Sicurezza e conformità

Regolamento generale sulla protezione dei dati (GDPR)

Il GDPR è un regolamento entrato in vigore in Europa il 25 maggio 2018 che protegge i diritti di un individuo riguardo ai propri dati personali e la privacy dei dati ad essi collegati.

GTT è un'azienda con una forte presenza in Europa, e tiene pertanto in seria considerazione quanto stabilito dal GDPR. A tale scopo, prevede controlli di sicurezza rigorosi che rispettano quanto disposto dal regolamento. Seguiamo le linee guida del regolamento stesso e siamo anche allineati con metodologie, framework e standard di sicurezza riconosciuti a livello internazionale.

Di seguito forniamo la sezione completa che riguarda la sicurezza e la conformità.

La maggior parte degli standard e dei framework per la sicurezza delle informazioni riguarda prevalentemente le persone, i processi e le tecnologie. Detti standard prevedono inoltre controlli specifici relativi alla sicurezza fisica delle risorse utilizzate per archiviare o accedere alle informazioni. Per maggiori informazioni sul GDPR e su come ne osserviamo le direttive, leggi le FAQ di seguito.

CERTIFICAZIONI DI SICUREZZA

Certificazione ISO 27001

Lo standard ISO 27001 è uno standard internazionale ed è considerato un punto di riferimento dalla maggior parte delle organizzazioni e dei professionisti della sicurezza. Lo standard ISO 27001 definisce i controlli di sicurezza fondamentali su cui si basano altri standard. GTT ha ottenuto il riconoscimento della conformità allo standard ISO 27001:2022 in più sedi. Per ulteriori informazioni, consulta l'elenco delle certificazioni.

La serie ISO 27001 abbraccia l'intero ambito della sicurezza delle informazioni. Sono presi in considerazione tutti gli aspetti della sicurezza delle informazioni che riguardano gli elementi fondamentali: le persone, i processi, l'azienda e le tecnologie. Definisce inoltre controlli di sicurezza specifici che riguardano l'accesso fisico alle risorse su cui sono memorizzate le informazioni o alle risorse che possono essere utilizzate per accedere alle informazioni stesse.

Lo standard si basa principalmente sull'implementazione di un sistema di gestione della sicurezza delle informazioni (ISMS) che sia comprensibile all'azienda che lo adotta e che possa essere migliorato costantemente.

GTT utilizza un approccio di miglioramento costante della sicurezza per tutti gli obiettivi di sicurezza delle informazioni. Ciò include l'identificazione, la classificazione, il controllo e il monitoraggio costante delle situazioni di rischio. Il ciclo di vita di GTT si basa sul ciclo di vita di Edward Deming: pianifica, realizza, controlla e agisci (PDCA), riconosciuto a livello internazionale e utilizzato da numerosi standard e framework.

Il rispetto dello standard ISO 27001 da parte di GTT viene valutato e verificato regolarmente da terze parti indipendenti, per garantire che siano mantenuti standard elevati.

REPORT SOC 1 E SOC 2

SOC è l'acronimo di "Service Organization Control". I report SOC1 e SOC 2 sono forniti da terze parti indipendenti (revisori) in base a un framework di verifica definito.

Un report SOC1 esamina i controlli di un'organizzazione di servizi che sono rilevanti per il controllo interno di un'entità utente sull'informativa finanziaria. Ha lo scopo specifico di soddisfare le esigenze dei clienti che richiedono garanzie sull'efficacia dei controlli effettuati dall'organizzazione di servizi sui bilanci dei clienti. L'ambito SOC 1 di GTT include servizi di hosting gestito e VDC.

Un rapporto di audit SOC 2 fornisce informazioni dettagliate e garanzie sulla sicurezza, la disponibilità, l'integrità dell'elaborazione e i controlli di riservatezza, in base alla loro conformità ai TSC (Trust Services Criteria) dell'AICPA (American Institute of Certified Public Accountants). L'ambito SOC 2 di GTT include i servizi SD-WAN e SIP Trunking.

PCI DSS

Lo standard PCI DSS (Payment Card Industry Data Security Standard) è uno standard di sicurezza delle informazioni disciplinato dal PCI Security Standards Council. Il Consiglio è stato fondato dai principali marchi di pagamento: American Express, Discover, Visa, JCB e MasterCard. Il suo obiettivo è quello di sviluppare e mantenere standard comuni che migliorino la sicurezza dei dati dei titolari di carta e facilitino l'adozione su larga scala di misure di sicurezza per la protezione dei dati comuni all'intero settore.

Lo standard PCI DSS si applica a tutte le entità coinvolte nell'elaborazione di pagamenti effettuati con carta. Ciò include i commercianti, le entità che elaborano i pagamenti, gli acquirenti, gli emittenti e i fornitori di servizi. Lo standard PCI DSS si applica anche a tutte le altre entità che memorizzano, elaborano o trasmettono i dati dei titolari di carta e/o i dati sensibili di autenticazione.

Se desideri richiedere l'Attestazione di Conformità (AOC) e il Modello di Responsabilità PCI DSS GTT, contatta il tuo account manager.

CERTIFICAZIONI DEL SETTORE PUBBLICO NEL REGNO UNITO

PSN

La rete Public Services Network (PSN) è una rete ad alte prestazioni del governo del Regno Unito, che aiuta le organizzazioni del settore pubblico a collaborare, ridurre le duplicazioni e condividere le risorse. Per ottenere la conformità PSN, un fornitore di servizi deve possedere anche la certificazione ISO 27001.

PSN ci consente di fornire servizi alle organizzazioni del settore pubblico con lo status UFFICIALE. GTT si collega al Government Conveyance Network (GCN), che è la parte essenziale della rete PSN. L'obiettivo di GTT è offrire un servizio di qualità PSN agli enti governativi del Regno Unito.

CONFORMITÀ GENERALE

Certificazione ISO 20000

Lo standard ISO 20000 è uno standard globale che descrive i requisiti di un sistema di gestione dei servizi IT (Information Technology Service Management). Lo standard è stato sviluppato in modo da riflettere le pratiche ottimali definite dal framework ITIL (IT Infrastructure Library).

Questo standard internazionale di gestione dei servizi IT (ITSM) consente alle aziende IT (in-house, in outsourcing o esterne) di garantire che i loro processi ITSM siano allineati sia con le esigenze dell'azienda sia con le pratiche ottimali internazionali.

Lo standard ISO 20000 permette alle organizzazioni di confrontare il modo in cui forniscono i servizi gestiti, di misurare i livelli del servizio e di valutarne le prestazioni. È uno standard che segue da vicino ITIL e attinge fortemente da esso.

STRATEGIA FISCALE DI GTT COMMUNICATIONS INC.

La presente informativa riguarda l'attività di GTT Communications Inc. ("GTT" o la "Società") nel Regno Unito e ha lo scopo di soddisfare i requisiti di pubblicazione della strategia fiscale del Regno Unito ai sensi dell'Allegato 19 del Finance Act 2016.

L'approccio di GTT alla gestione e alla governance del rischio fiscale

GTT si impegna a (i) rispettare le leggi fiscali in modo responsabile e a (ii) stabilire e mantenere rapporti professionali e costruttivi con le autorità fiscali basati su principi di reciproca trasparenza e fiducia. Questi impegni, che sono spiegati più in dettaglio di seguito, si applicano a tutti i Paesi e a tutti i dipendenti.

Il dipartimento fiscale di GTT gestisce, esamina e segnala in modo proattivo i rischi fiscali e si avvale di un team fiscale esperto che fa parte della funzione finanziaria centrale che riferisce al Chief Financial Officer ("CFO"). La responsabilità quotidiana di queste funzioni spetta al Vice President of Tax ("VP of Tax") che riporta al CFO. Il Comitato di revisione contabile della Società supervisiona le politiche e gli affari fiscali della Società attraverso revisioni periodiche.

Il team fiscale, guidato dal VP of Tax, è responsabile della gestione quotidiana degli affari fiscali, a meno che la responsabilità non sia chiaramente devoluta e accettata altrove. Qualsiasi decisione in merito a questioni fiscali dubbiose è soggetta a diligente cura professionale e giudizio da parte del team fiscale, e avviene inoltre dopo aver consultato i team di gestione locali e internazionali per giustificarne il merito. Nelle situazioni in cui il livello di incertezza è elevato, il dipartimento fiscale si avvarrà di consulenti esterni per valutare i rischi.

La Società gestisce i costi fiscali massimizzando l'efficienza fiscale delle transazioni commerciali. Ciò include l'utilizzo degli incentivi e delle esenzioni fiscali disponibili. La procedura permette di rimanere in linea con gli obiettivi commerciali della Società e soddisfare i suoi obblighi legali e gli standard etici. Il metodo impiegato deve essere inoltre ritenuto dalla Società ragionevolmente non contrario alle chiare intenzioni della legislazione in questione.

L'approccio di GTT alla pianificazione fiscale

GTT riconosce di essere responsabile del pagamento di un importo adeguato di imposte nel Regno Unito. A fronte di ciò, GTT deve bilanciare le proprie responsabilità per massimizzare i rendimenti sostenibili per gli azionisti. GTT non intraprenderà alcuna pianificazione fiscale che non possa essere sostenuta dalle esigenze commerciali del gruppo e che non abbia sostanza economica. GTT non intraprenderà alcuna pianificazione fiscale a meno che GTT non ritenga che la strategia sia conforme alla legislazione fiscale e che abbia maggiori probabilità di successo.

L'approccio di GTT alla creazione e al mantenimento delle relazioni con le autorità fiscali

La Società si impegna a stabilire rapporti di lavoro costruttivi con l'HMRC sulla base di una politica di piena divulgazione, volta a dissipare qualsiasi dubbio in merito alle proprie transazioni commerciali e che consenta alle autorità di esaminare i possibili rischi.

La consulenza fiscale sarà richiesta a consulenti esterni in relazione a transazioni dubbiose o laddove il dipartimento fiscale non disponga del livello di competenza necessario in una particolare area. Eventuali pareri fiscali ricevuti sono un aiuto, non un sostituto, del giudizio professionale che deve essere esercitato dal team. Ove opportuno, si sceglieranno soluzioni basate sulle pratiche ottimali o si discuteranno possibili soluzioni con l'HMRC, poiché il modo migliore per evitare costose controversie è quello di raggiungere un consenso in anticipo.

CERTIFICATI DEL CENTRO OPERATIVO

D. A quali soggetti si applica il GDPR?

Un. Il Regolamento generale sulla protezione dei dati (GDPR) non si applica solo alle organizzazioni che si trovano all'interno dell'UE, ma si applicherà anche alle organizzazioni situate al di fuori dell'UE se offrono beni o servizi a soggetti UE o ne monitorano il comportamento.

D. Quali sono le sanzioni in caso di inadempienza?

R. Per violazione del GDPR, le aziende possono essere multate fino al 4% del fatturato globale annuo oppure 20 milioni di euro, applicando l'importo superiore tra i due. È la sanzione massima inflitta per le infrazioni più gravi. È importante notare che queste norme si applicano sia ai titolari del trattamento che ai responsabili del trattamento, il che significa che il GDPR sottopone i responsabili del trattamento dei dati a responsabilità diretta in determinate circostanze, ad esempio in relazione a una violazione della sicurezza dei dati e alla responsabilità solidale nei confronti degli interessati in caso di colpa del titolare del trattamento.

D. Che cosa costituisce un dato personale?

R. Qualsiasi informazione relativa a una persona, che può essere utilizzata per identificarla direttamente o indirettamente. Può trattarsi di qualsiasi cosa, da un nome, a una foto, un indirizzo e-mail, dettagli bancari, post sui social network, informazioni mediche o l'indirizzo IP di un computer.

D. GTT è certificata GDPR?

R. Se rientra nell'ambito di applicazione, le aziende sono soggette al GDPR. Al momento, non esistono criteri di certificazione approvati o organismi di certificazione accreditati per l'emissione di certificati GDPR. GTT è in possesso di una certificazione ISO 27001:2022 per il sistema di gestione della sicurezza delle informazioni e le nostre misure tecniche e organizzative si basano sul ciclo pianifica, realizza, controlla e agisci (PDCA: Plan, Do, Check and Act). GTT viene esaminata e valutata regolarmente da terze parti indipendenti, per garantire che siano mantenuti e migliorati continuamente i più elevati standard di sicurezza.

D. In che modo GTT è conforme al GDPR?

R. I clienti ci scelgono perché alla base del successo della nostra attività c'è un solido quadro di riferimento che garantisce la privacy dei dati. Ciò garantisce la conformità alle leggi vigenti in materia di privacy e protezione dei dati e incoraggia l'applicazione delle pratiche ottimali per la gestione dei dati. In qualità di fornitore di servizi di telecomunicazione, GTT aderisce alla direttiva ePrivacy (direttiva sulla privacy e le comunicazioni elettroniche) e si attiene inoltre alla rigorose normative sulle telecomunicazioni di ciascun Paese, che in alcuni casi prevalgono sul GDPR.

Per conservare e proteggere i dati per conto dei propri clienti, GTT si avvale di una tecnologia che considera all'avanguardia. Implementando ulteriori politiche, procedure e processi esaustivi, certificati dal settore come conformi ai più rigorosi standard di sicurezza dei dati accettati, GTT si impegna a fornire soluzioni conformi, multigiurisdizionali, isolate e sicure a tutti i propri clienti. GTT rispetta inoltre diversi sistemi di certificazione ben noti, come ISO 27001 e PCI-DSS. GTT si impegna ad aderire a questi standard e applica efficaci protocolli di sicurezza tecnici, fisici e informatici.

D. In che modo GTT attua gli aspetti tecnici chiave del GDPR, come il principio "privacy by design" o le valutazioni sull'impatto della privacy dei dati (DPIA)?

R. GTT effettua valutazioni sull'impatto della privacy dei dati in tutti gli aspetti della propria attività, sia internamente che per i prodotti utilizzati dai propri clienti. GTT applica il concetto di "privacy by design" fin dalle fasi di progettazione, sia attraverso processi di governance, come le riunioni che stabiliscono l'architettura del progetto, sia considerandola il requisito fondamentale per l'avvio di tutti i progetti.

D. Le soluzioni o i servizi GTT possono essere personalizzati in base all esigenze di conformità al GDPR della mia azienda?

R. Sì, GTT è in grado di personalizzare qualsiasi servizio in base alle esigenze dei propri clienti e per rispettare il GDPR. Offriamo diverse soluzioni di sicurezza informatica che permettono ai nostri clienti di raggiungere un elevato livello di sicurezza informatica e, allo stesso tempo, ottemperare a quanto stabilito dal GDPR.

D. Dove posso trovare maggiori informazioni sulla conformità al GDPR di GTT. Come posso richiedere a GTT assistenza riguardo alla protezione dei dati personali?

R. GTT ha pubblicato un'Informativa sulla privacy. Invitiamo i nostri clienti, dipendenti, agenti, appaltatori e fornitori a leggerla. Lo scopo della presente Informativa è quello di delineare le modalità con cui GTT raccoglierà e gestirà le informazioni personali in conformità con le normative sulla privacy applicabili. GTT dispone di un team per la protezione dei dati, responsabile di garantire la conformità al GDPR. Il team per la protezione dei dati può essere contattato via e-mail all'indirizzo: [email protected]

COME CI VALUTA GARTNER

4.2

62 recensioni

88%

negli ultimi 12 mesi

Parla con un esperto

Ti interessa saperne di più sui prodotti e servizi GTT? Compila questo breve modulo per fissare una chiamata con uno dei nostri consulenti di vendita.

Grazie per le informazioni. Uno dei nostri consulenti di vendita ti contatterà.