Sicurezza e gestione incidenti

Incident Response Policy

Procedura di gestione degli incidenti di sicurezza relativi a Ops Portal,
ai dati Amazon autorizzati e ai dati trattati nell’ambito dei servizi
professionali erogati da Marche Web Marketing.

Versione: 1.0 — 14 maggio 2026
Owner: Marche Web Marketing — Direzione Operativa
Revisione: annuale o a seguito di incidente significativo

1. Scope

Questa policy definisce la procedura di gestione degli incidenti di sicurezza
che possono coinvolgere Ops Portal, i dati Amazon autorizzati trattati tramite
canali ufficiali come Selling Partner API o Advertising API, i dati dei clienti
gestiti da Marche Web Marketing e gli eventuali dati personali trattati
nell’ambito dei servizi erogati.

Nel perimetro iniziale delle integrazioni Amazon, Ops Portal non tratta dati
personali degli acquirenti finali quali nome, indirizzo, email, numero di
telefono o messaggi buyer-seller.

Eventuali futuri trattamenti di dati buyer-level o PII acquirenti richiederanno
una valutazione separata, ruoli autorizzati specifici, aggiornamento della
documentazione applicabile e misure di sicurezza coerenti con il nuovo perimetro.

2. Definizioni

Incidente di sicurezza:
qualsiasi evento che compromette o può compromettere riservatezza, integrità
o disponibilità dei dati, dei sistemi o dei servizi gestiti.

Data breach:
incidente che comporta perdita, divulgazione, modifica o accesso non autorizzato
a dati personali.

Dati Amazon:
dati ottenuti tramite canali ufficiali Amazon e autorizzati dal cliente, inclusi
dati di catalogo, inventario, performance, report aggregati, dati pubblicitari
e informazioni operative connesse al progetto.

IMPOC:
Incident Management Point of Contact, referente interno per la ricezione,
valutazione e coordinamento delle segnalazioni di sicurezza.

3. IMPOC — Incident Management Point of Contact

  • Email per segnalazioni di sicurezza:
    info@marchewebmarketing.it
  • Telefono per escalation:
    +39 347 0092720
  • Il canale viene monitorato con priorità per segnalazioni di sicurezza,
    vulnerabilità, sospetti incidenti o richieste relative a questa policy.
  • Un referente interno può essere designato come supporto operativo in caso di
    indisponibilità del referente principale.

4. Procedura di risposta

4.1 Detection e segnalazione

Gli incidenti possono essere rilevati tramite controlli operativi, log tecnici,
segnalazioni del personale interno, comunicazioni del cliente, avvisi da fornitori
tecnici, comunicazioni da Amazon o altre evidenze rilevanti.

Chiunque rilevi o sospetti un incidente deve segnalarlo tempestivamente all’IMPOC
utilizzando i canali indicati in questa policy.

4.2 Triage iniziale

L’IMPOC effettua una valutazione iniziale dell’evento per determinarne natura,
impatto potenziale e priorità di intervento.

La valutazione considera, ove applicabile:

  • quali sistemi o servizi sono coinvolti;
  • se sono coinvolti dati Amazon;
  • se sono coinvolti dati personali;
  • se l’incidente riguarda disponibilità, integrità o riservatezza dei dati;
  • quali azioni immediate sono necessarie per contenere il rischio.

La severity può essere classificata internamente come Critical, High, Medium o Low.

4.3 Containment

In base alla natura dell’incidente, Marche Web Marketing può adottare misure di
contenimento, tra cui:

  • sospensione o limitazione temporanea degli accessi coinvolti;
  • revoca o rotazione di credenziali sospette;
  • isolamento di componenti o servizi interessati;
  • blocco di attività anomale o non autorizzate;
  • raccolta e conservazione delle evidenze operative disponibili.

4.4 Valutazione dell’impatto

Dopo il contenimento iniziale, l’IMPOC coordina la valutazione dell’impatto
dell’incidente, includendo:

  • tipologia dei dati coinvolti;
  • numero o categoria dei clienti potenzialmente interessati;
  • eventuale coinvolgimento di dati Amazon;
  • eventuale coinvolgimento di dati personali;
  • misure già adottate per ridurre il rischio;
  • eventuali obblighi di notifica.

4.5 Notifica ad Amazon

In caso di incidente che coinvolga dati Amazon o accessi collegati a Selling
Partner API, Advertising API o altri canali Amazon autorizzati, Marche Web
Marketing valuterà l’evento e, quando richiesto dalle policy applicabili,
notificherà Amazon entro 24 ore dalla scoperta tramite i canali ufficiali
previsti da Amazon.

La comunicazione ad Amazon includerà, ove disponibile:

  • descrizione sintetica dell’incidente;
  • tipologia dei dati o servizi coinvolti;
  • timeline conosciuta dell’evento;
  • misure di contenimento già adottate;
  • misure correttive pianificate o completate;
  • referente IMPOC per eventuali comunicazioni successive.

4.6 Notifica alle autorità competenti

In caso di violazione di dati personali soggetta a obbligo di notifica, Marche
Web Marketing valuterà gli adempimenti previsti dal GDPR e dalle normative
applicabili, inclusa l’eventuale notifica all’Autorità Garante entro i termini
previsti dalla legge.

4.7 Comunicazione agli interessati

Se l’incidente comporta un rischio elevato per i diritti e le libertà degli
interessati, Marche Web Marketing valuterà l’eventuale comunicazione agli
interessati secondo quanto previsto dalla normativa applicabile.

4.8 Eradication, recovery e lesson learned

Una volta contenuto l’incidente, Marche Web Marketing procede con:

  • rimozione o mitigazione della causa originaria, ove identificata;
  • ripristino controllato dei servizi interessati;
  • verifica del corretto funzionamento dei sistemi coinvolti;
  • aggiornamento di credenziali, configurazioni o procedure se necessario;
  • analisi interna delle lezioni apprese e delle eventuali azioni preventive.

5. Conservazione delle evidenze

La documentazione relativa all’incidente, inclusi log disponibili, comunicazioni,
decisioni operative e timeline degli eventi, viene conservata in area riservata
per almeno 12 mesi, salvo necessità di conservazione più lunga per obblighi
legali, contrattuali o di sicurezza.

6. Formazione e consapevolezza

Il personale coinvolto nella gestione operativa dei progetti viene informato
sulle procedure di segnalazione degli incidenti e sulle misure essenziali di
protezione dei dati.

La procedura può essere rivista o aggiornata a seguito di modifiche operative,
evoluzione dei servizi o incidenti significativi.

7. Cooperazione con Amazon

In caso di incidente che coinvolga dati Amazon, Marche Web Marketing collaborerà
con Amazon secondo quanto richiesto dalle policy applicabili e dalle procedure
ufficiali.

La cooperazione può includere:

  • condivisione delle informazioni rilevanti disponibili;
  • attuazione di misure di contenimento o remediation;
  • rotazione o revoca di credenziali coinvolte;
  • supporto alle verifiche necessarie;
  • eventuale sospensione temporanea dell’accesso API, se richiesta o necessaria.

8. Revisione della policy

Questa policy viene rivista almeno annualmente o a seguito di incidenti
significativi, cambiamenti rilevanti dell’architettura, aggiornamenti delle
policy applicabili o modifiche al perimetro dei servizi erogati.

9. Contatti

Per segnalazioni di sicurezza o richieste relative a questa policy è possibile
contattare Marche Web Marketing ai seguenti recapiti:

  • Email per segnalazioni di sicurezza:
    info@marchewebmarketing.it
  • Telefono per escalation:
    +39 347 0092720
  • Uso del contatto:
    segnalazioni di sicurezza, vulnerabilità, sospetti incidenti o richieste
    relative a questa policy.