Come Reward Gateway rispetta il GDPR – ER Centro Assistenza: IT

Questo documento spiega, ad alto livello, come rispettiamo i principi fondamentali del GDPR

Liceità, correttezza e trasparenza

Ci assicuriamo di avere una base giuridica adeguata per il trattamento dei dati e scegliamo di utilizzare il Consenso solo quando è appropriato. Se desideriamo utilizzare gli Interessi Legittimi, ci assicuriamo che venga effettuata una Valutazione degli Interessi Legittimi.
Trattiamo i dati solo in modi che le persone si aspetterebbero. Quando progettiamo nuovi processi di trattamento dei dati, ci assicuriamo che la raccolta dei dati sia vista come equa e non sproporzionata rispetto ai nostri obiettivi.
Spieghiamo tutti questi dettagli nelle nostre Informative sulla Privacy per garantire la trasparenza.

Le nostre Informative sulla Privacy e la documentazione interna chiariscono i motivi della raccolta dei dati e ci assicuriamo che i dati raccolti per scopi specifici non vengano riutilizzati per altri scopi.

In parole povere, raccogliamo solo i dati personali di cui abbiamo effettivamente bisogno per scopi specifici. Se non ne abbiamo bisogno, non li raccogliamo.
Il nostro processo di Privacy by design garantisce che i dati che raccogliamo siano adeguati, pertinenti e limitati a quanto necessario

La maggior parte dei dati che possediamo sui membri proviene dai sistemi di informazione delle risorse umane (HRIS) dei nostri clienti e quindi dovrebbe essere già accurata.
Invitiamo i nostri clienti a fornire regolarmente aggiornamenti sui membri per acquisire le informazioni su nuovi ingressi, uscite e qualsiasi cambiamento nelle informazioni dei membri.
I membri possono aggiornare i loro dettagli direttamente attraverso il loro Profilo o contattando i nostri team di supporto.

Non siamo interessati a conservare i dati più a lungo del necessario. Applichiamo politiche di conservazione rigorose ai nostri dati;

Cancellazione dei dati entro 180 giorni dalla risoluzione del contratto
Durante il contratto, cancelliamo i dati dei membri dopo 2 anni di inattività, e
60 giorni dopo che un membro è stato segnato come uscente
Questo è riflesso nelle nostre Informative sulla Privacy e nel nostro Accordo di Trattamento dei Dati

Reward Gateway ha messo la Sicurezza al centro del nostro business sin dalla sua fondazione nel 2006 ed è stata la prima azienda di benefici nel Regno Unito a ottenere la conformità ISO27001 nel 2009.
Abbiamo un team a tempo pieno di professionisti della Sicurezza delle Informazioni con qualifiche tra cui CISSP, PCI ISA, ISO27001 Internal Auditor.
Applichiamo le baseline di hardening del Centre for Internet Security (CIS) a tutti gli asset e eseguiamo analisi delle minacce utilizzando il framework STRIDE di Microsoft.
Il nostro Programma di Gestione delle Vulnerabilità esegue scansioni mensili di tutti gli asset e abbiamo stipulato contratti con società di analisi forense per la risposta agli incidenti.
Pubbliciamo rapporti di test di penetrazione due volte l'anno, copie delle nostre politiche e procedure e molto altro nel nostro Security Pack

Abbiamo Politiche di Protezione dei Dati che coprono le nostre società del gruppo.
Garantiamo la ‘protezione dei dati per progettazione e per impostazione predefinita’ assicurando che il nostro Team di Sicurezza delle Informazioni e il Responsabile della Protezione dei Dati siano coinvolti in tutte le discussioni sulla progettazione dei prodotti.
Effettuiamo Valutazioni di Impatto sulla Protezione dei Dati quando necessario
Abbiamo un Responsabile della Protezione dei Dati (DPO@rewardgateway.com)
Manteniamo contratti scritti e Accordi di Elaborazione dei Dati con clienti e fornitori