Informativa sulla Privacy di GNOMI

Ultimo Aggiornamento: 22 maggio 2026

Questa Informativa sulla Privacy si applica al trattamento delle Informazioni Personali da parte di Gnomi App Corp (GNOMI), incluso sulla nostra applicazione mobile, sul nostro sito web all'indirizzo gnomi.com e sulle nostre altre offerte online o offline (collettivamente, i Servizi).

Indice dei Contenuti

1. Aggiornamenti alla Presente Informativa sulla Privacy

Potremmo aggiornare questa Informativa sulla Privacy di tanto in tanto. In tal caso, te lo faremo sapere pubblicando l'Informativa sulla Privacy aggiornata sul nostro sito web e/o potremmo anche inviare altre comunicazioni.

2. Informazioni Personali che Raccogliamo

Raccogliamo informazioni personali che ci fornisci, informazioni personali che raccogliamo automaticamente quando utilizzi i Servizi e informazioni personali da fonti terze.

A. Informazioni Personali che Ci Fornisci Direttamente

B. Informazioni Personali Raccolte Automaticamente

C. Informazioni Personali Raccolte da Terze Parti

Potremmo raccogliere informazioni personali da servizi di terze parti quando colleghi GNOMI con account di social media (Reddit, LinkedIn, Meta, X) o utilizzi servizi di accesso di terze parti.

3. Come Utilizziamo le Informazioni Personali

A. Fornire i Servizi

B. Migliorare i Servizi e Sviluppare Nuovi Prodotti

C. Finalità Amministrative

D. Marketing

Potremmo utilizzare le tue informazioni personali per fornirti messaggi di marketing e offerte tramite campagne email, come consentito dalla legge applicabile.

E. Miglioramento dei nostri Servizi tramite IA

Importante: Utilizziamo la tua attività di utilizzo e di ricerca per aiutare ad addestrare i nostri modelli di IA e quelli di terze parti. Se utilizzi la nostra funzione Social Connections, utilizziamo anche le informazioni sulle tue interazioni sui social media per addestrare modelli di IA e fornire raccomandazioni di notizie personalizzate. Quando condivise con modelli di IA di terze parti, i fornitori potrebbero conservare queste informazioni. Ti preghiamo di non condividere informazioni sensibili come password o dati finanziari.

F. Processo Decisionale Automatizzato

Potremmo impegnarci in processi decisionali automatizzati, inclusa la profilazione, per fornire contenuti personalizzati basati sulle tue interazioni con i Servizi.

4. Come Divulghiamo le Informazioni Personali

A. Divulgazioni per Fornire i Servizi

B. Divulgazioni per Proteggere Noi o Altri

Potremmo divulgare informazioni per conformarci a richieste legali, proteggere diritti e sicurezza, far rispettare le politiche o assistere nelle indagini.

C. Transazioni Commerciali

Le tue informazioni potrebbero essere divulgate in relazione a fusioni, acquisizioni o altre transazioni aziendali.

5. Le Tue Scelte e Diritti sulla Privacy

Le Tue Scelte sulla Privacy

I tuoi diritti sulla privacy

Potresti avere il diritto di:

6. Trasferimenti internazionali di dati personali

I dati personali possono essere trasferiti, elaborati e archiviati ovunque nel mondo, inclusi paesi con leggi diverse sulla protezione dei dati. Per i trasferimenti dall'UE/UK, potremmo utilizzare le Clausole Contrattuali Standard dell'UE come garanzie.

7. Conservazione dei dati personali

Conserviamo i dati personali finché utilizzi i Servizi, o secondo necessità per raggiungere le finalità, fornire i Servizi, risolvere controversie e rispettare gli obblighi legali.

8. Avviso supplementare per GDPR UE/UK

Questa sezione si applica alle informazioni personali soggette al GDPR dell'UE o del Regno Unito. In alcuni casi, la fornitura di informazioni personali può essere richiesta per legge o contratto. Ti informeremo delle conseguenze se scegli di non fornire le informazioni richieste.

9. Informazioni personali dei minori

I Servizi non sono diretti a minori di 16 anni e non raccogliamo consapevolmente informazioni personali da minori. Se ritieni che tuo figlio abbia caricato informazioni in violazione della legge applicabile, ti preghiamo di contattarci.

10. Informativa sulla privacy delle promozioni

GNOMI App Corp. ("Sponsor") raccoglie ed elabora le informazioni personali inviate dai partecipanti, inclusi nome, indirizzo email, paese o stato di residenza e informazioni necessarie per verificare l'idoneità e consegnare i premi. Queste informazioni sono utilizzate esclusivamente per amministrare la promozione, prevenire frodi, verificare l'idoneità e assegnare i premi.

Per i partecipanti situati nello Spazio Economico Europeo o nel Regno Unito, lo Sponsor elabora i dati personali sulla base dell'esecuzione di un contratto (amministrazione della promozione) e dei legittimi interessi dello Sponsor nel gestire e proteggere la promozione. Se i partecipanti scelgono di ricevere comunicazioni di marketing, il trattamento si basa sul consenso. La partecipazione alla promozione non è condizionata alla fornitura del consenso al marketing.

Lo Sponsor può utilizzare fornitori di servizi per assistere nell'amministrazione della promozione, nelle comunicazioni, nell'analisi e nell'assegnazione dei premi. I dati personali possono essere trasferiti ed elaborati negli Stati Uniti o in altri paesi in cui lo Sponsor o i suoi fornitori di servizi operano, soggetti a adeguate garanzie legali ove richiesto.

I dati personali vengono conservati fino a dodici (12) mesi dopo la fine della promozione e poi eliminati o resi anonimi, a meno che non sia richiesta una conservazione più lunga per scopi legali o normativi. La promozione è aperta solo a persone che hanno almeno 18 anni o l'età della maggioranza nella loro giurisdizione.

A seconda della legge applicabile, i partecipanti possono avere il diritto di richiedere l'accesso, la correzione o la cancellazione dei propri dati personali, limitare o opporsi al trattamento, o richiedere la portabilità dei dati. I partecipanti nel SEE o nel Regno Unito possono anche presentare un reclamo presso la loro autorità locale per la protezione dei dati. I residenti negli Stati Uniti possono avere ulteriori diritti sulla privacy ai sensi delle leggi statali applicabili.

Le richieste riguardanti i dati personali possono essere inviate a: privacy@gnomi.com

11. Politica di Conservazione e Cancellazione dei Dati

Documentazione di Conformità al GDPR e alle Leggi sulla Privacy Applicabili

1. Finalità

Questa Politica di Conservazione e Cancellazione dei Dati definisce come GNOMI conserva, protegge, cancella, anonimizza e smaltisce in modo sicuro i dati aziendali, dei clienti, degli utenti, delle integrazioni finanziarie, di intermediazione, bancari, di portafoglio, transazionali, tecnici, operativi e gestiti dai fornitori. La finalità di questa politica è garantire che i dati siano conservati solo per scopi aziendali, di prodotto, di sicurezza, contrattuali, legali e di conformità legittimi e siano cancellati, anonimizzati o smaltiti in modo sicuro quando non più necessari.

2. Dichiarazione di Conformità al GDPR e alle Leggi sulla Privacy Applicabili

GNOMI mantiene questa Politica di Conservazione e Cancellazione dei Dati definita e applicata per supportare la conformità con le leggi applicabili in materia di privacy e protezione dei dati, incluso il Regolamento Generale sulla Protezione dei Dati (GDPR) laddove il GDPR si applichi alle attività di trattamento di GNOMI. Questa politica è progettata per operativizzare i principi di conservazione e cancellazione allineati al GDPR, inclusi la limitazione della conservazione, la minimizzazione dei dati, la limitazione delle finalità, l'integrità e la riservatezza, la responsabilità e la gestione lecita delle richieste di cancellazione e limitazione degli interessati.

I controlli di conservazione e cancellazione di GNOMI sono intesi a garantire che i Dati Personali non siano conservati più a lungo del necessario per le finalità per cui sono raccolti o altrimenti trattati lecitamente, a meno che la conservazione continuata non sia richiesta per scopi legali, normativi, contrattuali, di sicurezza, di prevenzione delle frodi, contabili, di audit, di risoluzione delle controversie o per scopi aziendali legittimi.

Laddove GNOMI tratti informazioni su conti finanziari o portafogli autorizzate dall'utente tramite Plaid o fornitori simili, GNOMI applica controlli di conservazione e cancellazione progettati per limitare la conservazione dei dati di integrazione finanziaria al periodo necessario per fornire le funzionalità autorizzate, mantenere la sicurezza, soddisfare gli obblighi contrattuali, prevenire le frodi e conformarsi alla legge applicabile.

3. Ambito di Applicazione

Questa politica si applica a tutti i dati raccolti, trattati, conservati, trasmessi o mantenuti da GNOMI o da fornitori di servizi terzi che agiscono per conto di GNOMI. Ciò include sistemi di produzione, servizi cloud, database applicativi, sistemi di account utente, sistemi di integrazione finanziaria, sistemi di analisi di portafoglio, sistemi di intelligence finanziaria generata da AI, sistemi di analisi finanziaria, integrazioni Plaid, integrazioni di conti di intermediazione, integrazioni bancarie, log di sicurezza, ambienti di analisi, strumenti di supporto clienti, piattaforme di fornitori, registri aziendali, backup e sistemi di disaster recovery.

Questa politica si applica ai dipendenti, appaltatori, consulenti, fornitori di servizi e altro personale autorizzato di GNOMI che crea, accede, gestisce, conserva, tratta, trasmette, conserva, cancella o smaltisce dati per conto di GNOMI.

4. Dichiarazione di Politica

GNOMI conserva i dati solo per il tempo necessario a fornire e migliorare i propri servizi, supportare le funzionalità autorizzate degli utenti, mantenere la sicurezza, soddisfare gli obblighi contrattuali e legali, condurre operazioni aziendali e proteggere GNOMI, i suoi partner e i suoi utenti. Quando i dati non sono più necessari, GNOMI li cancella, anonimizza, aggrega o smaltisce in modo sicuro utilizzando controlli amministrativi, tecnici e procedurali appropriati.

I periodi di conservazione si basano sul tipo di dati, sulla finalità del trattamento, sulla relazione con l'utente, sulla base giuridica, sulle esigenze aziendali, sugli obblighi contrattuali, sui requisiti normativi e sui requisiti di sicurezza. GNOMI rivede periodicamente le pratiche di conservazione e cancellazione per confermare che rimangano appropriate per la propria attività, i prodotti, i sistemi, i fornitori e gli obblighi di privacy applicabili.

GNOMI conserva i dati di integrazione finanziaria autorizzati dall'utente solo per il tempo necessario a fornire le funzionalità di intelligence finanziaria autorizzate richieste dall'utente, incluse l'analisi di portafoglio, l'analisi di diversificazione, la generazione di sentiment di portafoglio, gli insight finanziari generati da AI, la prevenzione delle frodi e il supporto all'integrazione.

5. Principi di Conservazione Allineati al GDPR

6. Classificazione dei Dati

GNOMI classifica i dati in base alla sensibilità, alla finalità del trattamento, agli obblighi applicabili e all'uso operativo. I controlli di conservazione e cancellazione sono applicati in base alla natura dei dati e ai sistemi in cui risiedono.

7. Programma di Conservazione

GNOMI applica periodi di conservazione in base alle categorie seguenti. Periodi specifici possono essere adeguati ove richiesto dalla legge, dal contratto, da esigenze di sicurezza, da requisiti tecnici del sistema o da necessità aziendali approvate. Laddove un periodo di conservazione specifico non sia richiesto per legge, GNOMI conserva i dati solo per il tempo necessario allo scopo applicabile e successivamente li elimina, anonimizza o smaltisce in modo sicuro.

Categoria di Dati Finalità Principale Standard di Conservazione Metodo di Eliminazione
Dati dell'account e del profilo utente Gestione dell'account, autenticazione, assistenza utente, erogazione del servizio Conservati finché l'account è attivo e per un periodo limitato dopo la chiusura, nella misura necessaria per finalità di sicurezza, prevenzione delle frodi, legali, di audit o di assistenza. Cancellazione, anonimizzazione o eliminazione sicura dai sistemi attivi.
Dati di integrazione finanziaria autorizzati dall'utente Fornitura di funzionalità di intelligence finanziaria autorizzate, funzionalità richieste dall'utente, supporto all'integrazione e sicurezza Conservati solo finché l'utente mantiene la connessione finanziaria autorizzata o finché necessario per fornire funzionalità di intelligence finanziaria autorizzate, mantenere la sicurezza, prevenire frodi, supportare operazioni aziendali lecite, rispettare obblighi contrattuali o soddisfare requisiti legali e normativi. Le integrazioni revocate, disconnesse, scadute o inattive vengono cancellate, disattivate, anonimizzate o revocate tramite token secondo i requisiti operativi e legali. Cancellazione dai sistemi attivi, revoca sicura dei token, anonimizzazione, conservazione in archivio limitato ove richiesto dalla legge, o eliminazione sicura.
Approfondimenti finanziari generati dall'IA e analisi di portafoglio Intelligence di portafoglio, analisi di diversificazione, analisi del sentiment, funzionalità di chat IA, analisi richieste dall'utente Conservati finché gli account utente associati rimangono attivi e la funzionalità rimane abilitata, fatte salve le richieste di cancellazione, i requisiti di sicurezza, gli obblighi legali e la necessità operativa Cancellazione, anonimizzazione, aggregazione o eliminazione sicura
Registrazioni di assistenza e comunicazioni Assistenza clienti, risoluzione di problemi, garanzia di qualità e conformità Conservate nella misura necessaria per risolvere le richieste, mantenere i registri del servizio e supportare requisiti aziendali o legali. Cancellazione o eliminazione sicura dall'archivio alla scadenza.
Log di sicurezza, accesso e audit Monitoraggio della sicurezza, prevenzione delle frodi, rilevamento degli incidenti, revisione degli accessi, audit e integrità del sistema Conservati per un periodo appropriato alla finalità di sicurezza, ai requisiti di sistema e agli obblighi legali o contrattuali. Scadenza programmata, eliminazione sicura o eliminazione dall'archivio limitato.
Registrazioni di fatturazione, fiscali, aziendali e legali Contabilità, fisco, governance aziendale, audit, amministrazione contrattuale e conformità legale Conservate per il periodo richiesto dalla legge applicabile, dagli standard di audit, dal contratto o dai requisiti di governance aziendale. Eliminazione sicura dopo la scadenza dell'esigenza legale o aziendale.
Dati aggregati, anonimizzati o de-identificati Analisi, miglioramento del prodotto, ricerca, reportistica e business intelligence Possono essere conservati per periodi più lunghi quando i dati non sono ragionevolmente identificabili e sono al di fuori dell'ambito dei dati personali ai sensi della legge applicabile. Uso continuativo, ulteriore aggregazione o eliminazione quando non più necessari.
Dati di backup e disaster recovery Continuità aziendale, ripristino di sicurezza e ripristino del sistema Conservati secondo i programmi del ciclo di vita dei backup e sovrascritti o eliminati attraverso la normale rotazione dei backup, salvo obbligo di conservazione legale. Sovrascrittura programmata, scadenza o distruzione sicura.

8. Procedure di Cancellazione dei Dati e Smaltimento Sicuro

GNOMI applica la cancellazione e lo smaltimento dei dati attraverso controlli amministrativi, tecnici e procedurali. I metodi di smaltimento sono selezionati in base al tipo di dati, al sistema, alla sensibilità, ai requisiti di conservazione e alla fattibilità tecnica.

9. Richieste degli Interessati GDPR e Chiusura dell'Account

Quando si applica il GDPR o altra legge sulla privacy applicabile, GNOMI tratta le richieste degli interessati relative ad accesso, correzione, cancellazione, restrizione, opposizione e portabilità in conformità con i requisiti legali applicabili e le eccezioni legittime. GNOMI valuta le richieste in base all'identità del richiedente, alla natura dei dati, alla base giuridica applicabile, ai requisiti di sistema e a qualsiasi obbligo legittimo di conservare i dati.

A seguito di chiusura dell'account verificata o richiesta di cancellazione verificata, GNOMI cancella, anonimizza o limita i Dati Personali applicabili dai sistemi attivi salvo che la conservazione sia richiesta o consentita per scopi legali, normativi, contrattuali, di sicurezza, prevenzione delle frodi, contabilità, audit, risoluzione di controversie o legittimi scopi aziendali. Quando i dati non possono essere immediatamente cancellati dai backup, sono protetti dall'uso ordinario e rimossi attraverso il ciclo di vita del backup applicabile.

Quando tecnicamente fattibile e legalmente consentito, GNOMI tratta le richieste verificate di disconnettere le integrazioni finanziarie, revocare i token di accesso finanziario, cancellare i dati di analisi del portafoglio associati e rimuovere le informazioni finanziarie generate dall'AI associate alle integrazioni finanziarie autorizzate dall'utente.

10. Blocchi Legali ed Eccezioni alla Conservazione

GNOMI può sospendere i normali programmi di conservazione o cancellazione quando i dati sono soggetti a blocco legale, controversia, indagine, richiesta normativa, requisito di audit, incidente di sicurezza, obbligo contrattuale, obbligo contabile o altro requisito aziendale legittimo. I dati soggetti a blocco legale o eccezione approvata sono conservati solo per il tempo in cui l'eccezione si applica e vengono quindi restituiti al processo di conservazione e smaltimento applicabile. Gli obblighi di sicurezza, prevenzione delle frodi, anti-abuso, risoluzione di controversie, audit, revisione normativa o altri obblighi di conformità legittimi possono richiedere una conservazione continuata limitata delle registrazioni di integrazione finanziaria o dei metadati finanziari relativi alla sicurezza.

11. Fornitori, Responsabili del Trattamento e Sistemi di Terze Parti

Quando GNOMI utilizza fornitori di servizi terzi per archiviare o trattare dati, GNOMI richiede una gestione appropriata della conservazione e dello smaltimento attraverso la revisione dei fornitori, obblighi contrattuali ove applicabile e controlli operativi. Per i fornitori che agiscono come responsabili del trattamento o fornitori di servizi, GNOMI si aspetta che gli obblighi di conservazione, cancellazione, riservatezza, sicurezza e assistenza siano affrontati negli accordi applicabili, nei termini di trattamento dei dati o nei controlli dei fornitori.

GNOMI esamina le pratiche di gestione dei dati dei fornitori in modo appropriato alla natura del servizio, alla sensibilità dei dati e ai requisiti di privacy e sicurezza applicabili. Quando GNOMI riceve una richiesta di cancellazione verificata che si applica ai dati detenuti da un fornitore o responsabile del trattamento, GNOMI adotta misure ragionevoli per comunicare o eseguire la richiesta di cancellazione, restrizione o anonimizzazione attraverso il flusso di lavoro del fornitore applicabile, fatte salve le eccezioni legittime.

GNOMI valuta Plaid e altri fornitori di integrazione finanziaria per controlli appropriati contrattuali, di privacy, sicurezza, conservazione, cancellazione, riservatezza e conformità normativa.

Quando richiesto, GNOMI implementa adeguate garanzie di trasferimento dei dati conformi al GDPR per il trattamento transfrontaliero che coinvolge dati di integrazione finanziaria.

12. Backup e Disaster Recovery

I dati contenuti nei backup o nei sistemi di disaster recovery possono persistere per un periodo limitato dopo la cancellazione dai sistemi di produzione attivi. I dati di backup sono protetti dall'accesso non autorizzato e sono soggetti a controlli del ciclo di vita, programmi di conservazione e sovrascrittura o cancellazione programmata. GNOMI non utilizza i dati di backup per l'elaborazione aziendale ordinaria dopo una richiesta di cancellazione applicabile, salvo quando il ripristino sia richiesto per necessità di sicurezza, disaster recovery, legale o operativa. I dati di integrazione finanziaria e le informazioni finanziarie generate dall'AI conservati nei sistemi di backup rimangono soggetti a restrizioni di accesso, controlli di crittografia, gestione del ciclo di vita e procedure di sovrascrittura sicura.

13. Applicazione e Responsabilità

Il management, la sicurezza, l'ingegneria, il prodotto, le operazioni e il personale di conformità di GNOMI sono responsabili dell'applicazione di questa policy nelle loro aree di responsabilità. I dipendenti e i collaboratori devono seguire le procedure approvate di conservazione, cancellazione, controllo degli accessi e smaltimento. La conservazione, l'esportazione, la copia o lo smaltimento non autorizzati di dati al di fuori dei processi approvati sono vietati.

14. Revisione Periodica

Questa policy è rivista almeno annualmente e in seguito a modifiche sostanziali ai prodotti, sistemi, fornitori, attività di trattamento dei dati, requisiti legali, obblighi contrattuali o postura di sicurezza di GNOMI. Le revisioni sono intese a confermare che gli standard di conservazione, le procedure di smaltimento, le pratiche allineate al GDPR, i controlli dei fornitori e l'applicazione operativa rimangano appropriati ed efficaci. Le revisioni devono considerare nuove funzionalità di integrazione finanziaria, funzionalità di analisi finanziaria AI, sistemi di analisi del portafoglio, modifiche alle integrazioni Plaid e obblighi in evoluzione relativi alla privacy o ai dati finanziari.

15. Conferma di Conformità

GNOMI mantiene questa policy come documentazione aziendale attiva per la conservazione, cancellazione e smaltimento dei dati. Questa policy è progettata per supportare la conformità con le leggi applicabili sulla privacy dei dati, incluso il GDPR ove applicabile, e per fornire un quadro definito e applicabile per come GNOMI conserva, cancella, anonimizza e smaltisce i dati.

16. Approvazione

Approvata dal management di GNOMI come policy aziendale attiva per la Conservazione e lo Smaltimento dei Dati, incluse le pratiche di conservazione e cancellazione allineate al GDPR.

12. Politica di Sicurezza delle Informazioni

Inclusi i Controlli del GDPR e delle Leggi sulla Privacy Applicabili

1. Finalità

La finalità della presente Politica di Sicurezza delle Informazioni è definire i requisiti di governance della sicurezza di GNOMI e i controlli operativi per proteggere gli asset informativi da accesso non autorizzato, divulgazione, alterazione, perdita, uso improprio, interruzione o distruzione. La presente politica supporta la conformità di GNOMI agli obblighi applicabili in materia di sicurezza delle informazioni, privacy, dati finanziari, protezione dei consumatori e protezione dei dati, inclusi i requisiti del GDPR ove applicabili. La presente politica disciplina inoltre la protezione delle informazioni sui conti finanziari autorizzate dall'utente, le integrazioni di intermediazione, le integrazioni bancarie, i sistemi di analisi del portafoglio e le informazioni finanziarie generate dall'IA elaborate tramite Plaid o fornitori di integrazione finanziaria simili.

2. Ambito di Applicazione

La presente politica si applica a tutti i dipendenti, fondatori, funzionari, appaltatori, consulenti, fornitori di servizi, fornitori, sistemi, applicazioni, ambienti cloud, database, repository di codice sorgente, asset di produzione, dispositivi aziendali, dati utente, dati dei partner e qualsiasi altro asset informativo utilizzato per fornire prodotti e servizi GNOMI.

La presente politica si applica ai dati aziendali, dei clienti, degli utenti, finanziari, tecnici, operativi, di autenticazione, API e gestiti dai fornitori, inclusi i dati dei conti di intermediazione autorizzati dall'utente, i dati delle relazioni bancarie, le partecipazioni in portafoglio, i metadati delle transazioni, i token di integrazione finanziaria, l'analisi del portafoglio generata dall'IA e gli output di intelligence finanziaria, inclusi i Dati Personali, i dati sensibili e i dati regolamentati trattati da o per conto di GNOMI.

3. Conformità Legale, Normativa e in Materia di Privacy

GNOMI progetta e gestisce il proprio programma di sicurezza per supportare la conformità con tutte le leggi, norme, regolamenti e requisiti contrattuali applicabili in materia di sicurezza delle informazioni e privacy pertinenti alle proprie operazioni, inclusi, ove applicabili:

Laddove leggi, contratti o requisiti dei partner impongano obblighi più rigorosi rispetto alla presente politica, si applica lo standard più rigoroso. GNOMI rivede periodicamente la presente politica per garantire che rimanga allineata ai requisiti legali, normativi, dei partner e di sicurezza applicabili.

4. Requisiti del GDPR e Privacy-by-Design

GNOMI applica i principi di privacy-by-design e security-by-design ai sistemi e ai processi che coinvolgono Dati Personali. Laddove si applichi il GDPR, i controlli di sicurezza e privacy di GNOMI sono progettati per supportare i seguenti principi:

GNOMI supporta i processi relativi ai diritti degli interessati, inclusi accesso, rettifica, cancellazione, limitazione, portabilità e opposizione ove applicabili. Le richieste sono valutate in base alla legge applicabile e ai requisiti interni di GNOMI in materia di privacy, sicurezza, conservazione e blocco legale.

5. Governance della Sicurezza e Responsabilità

6. Gestione del Rischio

GNOMI identifica, valuta, mitiga e monitora i rischi per la sicurezza delle informazioni che possono influenzare la riservatezza, l'integrità, la disponibilità, la privacy o la conformità legale. La revisione del rischio può includere l'architettura dei sistemi, i flussi di dati, le dipendenze dai fornitori, i controlli di autenticazione, i privilegi di accesso, gli ambienti di produzione, le nuove funzionalità del prodotto, le integrazioni di terze parti e la cronologia degli incidenti.

I rischi materiali vengono escalati al management appropriato per la risoluzione, l'accettazione, il trasferimento o l'applicazione di controlli aggiuntivi. Le decisioni di trattamento del rischio devono considerare i requisiti legali, gli obblighi verso i partner, l'impatto sugli utenti, l'impatto sulla sicurezza e la continuità operativa.

Le valutazioni del rischio devono considerare le integrazioni finanziarie, le dipendenze da Plaid, la funzionalità di analisi finanziaria generata dall'AI, i sistemi di analisi del portafoglio, i controlli di accesso ai dati finanziari, gli output dei modelli e i flussi di dati finanziari di terze parti.

7. Classificazione e Gestione dei Dati

GNOMI classifica e protegge i dati in base alla sensibilità, al valore aziendale, agli obblighi legali e al rischio. Le categorie di dati possono includere dati pubblici, interni, riservati, sensibili, personali, finanziari, di autenticazione, codice sorgente, sicurezza e dati dei partner.

8. Gestione dell'Identità e degli Accessi

GNOMI applica controlli di accesso progettati per limitare l'accesso alle risorse di produzione, alle risorse cloud, agli strumenti amministrativi, ai sistemi, ai repository di codice sorgente e ai Dati Sensibili. L'accesso è concesso in base al ruolo, alla necessità aziendale, al privilegio minimo e ai requisiti di approvazione.

9. Sicurezza degli Asset di Produzione

10. Crittografia, Segreti e Gestione delle Chiavi

GNOMI utilizza appropriate misure di sicurezza tecniche per proteggere dati sensibili, credenziali e comunicazioni. La crittografia deve essere utilizzata per i dati sensibili in transito e applicata ai dati sensibili a riposo dove supportato e appropriato. Segreti, token, certificati, chiavi e credenziali devono essere archiviati in sistemi sicuri approvati e protetti contro l'uso o la divulgazione non autorizzati.

Le chiavi e le credenziali devono essere ruotate, disabilitate o revocate quando compromesse, non più necessarie o quando l'accesso del personale o del fornitore cambia. Le credenziali non devono essere condivise tra utenti tranne quando vengono utilizzati controlli di account di servizio approvati.

Le credenziali API Plaid, i token di integrazione finanziaria, le credenziali OAuth, i segreti webhook, i token di aggiornamento e i relativi segreti di integrazione finanziaria devono essere crittografati, archiviati in modo sicuro e protetti contro l'accesso non autorizzato.

11. Registrazione, Monitoraggio e Revisione della Sicurezza

GNOMI mantiene pratiche di registrazione e monitoraggio appropriate ai suoi sistemi e profilo di rischio. I log possono includere eventi di autenticazione, attività amministrativa, eventi applicativi, attività di sistema, modifiche di produzione, modifiche di accesso ed errori o avvisi rilevanti per la sicurezza.

12. Sviluppo Sicuro e Gestione delle Modifiche

GNOMI incorpora la sicurezza nello sviluppo software e nella consegna del prodotto. I requisiti di sicurezza vengono considerati durante la progettazione, lo sviluppo, il test, la distribuzione e la manutenzione dei sistemi GNOMI.

13. Sicurezza dei Fornitori e delle Terze Parti

GNOMI valuta fornitori terzi, responsabili del trattamento, sub-responsabili e partner di integrazione in base al tipo di dati trattati, ai servizi forniti, alla dipendenza operativa, alla postura di sicurezza, agli obblighi legali e ai requisiti contrattuali.

14. Risposta agli Incidenti e Notifica delle Violazioni

GNOMI mantiene procedure di risposta agli incidenti per identificare, indagare, contenere, rimediare, documentare e comunicare gli incidenti di sicurezza. Gli incidenti di sicurezza possono includere accesso non autorizzato, esposizione di dati, compromissione delle credenziali, compromissione del sistema, perdita di dati, malware, interruzione del servizio o sospetta violazione della riservatezza, integrità o disponibilità.

15. Conservazione dei Dati, Smaltimento e Conservazione Legale

GNOMI conserva le informazioni solo per il tempo ragionevolmente necessario allo scopo per cui sono state raccolte o trattate, inclusa la fornitura del prodotto, la gestione dell'account utente, la sicurezza, la prevenzione delle frodi, l'analisi, la conformità legale, i registri finanziari, gli obblighi contrattuali, la risoluzione delle controversie e le operazioni commerciali legittime.

16. Sicurezza del Personale e Formazione

Il personale e i collaboratori di GNOMI con accesso ai sistemi aziendali, alle risorse di produzione o ai dati sensibili devono seguire questa policy e le procedure di sicurezza applicabili. Il personale è tenuto a proteggere le credenziali, utilizzare sistemi approvati, segnalare sospetti incidenti di sicurezza e gestire i dati secondo i requisiti di classificazione e need-to-know.

La consapevolezza in materia di sicurezza e privacy può essere fornita attraverso l'onboarding, orientamenti specifici per ruolo, comunicazioni interne e aggiornamenti continui man mano che i prodotti, i rischi e gli obblighi di conformità di GNOMI evolvono.

Il personale con accesso ai sistemi di integrazione finanziaria o ai dati finanziari autorizzati dagli utenti può ricevere orientamenti aggiuntivi riguardanti la gestione dei dati finanziari, gli obblighi di privacy, il trattamento sicuro, la prevenzione del phishing, la sicurezza dei token e le procedure di escalation degli incidenti.

17. Continuità Operativa e Disponibilità

GNOMI mantiene misure ragionevoli per supportare la continuità e la disponibilità dei servizi critici. I controlli possono includere resilienza cloud, backup, monitoraggio, escalation degli incidenti, revisione delle dipendenze dai fornitori, pianificazione del disaster recovery e procedure di risposta operativa basate sulla criticità del sistema e sul rischio. La pianificazione della continuità operativa dovrebbe considerare le dipendenze da Plaid e altri fornitori di integrazione finanziaria, inclusi i rischi di disponibilità, le interruzioni dei fornitori, i guasti dei token e le interruzioni del servizio di integrazione finanziaria.

18. Eccezioni

Qualsiasi eccezione a questa policy deve essere approvata dalla direzione appropriata di GNOMI sulla base delle esigenze aziendali, del rischio, dei controlli compensativi, della durata e dei requisiti legali o contrattuali. Le eccezioni devono essere documentate ove appropriato e riviste periodicamente fino a quando non vengono rimediate o formalmente accettate.

19. Applicazione

Il mancato rispetto di questa policy può comportare la revoca dell'accesso, requisiti di rimedio, azioni nei confronti dei fornitori, azioni disciplinari, risoluzione del contratto o altre misure appropriate alla natura e alla gravità della violazione. GNOMI può indagare su sospette violazioni e intraprendere azioni correttive per proteggere i sistemi aziendali, gli utenti, i partner e i dati.

13. Contattaci

GNOMI è il Titolare del Trattamento delle Informazioni Personali trattate ai sensi della presente Informativa sulla Privacy.

In caso di domande sulle nostre pratiche in materia di privacy o se desideri esercitare i tuoi diritti, ti preghiamo di contattarci all'indirizzo support@gnomi.com.