scelto di elaborare utilizzando l'Offerta di servizio. Le tue responsabilità relative alla sicurezza dei Contenuti del cliente sono indicate nell'accordo applicabile e includono (a) il controllo dell'accesso fornito agli utenti, (b) la configurazione corretta dell'Offerta di servizio, (c) la garanzia di sicurezza dei Contenuti del cliente nel transito da e verso l'Offerta di servizio, (d) l'utilizzo di una tecnologia di crittografia per proteggere i Contenuti del cliente nel modo opportuno e, infine, (e) il back-up dei Contenuti del cliente.

VMware gestisce un programma di gestione della sicurezza delle informazioni che segue lo standard ISO 27001 (laddove applicabile). Il programma viene rivisto almeno una volta all'anno per garantire la presenza di procedure, pratiche e controlli appropriati. Per un elenco delle misure di sicurezza attuate in relazione alle nostre Offerte di servizio, visita la pagina dedicata alla sicurezza di Trust Center.

VMware incarica e utilizza terze parti per eseguire servizi per suo conto per quanto riguarda la fornitura delle Offerte di servizi VMware o di servizio in abbonamento e di assistenza. Vedi i dettagli disponibili qui. Per quanto attiene al coinvolgimento di terze parti che trattano i dati personali in qualità di subincaricati (secondo le definizioni contenute nell'Addendum sul trattamento dei dati), VMware ha implementato i seguenti processi e procedure:

1. Impegno contrattuale e trasferimenti internazionali dei dati: VMware stipula accordi per il trattamento dei dati con tutti i suoi subincaricati. Tali accordi prevedono il mantenimento di un livello adeguato di privacy, sicurezza e riservatezza dei Dati personali con termini sostanzialmente simili agli impegni contrattuali assunti da VMware con i suoi clienti nell'Addendum sul trattamento dei dati. VMware segue le Clausole contrattuali standard dell'UE, a meno che non sia disponibile un diverso meccanismo legittimo di trasferimento dei dati e il Subincaricato non assuma impegni contrattuali appropriati.

2. Processo di revisione della privacy e Privacy-by-Design: VMware ha definito un processo di gestione centralizzata dei vendor terzi end-to-end per l'onboarding di nuovi fornitori, inclusi l'avvio, lo svolgimento e il monitoraggio della revisione della privacy e della sicurezza di terze parti utilizzando strumenti centralizzati a sostegno dei suoi sforzi per la compliance. Il team per la privacy di VMware rivede in modo dettagliato la privacy dei servizi forniti dai Subincaricati, inclusa la determinazione delle categorie dei Dati personali trattati e delle finalità del trattamento. Tali revisioni prevedono l'implementazione di controlli sulla privacy per mitigare i rischi associati all'accesso e al trattamento dei Dati personali da parte dei Subincaricati e la garanzia di compliance normativa.

3. Processo di revisione della sicurezza: VMware adotta una policy e una procedura per effettuare revisioni della sicurezza dei Subincaricati. Il team per la sicurezza di VMware conduce una revisione della sicurezza iniziale di qualsiasi nuovo Subincaricato e il monitoraggio continuo sulla base del livello di rischio per la sicurezza identificato.

4. Elenco dei Subincaricati e notifica di nuovi Subincaricati: VMware ha stilato un elenco dei Subincaricati utilizzati dalle singole Offerte di servizi e in relazione ai Servizi in abbonamento e di assistenza. Qui è consultabile l'elenco di ciascuna Offerta di servizio. VMware comunica anticipatamente al Cliente l'eventuale nuovo coinvolgimento di un Subincaricato se il Cliente ha richiesto di ricevere una notifica per un Servizio specifico tramite i meccanismi forniti da VMware. Per ricevere notifiche di nuovi Subincaricati, accedi qui e abilita le notifiche per gli elenchi dei Subincaricati pertinenti.

VMware ha implementato il framework Privacy-by-Design per garantire che i suoi Prodotti e le sue Offerte di servizi on-premise siano progettati in conformità ai principi sulla privacy e ai requisiti di legge applicabili. È stato introdotto un processo di revisione della privacy nel ciclo di vita della progettazione dei Prodotti e delle Offerte di servizi VMware on-premise che include istruzioni documentate per avviare la revisione della privacy per un prodotto o un servizio, i consulenti legali designati per condurre revisioni sulla privacy, le valutazioni dell'impatto sul trattamento dei dati (se richiesto) e i requisiti generali sulla privacy per la progettazione di prodotti/servizi in conformità alle normative sulla protezione dei dati e sulla privacy applicabili.

VMware ha altresì definito un processo di gestione centralizzata dei vendor terzi end-to-end per l'onboarding di nuovi fornitori, inclusi l'avvio, lo svolgimento e il monitoraggio della revisione della privacy e della sicurezza di terze parti utilizzando strumenti centralizzati a sostegno dei suoi sforzi per la compliance. Il team per la privacy di VMware rivede in modo dettagliato la privacy dei servizi forniti dai Subincaricati, inclusa la determinazione delle categorie dei Dati personali trattati e delle finalità del trattamento. Tali revisioni prevedono l'implementazione di controlli sulla privacy per mitigare i rischi associati all'accesso e al trattamento dei Dati personali da parte dei Subincaricati e la garanzia di compliance normativa.

VMware ha nominato come Data Protection Officer (DPO) che è un avvocato e direttore di una società di consulenza esterna per la protezione dei dati. Il ruolo del DPO è descritto negli articoli 38 e 39 del GDPR. Il DPO deve essere coinvolto in tutte le questioni relative alla protezione dei dati personali, consigliare l'organizzazione in merito ai suoi obblighi ai sensi del GDPR, monitorarne la conformità, fornire consulenza in merito a qualsiasi valutazione dell'impatto sulla protezione dei dati ed essere un punto di contatto per le autorità di supervisione. Il team per la privacy di VMware contatta il DPO di VMware secondo necessità. Il DPO di VMware può essere contattato tramite e-mail all'indirizzo dpo@vmware.com. Il team per la privacy di VMware analizzerà la richiesta e/o coinvolgerà il DPO, se necessario.

In conformità al Regolamento Europeo per la Protezione dei Dati Personali ("GDPR"), VMware è il "responsabile del trattamento" per quanto attiene ai Contenuti del cliente. Gli obblighi e gli impegni di VMware in qualità di responsabile del trattamento ai sensi del GDPR sono definiti nell'Addendum sul trattamento dei dati. VMware si impegna al trattamento dei dati personali presenti nei Contenuti del cliente in conformità all'accordo applicabile e all'Addendum sul trattamento dei dati. Inoltre, VMware ha ottenuto l'approvazione delle BCR (Norme aziendali vincolanti) per i dati personali che gestisce in qualità di responsabile del trattamento. Una copia delle BCR di VMware è disponibile qui. Prova dell'approvazione di VMware è disponibile sul sito Web della Commissione Europea.

VMware fornisce soluzioni aziendali che consentono ai suoi clienti di creare, gestire, proteggere ed eseguire applicazioni in più sistemi e ambienti. Sebbene VMware ritenga che la natura delle Offerte di servizi fornite ai suoi clienti non garantisca generalmente una richiesta di accesso diretto da parte della pubblica amministrazione ai Contenuti del cliente, ha comunque adottato le seguenti misure per rispettare la sentenza Schrems II e per assistere i clienti nei loro sforzi per la compliance in materia di dati trattati in qualità di titolare del trattamento:

Impegni contrattuali rafforzati in merito alle richieste di accesso della pubblica amministrazione

VMware ha aggiornato la sezione relativa alla divulgazione obbligatoria nei Termini del servizio per chiarire in che modo VMware gestisce le richieste di accesso della pubblica amministrazione aggiungendo i seguenti impegni:

Qualora la notifica al cliente non sia vietata dalla legge, VMware:

- Informerà il cliente: informerà il cliente di qualsiasi richiesta di divulgazione dei Contenuti del cliente.

- Segnalerà il cliente all'autorità competente: comunicherà all'autorità competente che VMware è un service provider che agisce per conto del cliente e che tutte le richieste di accesso ai Contenuti del cliente devono essere inviate per iscritto alla persona di contatto identificata dal cliente o all'ufficio legale del cliente.

- Limiterà l'accesso: fornirà l'accesso ai Contenuti del cliente solo con l'autorizzazione del cliente. Se il cliente lo richiede, e a sue spese, adotteremo misure ragionevoli per contestare qualsiasi richiesta.

Nel caso in cui a VMware sia legalmente vietato informare il cliente, VMware:

- Valuterà la validità legale: VMware valuterà la richiesta di divulgazione per determinare se è legalmente valida e vincolante.

- Contesterà le richieste illecite: VMware contesterà l'ordine se ritiene ragionevolmente che non sia conforme alla legge applicabile.

- Limiterà l'ambito della divulgazione: VMware limiterà l'ambito di qualsiasi divulgazione solo alle informazioni che è tenuta a divulgare e divulgherà le informazioni in conformità alla legge applicabile.

Trasparenza in merito al processo di gestione delle richieste di accesso della pubblica amministrazione e delle autorità statunitensi

Per aiutare i clienti a comprendere ulteriormente gli impegni e il processo di VMware per la gestione delle richieste di accesso della pubblica amministrazione, inclusi gli impegni definiti nelle BCR di VMware, VMware ha preparato i Principi di VMware per la gestione delle richieste di accesso ai Contenuti dei clienti da parte della pubblica amministrazione.

VMware ha inoltre preparato la dichiarazione di VMware relativa all'applicazione della FISA Sezione 702 e dell'Ordine esecutivo 12333 in vista della sentenza Schrems II per affrontare le preoccupazioni circa le agenzie di intelligence statunitensi che hanno accesso ai dati in transito dall'UE agli USA e per aiutare i clienti a comprendere la probabile applicazione di due autorità statunitensi: l'Ordine esecutivo (EO)12333 e la Sezione 702 della normativa FISA (Foreign Intelligence Surveillance Act). Data la natura dei servizi che fornisce, VMware crede fermamente che ci sia una bassa probabilità che sia soggetta alla Sezione 702 o all'Ordine esecutivo 12333 in relazione alla fornitura delle offerte di servizi.

Contratti aggiornati con subincaricati per garantire la base giuridica per il trasferimento dei dati personali

Dopo l'annullamento dell'accordo EU-US Privacy Shield, VMware ha implementato Clausole contrattuali standard con tutti i suoi Subincaricati che in precedenza adottavano tale disciplina come meccanismo di trasferimento dei dati. In qualità di responsabile del trattamento, VMware si avvale delle Norme aziendali vincolanti per trasferire i Dati personali al di fuori dell'UE per fornire le Offerte di servizi VMware applicabili, come stabilito nell'Addendum sul trattamento dei dati di VMware. Ulteriori informazioni sulle BCR di VMware sono disponibili qui e nel VMware Trust Center

Misure tecniche e organizzative

VMware conferma il suo impegno a implementare e adottare misure tecniche e organizzative appropriate come stabilito nell'Addendum sul trattamento dei dati di VMware. Il sito web Trust Center di VMware descrive le certificazioni e gli audit di terze parti di VMware in riferimento alle sue Offerte di servizi. Data la natura delle Offerte di servizi VMware, i clienti hanno anche il controllo sulla configurazione di dette Offerte di servizi e possono implementare gli eventuali controlli amministrativi e tecnici necessari per proteggere i dati elaborati in riferimento all'utilizzo dell'Offerta di servizi applicabile. In molti casi VMware fornisce soluzioni sia on-premise sia in hosting che i clienti possono scegliere per gestire i loro sistemi e la loro infrastruttura.

Trasparenza sui tipi di dati trattati da VMware Service - Schede tecniche

Il Comitato europeo per la protezione dei dati (EDPB) nelle sue domande frequenti sulla sentenza "Schrems II" ha sottolineato la necessità di considerare i tipi di dati trasferiti come un fattore chiave per determinare se esiste o meno un livello adeguato di protezione riguardo al trasferimento dei dati personali al di fuori l'UE. Inoltre, ha specificato che i titolari del trattamento dovrebbero condurre un'analisi caso per caso per stabilire i rischi legati a tale trasferimento. Per aiutare i clienti a comprendere i tipi di dati elaborati in riferimento all'utilizzo delle Offerte di servizi VMware, VMware fornisce delle Descrizioni dei servizi per ciascuna Offerta di servizi (disponibili qui) e fornisce delle schede tecniche per Offerte di servizi specifiche nella sezione sulla privacy del Trust Center VMware. Per le Offerte di servizi di Workspace One, VMware fornisce anche il documento Divulgazione dei dati di Workspace One.

Il CCPA (California Consumer Privacy Act) si applica alle aziende che forniscono servizi ai consumatori in California. Conferisce agli individui specifici diritti in termini di trattamento dei propri dati personali. Ai sensi del CCPA, VMware opera come "service provider" del cliente in merito al trattamento dei dati personali presenti nei Contenuti del cliente. VMware non accederà né utilizzerà tali dati personali per alcuno scopo se non per quanto necessario per fornire i servizi al cliente come stabilito nell'accordo applicabile e assisterà il cliente nel rispondere alle richieste di accesso dell'interessato ai sensi della CCPA come stabilito nel nostro Addendum sul trattamento dei dati. Nei casi in cui VMware opera come "azienda" ai sensi del CCPA, l' Informativa sulla privacy della California di VMware e altre Informative sulla privacy forniscono dettagli su come VMware gestisce tali dati personali in qualità di azienda, tra cui eventuali comunicazioni obbligatorie relative alle categorie di dati raccolti e utilizzati e la vendita di dati personali. Per informazioni più dettagliate sull'applicabilità del CCPA alla fornitura dei servizi di VMware, fai clic qui.

Inizia subito