Trust #
Tutto ciò di cui un addetto all’approvvigionamento, un DPO o un team legale ha bisogno per valutare EthicsPortal.
Ultimo aggiornamento: 2026-05-24.
Parte contraente #
- Nome del servizio: EthicsPortal
- Operatore: Yaroslav Shmarov
- Indirizzo registrato: ul. Obrzeżna 1A, 02-691 Varsavia, Polonia
- Numero di identificazione fiscale (NIP): 5272755790
- Firmatario autorizzato per accordi commerciali, DPA e questionari di sicurezza: Yaroslav Shmarov
- Contatto commerciale: support@ethicsportal.eu
- Contatto per la sicurezza: security@ethicsportal.eu
- Contatto per privacy e protezione dei dati: privacy@ethicsportal.eu
Le evidenze di registro e i documenti contrattuali firmati sono forniti su richiesta durante l’approvvigionamento.
Residenza dei dati e rapporto di responsabile del trattamento #
Nel modello di abbonamento standard, il cliente è il titolare del trattamento ed EthicsPortal agisce in qualità di responsabile del trattamento per i dati delle segnalazioni del cliente.
I dati principali delle segnalazioni, inclusi l’applicazione, il database e l’archiviazione dei file, sono ospitati a Norimberga, in Germania, su Hetzner . Le email transazionali transitano tramite Mailjet (Francia). Il sito di marketing utilizza un solo sub-responsabile del trattamento extra-UE nominato, Cloudflare (CDN), elencato per intero nella pagina sub-responsabili del trattamento . Il portale di segnalazione e il portale dei gestori non caricano Cloudflare.
Continuità e personale #
I dati del cliente sono recuperabili indipendentemente dalla disponibilità dell’operatore. In qualsiasi momento del rapporto e alla cessazione del contratto, le organizzazioni clienti hanno diritto a un’esportazione completa e leggibile da macchina dei propri dati, oltre a un periodo definito di dismissione per migrare verso un fornitore alternativo. Queste disposizioni sono indicate nell’accordo sul trattamento dei dati e dettagliate nel piano di continuità operativa , che definisce gli eventi scatenanti di attivazione, RPO 24 ore / RTO 4 ore e la procedura in caso di indisponibilità dell’operatore.
Backup. Dump PostgreSQL crittografati giornalieri su Hetzner Object Storage (UE, conservazione di 7 giorni) più snapshot a livello di server Hetzner (conservazione di 7 giorni). Ultima esercitazione di ripristino: 2026-05-14.
Ambito del personale. Tutti i dati dei clienti sono trattati dall’operatore nominato. Non vi sono altri dipendenti o collaboratori — una scelta deliberata di ambito che rimuove dal modello delle minacce i rischi lato fornitore legati al personale (carenze nelle verifiche dei precedenti, fughe in fase di assunzione/cessazione, proliferazione di collaboratori). I controlli sull’accesso privilegiato dell’operatore nominato sono documentati e disponibili durante la verifica in fase di approvvigionamento.
Stato delle certificazioni #
EthicsPortal attualmente non dichiara su questo sito una certificazione ISO 27001 accreditata. Non risulta attualmente un penetration test esterno indipendente. Quando una delle due cose cambierà, qui verranno pubblicati il nome della certificazione (oppure l’ambito, la data e il riepilogo dei rimedi del test).
In luogo di una certificazione accreditata, EthicsPortal pubblica un’autovalutazione strutturata rispetto agli stessi insiemi di controlli che un audit esterno valuterebbe:
- Una mappa dei controlli dell’Allegato A della ISO/IEC 27001:2022 che copre tutti i 93 controlli, con lo stato (Implementato / Autovalutato / Non applicabile / Controllo compensativo) e i riferimenti alle evidenze per ciascuno.
- Una mappa di allineamento alle linee guida della ISO 37002:2021 che copre il ciclo di vita della gestione del whistleblowing clausola per clausola, con l’indicazione del confine tra software e operatore. (La ISO 37002 è una norma di linee guida — nessuna organizzazione può essere certificata rispetto ad essa; l’allineamento è l’unica affermazione onesta che un fornitore possa fare.)
- Documenti di policy nominati su /policies/ : politica di sicurezza delle informazioni , piano di continuità operativa , registro dei rischi .
- Un questionario allineato al CAIQ precompilato per le domande le cui risposte sono già documentate pubblicamente.
L’autovalutazione è la sostanza che un accreditamento attesterebbe. EthicsPortal la pubblica direttamente affinché un addetto all’approvvigionamento possa valutare le stesse evidenze senza attendere un revisore.
Ciclo di vita operativo #
| Domanda | Risposta |
|---|---|
| Disponibilità in tempo reale | Pubblicata su secure.ethicsportal.eu/up per le superfici coperte. Vedi l’accordo sul livello di servizio per la metodologia di misurazione e le esclusioni. |
| Ciclo di vita di sessioni e accessi | Le sessioni scadono automaticamente dopo 14 giorni di inattività e vengono ripulite ogni notte. Gli utenti possono esaminare e revocare le proprie sessioni in qualsiasi momento. Ogni sessione registra last_seen_at, così i dispositivi obsoleti sono identificabili. La disattivazione di un membro interrompe l’accesso al confine della richiesta, annulla l’assegnazione delle segnalazioni aperte e rimuove le partecipazioni preservando la cronologia di audit. Vedi Sicurezza
. |
| Backup e ripristino | Dump PostgreSQL crittografati giornalieri su Hetzner Object Storage (UE, conservazione di 7 giorni) più snapshot a livello di server Hetzner (conservazione di 7 giorni). RPO 24 ore, RTO 4 ore. Ultima esercitazione di ripristino: 2026-05-14. Vedi Sicurezza . |
| Gestione delle dipendenze e delle patch | SCA continuo in CI (Brakeman, bundler-audit, importmap audit) più aggiornamenti settimanali di Dependabot. Nessun componente a fine vita in produzione. Vedi Sicurezza . |
| Esportazione ed eliminazione | L’esportazione del caso in PDF è disponibile in-app per ogni caso (descrizione, messaggi, registro delle attività, allegati). L’esportazione massiva leggibile da macchina dell’intero set di dati dell’organizzazione è disponibile su richiesta alla cessazione del contratto. Gli impegni contrattuali sono nell’accordo sul trattamento dei dati . |
| Obiettivi di ripristino | Vedi l’accordo sul livello di servizio . |
Posizioni contrattuali #
Un’unica fonte di verità per le domande contrattuali che i team di approvvigionamento aziendale pongono più di frequente. Ogni riga rimanda al documento che disciplina la materia.
| Voce | Posizione di EthicsPortal |
|---|---|
| Massimale di responsabilità aggregata | 12 mesi di corrispettivi versati nei 12 mesi precedenti l’evento da cui deriva la pretesa (Termini §11 ). L’accordo sul trattamento dei dati, l’accordo sul livello di servizio e la manleva per la proprietà intellettuale rientrano tutti nello stesso massimale aggregato. |
| Manleva per violazione della proprietà intellettuale | L’operatore difenderà il Titolare del trattamento da pretese di terzi in materia di diritto d’autore, marchi o brevetti derivanti dall’uso del Servizio in conformità ai Termini, fatte salve le esclusioni standard (modifiche del cliente, uso non autorizzato, combinazioni non autorizzate) e il massimale di responsabilità aggregata. Vedi Termini §12 . |
| Finestra di notifica delle violazioni | Senza ingiustificato ritardo e in ogni caso entro 72 ore dalla conoscenza (DPA §6.6 ), in linea con l’Art. 33 del GDPR. Nei piani standard non viene offerta contrattualmente alcuna finestra più breve, perché finestre più brevi rischiano una notifica prematura e sono in conflitto con la soglia forense imposta dal GDPR. |
| Diritti di audit | Ai sensi dell’Art. 28(3)(h) del GDPR, con almeno 30 giorni di preavviso e durante il normale orario lavorativo (DPA §6.9 ). Il Responsabile del trattamento risponderà a questionari di sicurezza scritti in luogo dell’audit in loco, ove la verifica del Titolare del trattamento possa essere soddisfatta in tal modo. |
| Crediti di servizio | I piani standard non includono crediti di servizio monetari. I rimedi per inadempimenti rilevanti o ripetuti in materia di disponibilità sono disciplinati dal massimale di responsabilità aggregata (SLA ). |
| Chiavi di crittografia gestite dal cliente (BYOK / KMS esterno) | Non supportate. Le chiavi gestite dal Responsabile del trattamento sono necessarie per mantenere il confine delle chiavi segnalante–gestore e la garanzia di eliminazione end-to-end. Vedi DPA §6.11 . |
| Deposito del codice sorgente in escrow | Non offerto. La continuità è gestita tramite le disposizioni in caso di indisponibilità dell’operatore del piano di continuità operativa e i diritti di esportazione ed eliminazione dei dati del Titolare del trattamento ai sensi del DPA §6.8 . |
| Preavviso di modifica dei sub-responsabili del trattamento | Almeno 30 giorni prima di aggiungere o sostituire un sub-responsabile del trattamento; il Titolare del trattamento può opporsi e risolvere il contratto se non si raggiunge una soluzione (DPA §6.4 ). |
| Esportazione ed eliminazione dei dati alla cessazione | Esportazione del caso in PDF self-service nel prodotto, più esportazione massiva leggibile da macchina su richiesta alla cessazione, più eliminazione entro 30 giorni dalla cessazione dell’abbonamento su richiesta scritta (DPA §6.8 ). |
| Assicurazione di responsabilità cyber | In fase di valutazione. L’importo della copertura e la compagnia saranno pubblicati qui una volta attivati. |
| Penetration test esterno indipendente | Attualmente nessuno risulta agli atti. Ambito, data e riepilogo dei rimedi saranno pubblicati qui una volta eseguito. |
| Legge applicabile e foro competente | Legge polacca; tribunali di Varsavia (Termini §13 ). I consumatori dell’UE conservano il diritto di agire nel proprio Paese di residenza. |
Queste posizioni si riflettono nei Termini di servizio , nell’accordo sul trattamento dei dati e nell’accordo sul livello di servizio pubblicati. Nei piani standard non sono concesse deviazioni sostanziali.
Documenti pubblici #
Tutto ciò di cui un addetto all’approvvigionamento ha bisogno è pubblicato apertamente. Raggruppato in base alla funzione del documento.
Contrattuali #
Ciò che disciplina il rapporto tra EthicsPortal e il cliente.
| Documento | Finalità |
|---|---|
| Termini di servizio | Termini dell’abbonamento, annullamento, rimborsi, massimale di responsabilità, manleva sulla proprietà intellettuale |
| Accordo sul trattamento dei dati | Termini per il responsabile del trattamento ai sensi dell’art. 28 del GDPR |
| Accordo sul livello di servizio | Obiettivo di disponibilità e misurazione |
| Informativa sulla privacy | Come vengono trattati i dati personali |
Operativi #
Come funziona il Servizio nel quotidiano e chi altro è coinvolto.
| Documento | Finalità |
|---|---|
| Sicurezza | Misure tecniche e organizzative |
| Sub-responsabili del trattamento | Sub-responsabili del trattamento nominati e relativo ambito |
| Registro degli incidenti | Incidenti rilevanti che interessano i dati personali |
| Accessibilità | Stato di conformità EAA / EN 301 549 |
Riferimento alla Direttiva #
Come EthicsPortal si rapporta alla Direttiva (UE) 2019/1937 e come la interpreta.
| Documento | Finalità |
|---|---|
| Mappa di copertura della Direttiva (UE) 2019/1937 | Mappa funzione-articolo della Direttiva (UE) 2019/1937 |
| Interpretazioni della Direttiva (UE) 2019/1937 | Posizioni interpretative sulle disposizioni ambigue della Direttiva |
| Normativa sul whistleblowing per Paese | Recepimenti nazionali, autorità competenti |
| Sanzioni per Paese | Sanzioni pecuniarie e responsabilità penale per Stato membro |
Autovalutazione #
I documenti di policy nominati e le mappe dei controlli che un audit esterno valuterebbe.
| Documento | Finalità |
|---|---|
| Politica di sicurezza delle informazioni | Dichiarazione di intenti, ambito, ruoli, impegni sui controlli |
| Piano di continuità operativa | Eventi scatenanti di attivazione, obiettivi di ripristino, dichiarazione sull’indisponibilità dell’operatore |
| Registro dei rischi | Rischi principali, trattamento, posizione residua |
| Mappa dei controlli dell’Allegato A della ISO/IEC 27001:2022 | Autovalutazione strutturata rispetto a tutti i 93 controlli |
| Questionario allineato al CAIQ | Valutazione di sicurezza del fornitore precompilata (struttura per domini CSA CAIQ v4) |
Disponibili durante la verifica in fase di approvvigionamento #
I materiali seguenti sono condivisi tramite divulgazione controllata anziché pubblicati apertamente:
- DPA firmato
- Estratto di registro e prova del NIP / fiscale
- Questionario di sicurezza compilato
- Riepilogo dell’accesso privilegiato in produzione
- Riepilogo di risposta agli incidenti
- Risposte su continuità operativa, cessazione ed esportazione dei dati del cliente
- Riepilogo del penetration test esterno (quando agli atti)
Per richiederli, scrivi a support@ethicsportal.eu . Per domande sulla verifica di sicurezza, scrivi a security@ethicsportal.eu .
Ultimo aggiornamento: