Regolamento sui dati personali Security Cloud

Cos'è F‑Secure Security Cloud?

F‑Secure Security Cloud è una knowledge base online di threat intelligence e reputazione digitale. Security Cloud è gestita da F‑Secure e offre servizi di protezione F‑Secure. La sua funzione principale è individuare contenuti e comportamenti dannosi e indesiderati negli ambienti dei nostri clienti.

Con Security Cloud, F‑Secure può

  • avere sempre una visione aggiornata del panorama globale delle minacce e
  • proteggere i suoi clienti da nuove minacce non appena vengono individuate.

Riepilogo sulla privacy

Il nostro principale interesse è realizzare servizi straordinari per i nostri clienti. Il nostro modello di business è basato sulla vendita di soluzioni di cyber security usando modelli tradizionali ad abbonamento e di gestione delle licenze. Non monetizziamo i nostri clienti raccogliendo i loro dati.

  • Security Cloud è fondamentale per garantire sicurezza ai nostri clienti. Security Cloud offre servizi di analisi delle minacce e della reputazione degli oggetti per i servizi F‑Secure, con trattamento dei dati incentrato esclusivamente sui dati attinenti al rilevamento di attività dannose e indesiderate. Security Cloud analizza file, processi e altri oggetti, nonché il relativo comportamento, sulle reti e sui dispositivi degli utenti per stabilire se potrebbero verificarsi o potrebbero essersi verificate azioni dannose o indesiderate.
  • Non conosciamo l'utente o il proprietario del dispositivo protetto. Lo scopo dei servizi basati sul cloud di F‑Secure è rilevare sui computer attività potenzialmente dannose derivanti da terze parti ostili. Eventuali identità o dati personali relativi a tali parti presenti all'interno del file di dati usato per diffondere il malware non sono pertinenti per tale scopo.

Lo scopo è proteggere gli utenti dalle minacce digitali senza sacrificarne la privacy.

Quali dati vengono raccolti da Security Cloud e come vengono utilizzati?

File eseguibili e analisi cloud

I servizi di protezione F‑Secure potrebbero inviare a Security Cloud metadati relativi alla sicurezza dei file eseguibili. In base al valore restituito della query, potrebbero essere inviati ulteriori metadati relativi al file eseguibile per agevolare un'ulteriore analisi. In questo documento il termine "metadati" si riferisce a informazioni quali dimensioni, nome e percorso dei file, comportamenti osservati o nome del rilevamento. Il termine "file eseguibili" si riferisce ad applicazioni e contenuti interpretati come componenti Flash, Silverlight, macro di documenti e script.

La maggior parte dei servizi di protezione endpoint F‑Secure (ad esempio F‑Secure SAFE e F‑Secure Protection Service for Business) si affida a motori di analisi installati localmente. In alcuni casi, questi motori potrebbero individuare file sospetti che richiedono un'analisi più approfondita all'interno di F‑Secure Security Cloud. Questo caso d'uso è limitato ai file eseguibili. I file caricati in questo modo vengono elaborati tramite automazione, che potrebbe prevedere un'analisi strutturale e/o comportamentale. I file esaminati tramite i nostri sistemi di analisi automatizzata sono soggetti a rigidi controlli. In base al risultato dell'analisi automatizzata potrebbe verificarsi quanto segue:

  • I file che risultano sicuri vengono eliminati, a meno che sia possibile dimostrare che sono immediatamente disponibili su una fonte pubblica. Nello specifico, vengono eliminati i file ritenuti software sicuro non pubblico.
  • I file sospetti vengono conservati per un breve periodo di tempo aggiuntivo al fine di eseguire un'analisi più approfondita.
  • Tutti i file classificati come ostili vengono archiviati per un periodo di tempo più lungo (eventualmente anche per un tempo illimitato).

Se in un secondo momento un file ritenuto dannoso non si rivela tale in realtà, viene considerato un file sicuro (e viene quindi eliminato se non è pubblico). I file campione inviati a F‑Secure Labs per essere sottoposti a ulteriore analisi vengono classificati in ordine di priorità in base ai metadati estratti, dopodiché vengono sottoposti all'analisi automatizzata e vengono classificati, ad esempio, come sicuri, malware, falsi positivi o sconosciuti.

Richieste di informazioni sugli URL e analisi cloud

I servizi di protezione F‑Secure potrebbero chiedere informazioni sulla reputazione di un URL prima di consentire all'utente di visitare il sito. Questa funzionalità è chiamata Protezione navigazione, Controlli genitori o Web Traffic Protection nei servizi F‑Secure. Su richiesta di Security Cloud, questi servizi potrebbero inviare ulteriori medati relativi all'URL in merito al quale sono state chieste informazioni. Questo comportamento si verifica generalmente per gli URL sconosciuti che richiedono un'ulteriore analisi.

Quando Security Cloud riceve informazioni sull'URL, un algoritmo lato client rimuove le informazioni personali dall'URL prima di inviarlo. Gli URL sulle reti locali (come stabilito sul lato client) non vengono inviati a F‑Secure Security Cloud.

Documenti e analisi cloud

Per impostazione predefinita, i servizi di protezione F‑Secure non inviano a Security Cloud contenuti generati dagli utenti quali file di documenti. Questi file vengono già rimossi dal software client. I file di documenti e altri tipi di file di contenuti generati dagli utenti potrebbero contenere payload eseguibili (metadati). Per i cyber attacchi vengono usati spesso gli script nei file di documenti ed è quindi importante estrarre i contenuti eseguibili dai file ed eseguire l'analisi cloud dei metadati.

I documenti vengono analizzati in Security Cloud soltanto dai servizi aziendali F‑Secure che forniscono espressamente la funzionalità di analisi dei documenti.

Metadati relativi a file eseguibili sicuri

Dai dispositivi protetti potrebbero essere raccolti metadati relativi a file eseguibili sicuri (cioè non dannosi) da usare per creare il database globale della reputazione dei file in Security Cloud. Conoscere l'univocità di tutti i file eseguibili consente ai servizi F‑Secure di garantire una protezione migliore e più rapida contro contenuti dannosi e indesiderati.

Non vengono raccolti i file sicuri effettivi dai dispositivi protetti senza il consenso dell'utente.

Raccolta di dati per la funzionalità antispam

La funzionalità antispam di Security Cloud disponibile in alcuni servizi esegue query per le funzionalità e-mail in modo piuttosto simile alla modalità di gestione dei documenti generati dagli utenti (vedi la sezione "Documenti e analisi cloud"). Le funzionalità e-mail, quali indirizzi e-mail, indirizzi IP, URL, numeri di telefono e così via, potrebbero essere estratte per i metadati relativi ai singoli messaggi al fine di generare un'analisi precisa che riveli se il messaggio è un'e-mail collettiva indesiderata, phishing, parte di un meccanismo per la diffusione di malware o un messaggio legittimo. Non sono consentiti metadati o contenuti dei messaggi al di fuori del sistema di analisi antispam e tali contenuti non vengono conservati all'interno del sistema.

Come spiegato in precedenza, i payload eseguibili nei singoli messaggi potrebbero essere estratti e analizzati separatamente, senza alcuna correlazione con il messaggio che li contiene, con i client o gli account utente interessati.

Alcuni servizi potrebbero offrire un'opzione per consentire di inoltrare informazioni aggiuntive da usare per un'analisi dettagliata.

Dati tecnici dei dispositivi

Vengono inviate informazioni sulla configurazione del dispositivo dell'utente (ad esempio la versione del sistema operativo) e del servizio F‑Secure (ad esempio, programma installato e versioni degli aggiornamenti) per poter fornire agli utenti i corretti aggiornamenti dei prodotti.

Altri dati

Per combattere le minacce emergenti, la raccolta di dati Security Cloud si evolve costantemente e potrebbero essere raccolti anche altri dati simili a quelli indicati in precedenza che non sono stati elencati espressamente. Tali tipi di dati vengono gestiti in modo simile a quanto descritto qui.

Riduzione al minimo dei dati raccolti

La soluzione F‑Secure Security Cloud è basata sul principio che prevede di raccogliere soltanto i dati necessari e commisurati alla finalità di garantire protezione ai nostri clienti. Cerchiamo di evitare di elaborare informazioni che potrebbero consentire di identificare i nostri utenti e tentiamo di limitare l'elaborazione delle informazioni che potrebbero essere considerate sensibili dai nostri utenti. Il sistema di automazione di F‑Secure ha lo scopo di interrompere la capacità di F‑Secure di ricondurre all'utente i dati sulla sicurezza caricati. Pertanto consideriamo anonimi i dati in Security Cloud.

A tale scopo applichiamo i seguenti principi:

  • Ridurre al minimo i dati inviati a monte. Eliminiamo i dati potenzialmente sensibili e personali in ogni fase dell'elaborazione: nel client software, durante il caricamento su Security Cloud o in caso di invio a un sub-fornitore (vedi la sezione "Condivisione di campioni di dati con altri provider di servizi di cyber security").
  • Inviare dati in modo incrementale. Security Cloud raccoglie dati più dettagliati soltanto se non riesce a dedurre la natura del comportamento dannoso. Nella prima fase, Security Cloud chiede soltanto informazioni sulla reputazione di un oggetto. Se le informazioni non sono sufficienti, Security Cloud invia metadati relativi all'oggetto. Se le informazioni sono ancora insufficienti, potrebbe essere caricato l'oggetto stesso su Security Cloud per eseguire un'analisi approfondita.
  • Memorizzare soltanto informazioni di primo livello sugli indirizzi IP. Non viene mai memorizzato l'indirizzo IP completo del cliente. Alcuni nostri meccanismi di analisi cloud raccolgono i metadati ricavabili dagli indirizzi IP correlati al servizio in questione, ad esempio il Paese e informazioni geografiche a livello di città.
  • Separare i dati sulla sicurezza dai dati che identificano gli utenti. Teniamo sempre separate le informazioni sulla sicurezza e le informazioni che identificano gli utenti nel back-end del sistema (ad esempio i sistemi di gestione delle licenze) e non creiamo riferimenti incrociati per questi dati.
  • La threat intelligence non può includere dati personali. Tutti i dati raccolti dai sistemi dei clienti che verranno usati per fornire o migliorare le funzionalità di protezione o che verranno condivisi nell'ambito della cyber security non includono dati che consentono di identificare il proprietario del dispositivo da cui provengono.

Condivisione di campioni di dati con altri provider di servizi di cyber security

I dati relativi alla threat intelligence ottenuti da Security Cloud vengono talvolta condivisi con un numero limitato di provider di servizi di cyber security affidabili e approvati al fine di migliorare la capacità di ripresa globale dai cyber attacchi. In questo modo possiamo garantire una protezione più rapida e precisa ai nostri clienti.

I nostri accordi con i provider di servizi prevedono che usino i dati comunicati o trasferiti esclusivamente per le finalità limitate di fornire servizi di cyber security e agire con modalità conformi a questa informativa. Inoltre, ci limitiamo a condividere con i provider informazioni sull'oggetto o sul comportamento dannoso, astenendoci dal fornire informazioni che possano consentire l'identificazione dei nostri utenti. Se possibile, rendiamo anonima l'origine dei dati inviati.

Alcuni nostri servizi potrebbero includere impostazioni che permettono di consentire o negare l'analisi avanzata dei campioni di dati da parte dei nostri provider di servizi.

Motivazione e proporzionalità per la raccolta dei dati

Il trattamento dei dati qui descritto ha lo scopo di proteggere reti, dispositivi e servizi interni dei clienti di F‑Secure, oltre ai dati che si trovano al loro interno. Possiamo così rilevare più facilmente le minacce emergenti e le tendenze relative alla sicurezza di tutti i nostri clienti, in modo da tenere al passo i nostri servizi di protezione con le minacce in evoluzione. I risultati vengono usati a vantaggio di tutti i nostri clienti sotto forma di struttura di rilevamento delle minacce per la sicurezza più efficiente.

Il trattamento dei dati effettuato dai servizi è obbligatorio per una protezione efficiente del dispositivo/della rete ed è un prerequisito della funzionalità di F‑Secure per poter fornire i relativi servizi a contratto. Le impostazioni di un singolo servizio possono consentire al cliente di limitare il trattamento dei dati sulla sicurezza da parte di F‑Secure, ma tali regolazioni non sono consigliate perché riducono il livello di protezione offerto dai servizi.

Il comportamento degli oggetti analizzati da Security Cloud viene valutato in base a un'analisi strutturale e/o comportamentale, come qui spiegato. In base a questa valutazione, Security Cloud consente ai servizi F‑Secure di bloccare, limitare ed eliminare i contenuti e comportamenti dannosi. Tali attività, anche se limitano l'accesso degli utenti a contenuti considerati dannosi o indesiderati dal sistema di automazione, sono necessarie per proteggere le reti e i dispositivi dei nostri utenti.

Gestione sicura dei dati

I sistemi che fanno parte di F‑Secure Security Cloud sono stati pensati per l'elaborazione e la memorizzazione di codice informatico dannoso. Pertanto, tali sistemi e i relativi processi del flusso di dati adottano rigidi criteri di accesso ai dati e misure di sicurezza per evitare la contaminazione e la diffusione di malware. Queste misure includono segmentazione della rete, controlli degli accessi e crittografia dei dati in transito e inattivi.

Tutti i dati raccolti vengono memorizzati nelle reti gestite da F‑Secure e sono accessibili soltanto dall'interno della società. Le autorizzazioni di accesso variano in base ai diversi tipi di dati raccolti e vengono concesse soltanto ai dipendenti a cui occorrono per usare i dati. L'accesso ai dati memorizzati avviene tramite canali crittografati end-to-end. Le raccolte di dati vengono memorizzate su diversi segmenti di rete della rete aziendale principale.

Viene prestata particolare attenzione a evitare che il software F‑Secure contenga vulnerabilità sfruttabili. Oltre a eseguire test interni, F‑Secure Corporation ha avviato un programma bug bounty per incoraggiare la community a testare il nostro software e a segnalarci eventuali bug.

Per poter utilizzare i dati memorizzati, i dipendenti sono tenuti a frequentare corsi di formazione attinenti ai dati che gestiscono.

Conservazione dei dati caricati

Gli oggetti caricati su F‑Secure Security Cloud per essere analizzati vengono conservati per 2-14 giorni a seconda dell'univocità del campione, ad eccezione degli oggetti considerati dannosi o di cui è stata dimostrata la disponibilità su una fonte pubblica, casi in cui la conservazione degli oggetti non prevede un limite massimo.

Se l'oggetto caricato viene ritenuto dannoso, i tempi di conservazione non valgono, purché l'oggetto mantenga lo stato di oggetto dannoso. Se in un secondo momento l'oggetto viene riclassificato come sicuro o sconosciuto, vengono applicati di nuovo i criteri di conservazione dei dati e l'oggetto viene eliminato appena possibile.

I metadati degli oggetti che non contengono informazioni personali rimangono memorizzati finché saranno utili per gli scopi sopra descritti senza limiti di tempo precisi.

Trattamento dei dati personali da parte di F‑Secure

I nostri nove Principi della privacy sono il fondamento della promessa che facciamo ai nostri clienti. Il trattamento dei dati personali nei servizi F‑Secure viene spiegato nell'Informativa sulla privacy di F‑Secure e nelle informative sulla privacy specifiche dei servizi e dei vari casi, disponibili dall'interfaccia dei servizi e/o dalle nostre pagine Web pubbliche. Qualora dovessimo anche raccogliere i dati personali degli utenti, tramite i nostri servizi o nell'ambito dei nostri processi aziendali, in queste informative verranno spiegati il trattamento di tali dati e i diritti degli interessati.

Modifiche a questa informativa

Le funzionalità di Security Cloud vengono ampliate costantemente in base al panorama globale delle minacce in costante evoluzione. Questa informativa viene aggiornata periodicamente in base ai cambiamenti e la versione più recente è sempre disponibile sul nostro sito Web.

Informazioni di contatto

Se hai altre domande su F‑Secure Security Cloud, contatta:

F‑Secure Corporation

Tammasaarenkatu 7

PL 24

00181 Helsinki

Finlandia

Se sei un cliente della nostra linea di servizi consumer, contattaci all'indirizzo f-secure.com/support.

Se sei un cliente della nostra linea di servizi corporate, contattaci all'indirizzo f-secure.com/contact-support.

© F‑Secure Corporation - Gennaio 2019