CONTESTO

Joshua è una piattaforma informatica di Almaviva, che utilizza servizi cloud AWS (Amazon Web Services), che propone una soluzione end-to-end di cyber intelligence per definire, controllare, analizzare e migliorare il livello di sicurezza cyber di un’Organizzazione (di seguito anche “Organizzazione Cliente”).
L’obiettivo di Joshua è quello di “scandagliare” le fonti opensource disponibili in rete al fine di individuare sistemi e dati dell’Organizzazione Cliente esposti sul web o sul dark web. Nei risultati delle scansioni su Internet Joshua rileva, cataloga e inventaria tutte le risorse riconducibili all’Organizzazione di riferimento individuate al di fuori del suo perimetro tradizionale. Questi asset rilevati possono, dunque, includere dominii, indirizzi I.P., server e web application, siti e pagine web, certificati nonché altre infrastrutture esterne di vario genere.
Ciascun asset rilevato è geolocalizzato, mappato in base agli indirizzi Internet pubblici e caratterizzato con tutte le informazioni disponibili che contribuiscono a determinarne il rischio cyber potenziale.
Dalla home page del sito vetrina di Joshua, raggiungibile all’indirizzo www.cyberiskvision.com, è inoltre, possibile raggiungere il modulo “Check me” all’indirizzo checkme.cyberiskvision.com, la cui funzionalità è unicamente quella di fornire la postura esterna di sicurezza del visitatore attraverso l’acquisizione dell’I.P. pubblico e altre informazioni tecniche di natura non personale relative al dispositivo e alla rete del visitatore.

INFORMATIVA

1. Titolare del trattamento

Il Titolare dei trattamenti che sono effettuati in Joshua è l’Organizzazione Cliente.
In relazione al trattamento dei dati del visitatore del Sito, il Titolare è Almaviva S.p.A, sede legale via Casal Boccone 188/190 – 00137 Roma.

2. Finalità del trattamento dei dati personali

I dati personali saranno trattati nella piattaforma Joshua con il solo obiettivo di determinare, controllare, analizzare e migliorare il livello di sicurezza cyber di un’Organizzazione, secondo la descrizione effettuata in “Contesto”.
In relazione alla navigazione sul sito, le informazioni raccolte in esso potranno essere utilizzate per consentire l’erogazione dei Servizi richiesti:
– Check me, che analizza in modalità passiva i dati di navigazione (indirizzo I.P., versione del browser e altre informazioni tecniche di natura non personale) identificando le possibili minacce correlate;
– la risposta a richieste di assistenza o di informazioni.

3. Categorie di Interessati

Le categorie di Interessati sono:

1. dipendenti, collaboratori, personale di Fornitori nel dominio dell’Organizzazione Cliente;
2. dipendenti e collaboratori di Società di Fornitori IT che utilizzano Joshua per la realizzazione e conduzione dei servizi di Sicurezza a cui esso è dedicato e per analisi e approfondimenti preposti ad attività di Sicurezza;
3. tutti i soggetti identificabili dei quali sono acquisiti dati personali, categorie particolari di dati personali e dati personali relativi a condanne penali e reati nell’ambito delle ricerche tra le fonti opensource operate da Joshua;
4. visitatori del Sito.

4. Categorie dei dati personali trattati

Dati relativi alla piattaforma Joshua (joshua.cyberiskvision.com)
Per poter avviare le analisi tra le fonti opensource disponibili in rete alla ricerca dei sistemi e di dati dell’Organizzazione target esposti sul web o sul dark web, Joshua acquisisce:

1. ragione sociale dell’Organizzazione;
2. nome dei brand dell’Organizzazione;
3. elenco dei suoi domini.
4. elenco di indirizzi e-mail del dominio target, limitatamente al caso in cui l’Organizzazione Cliente ha adottato il modulo Discovery Theft Accounts;
5. fatturato;
6. lista delle caselle di posta elettronica di servizio;
7. lista delle caselle di posta elettronica di distribution list;
8. numeri telefonici di fisso e cellulare di dipendenti e collaboratori;
9. user-id e password per la gestione delle utenze di Joshua (ossia dipendenti, collaboratori, personale di Fornitori nel dominio dell’Organizzazione Cliente e dipendenti e collaboratori di Società di Fornitori IT che utilizzano Joshua per la realizzazione e conduzione dei servizi di Sicurezza a cui esso è dedicato e per analisi e approfondimenti preposti ad attività di Sicurezza).

Dati relativi alla navigazione sul sito
Dati specificamente acquisiti dal modulo Check me
Per quanto riguarda specificamente il sito checkme.cyberiskvision.com, il sito raccoglie, previa accettazione dell’utente, le seguenti informazioni:

• l’indirizzo IP pubblico;
• il tipo di sistema operativo utilizzato;
• il tipo di browser e informazioni a esso correlate (anomalie e versioni del browser);
• il tipo di dispositivo (PC, smartphone, etc.).

L’utente ha facoltà di non consentire tale acquisizione con la conseguenza che non sarà possibile usufruire delle funzionalità del modulo Check me.

Dati forniti volontariamente dall’Interessato nel sito www.cyberiskvision.com
Le informazioni volontariamente fornite dall’Interessato che includono dati di tipo anagrafico e identificativo (quali, per esempio, nome e cognome), dati di contatto (tra cui numero di telefono, indirizzo email, indirizzo postale), nonché dati di contenuto quali, a titolo esemplificativo, il testo dei messaggi inviati ad Almaviva, sono conservate per un periodo non superiore a quello necessario per adempiere alle finalità per le quali sono stati comunicati dagli utenti e comunque non oltre 10 giorni dall’invio della risposta alle richieste dell’utente.
Inoltre, anche in www.cyberiskvision.com è acquisito l’indirizzo IP pubblico.

Sono considerati dati personali secondo l’articolo 4, comma 1 del GDPR:

1. ragione sociale dell’Organizzazione;
2. nome dei brand dell’Organizzazione;
3. elenco dei suoi domini.
4. elenco di indirizzi e-mail del dominio target dell’Organizzazione Cliente (solo per il modulo Discovery Theft Accounts);
5. lista delle caselle di posta elettronica di distribution list;
6. numeri telefonici di fisso e cellulare di dipendenti e collaboratori;
7. user-id e password per la gestione delle utenze di Joshua (ossia dipendenti, collaboratori, personale di Fornitori nel dominio dell’Organizzazione Cliente e dipendenti e collaboratori di Società di Fornitori IT che utilizzano Joshua per la realizzazione e conduzione dei servizi di Sicurezza a cui esso è dedicato e per analisi e approfondimenti preposti ad attività di Sicurezza);
8. l’indirizzo IP pubblico;
9. tutti i dati forniti volontariamente dall’Interessato.

5. I trattamenti

I trattamenti effettuati in Joshua sono:

• acquisizione;
• accesso;
• conservazione;
• aggregazione per statistiche e report;
• cancellazione.

Inoltre, Joshua potenzialmente può eseguire analisi semantiche sui dati trattati.

6. Responsabile della Protezione Dati

Il Responsabile della Protezione Dati, per ciò che attiene al trattamento derivante dalla navigazione sul sito, è contattabile presso la sede legale di Almaviva S.p.A., via Casal Boccone 188/190 – 00137 Roma, e-mail: DPO.gruppoalmaviva@almaviva.it.

7. Eventuali destinatari o eventuali categorie di destinatari dei dati personali

I dati personali non saranno comunicati a nessun altro destinatario.

8. Periodo di conservazione dei dati personali

Dati trattati nella piattaforma Joshua
I dati relativi alla piattaforma Joshua sono conservati per un periodo di 10 giorni oltre il termine del Contratto tra Almaviva e l’Organizzazione Cliente. Allo scadere del decimo giorno sono cancellati fisicamente.
Dati trattati nel sito Cyberiskvision
I dati forniti volontariamente dall’utente sono conservati per il tempo strettamente necessario a raggiungere le finalità descritte, nel rispetto dei principi di minimizzazione e limitazione della conservazione ex art. 5 del Regolamento e comunque non oltre 10 giorni dall’invio delle informazioni richieste all’Interessato.

9. Diritti dell’Interessato

L’Interessato potrà esercitare, in qualsiasi momento, i diritti previsti dal Regolamento di seguito elencati, inviando un’apposita richiesta all’indirizzo di posta elettronica dello specifico Responsabile della Protezione Dati di cui al precedente articolo 6.
Per l’esercizio dei diritti in relazione a situazioni legate alla navigazione sul sito l’Interessato potrà inviare un’apposita richiesta scritta alla casella di posta elettronica servizioprivacyalmaviva.it.

1. Diritto di accesso: l’Interessato potrà ottenere dal Titolare del trattamento la conferma che sia o meno in corso un trattamento dei suoi dati personali e, in tal caso, ottenere l’accesso ai dati e alle informazioni previste dall’art. 15 del Regolamento. Se richiesto, il Titolare del trattamento fornirà una copia dei dati personali trattati.
2. Diritto di rettifica e integrazione: l’Interessato ha il diritto di ottenere dal Titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano come pure, tenuto conto delle finalità del trattamento, l’integrazione degli stessi, qualora risultino incompleti.
3. Diritto alla cancellazione: l’Interessato potrà ottenere dal Titolare la cancellazione dei suoi dati personali in presenza di uno dei motivi previsti dall’art. 17 del Regolamento.
4. Diritto di limitazione di trattamento: l’Interessato potrà ottenere la limitazione del trattamento dei dati personali qualora ricorra una delle ipotesi previste dall’art. 18 del Regolamento, tra le quali, a titolo esemplificativo e non esaustivo, la contestazione circa l’esattezza dei dati personali. Se il trattamento è limitato, i dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell’Interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell’Unione europea o di uno Stato membro dell’Unione europea.
5. Diritto alla portabilità dei dati: per i trattamenti basati sul consenso ed effettuati tramite mezzi automatizzati, fuori dai casi previsti dalla legge l’Interessato può ricevere i dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico e ottenere la trasmissione diretta dei dati personali dal Titolare del trattamento a un altro Titolare del trattamento.
6. Diritto revoca del consenso: l’Interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prestato prima della revoca.
7. Diritto di opposizione: sussistendone i presupposti, l’Interessato può inoltre esercitare il diritto di opposizione al trattamento, ai sensi dell’art. 21 del Regolamento.
8. Diritto di proporre un reclamo all’Autorità Garante per la protezione dei dati personali: fatto salvo ogni altro ricorso amministrativo o giurisdizionale, qualora l’Interessato ritenga che il trattamento dei propri dati personali da parte dei Titolari del trattamento violi la disciplina in materia di protezione dei dati personali, ha il diritto di proporre reclamo all’Autorità Garante per la Protezione dei dati personali.

10. Cookie

Il sito utilizza esclusivamente “cookie tecnici” e non utilizza:

• “cookie di profilazione”
• “cookie di terze parti”.

I cookie tecnici sono quelli utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio”.

Roma, 21/12/2023