Accordo sul trattamento dei dati

Questo ACCORDO DI TRATTAMENTO DEI DATI (di seguito “DPA”) incluso i suoi allegati descrive gli obblighi delle Parti, anche ai sensi delle leggi sulla protezione dei dati applicabili, in relazione al trattamento dei dati personali (come definito di seguito). Il DPA è incorporato nell'Accordo dell'Utente.

Questo DPA è tra l'Organizzazione (di seguito “Controllore”)

e 

Mollie B.V., una società a responsabilità limitata (besloten vennootschap) con sede legale ad Amsterdam, a Keizersgracht 126, 1015 CW Amsterdam, Paesi Bassi e registrata presso la Camera di Commercio olandese con numero 30204462, (di seguito “Mollie” o “Processatore”)

e 

Mollie UK Ltd., una società a responsabilità limitata con sede legale a Londra, 7 Pancras Square, Londra N1C 4AG, Regno Unito e registrata presso il Companies House con numero 14013554, (di seguito “Mollie” o “Processatore”),

ciascuna una “Parte” e congiuntamente “Parti”. 

Definizioni 

In questo DPA, i seguenti termini hanno il significato di seguito specificato. I termini maiuscoli usati ma non definiti nel presente documento avranno il significato specificato nell'Accordo.

Accordo: L’accordo tra il Controllore e il Processatore per la fornitura di servizi (“Accordo dell'Utente”).

Regole Aziendali Vincolanti: Politiche di protezione dei dati personali cui aderisce un controllore o processatore stabilito nel territorio di uno Stato membro per i trasferimenti o un insieme di trasferimenti di Dati Personali a un controllore o processatore in uno o più paesi terzi all'interno di un gruppo di imprese, o gruppo di imprese impegnate in un'attività economica congiunta.

Controllore: La persona fisica o giuridica, l'autorità pubblica, l'agenzia o altro organismo che, da sola o congiuntamente ad altri, determina le finalità e i mezzi del Trattamento dei Dati Personali.

Cliente: I clienti dell'Organizzazione che desiderano pagare per prodotti e/o servizi forniti dall'Organizzazione tramite il Modulo di Pagamento di Mollie.

Violazione dei dati: Una violazione della sicurezza che porta alla distruzione accidentale o illecita, perdita, alterazione, divulgazione non autorizzata di, o accesso a, Dati Personali trasmessi, conservati o altrimenti trattati. 

Accordo di Trattamento dei Dati: Questo accordo, compresi tutti gli allegati.

Autorità di Controllo: Un organismo governativo indipendente responsabile della supervisione della conformità alle leggi applicabili relative al Trattamento dei Dati Personali. Nei Paesi Bassi, questa è l'Autoriteit Persoonsgegevens.

Valutazione dell'Impatto sulla Protezione dei Dati: Una valutazione dell'impatto delle operazioni di trattamento previste sulla protezione dei Dati Personali.

Leggi sulla Protezione dei Dati: Tutta la legislazione applicabile relativa alla protezione e alla privacy dei dati, inclusi, a titolo esemplificativo, il Regolamento Generale sulla Protezione dei Dati dell'UE, tutte le leggi e i regolamenti locali che modificano o sostituiscono uno di essi, insieme a tutte le leggi nazionali di attuazione in qualsiasi Stato membro dello Spazio Economico Europeo (SEE), nella misura applicabile, in qualsiasi altro paese, come modificato, abrogato, consolidato o sostituito di volta in volta.

Soggetto dei Dati: La persona fisica cui si riferiscono i Dati Personali (ad esempio, i Clienti).

GDPR: Il Regolamento Generale sulla Protezione dei Dati (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei Dati Personali e alla libera circolazione di tali dati. 

Dati Personali: Qualsiasi informazione relativa a una persona fisica identificata o identificabile; una persona fisica identificabile è una che può essere identificata, direttamente o indirettamente, in particolare facendo riferimento a un identificativo come un nome, un numero di identificazione, dati relativi alla posizione, un identificativo online o a uno o più fattori specifici dell'identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di quella persona fisica. 

Trattamento: Qualsiasi operazione o insieme di operazioni eseguite sui Dati Personali o insiemi di Dati Personali, sia o meno tramite mezzi automatici, come la raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o alterazione, recupero, consultazione, utilizzo, divulgazione tramite trasmissione, diffusione o messa a disposizione in altro modo, allineamento o combinazione, restrizione, cancellazione o distruzione. Questo elenco non è esaustivo. I termini “trattare”, “tratta” e “trattato” saranno interpretati di conseguenza. 

Processatore: Una persona fisica o giuridica, un'autorità pubblica, un'agenzia o altro organismo che tratta (Dati) su incarico del Controllore.

Organizzazione: L'organizzazione che utilizza il Modulo di Pagamento di Mollie per finalità che includono, ma non si limitano a, la vendita di prodotti e/o servizi ai Clienti.

Clausole Contrattuali Standard: Clausole Contrattuali Standard della Commissione Europea per i Processatori di Dati (2010/87/UE) o Decisione di Esecuzione della Commissione (UE) 2021/914 del 4 giugno 2021 sulle clausole contrattuali standard per il trasferimento dei dati personali verso paesi terzi secondo il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio (C/2021/3972).
Sub-processoreQualsiasi terza persona, ente o azienda coinvolta dal Processatore a trattare Dati Personali nella fornitura dei servizi in base all'Accordo.

SEZIONE A: SCOPO 

Articolo A.1 Ambito

Il Processatore ha accettato di fornire servizi al Controllore in conformità con i termini dell'Accordo dell'Utente. Nella fornitura dei servizi, il Processatore tratterà i Dati Personali per conto del Controllore come identificato in questo DPA. Il Processatore, in qualità di istituto finanziario, tratta anche i Dati Personali agendo come controllore dei dati. 

Le Parti riconoscono e accettano che nella misura in cui Mollie tratta i Dati Personali coinvolti nelle transazioni di pagamento per: i) eseguire l'Accordo dell'Utente con il Controllore; ii) monitorare, prevenire e rilevare transazioni fraudolente; iii) rispettare obblighi legali o normativi applicabili al trattamento e alla conservazione dei dati di pagamento cui Mollie è soggetta, inclusi controlli obbligatori anti-riciclaggio di denaro e conformità agli obblighi di conoscenza del cliente; e iv) migliorare i prodotti e servizi di Mollie, Mollie agisce come controllore dei dati e ha l'autorità esclusiva e unica di determinare le finalità e i mezzi del trattamento dei Dati Personali che riceve da o tramite (fornendo servizi al) Controllore.

Le attività di trattamento, i Dati Personali e le categorie di Soggetti dei Dati per cui il Processatore tratta i Dati Personali per conto del Controllore sono identificate nell'Allegato A. 

SEZIONE B: OBBLIGHI 

Articolo B.1 Obblighi del Controllore 

Il Controllore è responsabile dei Dati Personali che il Processatore tratterà e dovrà assicurare la conformità a tutte le Leggi sulla Protezione dei Dati, inclusi i requisiti pertinenti al trasferimento dei Dati Personali in base a questo DPA e all'Accordo dell'Utente. Il Controllore garantisce di avere il diritto di trattare i Dati Personali e possedere il diritto di nominare il Processatore per trattare i dati per conto del Controllore.

Il Controllore accetta che, senza limitazione degli obblighi del Processatore secondo questo DPA, il Controllore è l'unico responsabile dell'uso dei servizi, inclusi (a) fare un uso appropriato dei servizi per assicurare un livello di sicurezza adeguato ai rischi in relazione ai Dati Personali; (b) proteggere le credenziali di autenticazione dell'account, i sistemi e i dispositivi che il Controllore utilizza per accedere ai servizi; (c) proteggere i sistemi e i dispositivi del Controllore che usa con i servizi; e (d) mantenere i propri backup dei Dati Personali.

Articolo B.2 Obblighi del Processatore 

Il Processatore si impegna a: 

1. trattare i Dati Personali solo in conformità con le istruzioni documentate del Controllore e adottare le misure necessarie per garantire che qualsiasi persona fisica agisca sotto la sua autorità che ha accesso ai Dati Personali non tratti i Dati Personali a meno che su istruzioni del Controllore;

2. informare prontamente il Controllore se una qualsiasi delle istruzioni riguardanti il trattamento dei Dati Personali fornite al Processatore dal Controllore violano le Leggi sulla Protezione dei Dati applicabili o le disposizioni stabilite in questo DPA;

3. implementare procedure tecniche e organizzative appropriate per proteggere i Dati Personali, considerando lo stato dell'arte, i costi di implementazione e la natura, l'ambito, il contesto e le finalità del trattamento così come il rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche; e

4. senza indugio informare il Controllore se riceve una lamentela o richiesta relativa agli obblighi di una delle Parti secondo le Leggi sulla Protezione dei Dati pertinenti a questo DPA, inclusa qualsiasi richiesta di risarcimento da un Soggetto dei Dati o qualsiasi avviso, indagine o altra azione da parte di un'Autorità di Controllo e fornire al Controllore tutti i dettagli di tale indagine, lamentela o richiesta a meno che non sia vietato dalla legge o su richiesta dell'Autorità di Controllo.

SEZIONE C: TRASFERIMENTI E SUB-PROCESSORI

Articolo C.1 Trasferimento di Dati Personali 

Dove i Dati Personali relativi a un Soggetto dei Dati dell'UE sono trasferiti al di fuori dello SEE, saranno trattati da un'entità: (i) situata in un paese terzo o territorio riconosciuto dalla Commissione UE come avente un livello adeguato di protezione; o (ii) che è soggetto alle Clausole Contrattuali Standard dell'UE e/o all'Accordo Internazionale di Trasferimento di Dati del Regno Unito o Aggiunta SCC del Regno Unito; o (iii) che ha altre garanzie appropriate legalmente riconosciute in atto, come le Regole Aziendali Vincolanti, che garantiscono lo stesso livello di protezione e garanzie di questo DPA. 

Articolo C.2 Sub-processori 

Il Controllore acconsente all'uso da parte del Processatore dei Sub-processori specificati nell'Allegato B. Questo elenco può essere aggiornato dal Processatore di tanto in tanto in conformità con questo DPA.

Il Processatore fornirà al Controllore la possibilità di opporsi a ciascun nuovo Sub-processore che sarà coinvolto esclusivamente per lo scopo delle attività di trattamento dei dati come identificato nell'Allegato A. 

Prima di coinvolgere un nuovo Sub-processore, il Processatore notificherà al Controllore e fornirà al Controllore almeno dieci (10) giorni di calendario per opporsi, eccetto dove il Processatore ritenga ragionevolmente che coinvolgere un nuovo Sub-processore su base urgente sia necessario per proteggere la riservatezza, integrità o disponibilità dei Dati Personali o evitare un'interruzione materiale dei servizi forniti. In tal caso, il Processatore darà tale notifica appena ragionevolmente possibile. Se, entro cinque (5) giorni di calendario dopo tale notifica, il Controllore notifica per iscritto al Processatore che il Controllore si oppone alla nomina di un nuovo Sub-processore da parte del Processatore basato su preoccupazioni ragionevoli sulla protezione dei dati, le parti discuteranno tali preoccupazioni in buona fede e se possono essere risolte. Le obiezioni ai nuovi Sub-processori devono essere presentate a privacy@mollie.com. 

Il Controllore riconosce che i Sub-processori sono essenziali per fornire i servizi e che opporsi all'uso di un Sub-processore può impedire al Processatore di offrire i servizi al Controllore. Se le parti non sono in grado di concordare reciprocamente la risoluzione di tali preoccupazioni, il Controllore, come unico ed esclusivo rimedio, può terminare il DPA per convenienza.

Tutti i Sub-processori che trattano Dati Personali nella fornitura di servizi al Controllore devono rispettare gli obblighi stabiliti in questo DPA. Il Processatore, prima della divulgazione di Dati Personali a qualsiasi Sub-processore, effettuerà un'adeguata due diligence per garantire che il Sub-processore sia in grado di fornire il livello di protezione per i Dati Personali del Controllore richiesto da questo DPA ed entrerà in un accordo con quel Sub-processore in base al quale il Sub-processore accetta di rispettare obblighi equivalenti a quelli stabiliti in questo DPA. 

SEZIONE D: SICUREZZA

Articolo D.1 Misure di sicurezza

Il Processatore implementerà misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio, incluse inter alia come appropriate:

1. la pseudonimizzazione e la cifratura dei Dati Personali; 

2. la capacità di garantire la riservatezza, l'integrità, la disponibilità e la resilienza continue dei sistemi e dei servizi di trattamento; 

3. la capacità di ripristinare la disponibilità e l'accesso ai Dati Personali in modo tempestivo in caso di incidente fisico o tecnico; e 

4. un processo per testare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del Trattamento. Nel valutare il livello appropriato 

   di sicurezza, si terrà conto in particolare dei rischi presentati dal trattamento, in particolare dalla distruzione accidentale o illecita, perdita, alterazione, divulgazione non autorizzata di, o accesso a, Dati Personali trasmessi, conservati o altrimenti trattati.

   
   

Articolo D.2 Notifica di Violazione dei Dati

Il Processatore notificherà al Controllore senza indebito ritardo qualsiasi distruzione accidentale o illecita, perdita, alterazione o divulgazione non autorizzata o accesso a Dati Personali dopo la scoperta, nella misura in cui la Violazione dei Dati è solo correlata al trattamento dei Dati Personali da parte del Processatore in qualità di processatore. Se e dove la Violazione dei Dati riguarda Dati Personali per cui il Processatore è considerato Controllore come descritto nella Privacy Policy del Processatore, il Processatore si riserva il diritto di trattare la Violazione dei Dati come un controllore. 

Un ritardo nel dare un avviso di Violazione dei Dati richiesto dalle forze dell'ordine e/o alla luce delle legittime esigenze del Processatore di indagare o porre rimedio alla questione prima di fornire l'avviso non costituirà un indebito ritardo. Tali avvisi descriveranno, nella misura possibile, i dettagli della Violazione dei Dati, incluse le azioni intraprese per mitigare i potenziali rischi. Senza pregiudicare gli obblighi del Processatore ai sensi di questa Sezione D.1, il Controllore è l'unico responsabile per il rispetto delle leggi sulla Notifica di Violazione dei Dati applicabili al Controllore e per adempiere a qualsiasi obbligo di notifica a terze parti correlato a qualsiasi Violazione dei Dati. La notifica di o la risposta a una Violazione dei Dati da parte del Processatore ai sensi di questa Sezione D.1. non sarà intesa come un'ammissione da parte del Processatore di qualsiasi colpa o responsabilità rispetto alla Violazione dei Dati.

Qualsiasi costo sostenuto nella risoluzione della Violazione dei Dati e nell'attuazione delle misure necessarie per prevenire una tale Violazione dei Dati in futuro sarà a carico della Parte che sostiene i costi.

SEZIONE E: AUDIT

Articolo E.1 Diritto di Audit 

Il Controllore avrà il diritto di richiedere, previa ragionevole notifica, rapporti di audit dal Processatore relativi al Trattamento dei Dati Personali nell'ambito dei servizi forniti in base a questo DPA.

I rapporti di audit, come riferito in questa clausola, devono includere ma non essere limitati a, rapporti relativi alla sicurezza, alla riservatezza e alle misure di protezione dei dati implementate dal Processatore in relazione al Trattamento dei Dati Personali. Questi rapporti possono anche coprire la conformità alle Leggi sulla Protezione dei Dati pertinenti.

Le richieste di rapporti di audit devono essere presentate per iscritto e inviate a privacy@mollie.com, specificando l'ambito e lo scopo della richiesta. Il Processatore dovrà riconoscere la ricezione di tali richieste in modo tempestivo.

La ricezione dei rapporti di audit sarà soggetta a un dovere professionale di riservatezza. Il Controllore potrà utilizzare i rapporti di audit solo per soddisfare i requisiti normativi di audit del Controllore e confermare che il Trattamento dei Dati Personali da parte del Processatore sia conforme a questo DPA. I rapporti di audit non devono essere condivisi esternamente.

SEZIONE F: VALUTAZIONI D'IMPATTO SULLA PROTEZIONE DEI DATI E CONSULTAZIONI PREVENTIVE

Articolo F.1 Assistenza

Il Processatore assisterà il Controllore nel condurre una valutazione dell'impatto del Trattamento dei Dati Personali (articolo 35 GDPR) e in eventuali consultazioni con un'Autorità di Controllo (articolo 36 GDPR), se e nella misura in cui una valutazione o una consultazione debbano essere effettuate in conformità alle Leggi sulla Protezione dei Dati e dove il Processatore sia permesso e/o obbligato a cooperare.

SEZIONE G: DIRITTI DEI SOGGETTI DEI DATI

Articolo G.1 Assistenza

Se il Processatore riceve una richiesta da un Soggetto dei dati in relazione ai Dati Personali del Controllore, il Processatore consiglierà al Soggetto dei dati di inviare la loro richiesta al Controllore e/o inoltrerà la richiesta al Controllore, e il Controllore sarà responsabile di rispondere a tali richieste.

Su richiesta del Controllore e a spese del Controllore, il Processatore fornirà al Controllore l'assistenza ragionevole che può richiedere per soddisfare gli obblighi in base alle Leggi sulla Protezione dei Dati per rispondere alle richieste dei soggetti dei dati di esercitare i loro diritti in base alle Leggi sulla Protezione dei Dati (ad esempio, diritti di accesso, rettifica, cancellazione, limitazione, portabilità e opposizione) nei casi in cui il Controllore non possa ragionevolmente soddisfare tali richieste in modo indipendente tramite l'accesso ai prodotti e servizi del Processatore.

SEZIONE H: VARIE 

Articolo H.1 Riservatezza 

Il Processatore manterrà riservati tutti i Dati Personali e garantirà che tutti i dipendenti, agenti, funzionari e appaltatori che accedano o siano coinvolti nel Trattamento dei Dati Personali siano consapevoli della natura riservata dei Dati Personali e siano contrattualmente obbligati a mantenere riservati i Dati Personali e siano informati e rispettino gli obblighi di questo DPA.

Articolo H.2 Responsabilità

Qualsiasi responsabilità derivante da questo DPA sarà gestita dalle disposizioni rilevanti dell'Accordo dell'Utente, incluse le limitazioni di responsabilità. 

Nonostante le disposizioni dell'Accordo dell'Utente, ciascuna Parte sarà responsabile verso l'altra Parte per qualsiasi danno che causi all'altra Parte con qualsiasi violazione di questo DPA. Questi danni devono essere chiaramente dimostrati. Il Processatore sarà responsabile solo per il danno causato dal trattamento dove non ha rispettato gli obblighi delle Leggi sulla Protezione dei Dati specificamente diretti ai processatori di dati o dove ha agito al di fuori o contrariamente alle istruzioni legittime del Controllore come descritto in questo DPA. In tale contesto, il Processatore sarà responsabile solo se il Controllore dimostra che il Processatore è responsabile per l'evento che ha dato origine al danno.

Il Controllore sarà l'unico responsabile verso il Soggetto dei Dati, e il Soggetto dei Dati avrà diritto a ricevere un risarcimento, per qualsiasi danno materiale o immateriale che il Controllore o il Processatore (o i suoi Sub-processori) causi al Soggetto dei Dati violando questo DPA.

Articolo H.3 Durata e Risoluzione 

La durata di questo DPA coinciderà con l'inizio dell'Accordo dell'Utente e/o l'uso del prodotto o servizio specifico come incluso nell'Allegato A.

Questo DPA terminerà automaticamente insieme alla risoluzione dell'Accordo dell'Utente e/o all'uso del prodotto o servizio specifico come incluso nell'Allegato A, a seconda di quale venga risolto per primo.

Alla risoluzione di questo DPA, il Processatore dovrà, su richiesta del Controllore, restituire i Dati Personali al Controllore o a un Processatore designato dal Controllore, o cancellare i Dati Personali, a meno che il Processatore non sia tenuto a mantenere una copia in conformità con qualsiasi legge della Unione Europea o qualsiasi Stato membro dell'Unione Europea.

SEZIONE I: DISPOSIZIONI FINALI 

Articolo I.1 Intero Accordo 

Questo DPA costituisce una parte dell'Accordo dell'Utente. Tutti i diritti e obblighi derivanti dall'Accordo dell'Utente sono anche applicabili a questo DPA. L'Allegato A costituisce parte integrante di questo DPA.

Articolo I.2 Modifica solo per accordo 

Nessuna variazione di questo DPA sarà valida a meno che non sia per iscritto e firmata da rappresentanti autorizzati di ciascuna Parte. 

Articolo I.3 Separabilità 

Ciascuna delle disposizioni in questo DPA è distintiva e separabile, e se qualsiasi disposizione, o parte di una disposizione è ritenuta inapplicabile, illegale o nulla in tutto o in parte da qualsiasi corte o autorità competente, sarà a tal proposito considerata non parte di questo DPA e l'applicabilità, legalità e validità del resto di questo DPA non sarà in alcun modo compromessa. Le Parti concordano di tentare di sostituire qualsiasi disposizione invalida o inapplicabile con una disposizione valida o applicabile che raggiunga nella misura maggiore possibile lo stesso effetto che sarebbe stato ottenuto dalla disposizione invalida o inapplicabile. Fatti salvi gli emendamenti implementati da questo DPA, l'Accordo dell'Utente rimane invariato e in pieno vigore ed effetto.

Articolo I.4 Diritto di Assegnazione 

Le Parti possono trasferire questo DPA solo in linea con l'Accordo dell'Utente (clausola 8.9). 

Articolo I.5 Legge Applicabile 

Questo DPA sarà regolato e interpretato in conformità con le leggi dei Paesi Bassi. Ciascuna Parte acconsente alla giurisdizione esclusiva dei tribunali di Amsterdam per risolvere qualsiasi disputa derivante da questo DPA. Se qualsiasi tribunale o organo amministrativo di giurisdizione competente trovi qualsiasi disposizione di questo DPA invalida, inapplicabile o illegale, le altre disposizioni di questo DPA rimarranno in pieno vigore ed effetto.

ALLEGATO A - SPECIFICHE DEL TRATTAMENTO DEI DATI PERSONALI 

1. SCopo DEL TRATTAMENTO

Il trattamento dei Dati Personali è direttamente correlato alla fornitura dei servizi forniti nell'ambito dell'Accordo dell'Utente.

Le finalità del trattamento sono:

• Facilitare l'invio di fatture ai Clienti del Controllore tramite i prodotti e servizi di Mollie 

2. CATEGORIE DI SOGGETTI DEI DATI 

Il Processatore tratterà i Dati Personali delle seguenti categorie di Soggetti dei Dati per il Controllore:

• Clienti del Controllore (ad es. il pagatore (consumatori, clienti aziendali))

3. TIPI DI DATI PERSONALI 

Il Processatore tratterà i seguenti tipi di Dati Personali per il Controllore:

• Dettagli di contatto di base (includono nome completo, numero di telefono (ufficio), indirizzo email (aziendale), indirizzo residenziale/aziendale)

• Dettagli di fatturazione (inclusi dal Controllore)

Nessuna categoria speciale di Dati Personali (come definito dall'articolo 9 del GDPR) sarà trattata dal Processatore. 

4. MISURE DI SICUREZZA 

Contesto 

In quanto istituto finanziario, i controlli di sicurezza e le procedure operative che Mollie ha creato per le nostre applicazioni, sistemi e processi IT sono soggetti a revisione da parte della Banca Centrale Olandese (DNB), che a sua volta utilizza linee guida dall'Autorità Bancaria Europea (EBA) per gli standard tecnici cui i titolari di licenze dovrebbero attenersi. 

Inoltre, in quanto Mollie (oltre) opera come controllore dei dati personali, è regolamentata da altre normative che stabiliscono standard per la sicurezza e la protezione dei dati, applicati da autorità aggiuntive - in particolare il GDPR e il suo regolatore nei Paesi Bassi (Autoriteit Persoonsgegevens). 

Inoltre, i sistemi che trattano i dati delle carte specificamente sono conformi al livello 1 degli standard PCI DSS, il che significa che questa particolare applicazione e le procedure per svilupparla e mantenerla sono soggette alle misure di protezione dei dati delineate dal Consiglio PCI, la conformità a cui Mollie è valutata da una parte esterna ogni anno.

Misure Generali

Tutte le applicazioni, i sistemi e le procedure relative sono soggetti alla Politica di Sicurezza delle Informazioni di Mollie. Punti salienti di questa e altre politiche rilevanti per l'ambito dei servizi forniti sono:

• Screening dei dipendenti

• Programma di formazione sulla sicurezza per sviluppatori

• Programma di sensibilizzazione sulla sicurezza

• Segregazione dei compiti

• Gestione dei cambiamenti

• Gestione delle vulnerabilità

• Gestione degli incidenti

• Gestione della resilienza e dei backup

• Accurato controllo degli accessi (IAM e IGA)

• Revisioni di autorizzazione degli utenti

• Standard di classificazione dei sistemi

• Standard di classificazione dei dati e politica sui dati

• Standard di configurazione sicura basati sulle migliori pratiche del settore, forzatura della politica (irrigidimento)

• Segregazione dell'ambiente di rete fisico e logico

• Standard di cifratura sicura

• Gestione delle chiavi di cifratura

• Cifratura (in transito, a riposo per ambienti infrastrutturali condivisi come il cloud)

• Gestione del rischio di terze parti

• Disponibilità e monitoraggio degli errori

• Ciclo di vita di sviluppo sicuro

  • Modellazione delle minacce su grandi cambiamenti e nuove funzioni

  • Gestione delle dipendenze e scansione delle vulnerabilità note

  • Analisi di sicurezza del codice statico

  • Scansione interna ed esterna delle vulnerabilità

• Programma di divulgazione coordinata delle vulnerabilità (CVD) e programma di bug bounty

• Programma di intelligence sulle minacce (ad es. partecipazione al PI-ISAC olandese, Centro di condivisione e analisi delle informazioni per le istituzioni di pagamento, monitoraggio del dark web)

• Collaborazione con fornitore di servizi di sicurezza gestiti (MSSP) per operazioni di sicurezza, analisi e indagini forensi

• Gestione delle Informazioni e degli Eventi di Sicurezza (SIEM)

• Sicurezza degli endpoint del personale

• Sicurezza email

Piattaforma Mollie

Oltre alle misure di sicurezza generali sopra escluse, l'applicazione della Piattaforma Mollie è coperta dalle seguenti misure di sicurezza - derivanti dall'implementazione delle nostre politiche generali di sicurezza o come misura per mitigare un rischio riconosciuto nella valutazione del rischio specifica dell'applicazione:

• Controllo dell'accesso a due fattori

• Test di penetrazione di terze parti

• Gestione degli incidenti di sicurezza

• Mitigazione DDoS

• Risposta agli incidenti di sicurezza

• Monitoraggio della disponibilità

• Conservazione sicura delle credenziali

• Infrastruttura ridondante

• Failover per il recupero in caso di disastro

• Limitazione della velocità e blocco

• Politica di Content-Security rigorosa

• Captcha

• Firewall per applicazioni web

ALLEGATO B - PANORAMICA DEI SUB-PROCESSORI