Common use of Sicurezza delle informazioni Clause in Contracts

Sicurezza delle informazioni. 1. I Contitolari sono tenuti a mettere in atto tutte le misure di sicurezza tecniche e organizzative adeguate a proteggere i dati personali trattati nel rapporto di contitolarità, conformemente al piano di sicurezza stabilito e secondo quanto richiesto dagli articoli 5 e 32 del GDPR. 2. I Contitolari, inoltre, manterranno e, in caso di necessità, implementeranno i presidi e i sistemi in grado di garantire la riservatezza, l’integrità e la disponibilità dei Dati. 3. Le Parti eseguiranno un monitoraggio periodico sul livello di sicurezza raggiunto, al fine di renderlo sempre adeguato al rischio. 4. Il Titolare 1, in seguito ad approfondita analisi, ha appurato che la Piattaforma offre le seguenti misure di sicurezza tecniche e organizzative ai sensi dell’articolo 5 e 32 del GDPR: i. i Dati Personali registrati sulla piattaforma SaaS (Server as a Service) resteranno di proprietà dei Contitolari; ii. gli Interessati al trattamento non saranno oggetto di campagne di marketing da parte del Responsabile del Trattamento avente in hosting la Piattaforma; iii. il Provider sarà nominato Responsabile del Trattamento previsto dall’articolo 28 del GDPR; iv. in qualità di Responsabile del Trattamento, il Provider non prenderà decisioni inerenti ai dati personali registrati sulla piattaforma, ma si limiterà al loro trattamento e si adeguerà alle istruzioni che riceverà dai Contitolari; v. il Responsabile del Trattamento avviserà tempestivamente il Titolare 1 in caso si verifichi una violazione dei Dati Personali ai sensi dell’articolo 33 del GDPR. vi. è stato definito con chiarezza uno SLA (Service Level Agreement) preciso; vii. la Piattaforma è stata sottoposta a una DPIA; viii. sono state implementate procedure in compliance con il GDPR; ix. è stata attuata un’adeguata formazione del personale ai sensi dell’articolo 29 del GDPR; x. è garantito l’esercizio dei diritti degli Interessati come previsto dagli articoli da 15 a 22 del GDPR; xi. è stata definita una politica di data retention; xii. sono stati aggiornati tutti i contratti con le terze parti coinvolte nei trattamenti in ottica GDPR; xiii. vige l’obbligo di confidenzialità relativamente ai dati trattati per il personale autorizzato; xiv. la Piattaforma garantisce la piena aderenza al Capo V del GDPR.

Sicurezza delle informazioni. 1. I Contitolari sono tenuti a mettere in atto tutte le misure Per l’espletamento dei servizi della presente Convenzione e per l’operatività da remoto, il Fornitore dovrà disporre di sicurezza tecniche e organizzative adeguate a proteggere i dati personali trattati nel rapporto un Centro di contitolaritàGestione, conformemente al piano di sicurezza stabilito e secondo quanto richiesto dagli articoli 5 e 32 come indicato nella prima parte del GDPR. 2. I Contitolari, inoltre, manterranno e, in caso di necessità, implementeranno i presidi e i sistemi in grado di garantire la riservatezza, l’integrità e la disponibilità dei Dati. 3. Le Parti eseguiranno un monitoraggio periodico sul livello di sicurezza raggiunto, al fine di renderlo sempre adeguato al rischio. capitolo 4. Il Titolare 1Fornitore, in seguito ad approfondita analisi, ha appurato che la Piattaforma offre compatibilmente con le seguenti misure politiche di sicurezza tecniche di ciascuna Amministrazione Contraente, potrà collegarsi ad una sede (centrale) dell'Amministrazione ed utilizzare la rete dati (VPN) dell'Amministrazione per la verifica degli apparati presso ciascuna sede appartenente alla stessa Amministrazione per consentire il monitoraggio e organizzative gestione richiesti sugli elementi/apparati/sistemi. Deve essere possibile, qualora la sensibilità delle informazioni scambiate da entità di rete lo richieda, instaurare comunicazioni sicure, basate su moderni standard di sicurezza nelle reti e dei sistemi e protocolli di crittografia: il Fornitore deve garantire la sicurezza dei collegamenti e la riservatezza dei sistemi e delle informazioni attraverso la formalizzazione e l’applicazione di procedure e politiche di sicurezza da adottare al proprio interno (Sistema di Gestione delle Sicurezza delle Informazioni – SGSI), adeguate ai sensi dell’articolo 5 requisiti stabiliti dall’Amministrazione. Infatti, è responsabilità del Fornitore assicurare che il Centro Servizi, le infrastrutture in esso ospitate, le informazioni gestite e 32 le transazioni da e verso la rete dell’Amministrazione siano protette mediante l’adozione di adeguati sistemi e metodologie. Il Fornitore dovrà infatti garantire i seguenti servizi di sicurezza: - mutua Autenticazione: l'identità delle entità in comunicazione deve essere garantita attraverso meccanismi di crittografia asimmetrica, ovvero a chiave pubblica con lunghezza delle chiavi opportuna. È prevista a carico del GDPR: i. Fornitore la certificazione digitale del canale di comunicazione con l’Amministrazione. É prevista a carico del Fornitore la gestione e la distribuzione delle chiavi e dei certificati; - autorizzazione: individuare, sulla base delle credenziali fornite dall’utente, i Dati Personali registrati sulla piattaforma SaaS diritti e le autorizzazioni che tale utente possiede e permetterne l’accesso alle risorse limitatamente a tali autorizzazioni; - confidenzialità nella trasmissione dei dati: dove la delicatezza delle informazioni lo richieda, fornire gli strumenti per la cifratura della informazione, garantendo un adeguato livello di protezione della confidenzialità dei dati. Gli algoritmi crittografici utilizzati e la lunghezza delle chiavi devono essere opportunamente scelti in modo da garantire la confidenzialità della informazione; - integrità dei dati: fornire meccanismi che permettano di garantire l'integrità del messaggio scambiato tra due entità; la possibilità di rilevare alterazione del messaggio deve essere basata su funzioni di hashing considerate “sicure” (Server as a ServiceMD5, SHA, RIPEMP‐ 160, ecc.) resteranno di proprietà dei Contitolari; ii. gli Interessati al trattamento non saranno oggetto di campagne di marketing da parte del Responsabile del Trattamento avente in hosting la Piattaforma; iii. il Provider sarà nominato Responsabile del Trattamento previsto dall’articolo 28 del GDPR; iv. in qualità di Responsabile del Trattamento, il Provider non prenderà decisioni inerenti ai dati personali registrati sulla piattaforma, ma si limiterà al loro trattamento e si adeguerà alle istruzioni che riceverà dai Contitolari; v. il Responsabile del Trattamento avviserà tempestivamente il Titolare 1 in caso si verifichi una violazione dei Dati Personali ai sensi dell’articolo 33 del GDPRcon opportuna lunghezza delle chiavi. vi. è stato definito con chiarezza uno SLA (Service Level Agreement) preciso; vii. la Piattaforma è stata sottoposta a una DPIA; viii. sono state implementate procedure in compliance con il GDPR; ix. è stata attuata un’adeguata formazione del personale ai sensi dell’articolo 29 del GDPR; x. è garantito l’esercizio dei diritti degli Interessati come previsto dagli articoli da 15 a 22 del GDPR; xi. è stata definita una politica di data retention; xii. sono stati aggiornati tutti i contratti con le terze parti coinvolte nei trattamenti in ottica GDPR; xiii. vige l’obbligo di confidenzialità relativamente ai dati trattati per il personale autorizzato; xiv. la Piattaforma garantisce la piena aderenza al Capo V del GDPR.

Sicurezza delle informazioni. 14.1. I Contitolari del Trattamento sono tenuti a mettere in atto tutte le misure di sicurezza tecniche e organizzative adeguate a adeguate, declinate negli articoli 24 e 32 del Regolamento UE 2016/679 per proteggere i dati personali raccolti, trattati nel o utilizzati nell’ambito del rapporto di contitolarità, conformemente a quanto disciplinato dalle norme di legge e in modalità che non si pongano in contrasto al piano presente accordo. Il Contitolare del Trattamento deve verificare regolarmente il rispetto di tali misure e fornire sufficiente documentazione a richiesta del Franchisor e a prova di essersi adeguato a quanto disposto dalla legge in materia di trattamento dei dati-privacy e del rispetto al principio di responsabilizzazione, nonché ad adottare per la raccolta dei dati il metodo ivi descritto. 4.2. I Contitolari del Trattamento adotteranno tutte le misure di sicurezza stabilito tecniche e secondo quanto richiesto dagli articoli 5 e 32 del GDPR. 2. I Contitolari, inoltre, manterranno e, organizzative per il tempestivo recupero della disponibilità dei dati personali in caso di necessità, implementeranno i presidi e i sistemi in grado incidente fisico o tecnico di garantire la riservatezza, l’integrità e la disponibilità dei Daticui all’art.32 punto 1 lettera C del Regolamento UE 2016/679. 34.3. Le Parti I Contitolari del Trattamento eseguiranno un monitoraggio periodico sul livello di sicurezza raggiunto, al fine di renderlo sempre adeguato al rischio. 44.4. I Contitolari gestiranno in autonomia e con procedura interna, ma con immediata comunicazione all’altra Parte, i casi di violazione dei trattamenti (Data Breach) e si procederà con la notifica e/o comunicazione della violazione a norma di quanto stabilito dagli artt. 33- 34 del Regolamento UE 2016/679. Il Titolare 1Contitolare dovrà in ogni caso rispettare le Linee guida indicate dal Franchisor e informare lo stesso, immediatamente alla scoperta del fatto, a mezzo indirizzo e-mail xxx@xxxxxxxxxx.xx, dei casi in seguito ad approfondita analisicui la violazione riscontrata presenti un rischio per i diritti e le libertà delle persone fisiche e necessiti per tale ragione della notifica all’autorità garante. Il Franchisor gestirà direttamente eventuali Data Breach che subirà Elettra o il CRM Tempocasa e/o Tempoagency, ha appurato che la Piattaforma offre le seguenti misure di sicurezza tecniche e organizzative ai sensi dell’articolo 5 e 32 con impegno dell’altro Contitolare del GDPR: i. i Dati Personali registrati sulla piattaforma SaaS (Server as a Service) resteranno di proprietà dei Contitolari; ii. gli Interessati al trattamento non saranno oggetto di campagne di marketing da parte del Responsabile del Trattamento avente in hosting la Piattaforma; iii. il Provider sarà nominato Responsabile del Trattamento previsto dall’articolo 28 del GDPR; iv. in qualità di Responsabile del Trattamento, il Provider non prenderà decisioni inerenti ai dati personali registrati sulla piattaforma, ma si limiterà al loro trattamento e si adeguerà alle istruzioni che riceverà dai Contitolari; v. il Responsabile del Trattamento avviserà tempestivamente il Titolare 1 in caso si verifichi una violazione dei Dati Personali ai sensi dell’articolo 33 del GDPRnecessario supporto laddove necessario. vi. è stato definito con chiarezza uno SLA (Service Level Agreement) preciso; vii. la Piattaforma è stata sottoposta a una DPIA; viii. sono state implementate procedure in compliance con il GDPR; ix. è stata attuata un’adeguata formazione del personale ai sensi dell’articolo 29 del GDPR; x. è garantito l’esercizio dei diritti degli Interessati come previsto dagli articoli da 15 a 22 del GDPR; xi. è stata definita una politica di data retention; xii. sono stati aggiornati tutti i contratti con le terze parti coinvolte nei trattamenti in ottica GDPR; xiii. vige l’obbligo di confidenzialità relativamente ai dati trattati per il personale autorizzato; xiv. la Piattaforma garantisce la piena aderenza al Capo V del GDPR.

Sicurezza delle informazioni. 1Unioncamere è da sempre impegnata a garantire la sicurezza delle informazioni gestite per conto del sistema camerale attraverso processi e strumenti volti ad analizzare i rischi, a proteggere gli asset informativi e a contrastare le minacce. I Contitolari sono tenuti In tale ambito una delle principali novità è il Regolamento Privacy Europeo (2016/679), applicabile dal 25 maggio 2018, che prescrive nuovi adempimenti a mettere carico di enti pubblici ed imprese e pone un focus particolare sui temi della cyber security. Il servizio ha l’obiettivo di supportare ISIN nella protezione delle informazioni gestite, sia in atto tutte le modalità informatizzata sia in altre modalità. In particolare, verrà fornito il supporto per stabilire, attuare, mantenere e migliorare in modo continuo l’insieme di regole e procedure per il controllo della sicurezza delle informazioni, organizzando ruoli, processi interni e misure di sicurezza tecniche e organizzative adeguate a proteggere i dati personali trattati nel rapporto al fine di contitolarità, conformemente al piano di sicurezza stabilito e secondo quanto richiesto dagli articoli 5 e 32 del GDPR. 2. I Contitolari, inoltre, manterranno e, in caso di necessità, implementeranno i presidi e i sistemi in grado di garantire tutelare la riservatezza, l’integrità e la disponibilità dei Dati. 3delle informazioni. Le Parti eseguiranno un monitoraggio periodico sul livello Di seguito sono elencate le attività in ambito di sicurezza raggiuntodelle informazioni previste: • Vulnerability Assessment periodici su reti, al fine dispositivi e server in gestione ad ISIN, su un perimetro concordato (due volte l’anno); • Formazione su argomenti specifici (tra quelli proposti su cui non si è ancora verticalizzato): Xxxxxx proposte: “Password manager”, “Navigazione sicura e netiquette. Uso dei social”, “sicurezza delle informazioni e dispositivi mobili”, “utilizzo sicuro degli strumenti di renderlo sempre adeguato al rischio. 4collaboration. Il Titolare 1Casi d’uso”, in seguito ad approfondita analisi, ha appurato che la Piattaforma offre le seguenti misure “Proattività nella risposta agli incidenti. Training interattivo sulla gestione degli incidenti di sicurezza tecniche delle informazioni”, “Gestire le copie di sicurezza dei propri dati”, “Proteggere la disponibilità, l’integrità e organizzative ai sensi dell’articolo 5 la disponibilità delle informazioni. Esempi pratici”, “L'ingegneria sociale”, “Teoria della Sicurezza delle Informazioni e 32 dell'analisi del GDPR: i. i Dati Personali registrati rischio”, “sicurezza delle informazioni negli acquisti”, “sicurezza delle informazioni nell’erogazione dei servizi istituzionali”. (Orientativamente due sessioni di formazione l’anno); • Istruzione tecnica sulla piattaforma SaaS (Server as a Service) resteranno gestione degli incidenti di proprietà sicurezza delle informazioni e degli eventi che possono rilevare per la sicurezza delle informazioni. Istruzione per la gestione e risoluzione dei Contitolari; ii. gli Interessati al problemi; • Analisi dei rischi di sicurezza delle informazioni e piano di trattamento non saranno oggetto dei rischi elevati di campagne di marketing da parte del Responsabile del Trattamento avente in hosting la Piattaforma; iii. il Provider sarà nominato Responsabile del Trattamento previsto dall’articolo 28 del GDPR; iv. in qualità di Responsabile del Trattamento, il Provider non prenderà decisioni inerenti ai dati personali registrati sulla piattaforma, ma si limiterà al loro trattamento e si adeguerà alle istruzioni che riceverà dai Contitolari; v. il Responsabile del Trattamento avviserà tempestivamente il Titolare 1 in caso si verifichi una violazione dei Dati Personali ai sensi dell’articolo 33 del GDPRsicurezza delle informazioni; • Riesame annuale sicurezza delle informazioni. vi. è stato definito con chiarezza uno SLA (Service Level Agreement) preciso; vii. la Piattaforma è stata sottoposta a una DPIA; viii. sono state implementate procedure in compliance con il GDPR; ix. è stata attuata un’adeguata formazione del personale ai sensi dell’articolo 29 del GDPR; x. è garantito l’esercizio dei diritti degli Interessati come previsto dagli articoli da 15 a 22 del GDPR; xi. è stata definita una politica di data retention; xii. sono stati aggiornati tutti i contratti con le terze parti coinvolte nei trattamenti in ottica GDPR; xiii. vige l’obbligo di confidenzialità relativamente ai dati trattati per il personale autorizzato; xiv. la Piattaforma garantisce la piena aderenza al Capo V del GDPR.