Passa al contenuto principale

Sicurezza e privacy dei dati di Mailchimp

Sicurezza

Scarica la pagina

Mailchimp prende molto sul serio la sicurezza dei dati e la privacy e capisce che le misure e le pratiche adottate per la sicurezza sono importanti per te. Anche se non possiamo rivelare troppi dettagli sulle nostre pratiche (dati che potrebbero fornire preziose informazioni proprio ai soggetti da cui ci difendiamo), possiamo però condividere informazioni generali per rassicurarti sul modo in cui proteggiamo i dati che ci affidi.


Sicurezza del data center

  • Mailchimp consegna ogni mese miliardi di email a milioni di utenti. Utilizziamo più MTA, collocati in diversi data center di livello mondiale negli Stati Uniti.
  • I nostri data center gestiscono la sicurezza fisica 24 ore su 24, 7 giorni su 7, con scanner biometrici e i ben noti strumenti high-tech di cui i data center si vantano sempre.
  • Abbiamo implementato la mitigazione DDOS in tutti i nostri data center.
  • Abbiamo un piano di continuità operativa dell'infrastruttura documentato "in caso di attacco nucleare a un data center".


Protezione contro la perdita e la corruzione dei dati

  • Gli account utente sono separati l'uno dall'altro attraverso più livelli logici che ne impediscono il danneggiamento e la sovrapposizione
  • L'infrastruttura tecnologica di Mailchimp include dispositivi di rete come firewall e strumenti IDS/IPS strategicamente posizionati per controllare e monitorare il traffico di rete contro la perdita e il danneggiamento dei dati
  • I dati dell’account vengono regolarmente sottoposti a mirroring e a backup off site.


Sicurezza a livello di applicazione

  • Le password degli account Mailchimp sono sottoposte a hashing. Neanche il nostro personale può visualizzarle. Se perdi la password, non puoi recuperarla: devi reimpostarla.
  • Tutte le pagine di accesso (dal nostro sito web e dal sito web mobile) trasmettono i dati tramite TLS 1.2 o superiore.
  • L'intera applicazione Mailchimp è crittografata con TLS 1.2 o superiore.
  • Le pagine di accesso e gli accessi tramite l'API Mailchimp hanno una protezione brute-force.
  • Offriamo la possibilità di abilitare le notifiche via email o SMS sulle attività chiave.
  • Offriamo la possibilità di abilitare l'autenticazione a due fattori (2FA) sul tuo account Mailchimp.
  • Eseguiamo regolarmente test di penetrazione della sicurezza esterni e interni nel corso dell'anno utilizzando diversi fornitori. Si tratta di test di penetrazione dei server di alto livello, test approfonditi per rilevare vulnerabilità all'interno dell'applicazione ed esercitazioni di social engineering.
    • I risultati dei nostri test di penetrazione vengono mantenuti strettamente riservati. Possiamo confermare che tutti i risultati vengono esaminati e riparati.


Sicurezza IT interna

  • Gli uffici Mailchimp sono protetti tramite accesso con chiave magnetica e biometria, oltre a essere controllati interamente con termocamere.
  • La nostra rete di uffici è fortemente segmentata e monitorata a livello centrale.
  • Disponiamo di un team di sicurezza interno dedicato che verifica costantemente il nostro ambiente per rilevare eventuali vulnerabilità. Esegue test di penetrazione ed esercitazioni di social engineering sul nostro ambiente e sui nostri dipendenti. Il nostro team di sicurezza include membri certificati OSCP e CISSP.


Protocollo interno e formazione

  • Formiamo continuamente i dipendenti sulle migliori pratiche di sicurezza, per esempio come identificare pratiche di social engineering, truffe phishing e hacker.
  • I dipendenti dei team che hanno accesso ai dati dei clienti (come il supporto tecnico e i nostri ingegneri) vengono sottoposti a controlli dei precedenti penali e creditizi prima dell’impiego.
  • Tutti i dipendenti firmano un Accordo di tutela della privacy che delinea la loro responsabilità nella protezione dei dati dei clienti.
  • Al fine di proteggere la nostra azienda da una varietà di perdite, Mailchimp ha istituito un programma assicurativo completo. La copertura include, a titolo esemplificativo ma non esaustivo: copertura per incidenti informatici, incidenti relativi alla privacy dei dati (comprese le spese normative), copertura generale per responsabilità per errori e omissioni, copertura eccedente di responsabilità civile informatica, copertura per interruzione di proprietà e attività, nonché copertura per responsabilità commerciale generale internazionale.


Certificazioni di conformità Mailchimp

Il gestore di servizi di elaborazione delle carte di credito di Mailchimp usa misure di sicurezza per proteggere le tue informazioni sia durante sia al termine della transazione. Il nostro gestore è certificato come conforme alle iniziative di sicurezza delle associazioni di carte di credito, tra cui Cardholder Information Security and Compliance (CISP) di Visa, il programma Site Data Protection (SDP) di MasterCard® e il Discover Information Security and Compliance (DISC).

I nostri report SOC 2 riguardano i controlli sulla sicurezza, la disponibilità e l'integrità dei processi dei dati dei clienti.

Lo standard 27001 dell’Organizzazione internazionale per la standardizzazione (ISO 27001) è uno standard di sicurezza delle informazioni che garantisce la gestione sicura di uffici, centri di sviluppo, centri di supporto e data center. Queste certificazioni hanno una durata di 3 anni (audit di rinnovo) e sono sottoposte ad audit annuali dei punti di contatto (audit di sorveglianza).

Mailchimp gestisce anche un VPAT, o Voluntary Product Accessibility Template (VPAT®). Questo documento spiega come i prodotti della tecnologia dell'informazione e comunicazione (ICT), quali software, hardware, contenuti elettronici e documentazione di supporto, soddisfino e siano conformi all'aggiornamento degli standard della sezione 508 per l'accessibilità delle tecnologie dell'informazione.

Per accedere e scaricare le nostre certificazioni, visita il portale Intuit Compliance qui.


Proteggerci da te

Sì, hai capito bene. Possiamo proteggerci come Fort Knox, ma se il tuo computer viene compromesso e qualcuno entra nel tuo account Mailchimp, non farà bene a nessuno.

  • Monitoriamo e sospendiamo automaticamente gli account per rilevare eventuali segni di attività di accesso irregolare o sospetta.
  • Alcune modifiche al tuo account, come il cambio della password, attiveranno l’invio di notifiche email al titolare dell’account.
  • Monitoriamo gli account e l’attività della campagna per rilevare eventuali segni di abuso.
  • Oltre ai nostri algoritmi scalabili, utilizziamo un altro livello di revisori umani, che monitorano l’attività anomala di account ed email.
  • Offriamo la possibilità di stabilire livelli di accesso a più livelli all’interno degli account.


Investire nella tua privacy

  • Il nostro team per la privacy collabora con i team di tutta l'organizzazione per garantire che i nostri prodotti e le nostre funzionalità siano conformi alle leggi applicabili in materia di protezione dei dati e anti-spam.
  • Esaminiamo e aggiorniamo regolarmente le informative legali che influiscono sul nostro rapporto con l'utente.
  • Ci impegniamo a rispettare le leggi applicabili in materia di protezione dei dati e a fornire ai nostri clienti gli strumenti per aiutarli a soddisfare i propri requisiti di conformità.
  • Ci avvaliamo di uno studio legale nell'UE e nel Regno Unito per la consulenza sulle leggi in materia di privacy e protezione dei dati.
  • Ci sottoponiamo a una verifica annuale da parte di una terza parte esterna con sede negli Stati Uniti ai sensi dell'EU-U.S. Data Privacy Framework (EU-U.S. DPF), dell'Estensione del Regno Unito al DPF EU-U.S. e dello Swiss-U.S. Data Privacy Framework (Swiss-U.S. DPF). Intuit e Mailchimp si affidano all'EU-U.S. DPF per il trasferimento dei dati e si affideranno all'estensione del Regno Unito all'EU-U.S. DPF e al DPF Svizzera-USA una volta approvato dalle autorità competenti. Siamo soggetti ai poteri di indagine e di applicazione della Federal Trade Commission. Puoi trovare maggiori informazioni sulla certificazione Data Privacy Framework di Intuit e Mailchimp qui.
  • Siamo membri di gruppi come ESPC, M3AAWG, ISC2, ISACA, ISSA, SANS e altri ancora.
  • I dirigenti della nostra organizzazione per la privacy sono membri attivi dell'Associazione internazionale dei professionisti della privacy (IAPP) e detengono collettivamente le certificazioni CIPP/US, CIPP/G, CIPP/E, CIPM e CIPT.
  • Le informazioni sulla conformità al GDPR sono disponibili qui.


Programma di divulgazione responsabile

Mailchimp si impegna a garantire la sicurezza dei nostri servizi e delle informazioni dei clienti. Nell’ambito di questo impegno, incoraggiamo i ricercatori che si occupano di sicurezza a contattarci per segnalare eventuali potenziali punti deboli identificati in qualsiasi prodotto, sistema o risorsa appartenente a Intuit. Questo programma non intende rappresentare un programma pubblico di bug bounty e non offriamo premi o compensi per aver presentato potenziali problemi. Apprezziamo il tuo impegno a migliorare i servizi Mailchimp.

Linee guida sulla divulgazione responsabile

I ricercatori che si occupano di sicurezza divulgheranno potenziali punti deboli in conformità alle seguenti linee guida:

Cosa fare

  • Condividi il problema di sicurezza con noi prima di renderlo pubblico (ad es. su bacheche, mailing list o altri forum).
  • Attendi fino a quando non ti forniremo la notifica che la vulnerabilità è stata risolta prima di divulgarla a terze parti. Ci concentriamo sulla sicurezza dei nostri clienti e dei nostri sistemi e alcune vulnerabilità richiedono più tempo di altre.
  • Fornisci una descrizione chiara e concisa dei passaggi necessari per riprodurre qualsiasi vulnerabilità inviata.
  • Fornisci i dettagli completi relativi al problema di sicurezza, tra cui l’URL della prova di concetto (Proof of Concept, POC), nonché i dettagli del sistema (o dei sistemi) in cui sono stati condotti i test.

Cosa non fare

  • Non danneggiare Mailchimp, Intuit, i suoi clienti, azionisti, partner o dipendenti.
  • Non intraprendere alcuna azione che possa causare un’interruzione o interrompere i servizi di Mailchimp.
  • Non intraprendere attività illegali o atti che violino leggi o regolamenti internazionali o leggi o regolamenti federali o statali.
  • Non archiviare, condividere, compromettere o distruggere dati Mailchimp o dati dei clienti durante lo svolgimento di attività di ricerca. In caso di rilevamento di informazioni di identificazione personale (Personally Identifiable Information, PII), occorre fermarsi e informare immediatamente Mailchimp.
  • Non condurre attività fraudolente o completare transazioni finanziarie fraudolente nell’ambito della tua ricerca.

Vulnerabilità fuori ambito

I seguenti tipi di vulnerabilità non rientrano nell’ambito di questo programma:

  • Phishing
  • Ingegneria sociale
  • Valutazioni della sicurezza fisica
  • Qualsiasi forma di attacco DoS (Denial of Service)


Linee guida per l’invio

Tutti i potenziali punti deboli presentati devono includere informazioni sufficienti per riprodurre e convalidare il problema. La documentazione deve includere un riepilogo dettagliato del problema, degli obiettivi, delle fasi eseguite, delle schermate, degli strumenti utilizzati e di qualsiasi informazione che possa aiutare Intuit durante il triage.

Seguendo queste linee guida e divulgando responsabilmente eventuali punti deboli della sicurezza direttamente a Intuit, accettiamo di non perseguire azioni legali contro l’utente. Mailchimp si riserva i propri diritti legali in caso di mancata conformità alle linee guida del programma.

Mailchimp esaminerà e confermerà tempestivamente qualsiasi problema inviato entro tre giorni lavorativi dall’invio tramite il suo modulo web, disponibile qui: Modulo di divulgazione responsabile.