• Home
  • Fiducia
  • Dichiarazione delle Misure tecniche e organizzative

Dichiarazione delle Misure tecniche e organizzative

Precedenti versioni di questo contratto e altre informative sono consultabili nei nostri Archivi delle informative(si apre in una nuova scheda o finestra).

Questa Dichiarazione delle Misure tecniche e organizzative è integrata per riferimento nella nostra Procedura di elaborazione dei dati. Descrive gli standard di sicurezza minimi che Canva applica ai Servizi Canva nell'ambito dell''Accordo del servizio di abbonamento(si apre in una nuova scheda o finestra). I significati dei termini in maiuscolo usati ma non definiti in questa Dichiarazione delle Misure tecniche e organizzative sono nella Procedura di elaborazione dei dati(si apre in una nuova scheda o finestra), incluso il termine "Dati" (che a scanso di equivoci è limitato ai dati della clientela dell'azienda, se non diversamente specificato nell'accordo con noi).

1. Misure di pseudonimizzazione e crittografia dei dati personali

Canva crittografa i Dati trasmessi tra la clientela e l'applicazione Canva nelle reti pubbliche tramite TLS 1.2 o versioni successive. I Dati della clientela archiviati nei server di Canva sono crittografati con AES 256 o altra versione più sicura.


2. Misure per garantire la riservatezza, l'integrità, la disponibilità e la resilienza di sistemi e servizi di elaborazione

Canva dispone di personale responsabile della supervisione di privacy e sicurezza. Ha designato le persone responsabili di Sicurezza, Privacy e Dati nonché un Comitato per la sicurezza delle informazioni che si riunisce ogni trimestre per discutere dei rischi di privacy e sicurezza gestiti nei relativi registri dei rischi.


3. Misure per garantire la capacità di ripristinare la disponibilità e l'accesso ai dati personali in modo tempestivo nel caso in cui si verifica un problema fisico o tecnico

Per sostenere la disponibilità del servizio, Canva usa il dimensionamento automatico di Amazon Web Services (AWS), le zone di disponibilità, l'applicazione estesa e il monitoraggio dell'infrastruttura di AWS, nonché gli elenchi di supporto dell'applicazione 24 ore su 24, 7 giorni su 7.

Canva gestisce i backup degli archivi di dati, inclusi i Dati della clientela che supportano le funzionalità principali dell'applicazione Canva. I backup vengono archiviati in una posizione geograficamente separata da quella dei dati primari.

Canva gestisce la capacità di risposta agli incidenti di sicurezza che include un Piano di risposta agli incidenti relativi ai dati personali documentato per tali incidenti che interessano i Dati. Ciò definisce il modo in cui conteniamo, rispondiamo, valutiamo e comunichiamo gli incidenti, nonché i ruoli e le responsabilità del personale che lavora in Canva e i requisiti per le revisioni successive all'incidente.


4. Processi per test, verifica e valutazione regolari dell'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza dell'elaborazione

Canva coinvolge una terza parte esperta di sicurezza che esegue un test annuale di penetrazione dell'applicazione e dell'infrastruttura. Inoltre, Canva impiega un servizio di scansione della vulnerabilità dell'applicazione di terze parti ed esegue un programma bug bounty pubblico.


5. Misure per l'identificazione e l'autorizzazione delle persone che usano il servizio

Se un account Cliente contiene una password per l'autenticazione, Canva archivia quest'ultima con salt e hash tramite una funzione di hashing delle password standard del settore. Canva supporta l'integrazione Single Sign-On (SSO) con un provider di identità cliente tramite il linguaggio SAML (Security Assertion Markup Language).


6. Misure per la protezione dei dati durante la trasmissione

Come indicato nel punto 1, Canva crittografa i Dati trasmessi tramite reti pubbliche tra la clientela e l'applicazione Canva usando TLS 1.2 o versione successive.


7. Misure per la protezione dei dati durante l'archiviazione

Come indicato nel punto 1, i Dati della clientela archiviati nei server di Canva sono crittografati con AES 256 o versione più sicura.


8. Misure per garantire la sicurezza fisica delle posizioni in cui vengono elaborati i dati personali

Il servizio è ospitato e i Dati sono archiviati all'interno di centri dati forniti da Amazon Web Services (AWS). Pertanto, Canva si affida ai controlli fisici, ambientali e infrastrutturali di AWS. Canva verifica periodicamente le certificazioni e gli attestati di terze parti forniti da AWS relativi all'efficacia dei controlli dei centri dati.


9. Misure per garantire il log degli eventi

Canva gestisce i log di verifica della sicurezza dell'applicazione e dell'infrastruttura. I log di verifica vengono analizzati per rilevare attività anomale.


10. Misure per garantire la configurazione del sistema, inclusa quella predefinita

Canva rafforza la propria infrastruttura server usando il rafforzamento basato su uno standard di settore comune. Canva applica patch di sicurezza ai propri server in conformità con la Procedura di gestione della vulnerabilità.


11. Misure per l'amministrazione e la gestione dell'IT interna e della relativa sicurezza

L'accesso del personale di Canva ai Dati della clientela è basato su ruoli e segue il principio del privilegio minimo. Il personale dispone dell'accesso ai Dati della clientela sufficiente solo per adempiere ai propri doveri in modo efficace. L'accesso remoto alla rete dei sistemi di Canva richiede la comunicazione crittografata tramite protocolli protetti e l'uso dell'autenticazione a più fattori. Canva ha stabilito e manterrà le procedure per la gestione della password del suo personale, progettate per garantire che le password siano personali e inaccessibili da persone non autorizzate, tra cui:

- protezione crittografica delle password archiviate nei sistemi informatici o in transito nella rete;

- modifica delle password predefinite dei fornitori; e

- formazione sulle buone pratiche in materia di password.

L'accesso del personale all'infrastruttura di produzione richiede l'autenticazione a più fattori (MFA).

Il personale di Canva è soggetto a vincoli di riservatezza e a una Politica di gestione dei dati personali. Canva richiede al proprio personale di seguire un corso di formazione sulla sensibilizzazione alla sicurezza delle informazioni all'inizio del proprio impiego e, in seguito, a cadenza annuale. Inoltre, Canva richiede al proprio personale di seguire annualmente un corso di formazione sulle leggi sulla privacy (tra cui il rispetto delle leggi COPPA e FERPA in relazione ai dati di chi studia).

Canva ha implementato la privacy sin dalle fasi di progettazione, incluse, a titolo esemplificativo ma non esaustivo, le valutazioni dell'impatto sulla privacy.


12. Misure per la certificazione o garanzia di processi e prodotti

Canva manterrà una certificazione ISO 27001, sottoponendosi a verifiche di ricertificazione e sorveglianza esterne periodiche per garantire che il Sistema di gestione della sicurezza delle informazioni (SGSI) soddisfi i requisiti di tale standard.

Canva manterrà una politica sulla sicurezza delle informazioni che soddisfa i requisiti dello standard ISO 27001, un programma di verifica interno che valuta i controlli della sicurezza delle informazioni e dell'SGSI di Canva, nonché un comitato di gestione responsabile della sorveglianza del Sistema di gestione della sicurezza delle informazioni (SGSI) di Canva.


13. Misure per garantire la riduzione al minimo dei dati forniti

Canva consente alle persone che visitano l'applicazione di usare determinate funzionalità della sua piattaforma in modo anonimo e ridurre al minimo i Dati della Clientela necessari per fornire il servizio richiesto.


14. Misure per garantire la qualità dei dati

Canva garantisce la qualità dei propri dati tramite la verifica delle e-mail iscritte alla piattaforma canva.com. Inoltre, Canva consente alle persone di aggiornare autonomamente le informazioni nei propri account o tramite richieste alla funzione del supporto clienti, il Team Soddisfazione Clientela.


15. Misure per garantire la conservazione limitata dei dati

Canva mantiene una Politica di conservazione dei dati che stabilisce i periodi di conservazione per i diversi tipi di dati in base ai requisiti legali, all'interesse giustificato di Canva e agli scopi dell'acquisizione.


16. Misure per garantire la responsabilità

Canva ha designato rappresentanti locali nello Spazio economico europeo e nel Regno Unito. L'entità che rappresenta Canva nello Spazio economico europeo è l'European Data Protection Office (EDPO), il cui indirizzo registrato è Avenue Huart Hamoir 71, Bruxelles 1030, Belgio. L'entità che ci rappresenta nel Regno Unito è l'European Data Protection Office UK (EDPO UK), il cui indirizzo registrato è 8 Northumberland Avenue, Londra WC2N 5BY, Regno Unito. Le Valutazioni d'impatto della protezione dei dati vengono svolte per le attività di elaborazione ad alto rischio e Canva gestisce i record delle attività di elaborazione.


17. Misure per consentire la mobilità dei dati e garantirne la cancellazione

Canva dispone di un processo automatico di eliminazione dei Dati della clientela su richiesta entro 28 giorni e abilita il download dei dati da fornire a provider di servizi alternativi.


Altre politiche