Queste misure completano i Termini di sicurezza e privacy di Fitbit.

Fitbit richiede ai Fornitori che gestiscono i dati Fitbit di aderire a determinate misure minime di sicurezza organizzativa e tecnica.

Il Fornitore deve sviluppare, mantenere e/o implementare un programma di sicurezza delle informazioni completo e scritto che aderisca a tali misure. Il programma di sicurezza delle informazioni del Fornitore deve includere garanzie amministrative, tecniche e fisiche per proteggere i Dati Fitbit che non siano meno rigorose delle pratiche accettate nel settore (inclusi, senza limitazione, gli standard dell'Organizzazione Internazionale per la Standardizzazione: ISO/IEC 27001:2013 - Sistemi di gestione della sicurezza delle informazioni - Requisiti e ISO-IEC 27002:2013 - Codice di pratica per i controlli di sicurezza delle informazioni, o lo standard dell'American Institute of CPAs (AICPA) Service Organization Control (SOC) 2) e altre misure di sicurezza destinate a: (i) garantire la sicurezza e la riservatezza dei Dati Fitbit; (ii) proteggere da qualsiasi minaccia o pericolo previsti per la sicurezza e l'integrità dei Dati Fitbit; e (iii) proteggere da qualsiasi trattamento, perdita, uso, divulgazione o acquisizione effettive o sospette non autorizzate di, o l'accesso a, qualsiasi Dato Fitbit. Senza limitare la generalità di quanto sopra, tali misure includono, come minimo:

• Protocolli sicuri di autenticazione dell'utente. Utilizzare una soluzione di login con autenticazione a più fattori per regolare l'accesso degli utenti all'ambiente informatico del Fornitore, compreso, senza limitazione, in relazione all'accesso a: (a) qualsiasi connessione VPN all'ambiente informatico aziendale del Fornitore (incluso il sistema di posta elettronica del Fornitore se è possibile accedervi da Internet); (b) qualsiasi connessione all'ambiente informatico di produzione del Fornitore; e (c) qualsiasi altro software o servizio che il Fornitore possa utilizzare nel corso delle sue mansioni ai sensi degli Accordi applicabili che possa trasmettere, trattare o archiviare i Dati Fitbit.
• Misure sicure di controllo dell'accesso. Qualora il fornitore fornisca una soluzione SaaS a Fitbit, la stessa deve integrarsi con una soluzione Single Sign On (SSO) approvata da Fitbit, tramite SAML.
• Gestione dei Dati Fitbit. Mantenere un confine tra l'ambiente informatico aziendale e quello di produzione del Fornitore, compreso, senza limitazione, il mantenimento di controlli che delimitino l'accesso all'ambiente informatico di produzione e limitino l'accesso all'ambiente informatico di produzione a quegli individui i cui ruoli richiedono tale accesso. Il Fornitore deve provvedere alla segregazione tra i Dati Fitbit e i dati degli altri clienti del Fornitore situati nell'ambiente informatico di produzione del Fornitore. Il Fornitore non deve spostare i Dati Fitbit dall'ambiente informatico aziendale o di produzione del Fornitore a meno che il Fornitore non riceva il previo consenso scritto di Fitbit. In particolare, i Dati Fitbit non devono essere scaricati su telefoni, tablet, computer portatili o desktop, e non devono essere condivisi con terze parti al di fuori dell'ambiente informatico aziendale o di produzione del Fornitore.
• Trasmissione sicura. Se la gestione dei Dati Fitbit da parte del Fornitore comporta la trasmissione dei Dati Fitbit su una rete, il Fornitore assicurerà un livello di sicurezza appropriato ai rischi associati alla trasmissione e alla natura dei Dati Fitbit (ad esempio, dati personali) incluso, senza limitazione, l'uso di versioni sicure, attivamente supportate, di Transport Layer Security (TLS) per la crittografia del trasporto.
• Crittografia a riposo. Crittografia dei dati Fitbit memorizzati a riposo utilizzando algoritmi di crittografia standard del settore (ad esempio, AES).
• Configurazione sicura. Implementazione dei controlli di sicurezza di rete, dispositivi, applicazioni, database e piattaforme coerenti con gli standard di settore (ad esempio, SANS Information Security Policy Templates, DSIA STIG).
• Monitoraggio e risposta continui. Implementazione e manutenzione di strumenti di rilevamento e risposta end-point continui e di una capacità anti-malware aggiornata. Monitoraggio proattivo, rilevamento e segnalazione di attività sospette o dannose all'interno degli ambienti informatici aziendali e di produzione del Fornitore, come applicabile. Il Fornitore deve altresì mantenere un programma di risposta agli incidenti in grado di rispondere e porre rimedio agli incidenti di sicurezza una volta scoperti.
• Gestione del ciclo di vita dello sviluppo software e delle modifiche. Implementare e mantenere la capacità di gestione del ciclo di vita dello sviluppo software tenendo conto delle migliori pratiche dell'Open Web Application Security Project e delle procedure formali di gestione delle modifiche che considerano l'impatto sulla sicurezza delle modifiche prima che vengano effettuate.
• Gestione delle vulnerabilità. Un programma di gestione delle vulnerabilità della sicurezza che include il rilevamento regolare e la riparazione delle vulnerabilità nei sistemi che trasmettono, trattano o conservano i Dati Fitbit. Il programma deve includere procedure per valutare e mitigare le vulnerabilità in base alla criticità e convalidare il lavoro correttivo.
• Correzione delle vulnerabilità. Correggere tempestivamente i risultati di gravità elevata e critica, inclusa l'applicazione di patch di sicurezza come richiesto, all'ambiente informatico aziendale e di produzione del Fornitore, inclusi, senza limitazione, i server del Fornitore, gli endpoint e i sistemi di gestione degli endpoint. Qualsiasi vulnerabilità classificata di gravità "critica" e "elevata" non risolta entro sessanta (60) giorni da quando il Fornitore è venuto a conoscenza della vulnerabilità deve essere segnalata a Fitbit, compresa l'identificazione di qualsiasi rischio per i Dati Fitbit derivante dall'incapacità del Fornitore di risolvere la vulnerabilità.
• Test di penetrazione di applicazioni e reti. Almeno una volta all'anno, far eseguire a una terza parte indipendente dei test con l'intento di verificare la sicurezza delle applicazioni e della rete del Fornitore. Questi test devono essere eseguiti su: (i) qualsiasi soluzione SaaS che il Fornitore fornisce a Fitbit; (ii) tutti gli aspetti del perimetro dell'infrastruttura di rete del Fornitore rivolto a Internet; e (iii) l'ambiente informatico aziendale e di produzione del Fornitore. Su richiesta, il Fornitore deve fornire a Fitbit le informazioni che riassumono quale terza parte ha eseguito tali test e il relativo ambito e la sintesi dei risultati.
• Sicurezza del personale. Il Fornitore deve implementare e mantenere procedure e pratiche ragionevoli per la sicurezza e l'integrità del personale, incluso, senza limitazione, lo svolgimento di controlli dei precedenti in conformità alle leggi applicabili.
• Consapevolezza della sicurezza. Un programma di formazione e consapevolezza della sicurezza che viene consegnato in relazione all'inserimento dei nuovi assunti e, in seguito con cadenza annuale.

Inoltre, qualora nell'ambito dell'esecuzione degli Accordi applicabili, il Fornitore trasmetta, conservi o tratti i dati dei titolari di carta (come tale termine è definito nel Payment Card Industry Data Security Standard (“PCI DSS”)) per conto di Fitbit, in relazione a ciò, il Fornitore deve rispettare gli standard PCI DSS. In aggiunta, il Fornitore deve eseguire tutti i compiti, le valutazioni, le revisioni, i test di penetrazione, le scansioni e le altre attività richieste (inclusa qualsiasi linea guida sulla conformità emessa dal PCI Security Standards Council) o comunque atte a convalidare la conformità del Fornitore agli standard PCI DSS in relazione agli elementi del sistema e alle porzioni dell'ambiente dei dati dei titolari di carta (come tali termini sono definiti negli standard PCI DSS) di cui il Fornitore è responsabile. Su richiesta di Fitbit, il Fornitore consegnerà a Fitbit una copia del suo attestato annuale di conformità PCI per verificare tale conformità.

A sostegno di ciò, di volta in volta, su richiesta ragionevole di Fitbit, il Fornitore dovrà prontamente compilare un certificato che dichiari e garantisca a Fitbit il suo continuo rispetto delle misure di cui sopra, e altresì fornire a Fitbit qualsiasi informazione che Fitbit ritenga ragionevolmente necessaria per accertare che il Fornitore stia operando in conformità con le presenti disposizioni.