Gestione degli incidenti. 5.1 La Gestione degli Incidenti comprende tutte le attività tra il Cliente e XXXX XXXXX XXXXX in relazione alla notifica e alla gestione dei Guasti fino alla loro risoluzione.
5.2 Si distinguono le seguenti categorie di Guasti:
(a) I Guasti all’interno del Servizio sono assegnati a una delle seguenti categorie di Guasto, che determinano il tempo di ri- sposta.
Gestione degli incidenti. MailUp si è dotata, a livello di Gruppo, di una procedura relativa alla gestione degli eventi di sicurezza e dei data breach. L’organizzazione ha inoltre redatto una policy per la definizione del flusso di comunicazione degli incidenti di sicurezza, che innesca, ove necessario, una segnalazione interna nei confronti del DPO. In MailUp eventuali incidenti di sicurezza vengono comunicati attraverso i canali prestabiliti in Azure o a mezzo e-mail.
Gestione degli incidenti. Il Fornitore deve implementare un framework di gestione degli incidenti che consenta di gestire, contenere e rimuovere/mitigare efficacemente gli incidenti e le relative causa alla radice nell'ambiente del Fornitore. Il Fornitore deve adottare una procedura per la Gestione di Incidenti e Crisi, che preveda un processo di escalation a Barclays per gli Incidenti e le Crisi. Il Fornitore deve garantire che i team e i processi di risposta a Incidenti e Xxxxx vengano testati, almeno una volta l'anno, per dimostrare la propria capacità di reagire in modo efficace ed efficiente in caso di Incidente. Il Fornitore deve inoltre verificare la propria capacità di informare, entro i tempi stabiliti, i contatti interessati da un incidente e dimostrarlo a Barclays quando richiesto. Il Fornitore deve disporre di piani ben documentati per la risposta agli Incidenti, che definiscano i ruoli dei suoi dipendenti e le fasi di gestione degli incidenti: • Responsabilità e procedure - Occorre definire responsabilità e procedure di gestione, al fine di garantire una risposta rapida, efficace e ordinata agli incidenti. • Segnalazione degli incidenti - Gli incidenti devono essere segnalati al più presto possibile tramite i canali di gestione appropriati. Inoltre, il meccanismo di segnalazione deve essere semplice e accessibile a tutti i dipendenti e appaltatori del Fornitore. • Valutazione degli incidenti - Gli incidenti devono essere valutati per determinarne la criticità, la classificazione e la risposta appropriate. ▪ Classificazione degli incidenti - Occorre stabilire una scala di classificazione degli incidenti e decidere se un determinato evento deve essere classificato come incidente o meno. La classificazione e la definizione delle priorità degli incidenti possono contribuire a determinare l'impatto e l'entità di un incidente. • Risposta agli incidenti - Gli incidenti devono ricevere una risposta conforme alle procedure di Gestione degli incidenti documentate del Fornitore.
Gestione degli incidenti. In caso di malfunzionamento dei Servizi, il Cliente dovrà innanzitutto effettuare i test tecnici consigliati sul sito web di OVHcloud. Nel caso in cui tali test non dovessero risolvere l'Incidente, il Cliente potrà segnalarlo all'Assistenza OVHcloud come sopra indicato e fornire quante più informazioni possibili per facilitare una corretta diagnosi. Quando viene segnalato un Incidente, l'Assistenza OVHcloud effettuerà le indagini necessarie per identificare la causa del malfunzionamento osservato e definire una diagnosi. Il Cliente si impegna a rimanere sempre a disposizione per collaborare con OVHcloud ai fini di una corretta diagnosi e risoluzione dell'Incidente, in particolare fornendo a OVHcloud ogni informazione aggiuntiva, ed eseguendo tutti i test e le verifiche necessarie. Nell'ambito della gestione dell'Incidente, OVHcloud e le sue società partner sono espressamente autorizzate dal Cliente a connettersi al Servizio Clienti sia a livello hardware sia software, al fine di intraprendere qualsiasi azione necessaria per effettuare una diagnosi. Tale connessione può richiedere al Cliente di eseguire un'azione sul proprio Servizio. OVHcloud terrà il Cliente ragionevolmente informato sullo stato di avanzamento delle operazioni. Se OVHcloud stabilisce che i suoi Servizi sono disponibili e funzionano correttamente, o che l'esistenza dell'Incidente non può essere confermata, o che l'Incidente non rientra nella responsabilità di OVHcloud, OVHcloud ne informerà il Cliente. In questo caso, il tempo dedicato da OVHcloud all'esecuzione della diagnosi e all'assistenza al Cliente potrà essere addebitato al Cliente come servizio aggiuntivo fornito, sulla base del tariffario disponibile sul sito web di OVHcloud o fornito al Cliente. XXXxxxxx si riserva il diritto di rifiutare qualsiasi assistenza qualora accerti, nel corso delle sue indagini, che il Cliente utilizzi il Servizio in violazione del Contratto o di qualsiasi legge o regolamento applicabile. Se l'Incidente sembra rientrare nella responsabilità di OVHcloud, OVHcloud ultimerà gli accertamenti e lavorerà per ristabilire la disponibilità dei Servizi interessati. In questo caso, il lavoro svolto da OVHcloud non comporterà alcun costo aggiuntivo. L'accertamento sarà attuato da OVHcloud con tutti i mezzi necessari, in particolare sulla base di un confronto tra le parti e dei dati del sistema informativo di OVHcloud (come i dati di login) che il Cliente accetta espressamente di rendere ammissibili e pienamente uti...
Gestione degli incidenti. La Terza parte deve disporre di un quadro coerente e consolidato per la gestione degli incidenti, a garanzia che tali eventi vengano gestiti, contenuti e mitigati in maniera adeguata, e che copra i seguenti aspetti: • Garantire che ogni membro del personale conosca il proprio ruolo e la procedura da implementare in caso sia richiesto un intervento. • Garantire che gli incidenti vengano comunicati coerentemente con criteri prestabiliti. • Garantire che venga compreso l’impatto dell’incidente. • Garantire che, in caso di necessità, verranno svolte adeguate indagini, internamente o ad opera di uno specialista. • Garantire che tutti gli apprendimenti derivanti dagli incidenti verificatisi vengano incorporate in una best practice. • Garantire che le informazioni correlate a un incidente che coinvolge BT vengano trattate come “Riservate”.
Gestione degli incidenti. 6.1 Il Responsabile ne dà comunicazione al Titolare senza ingiustificato ritardo, dopo aver avuto conoscenza o aver motivo di sospettare che si sia verificata una violazione dei dati, fornendo al Titolare le informazioni sufficienti a consentire a quest'ultimo di rispettare qualsiasi obbligo di segnalazione di una violazione dei ai sensi della Legislazione sulla protezione dei dati applicabile.
6.2 Il Responsabile del trattamento coopererà pienamente con il Titolare e adotterà tutte le misure ragionevoli necessarie per assistere il Titolare nell'indagine, mitigazione e correzione di ciascuna violazione dei dati, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile.
6.3 Le parti si coordinano tra loro e collaborano in buona fede alla redazione delle eventuali dichiarazioni pubbliche in merito, nonché delle comunicazioni che dovessero essere richieste dagli interessati.
Gestione degli incidenti. Nel caso si verificassero incidenti di sicurezza relativamente ai dati oggetto di trattamento da parte dell’Ente delegato (furto di identità, accesso non autorizzato al SIAN, furto di documenti, perdita di documenti, accesso non autorizzato a documenti, utenza non disabilitata se l’utente a cui è stata assegnata non è più autorizzato ad accedere al SIAN, etc.), l’Ente delegato deve immediatamente segnalare l’incidente al Responsabile sicurezza delle informazioni di Agea tramite la casella di posta xxxxxxxx.xxxxxxxxx@xxx.xx, il quale provvederà anche a valutare, d’intesa con il Responsabile della protezione dei dati (RPD) di AGEA, se si tratti anche di una violazione dei dati personali per attivare eventuali azioni conseguenti ai sensi di quanto previsto agli art. 33 e 34 del GDPR in accordo ai documenti S-AGE-SSGE-L5-16002 Procedura per la Gestione degli Incidenti di sicurezza e S-AGE- SSGE-L5-18001 Procedura per il Personal Data Breach Management. Nel caso in cui l’Ente delegato, nominato da AGEA Responsabile del trattamento dei dati personali, ritenga, da una prima analisi, che si tratti di Data Breach è tenuto anche ad informare tempestivamente e senza ingiustificato ritardo, entro 24 ore dall’avvenuta conoscenza dell’evento, il Titolare del trattamento dei dati AGEA ed il RPD AGEA. Tale notifica – da effettuarsi ad AGEA sia tramite PEC all’indirizzo xxxxxxxxxx@xxx.xxxx.xxx.xx che tramite mail all’indirizzo xxxxxxxxxxx@xxxx.xxx.xx – deve essere accompagnata da ogni documentazione utile per permettere ogni valutazione e azione di competenza.
Gestione degli incidenti. 8.1 Il Responsabile ne dà comunicazione al Titolare senza ingiustificato ritardo, sostanzialmente nella forma in ALL. B (Gestione degli incidenti), dopo aver avuto conoscenza o aver motivo di sospettare che si sia verificata una violazione dei dati, fornendo al Titolare le informazioni sufficienti a consentire a quest'ultimo di rispettare qualsiasi obbligo di segnalazione di una violazione dei dati ai sensi della Legislazione sulla protezione dei dati applicabile. L'avviso deve:
8.1.1 descrivere la natura della violazione dei dati, le categorie e il numero di interessati coinvolti, le categorie e il numero di registrazioni di dati personali in questione;
8.1.2 indicare il nominativo e i recapiti del Responsabile del trattamento o di altri referenti presso i quali si possono ottenere maggiori informazioni;
8.1.3 descrivere le probabili conseguenze della violazione dei dati e 8.1.4 descrivere le misure che sono state adottate o che saranno adottate per far fronte alla violazione dei dati.
8.2 Il Responsabile del trattamento coopererà pienamente con il Titolare e adotterà tutte le misure ragionevoli necessarie per assistere il Titolare nell'indagine, mitigazione e correzione di ciascuna violazione dei dati, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile.
8.3 Le Parti si coordinano tra loro e collaborano in buona fede alla redazione delle eventuali dichiarazioni pubbliche in merito, nonché delle comunicazioni che dovessero essere richieste dagli interessati. Le Parti non daranno alcuna comunicazione a terzi senza il preventivo consenso scritto del Titolare del trattamento, salvo che tale comunicazione debba essere effettuata in conformità con le leggi dell'UE o di uno Stato membro cui è soggetto il Responsabile del trattamento, nel qual caso, il Responsabile del trattamento dovrà, nei limiti consentiti dalla legge, informare il Titolare di tale obbligo legale di fornire una copia della proposta informativa e considerare eventuali osservazioni formulate dal Titolare prima di inviare qualsiasi comunicazione su una violazione dei dati.
Gestione degli incidenti. UN. Il Responsabile del trattamento dovrà darne immediata comunicazione al Titolare, sostanzialmente secondo lo schema di cui all'Allegato 2 e, in in ogni caso, entro quarantotto (48) ore dal momento in cui è venuta a conoscenza o ha motivo di sospettare che vi sia stata una violazione dei dati, fornendo al Titolare del trattamento informazioni sufficienti per consentirgli di adempiere all'eventuale obbligo di segnalazione di una violazione dei dati ai sensi della legislazione applicabile sulla protezione dei dati. L'avviso dovrà, come minimo: i. descrivere la natura della violazione dei dati, le categorie e il numero approssimativo di interessati coinvolti, nonché le categorie e il numero approssimativo di registrazioni di Dati personali in questione; ii. indicare il nome e i dati di contatto del responsabile della protezione dei dati del Responsabile del trattamento, se presente, oppure altri referenti dai quali è possibile ottenere maggiori informazioni;
Gestione degli incidenti. 31.1 Il Responsabile ne dà comunicazione al Titolare senza ingiustificato ritardo, dopo aver avuto conoscenza o aver motivo di sospettare che si sia verificata una violazione dei dati, fornendo al Titolare le informazioni sufficienti a consentire a quest'ultimo di rispettare qualsiasi obbligo di segnalazione di una violazione dei dati ai sensi della Legislazione sulla protezione dei dati applicabile.
31.2 Il Responsabile del trattamento coopererà pienamente con il Titolare e adotterà tutte le misure ragionevoli necessarie per assistere il Titolare nell'indagine, mitigazione e correzione di ciascuna violazione dei dati, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile.
31.3 Le parti si coordinano tra loro e collaborano in buona fede alla redazione delle eventuali dichiarazioni pubbliche in merito, nonché delle comunicazioni che dovessero essere richieste dagli interessati.