DPA – Data Processing Agreement
PREMESSA
DPA – Data Processing Agreement
Accordo sul Trattamento dei Dati Personali (ex. art.28 Regolamento UE 2016/679)
Axios Italia Service S.r.l. SU con sede in Via E. Filiberto 190 – 00185 Roma, P.IVA 06331261005 (di seguito AXIOS), da oltre 30 anni, sviluppa software per la gestione delle Segreterie Scolastiche nelle Scuole sia nell’utilizzo in locale (client/server) che su web.
Obiettivo principale dell’azienda, oltre quello di rendere agevole il lavoro quotidiano dei nostri clienti, è quello di garantire la sicurezza degli applicativi adeguandoli alle normative che si sono susseguite negli anni. Per questo motivo, AXIOS si è impegnata e ha ottenuto le certificazioni ISO 9001:2015, ISO 27001:2013, ISO 27018:2014 e ISO 27017:2015 per i seguenti campi applicativi: “Progettazione, sviluppo, manutenzione e assistenza di software gestionale e servizi SaaS connessi” ed inoltre, da aprile 2019, la qualifica AgID secondo la circolare n.3 del 9 aprile 2018 per gli applicativi SaaS.
AXIOS, attraverso il presente Accordo, intende informare il TITOLARE in merito alle modalità di trattamento dei dati e alle misure di sicurezza adottate nel rispetto di quanto previsto dal Regolamento UE 2016/679 (di seguito RGPD - Regolamento Generale per la Protezione dei Dati) e delle altre normative vigenti in materia di protezione dei dati personali.
DEFINIZIONI
Ai fini del presente accordo i termini e le espressioni che seguono dovranno intendersi come di seguito indicato:
✓ Sono da intendersi valide tutte le definizioni così come indicate nell’art.4 dell’RGPD;
✓ Si tiene conto anche delle definizioni indicate nell’ALLEGATO “A” (CONDIZIONI DI LICENZA D’USO SOFTWARE AXIOS E RELATIVA ASSISTENZA);
✓ Per semplicità espositiva si definisce “responsabile del trattamento” colui che tratta i dati per conto di un titolare del trattamento mentre si definisce “sub-responsabile” colui che tratta i dati per conto di un responsabile del trattamento.
OGGETTO
Considerato che tra la AXIOS (di seguito RESPONSABILE) e l’Istituto scolastico (di seguito TITOLARE) rappresentato legalmente dal Dirigente Scolastico (pro tempore) è stipulato, ed è in corso di validità, un Contratto per la fornitura di software gestionale per la segreteria scolastica (programmi client/server per sistemi Microsoft Windows) e/o servizi gestionali in SaaS (su piattaforma web) per l’attività amministrativa e didattica riguardanti l’elaborazione in locale e on
line dei dati di cui l’Istituto scolastico è TITOLARE (inclusi relativi servizi di assistenza tecnica e manutenzione), ai sensi dell’art.28 dell’RGPD, sulla base del presente Accordo AXIOS agirà quale RESPONSABILE del trattamento in relazione alle attività di trattamento dei dati personali conferiti dal TITOLARE ai soli fini dell’esecuzione del Contratto.
Il trattamento potrà essere svolto sia in forma automatizzata sia in forma non automatizzata.
Il presente Accordo intende disciplinare i diritti e gli obblighi spettanti al RESPONSABILE e al TITOLARE relativamente al rispetto della normativa in materia di protezione dei dati personali (Regolamento UE 2016/679, D.lgs. 196/03 come modificato dal D.lgs. 101/18, e altre normative vigenti in materia di protezione dei dati personali).
OBBLIGHI DEL TITOLARE
Il TITOLARE garantisce che:
✓ i Dati Personali conferiti al RESPONSABILE sono nella sua piena disponibilità nel rispetto di quanto previsto dall’RGPD e dalla legislazione italiana in materia di protezione delle persone fisiche a riguardo del trattamento dei dati;
✓ i Dati personali conferiti al RESPONSABILE sono esatti e aggiornati.
DATI PERSONALI TRATTATI E CATEGORIE DI INTERESSATI
Le categorie di dati personali trattati sono:
✓ Credenziali di accesso e log relativi agli accessi e all’utilizzo delle applicazioni;
✓ dati identificativi e anagrafici in generale (es. nome, cognome, e-mail, numeri di telefono, indirizzo IP, etc.);
✓ dati di fatturazione, contabilità e pagamenti;
✓ dati ex. art.9 (categorie particolari di dati personali; es. dati relativi allo stato di salute);
✓ dati ex. art.10 (dati personali relativi a condanne penali o a reati o a connesse misure di sicurezza...);
✓ dati statistici o altri dati di navigazione in rete.
I dati personali raccolti e trattati si riferiscono alle seguenti tipologie di interessati:
✓ Alunni
✓ Dipendenti
✓ Genitori
✓ Famigliari
✓ Tutori
✓ Fornitori (Aziende, Consulenti, etc.)
COMUNICAZIONE VIOLAZIONI DELLA SICUREZZA
Il TITOLARE comunica senza ingiustificato ritardo al RESPONSABILE, attraverso i canali di comunicazione messi a disposizione da AXIOS (mail, PEC, telefono) eventuali o potenziali violazioni della sicurezza che coinvolgano o meno dati personali.
OBBLIGHI DEL RESPONSABILE
Il RESPONSABILE è tenuto a rispettare tutti i requisiti di legge previsti dagli artt. 28-33 RGPD. A tal fine, il RESPONSABILE garantisce quanto segue:
NOMINA DI UN RESPONSABILE PER LA PROTEZIONE DEI DATI PERSONALI (RPD/DPO)
AXIOS ha nominato un Responsabile per la protezione dei dati. L'attuale DPO è il Sig. De Vita Xxxxxxxx, indirizzo mail: xxx@xxxxxxxxxxx.xxx. Il RESPONSABILE segnalerà al TITOLARE senza indebito ritardo ogni cambio di DPO.
RISERVATEZZA
Le attività di trattamento regolate da questo Accordo saranno svolte solo da dipendenti, collaboratori o incaricati previamente istruiti dal RESPONSABILE sul corretto trattamento di dati personali e contrattualmente soggetti ad obbligo di riservatezza ai sensi degli artt. 28 par. 3 (b) e 32 RGPD. Il RESPONSABILE, così come chiunque agisca sotto la sua autorità ed ha abbia accesso a dati personali, non tratterà dati personali se non istruito in tal senso dal TITOLARE, anche a mezzo del presente Accordo, salvo che per espressa previsione di legge (art. 29 RGPD).
MISURE TECNICHE ED ORGANIZZATIVE
Il RESPONSABILE garantisce la sicurezza del trattamento ai sensi degli artt. 28 par. 3 punto c) e 32 RGPD, in particolare ai sensi dell'art. 5 par. 1 e par. 2 RGPD. Tali misure devono garantire la sicurezza dei dati ed un livello di protezione adeguato al rischio per la confidenzialità, integrità, disponibilità e resilienza dei sistemi. Ai sensi dell'art. 32 par. 1 RGPD, nel valutare il livello di adeguatezza delle misure di sicurezza deve tenersi conto dello stato dell'arte, i costi di realizzazione, la natura, l'oggetto e gli scopi del trattamento, così come la probabilità di una violazione di dati personali e la gravità dei rischi da essa potenzialmente derivanti per i diritti e le libertà delle persone fisiche.
Il RESPONSABILE controlla periodicamente i processi interni e le misure tecniche e organizzative per assicurare che il trattamento nella sua area di competenza sia conforme ai requisiti della normativa sulla protezione dei dati personali e dei diritti degli interessati, ai sensi di quanto specificato dall'art. 32 RGPD. Il RESPONSABILE garantisce al TITOLARE la verificabilità delle misure tecniche e organizzative nell'ambito dei suoi poteri di controllo.
ASSISTENZA AL TITOLARE
Il RESPONSABILE assiste il TITOLARE nell'adempimento degli obblighi relativi alla sicurezza dei dati personali, nella segnalazione di violazioni dei dati, nelle valutazioni d'impatto sulla protezione dei
dati e nelle consultazioni preventive di cui agli articoli da 32 a 36 RGPD, tra l'altro garantendo adeguati standard di protezione mediante misure tecniche e organizzative, tenendo conto della natura, delle circostanze e delle finalità del trattamento, della probabilità di violazioni dei dati e della gravità del rischio per le persone fisiche che ne può derivare garantendo l'immediata individuazione delle violazioni e assistendo il TITOLARE nell'evadere le richieste degli interessati di esercizio dei loro diritti.
VIOLAZIONI DELLA SICUREZZA
Ai sensi dell’art. 33 par.2, in caso di violazione dei dati personali, “il RESPONSABILE del trattamento informa il TITOLARE del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione”, inviando una comunicazione con il seguente contenuto:
✓ la data e l’ora in cui si è verificata la violazione;
✓ una descrizione del tipo di violazione e di come è stata identificata;
✓ se possibile categorie dei dati personali, numero e tipo di interessati;
✓ misure di mitigazione adottate;
✓ probabili conseguenze della violazione;
✓ appena possibile, ogni altra informazione disponibile che venga richiesta dal TITOLARE in merito alla violazione dei dati personali.
Il RESPONSABILE può richiedere al TITOLARE un compenso ragionevole per servizi di assistenza che non sono compresi nella descrizione dei servizi e che non sono dovuti a errori, violazioni o condotte imputabili al RESPONSABILE.
COLLABORAZIONE CON LE AUTORITA’ DI CONTROLLO
Il TITOLARE ed il RESPONSABILE cooperano, su richiesta, con l'autorità di controllo. Il TITOLARE è immediatamente informato di tutte le ispezioni e misure eseguite dall'autorità di controllo, nella misura in cui esse si riferiscono alle attività svolte in base a questo Accordo. Ciò vale anche nel caso in cui il RESPONSABILE sia sottoposto a o coinvolto in una indagine da parte di un'autorità competente in relazione a violazioni di qualsiasi disposizione in materia di trattamento di dati personali nello svolgimento di attività ai sensi di questo Accordo. Nella misura in cui il TITOLARE sia soggetto a ispezione da parte dell'autorità di controllo, sanzione amministrativa pecuniaria, misura cautelare o procedimento penale, pretesa da parte di un interessato o di terzi o qualsiasi altra azione legale in collegamento con il trattamento di dati da parte del RESPONSABILE ai sensi della presente nomina, il RESPONSABILE farà tutto il possibile per sostenere il TITOLARE.
DIRITTI DEGLI INTERESSATI
Il RESPONSABILE si impegna a cooperare con il TITOLARE ed a fornire la più ampia assistenza, nei limiti in cui ciò è ragionevole o possibile, al fine di agevolare il TITOLARE nel riscontro delle richieste degli interessati per l'esercizio dei loro diritti.
In particolare, il RESPONSABILE si impegna a comunicare immediatamente al TITOLARE ciascuna richiesta pervenutagli dagli interessati in merito all'esercizio dei loro diritti e, se fattibile o del caso, ad assistere il TITOLARE nel progettare e implementare tutte le misure tecniche ed organizzative necessarie per rispondere a tali richieste.
Fermo restando che la responsabilità di riscontrare e soddisfare le richieste degli interessati grava esclusivamente sul TITOLARE, il RESPONSABILE può essere incaricato di evadere alcune specifiche richieste, sempre che ciò non richieda sforzi sproporzionati e su istruzioni specifiche fornite per iscritto dal TITOLARE.
POTERI DIRETTIVI DEL TITOLARE
Il RESPONSABILE non tratta alcun dato personale ai sensi del presente Accordo se non su istruzione documentata del TITOLARE, salvo che sia obbligato a farlo dal diritto dell'Unione o degli Stati membri.
Nel caso in cui il TITOLARE richieda una attività di trattamento dei dati personali non previsto dalle funzionalità del software e/o servizio SaaS, il RESPONSABILE informa immediatamente il TITOLARE qualora ritenga che tale richiesta possa comportare violazioni delle disposizioni in materia di protezione dei dati. Il RESPONSABILE può astenersi dallo svolgere qualsiasi attività che possa dar luogo a tale violazione.
Nel caso in cui il TITOLARE richieda attività di trattamento dei dati personali che comportino variazioni di risorse informatiche (inclusa modifica del codice) e organizzative non previste dal Contratto, AXIOS valuterà la fattibilità della richiesta e, se realizzabile, concorderà con il TITOLARE la specifica delle attività e i relativi costi, ovviamente, se le attività richieste non comportino violazioni delle disposizioni in materia di protezione dei dati.
POTERI DI CONTROLLO DEL TITOLARE
Il TITOLARE ha il diritto di svolgere ispezioni o farle svolgere ad un revisore di volta in volta incaricato. Il revisore dovrà valutare il rispetto di questo Accordo da parte del RESPONSABILE nel corso delle proprie attività d'impresa per mezzo di verifiche causali, le quali dovranno di regola essere notificate in anticipo.
Il RESPONSABILE deve permettere al TITOLARE di verificare l'adempimento alle proprie obbligazioni, come previsto dall'art. 28 RGPD. Su richiesta, il RESPONSABILE fornisce al TITOLARE ogni informazione necessaria nonché, segnatamente, la prova di aver adottato le misure tecniche ed organizzative.
Il RESPONSABILE può addebitare al TITOLARE un compenso di entità ragionevole per l'esecuzione
delle ispezioni.
ALTRI RESPONSABILI DEL TRATTAMENTO (SUB-RESPONSABILI)
Il TITOLARE autorizza fin d’ora il RESPONSABILE a ricorrere a terzi responsabili del trattamento. I SUB- RESPONSABILI come richiesto dalla normativa, dovranno essere soggetti ai medesimi obblighi contrattuali contenuti nel presente Accordo ai sensi dell'art. 28 par. 4 dell’RGPD.
In virtù del presente Accordo, le parti si danno reciprocamente atto che il RESPONSABILE si avvale dei seguenti sub-responsabili, con i quali s'impegna a concludere accordi contrattuali conformi al dettato dell'art. 28, par. 4 dell’RGPD:
SUB-RESPONSABILE | INDIRIZZO/STATO | ATTIVITA’ DI TRATTAMENTO DELEGATA | |
1 | MOMIT S.r.l. | Xxxxx Xxxxxx Xxxxxxxxx x.00, 00000 Xxxxxx – XXXXXX | Infrastruttura e servizi di Data Center |
2 | Aruba PEC S.p.A. | Xxx Xxx Xxxxxxxx x.00, 00000 Xxxxx Xxx Xxxxxx (XX) - XXXXXX | Servizi di firma digitale e grafometrica |
3 | Cloudflare, Inc. | 000 Xxxxxxxx Xx, Xxx Xxxxxxxxx, XX 00000 XXX | Servizi di sicurezza Enterprise (localizzazione dei dati in UE) |
Resta inteso che la comunicazione dei dati ad un terzo responsabile potrà avvenire solo una volta che tutte le condizioni ai sensi dell’art.28 par.4 dell’RGPD siano realizzate.
Il RESPONSABILE manterrà aggiornato l’elenco dei SUB-RESPONSABILI. Qualsiasi modifica a tale
elenco sarà segnalata al TITOLARE senza indebito ritardo.
Il RESPONSABILE risponde integralmente dell'operato dei SUB-RESPONSABILI nei confronti del TITOLARE.
Per i SUB-RESPONSABILI che prevedono il trasferimento dei dati al di fuori della UE/SEE, il
REPONSABILE garantisce la legittimità del trasferimento dati al di fuori dello SEE.
TRATTAMENTO ALL’ESTERNO DELLA UE E DELLO SEE
Alla data di stipula del presente accordo, il TITOLARE riconosce di essere stato informato che le attività di trattamento effettuate dal RESPONSABILE per suo conto, non prevedono trasferimenti al di fuori dello Spazio Economico Europeo “SEE”. Se tali trattamenti, in questa sede specificamente autorizzati dal TITOLARE, dovessero in futuro richiedere il trasferimento di dati personali fuori dallo SEE, il RESPONSABILE farà in modo che i trattamenti avvengano in conformità alle basi di legittimità del trasferimento stabilite agli artt. 45 e ss. dell’RGPD, come di volta in volta applicabili a ciascun trattamento e fornirà al TITOLARE le informazioni necessarie senza indebito ritardo.
RESPONSABILITA’
Restano ferme le disposizioni di cui all'art. 82 RGPD.
DURATA DEL TRATTAMENTO, DISTRUZIONE E RESTITUZIONE DEI DATI PERSONALI
La durata del trattamento è limitata alla durata del Contratto di fornitura.
Il RESPONSABILE non crea copie o duplicati dei dati ad insaputa e senza il consenso del TITOLARE, fatta eccezione per le copie di sicurezza, nella misura in cui siano necessarie a garantire la corretta elaborazione dei dati (esecuzione del servizio), nonché per i dati la cui conservazione è prevista dalla legge.
A conclusione della prestazione dei servizi (termine del Contratto di fornitura), a scelta del TITOLARE, il RESPONSABILE cancella (Rif. ALLEGATO “B”) in maniera conforme alla protezione dei dati e restituisce al TITOLARE tutti i dati personali raccolti ed elaborati ai sensi del presente Accordo, a meno che le disposizioni di legge applicabili non richiedano un'ulteriore conservazione dei dati personali.
In ogni caso, il RESPONSABILE può conservare tutte le informazioni utili a dimostrare la corretta e
conforme esecuzione delle attività di trattamento anche oltre la cessazione del Contratto.
La documentazione di cui al comma che precede, deve comunque essere conservata dal RESPONSABILE in ottemperanza ai periodi di conservazione previsti dalla legge o altrimenti stabiliti.
ALLEGATI
ALLEGATO “A” - CONDIZIONI DI LICENZA D’USO SOFTWARE AXIOS E RELATIVA ASSISTENZA
ALLEGATO “B” - POLICY DI SICUREZZA
Roma, 10/01/2023
XXXXXXXX XXXXX 19.01.2023
08:59:00
GMT+01:00
Axios Italia Service CONDIZIONI DI LICENZA D’USO SOFTWARE AXIOS E RELATIVA ASSISTENZA | M.GES 03.06 Rev. 2 del 29.09.2022 Pagina 1 di 7 |
Sommario
3. OGGETTO DEL CONTRATTO – CONCESSIONE IN LICENZA D’USO 2
4. ASSISTENZA TECNICA SOFTWARE E MANUTENZIONE 3
4.4 Aggiornamenti e responsabilità 3
5. CONCLUSIONE DEL CONTRATTO ED ACCETTAZIONE 4
7. OBBLIGHI E GARANZIE DI AXIOS 5
11. DURATA DELLA LICENZA D’USO 7
13. CLAUSOLE RISOLUTIVE ESPRESSE 7
16. LEGGE APPLICABILE E FORO COMPETENTE 7
XXXXXXXX XXXXX 29.09.2022
10:28:51
GMT+01:00
Axios Italia Service CONDIZIONI DI LICENZA D’USO SOFTWARE AXIOS E RELATIVA ASSISTENZA | M.GES 03.06 Rev. 2 del 29.09.2022 Pagina 2 di 7 |
1. PREMESSA
Il presente documento costituisce:
1. Il contratto di licenza d’uso tra il licenziatario (d'ora in avanti "Cliente") e la Axios Italia Service S.r.l. (d’ora in avanti “Axios”), avente ad oggetto tutti i software (d’ora in avanti “Prodotti”) realizzati da quest’ultima
2. Il contratto di servizio di assistenza tecnica e manutenzione.
Nel presente contratto sono descritti i diritti del licenziatario, le condizioni per l'utilizzo del software Axios e le condizioni di erogazione dei servizi di assistenza tecnica da parte di Axios. Il licenziatario prende atto del presente accordo e delle eventuali condizioni addizionali accessibili tramite i collegamenti presenti nelle apposite sezioni dei software in modalità SaaS e/o Client/Server.
2. DEFINIZIONI
⮚ “Prodotti”: tutti i software realizzati dalla Axios concessi in licenza d’uso non perpetua e non esclusiva al Cliente (sia in modalità Client/Server che in modalità SaaS su Cloud). I Prodotti sono costituiti da informazioni leggibili dall’elaboratore, dalla relativa documentazione d’uso e da qualsiasi altro materiale sia fornito per il suo utilizzo.
⮚ “Codice sorgente”: il codice sorgente (spesso detto semplicemente sorgente), in informatica, è la forma testuale di un programma prima che questo venga convertita in codice macchina (eseguibile dal computer) ad opera di un programma chiamato compilatore. Esso definisce dunque il flusso di esecuzione del programma stesso
⮚ “Client/Server”: in informatica il termine sistema Client/Server (letteralmente cliente-serviente) indica un'architettura di rete nella quale genericamente un computer client o terminale si connette ad un server per la fruizione di un certo servizio, quale ad esempio la condivisione di una certa risorsa hardware/software con altri client, appoggiandosi alla sottostante architettura protocollare. Più semplicemente, i sistemi client/server sono un'evoluzione dei sistemi basati sulla condivisione semplice delle risorse: la presenza di un server permette ad un certo numero di client di condividerne le risorse, lasciando che sia il server a gestire gli accessi alle risorse per evitare conflitti di utilizzazione tipici dei primi sistemi informatici.
⮚ “Modalità SaaS”: Software as a service (SaaS), o Software come servizio, è un modello di distribuzione del software applicativo dove un produttore di software sviluppa, opera (direttamente o tramite terze parti) e gestisce un'applicazione web che mette a disposizione dei propri clienti via Internet (previo abbonamento); spesso si tratta di un servizio di cloud computing.
3. OGGETTO DEL CONTRATTO – CONCESSIONE IN LICENZA D’USO
1. La Axios è e resta proprietaria di tutte le componenti dei prodotti scelti dal Cliente al momento dell’acquisto concedendo al Cliente il diritto di utilizzare in modo non esclusivo i Prodotti in licenza d’uso non perpetua senza cedere alcun diritto di sfruttamento economico sugli stessi.
2. I Prodotti rimangono di proprietà della Axios o dei terzi suoi aventi causa. Il Cliente acquisisce sui Prodotti solo una licenza d’uso non perpetua e non esclusiva e non può cedere, sub licenziare o rendere disponibile in qualunque forma a soggetti terzi quanto costituisce oggetto della presente licenza d’uso.
3. I Prodotti vengono forniti in formato digitale, con assoluta esclusione della possibilità di ottenere il codice sorgente, documentazione logica e analisi di progetto.
4. I prodotti in versione Client/Server possono essere scaricati dal sito web di Axios all’indirizzo xxx.xxxxxxxxxxx.xxx, mentre gli applicativi in versione Web forniti in modalità SaaS possono essere utilizzati da qualsiasi Browser compatibile.
5. La Axios non mette a disposizione del Cliente né supporti di memoria digitali né documentazione in formato cartaceo, che potrà anch'essa essere scaricata dal sito istituzionale.
6. La Axios potrà cedere in licenza d’uso non perpetua e non esclusiva anche ad altri Clienti i Prodotti oggetto del presente accordo; il Cliente potrà trasferirli su più elaboratori per consentirne l'utilizzo a più utenti autorizzati. Al di fuori di quanto previsto dal normale uso dei Prodotti o di quanto richiesto dal suo normale funzionamento, il Cliente non può consentire a terze parti, non autorizzate, l’accesso al data base o l’inserimento di qualsiasi tipo di dato in esso che non sia frutto di procedure previste dai Prodotti.
Axios Italia Service CONDIZIONI DI LICENZA D’USO SOFTWARE AXIOS E RELATIVA ASSISTENZA | M.GES 03.06 Rev. 2 del 29.09.2022 Pagina 1 di 7 |
4. ASSISTENZA TECNICA SOFTWARE E MANUTENZIONE
La Axios fornisce unitamente alla concessione in licenza d’uso non perpetua dei Prodotti anche il servizio di assistenza tecnica e manutenzione
4.1 Servizi previsti
a. Gli aggiornamenti normativi, sui Prodotti licenziati;
b. Eventuali nuovi rilasci dei Prodotti oggetto del presente contratto che la Axios realizzerà nel tempo incrementando e migliorando i Prodotti concessi in licenza d’uso non perpetua con il presente contratto;
c. Correzione di eventuali errori sui Prodotti software concessi in licenza d’uso non perpetua mediante il presente contratto rilevati dal Cliente e riconosciuti tali (a insindacabile giudizio della Axios).
d. In caso di richiesta di servizi non elencati la Axios si riserva di fornire i relativi servizi previa sottoscrizione di apposito ordine da parte del Cliente.
4.2 Modalità di erogazione
a. Per la correzione di errori che eventualmente fossero contenuti nei Prodotti software, il Cliente si obbliga a comunicare a mezzo e-mail alla Axios l’opportuna documentazione del malfunzionamento riscontrato. La Axios, riconosciuto (a suo insindacabile giudizio) l’effettivo errore, si obbliga ad esplicare il servizio di manutenzione rilasciando informazioni per eseguirne la correzione, o rilasciando una temporanea procedura di esclusione, oppure rilasciando una versione corretta dei Prodotti;
b. Axios metterà a disposizione del Cliente eventuali nuovi versioni dei Prodotti software in seguito a variazioni di norme che inducano cambiamenti nell’ambito delle elaborazioni operate dai Prodotti;
c. Le implementazioni e migliorie vengono effettuate e inserite sui Prodotti a discrezione ed insindacabile giudizio della Axios;
d. Axios garantisce che i servizi saranno eseguiti da personale dotato di adeguata preparazione professionale. I servizi di manutenzione saranno forniti al Cliente durante il normale orario di lavoro osservato dal personale della Axios, la quale, per la prestazione di tali servizi, sarà libera di avvalersi anche di tecnici estranei esterni alla propria organizzazione;
e. Il servizio di manutenzione non prevede la correzione di malfunzionamenti dovuti all’utilizzo improprio del software da parte del Cliente e del suo personale o degli utenti autorizzati all'uso.
4.3 Garanzie
a. Assistenza telefonica: dal Lunedì al Venerdì dalle ore 8:00 alle ore 14:00 e dalle ore 14:30 alle ore 16:30 tramite il numero del servizio di assistenza 06.777.231. Eventuali variazioni di orario del servizio saranno comunicate tramite messaggi sul sito Axios (xxx.xxxxxxxxxxx.xxx).
b. Aggiornamenti dei Prodotti: adeguamento delle procedure a qualsiasi variazione normativa (Atti Primari) che avvengano nel periodo di assistenza
c. Rilascio di nuove versioni: integrazioni e implementazione di migliorie, a completa discrezione della Axios, delle funzioni e delle diverse procedure
d. Aggiornamenti della documentazione: in seguito al rilascio di una nuova versione, sarà messa a disposizione del Cliente, anche un aggiornamento della documentazione elettronica
e. Download Aggiornamenti: gli aggiornamenti sono scaricabili dal sito xxx.xxxxxxxxxxx.xxx nella sezione “Aggiornamenti” oppure saranno immediatamente resi disponibili in produzione per quanto concerne i Prodotti in modalità SaaS
f. Consulenza tecnico-legislativa: supporto operativo e funzionale sull'utilizzo delle procedure e consulenza normativa aggiornata sull'evoluzione legislativa dell'argomento trattato
4.4 Aggiornamenti e responsabilità
a. Tutti gli aggiornamenti dei Prodotti si intendono ceduti in licenza d'uso alle stesse condizioni dei relativi Prodotti.
b. Il presente accordo non prevede, in nessun caso, la formazione del personale del Cliente sulle variazioni effettuate, anche in caso di personale inesperto.
c. La Axios non è responsabile in nessun caso di eventuali malfunzionamenti derivanti dall’installazione di aggiornamenti scaricati dal Cliente che non abbia sottoscritto il presente contratto.
d. Il presente accordo non prevede nessun intervento tecnico di personale della Axios presso la sede del Cliente.
Axios Italia Service CONDIZIONI DI LICENZA D’USO SOFTWARE AXIOS E RELATIVA ASSISTENZA | M.GES 03.06 Rev. 2 del 29.09.2022 Pagina 4 di 7 |
5. CONCLUSIONE DEL CONTRATTO ED ACCETTAZIONE
Sia delle condizioni per l’utilizzo del software Axios e sia delle condizioni di erogazione dei servizi di assistenza tecnica da parte di Axios
1. Le condizioni per l’utilizzo del software Axios e le condizioni di erogazione dei servizi di assistenza tecnica da parte di Axios sono valide dal giorno di conclusione del contratto e potranno essere aggiornate, integrate o modificate in qualsiasi momento dalla Axios, la quale provvederà a darne comunicazione nelle apposite sezioni dei software in modalità SaaS e/o Client/Server.
2. L’accettazione del presente contratto dovrà essere inoltrata dal Cliente alla Axios attraverso il completamento della procedura di acquisto di uno o più Prodotti, ossia attraverso l’invio da parte del Cliente del modulo di acquisto compilato o al numero di fax 00.00000.000 oppure al centro territoriale/rivenditore autorizzato Axios.
3. Il presente contratto deve essere esaminato dal Cliente prima del completamento della procedura di acquisto di uno o più Prodotti, oppure all’acquisto di uno o più servizi di assistenza tecnica.
4. Il Cliente all’atto del perfezionamento del contratto, secondo quanto indicato al precedente punto 2, accetta incondizionatamente e si obbliga ad osservare, nei suoi rapporti con la Axios, le presenti condizioni, prendendo altresì atto che la Axios non si riterrà vincolata a condizioni diverse non espressamente previste dal presente contratto.
6. OBBLIGHI DEL CLIENTE
1. Il Cliente è tenuto all’utilizzo dei prodotti attenendosi scrupolosamente alle indicazioni d’uso comunicategli dalla Axios, avendo cura di installare e mantenere in modo efficiente, quanto necessario al funzionamento dei Prodotti stessi. La Axios non risponde dei malfunzionamenti o danni derivanti al Cliente dall’errato o incauto uso dei Prodotti oggetto della presente licenza d’uso. Il cliente è altresì tenuto ad utilizzare esclusivamente le versioni più recenti dei prodotti e, ad eseguire tempestivamente gli aggiornamenti resi disponibili su sito Axios.
2. Il Cliente è tenuto ad osservare la massima riservatezza sulle informazioni e i dati dei Prodotti, oggetto della presente licenza d’uso, siano essi i dati necessari all’accesso, siano tutte le informazioni connesse e correlate al suo utilizzo.
3. Il Cliente si impegna a garantire la correttezza, la pertinenza, la liceità e l’integrità dei dati inseriti nel data base dei Prodotti. Il Cliente, e gli utenti da lui autorizzati all’uso dei Prodotti, sono esclusivamente responsabili dell’uso dello stesso e di ogni dato da essi inserito o ad essi pertinente. In caso di segnalazione da parte delle autorità preposte o di terzi interessati (a titolo esemplificativo e non esaustivo, in materia di privacy o di tutela del diritto d’autore), la Axios informa immediatamente il Cliente e provvede, su indicazioni dello stesso, a bloccare l’accesso e se richiesto a rimuovere il contenuto illegittimo.
4. Il Cliente accetta il prodotto così com’è, la licenza concessa al Cliente non comporta alcun onere, a carico della Axios a modificarlo o personalizzarlo in funzione di richieste ed esigenze specifiche. Eventuali richieste da parte del Cliente potranno essere oggetto di valutazione a insindacabile giudizio della Axios. Qualora dall’accoglimento di tali richieste o di suggerimenti particolari del Cliente, dovessero nascere modifiche o integrazioni al prodotto, in nessun caso il Cliente potrà vantare diritti sulle componenti sviluppate, sulle modifiche o sugli interventi effettuati che resteranno di proprietà esclusiva della Axios.
5. Per tutto ciò che riguarda eventuali servizi abbinati, sottoscritti dal Cliente, (ad esempio Servizio di conservazione documentale a norma, Gestione del sistema di apposizione firma digitale, etc.) si rimanda per le condizioni di svolgimento di tali servizi ad appositi accordi sottoscritti dalle parti. Resta inteso tra le parti che l’eventuale cessazione per qualsiasi causa del contratto di licenza comporta il venir meno dei servizi aggiuntivi ad essa abbinati, salvo diversa ed esplicita volontà delle parti concordata e dichiarata per iscritto.
6. Al Cliente è vietato compiere qualsiasi attività di modifica, traduzione, reverse engineering, decompilazione e copiatura, neanche parziale, dei Prodotti e/o della documentazione d’uso dello stesso e di ogni altra documentazione comunque fornitagli da Axios o dall’avente causa di questa.
7. Qualora il Cliente violi uno degli obblighi previsti ai n. 5.1 fino al 5.4, il presente rapporto contrattuale si risolverà di diritto per fatto e colpa del Cliente, con semplice avviso scritto allo stesso Cliente, impedendo a quest’ultimo ogni ulteriore uso del programma e riservando alla Axios qualsiasi azione per il risarcimento e gli eventuali danni.
Axios Italia Service CONDIZIONI DI LICENZA D’USO SOFTWARE AXIOS E RELATIVA ASSISTENZA | M.GES 03.06 Rev. 2 del 29.09.2022 Pagina 1 di 7 |
7. OBBLIGHI E GARANZIE DI AXIOS
1. La Axios si impegna ad assicurare la continuità ed il livello qualitativo dei Prodotti.
2. La Axios non risponde della mancata funzionalità del prodotto per causa del Cliente o di interruzioni o perdite di dati non pertinenti alla propria attività professionale e derivanti da caso fortuito o forza maggiore, come ad esempio, a titolo esemplificativo e non esaustivo: cadute di linea del gestore della connessione telematica, incidenti, interruzioni indipendenti dalla volontà della Axios e comunque a lei non imputabili. In caso di sospensione del servizio per problemi tecnici della Axios, viene garantito il ripristino del funzionamento nel più breve tempo possibile e comunque entro 24 ore lavorative decorrenti dalla segnalazione della disfunzione da parte del Cliente. Nessuna garanzia può essere, invece, richiesta in caso di guasto per forza maggiore (es. cadute di linea, incidenti, interruzioni indipendenti dalla volontà della Axios e comunque a lei non imputabili) in quanto, in questo caso, le tempistiche di ripristino del servizio sono indipendenti dalla volontà e dall’intervento della Axios stessa. In ogni ipotesi di disfunzione tecnica, sia essa indipendente dalla Axios che relativa a guasti tecnici interni, la Axios garantisce il backup dei dati e l’integrità degli stessi solo ed esclusivamente per i Prodotti forniti in modalità SaaS.
3. Per quanto concerne i servizi di assistenza oggetto del presente contratto, La società non effettua alcun trattamento di dati personali, salvo quelli strettamente necessari alla fornitura dei Prodotti e dei servizi aggiunti, per i quali vige l’accordo come “Responsabile esterno del trattamento” stipulato con il cliente.
4. Il Cliente è quindi qualificabile come titolare del trattamento ed è direttamente responsabile ai sensi della normativa vigente in materia di privacy nei confronti dei terzi che utilizzano il servizio.
5. In caso di necessità, o su specifica richiesta del Cliente, l’accesso ai dati conservati e gestiti dalla Axios avverrà solo da parte di personale autorizzato e incaricato dalla Axios stessa per fini legalmente ammessi, in nessun caso da parte di soggetti esterni. La Axios si impegna, nei confronti del Cliente, a fornire la massima collaborazione per le richieste di esercizio dei diritti in materia di privacy che gli vengono inoltrate o per consentire al Cliente qualunque forma di controllo consentito dalla legge e dal presente contratto.
6. La Axios garantisce al Cliente la riservatezza e l’integrità dei dati inseriti secondo un livello di sicurezza adeguato al rischio esistente.
7. La Axios, in costanza di contratto di assistenza, potrà effettuare, su richiesta del Titolare del Trattamento, l’esportazione dei dati che verrà eseguita, salvo diversi accordi, a titolo oneroso per il Cliente.
8. La Axios garantisce al Cliente che tutti i server utilizzati per la fornitura del servizio sono ubicati nel territorio dell’unione europea e pertanto non si verifica trasferimento di dati verso paesi terzi.
9. La Axios anche in deroga all’art.1758 c.c. ove applicabile garantisce esclusivamente che i Prodotti sono in grado di eseguire al momento della attivazione le operazioni previste nelle relative descrizioni tecniche.
10. La garanzia è comunque condizionata al corretto funzionamento dell'elaboratore e del software di sistema e al corretto uso del sistema e dei Prodotti da parte del Cliente.
11. In deroga a quanto previsto dalla normativa civilistica in vigore e fatta salva l’applicazione dell’art. 1229 c.c., la Axios non risponde dei danni derivanti al Cliente da vizi originari o sopravvenuti dei Prodotti.
12. Anche in caso di sussistenza di vizi la Axios è tenuta soltanto alla sostituzione o riparazione dei Prodotti, con esclusione di qualsiasi altro obbligo o responsabilità.
13. In nessun caso la Axios o i suoi fornitori saranno responsabili per i danni (inclusi, senza limitazioni, il danno per perdita o mancato guadagno, interruzione dell’attività, perdita delle informazioni archiviate o altre perdite economiche) derivanti dall’uso dei Prodotti client/server o da attacchi hacker ai sistemi su cui sono installati.
8. MANLEVA
Il Cliente si impegna a manlevare e tenere indenne Axios da qualsiasi danno, pretesa, responsabilità e/o onere, diretto o indiretto, ivi incluse le spese legali, che Axios dovesse subire o sopportare in conseguenza dell’inadempimento, da parte del Cliente degli obblighi di cui alle seguenti clausole: 3 (Oggetto del contratto – concessione in licenza d’uso) ; 5 (Conclusioni del contratto e accettazione sia delle condizioni per l’utilizzo del software Axios e sia delle condizioni di erogazione dei servizi di assistenza tecnica da parte di Axios); 6 (Obblighi del Cliente); 9 (Prezzo e fatturazione); 10 (informazioni aggiuntive); 12 (Solve e repete).
9. PREZZO E FATTURAZIONE
1. Per la concessione dei diritti di licenza d’uso non perpetua di cui al presente accordo ed eventualmente per l’esercizio dei servizi di assistenza e manutenzione, il Cliente si impegna a versare il corrispettivo indicato nell’offerta inviata dalla Axios e dal Rivenditore Axios autorizzato.
Axios Italia Service CONDIZIONI DI LICENZA D’USO SOFTWARE AXIOS E RELATIVA ASSISTENZA | M.GES 03.06 Rev. 2 del 29.09.2022 Pagina 6 di 7 |
2. Il prezzo dei Prodotti sarà fatturato e pagato nei termini indicati nell’offerta e pattuiti in fase di ordinazione e comunque secondo quanto stabilito dalla normativa vigente.
4. Per ritardi di pagamento nei 30 giorni successivi alla data di scadenza, la Axios provvederà all’immediata sospensione del servizio o dei servizi accessori. Xxxxxxx detto termine, il contratto si intenderà risolto, non sarà possibile accedere al database e l’archivio verrà reso indisponibile entro il termine di 60 giorni successivi allo scadere del predetto termine.
5. In caso di mancato pagamento dell’importo da parte del Cliente nel termine pattuito e fino al pagamento dello stesso la Axios sarà autorizzata ad interrompere e ad astenersi da qualsiasi attività di assistenza, rinunciando sin da ora il Cliente a qualsiasi azione cautelare o d’urgenza in proposito.
6. Trascorsi 15 giorni dal termine indicato in fattura senza che il Cliente abbia provveduto al pagamento degli importi dovuti sarà facoltà della Axios risolvere di diritto il contratto con semplice avviso scritto al Cliente. In tal caso la Axios tratterrà eventuali importi parziali ricevuti ed il Cliente che sarà obbligato in ogni caso a versare alla Axios a titolo di penale l’intero importo concordato o il residuo dovuto.
10. INFORMAZIONI AGGIUNTIVE
1. I Prodotti sono stati scelti sulla base delle specifiche esigenze del Cliente e dei PC di cui lo stesso Xxxxxxx dispone o che intende utilizzare.
2. Il Cliente dichiara espressamente di aver prima dell’acquisto visionato i Prodotti e si assume ogni responsabilità sulla scelta degli stessi effettuata e sulle informazioni fornite alla Axios.
3. La Axios non risponde delle perdite di dati che dovessero eventualmente risultare dall'utilizzo dei Prodotti client/server, né di interruzioni dell'esercizio o di perdite indirette, specifiche, accessorie o di danni indiretti di qualsivoglia natura (incluso il lucro cessante) indipendentemente dal tipo di provvedimento, sia esso di natura contrattuale o determinato da atti illeciti (inclusa la colpa), responsabilità civile o in altro modo.
4. In nessun caso la Axios risponderà di danni a qualunque titolo connessi e/o conseguenti ad eventuali vizi di qualità, adeguatezza, uso ed utilizzabilità dei Prodotti. È responsabilità del Cliente assicurarsi che i Prodotti rispecchino le funzionalità richieste. In nessun caso il Cliente può pretendere modifiche ai Prodotti; la Axios comunque sarà disponibile a valutare eventuali richieste ed accettare tali suggerimenti solo ed esclusivamente a suo insindacabile giudizio.
5. Il Cliente non potrà modificare qualsiasi materiale su licenza in forma eseguibile dall’elaboratore ed inserirlo in altri programmi per ottenere materiale aggiornato per proprio uso se non previo accordo con la Axios. Qualora tale disposizione non venga rispettata tutto il materiale su licenza sarà completamente rimosso.
6. Il Cliente è responsabile delle copie di sicurezza dei propri dati. Per quanto attiene i Prodotti in modalità Client/Server si consiglia di eseguire le copie su supporti che diano una sufficiente garanzia di qualità e di durata. Il Cliente è inoltre responsabile della buona manutenzione delle copie stesse. Il Cliente è tenuto ad attivare la procedura di backup cloud con cadenza settimanale.
7. Nel caso dei programmi client/server in nessun caso la Axios sarà ritenuta responsabile della perdita dei dati anche se questi non potranno essere recuperati dalle copie di sicurezza in possesso del Cliente.
8. Nel caso dei programmi client/server Il Cliente si impegna a non consentire a terze parti l’accesso al database inteso sia come struttura che come base dati informativa di cui la Axios, avendola progettata, detiene tutti i diritti intellettuali e commerciali. La Axios fornirà al Cliente, che ne farà ufficiale richiesta, tutti i dati presenti nel database in quanto appartenenti al Cliente stesso, secondo le modalità indicate all’interno dell’accordo di “Nomina a responsabile esterno del trattamento”.
9. Axios si riserva la facoltà di ospitare, nelle piattaforme predisposte per consentire l'accesso agli utenti loggati alla fruibilità dei Prodotti, la pubblicazione di contenuti promozionali anche di soggetti terzi - quali, a mero titolo esemplificativo e pertanto non esaustivo - banner, popup, link ecc - aventi ad oggetto prodotti e/o servizi direttamente o indirettamente connessi sotto un profilo merceologico al mondo della scuola ed alle esigenze dei clienti e/o degli utenti. Resta, peraltro, inteso che Axios non esprime alcuna valutazione e/ approvazione in relazione a tali contenuti cui l'utente potrà avere accesso e, pertanto, declina ogni responsabilità in relazione alla qualità, affidabilità, accuratezza e/o funzionalità dei prodotti/servizi pubblicizzati.
10. Le garanzie derivanti dalla sottoscrizione del presente contratto decadono automaticamente in uno dei seguenti casi:
a. Qualora non vengano osservate dal Cliente le norme operative fornitegli dai tecnici della Axios
b. Qualora i Prodotti, oggetto del presente contratto, vengano in qualsiasi modo modificati e/o alterati senza autorizzazione scritta da parte della Axios, oppure i dati presenti sul database vengano modificati da programmi esterni non forniti dalla Axios.
c. Qualora i Prodotti, oggetto del presente contratto, siano incorporati dal Cliente in altri programmi oppure nel caso in cui altri programmi, non forniti dalla Axios, siano collegati anche in sola lettura al database.
d. In caso di malfunzionamenti causati ai Prodotti e/o archivi per negligenza, incuria, dolo del Cliente o del suo
Axios Italia Service CONDIZIONI DI LICENZA D’USO SOFTWARE AXIOS E RELATIVA ASSISTENZA | M.GES 03.06 Rev. 2 del 29.09.2022 Pagina 1 di 7 |
personale o da altre cause imputabili a terzi.
11. DURATA DELLA LICENZA D’USO
1. Il rapporto contrattuale ha durata di 12 mesi a partire dal giorno 1 Gennaio dell’anno solare.
2. Il contratto deve essere rinnovato dal Cliente alla scadenza. Il rinnovo potrà essere effettuato seguendo le istruzioni che la Axios o i rivenditori autorizzati provvederanno a trasmettere a mezzo e-mail in prossimità della scadenza del contratto.
3. In caso di nuovi rapporti contrattuali nascenti in data successiva al 1 Gennaio dell’anno solare, comunque il contratto scadrà il 31 dicembre dell’anno solare.
4. Al termine del rapporto contrattuale, i dati verranno restituiti gratuitamente al Cliente mediante procedura di esportazione dedicata.
12. SOLVE ET REPETE
Per patto espresso tra le parti, qualunque contestazione fosse sollevata dal Cliente, non potrà sospendere l'obbligo di quest’ultimo di pagare alle date fissate le somme dovute, né gli altri obblighi assunti con il contratto.
13. CLAUSOLE RISOLUTIVE ESPRESSE
1. Impregiudicato ogni altro diritto della Axios, qualsiasi inadempimento, anche di scarsa importanza, da parte del Cliente alle obbligazioni di cui al presente contratto ne comporterà l’immediata risoluzione di diritto, ai sensi dell’art. 1456 c.c., fatto salvo il diritto al risarcimento di ogni ulteriore danno.
2. Il rapporto contrattuale si risolverà di diritto per fatto e colpa del Cliente, se la Axios dichiarerà a mezzo PEC che intende avvalersi della presente clausola.
3. In caso di cessazione del contratto, la Axios garantisce al Cliente l’esportazione dei dati, in un formato standard (CSV, XML), entro un tempo massimo di 60 giorni lavorativi decorrenti dal ricevimento della richiesta scritta inviata dal Cliente.
14. RECESSO
1. Axios si riserva il diritto di recedere in ogni momento dal Contratto, a propria esclusiva discrezione, mediante comunicazione scritta da inviare al Cliente, con almeno tre mesi di preavviso rispetto alla data di efficacia del recesso.
2. Nel caso in cui Axios eserciti il proprio diritto di recesso per motivi diversi rispetto a quelli di cui al paragrafo 13.3, il Cliente avrà diritto alla restituzione della quota di corrispettivi non goduti, qualora già versati.
3. Axios si riserva altresì il diritto di recedere dal Contratto anche nell’ipotesi in cui il Cliente sia gravemente inadempiente con riferimento ad uno qualsiasi degli eventuali ulteriori contratti conclusi tra il medesimo Cliente e Axios.
15. COMUNICAZIONI
1. Tutte le comunicazioni indirizzate al Cliente dovranno essere inviate ai recapiti indicati nel Modulo d’Ordine. Resta inteso che è specifico onere del Cliente comunicare tempestivamente ad Axios eventuali variazioni dei propri recapiti per le comunicazioni ai sensi del presente documento.
2. Le comunicazioni ad Axios andranno invece inviate al seguente indirizzo mail: xxxx@xxxxxxxxxxx.xxx oppure all’indirizzo PEC: xxxxx@xxxxxxxxxxx.xx .
16. LEGGE APPLICABILE E FORO COMPETENTE
1. Il presente documento è governato dalla legge italiana e deve essere interpretato in conformità della medesima.
2. Per qualsiasi controversia che insorgesse fra le parti relativa alla interpretazione e/o esecuzione del presente documento sarà competente il Foro di Roma.
PREMESSA
POLICY SICUREZZA INFORMATICA
APPLICAZIONI CLIENT/SERVER E WEB
AXIOS Italia Service S.r.l. SU con sede in Via E. Filiberto 190 – 00185 Roma, P.IVA 06331261005 (di seguito AXIOS), da oltre 30 anni, sviluppa software per la gestione delle Segreterie Scolastiche nelle Scuole sia nell’utilizzo in locale (client/server) che su web.
Obiettivo principale dell’azienda, oltre quello di rendere agevole il lavoro quotidiano dei nostri clienti, è quello di garantire la sicurezza degli applicativi adeguandoli alle normative che si sono susseguite negli anni. Per questo motivo, AXIOS si è impegnata e ha ottenuto le certificazioni ISO 9001:2015, ISO 27001:2013, ISO 27018:2014 e ISO 27017:2015 per i seguenti campi applicativi: “Progettazione, sviluppo, manutenzione e assistenza di software gestionale e servizi SaaS connessi” ed inoltre, da aprile 2019, la qualifica AgID secondo la circolare n.3 del 9 aprile 2018 per gli applicativi SaaS.
Sono circa 3000 gli istituti scolastici che utilizzano con successo i nostri software. Questo ci obbliga e ci impegna quotidianamente nel miglioramento della qualità dei servizi offerti e ci responsabilizza riguardo la sicurezza dei dati trattati con i nostri applicativi/servizi.
Il 25 maggio 2018 è entrato in vigore il Regolamento UE 2016/679 (di seguito RGPD) sulla protezione dei dati che ha modificato in maniera sostanziale l’approccio alla gestione, protezione e trattamento dei dati personali.
AXIOS, attraverso questo documento, intende dare evidenza delle misure di sicurezza adottate nel rispetto di quanto previsto dal RGPD e delle altre normative vigenti in merito al trattamento dei dati personali.
TIPOLOGIE DI DATI TRATTATI
Le differenti tipologie di software applicativi locali (client/server) e web comportano il trattamento di diverse tipologie di dati, appartenenti alle varie categorie di interessati (alunni, personale, famiglie, fornitori, etc.), a partire da quelli generici, fiscali, amministrativi fino a quelli riguardanti categorie di dati particolari (art.9 dell’RGPD - Trattamento di categorie particolari di dati personali) e Giudiziari (art.10 dell’RGPD – Trattamento dei dati personali relativi a condanne penali e reati).
SICUREZZA DEGLI APPLICATIVI CLIENT/SERVER
L’accesso da parte del personale dell’Istituto avviene attraverso credenziali di autenticazione (nome utente e password) assegnate ad ogni soggetto autorizzato. In caso di erroneo inserimento dei dati di accesso il software provvede, dopo il terzo tentativo, al blocco temporaneo dell’utenza ed all’invio di una mail di avvertimento all’indirizzo indicato all’interno della procedura di personalizzazione del cliente.
AXIOS fornisce ai propri clienti tutti gli strumenti necessari per salvaguardare il proprio patrimonio informativo, tra i quali backup automatico e backup su cloud, ma è sempre responsabilità dell’Istituto la sicurezza dei dati contenuti negli applicativi Client/Server (Es.: Backup e protezione da Virus informatici).
SICUREZZA DEGLI APPLICATIVI WEB
DISLOCAZIONE GEOGRAFICA DEI DATA CENTER
AXIOS si affida, per l’infrastruttura web, a MOMIT S.r.l. con sede legale in Xxxxx Xxxxxx Xxxxxxxxx x.00, 00000 Xxxxxx.
MOMIT S.r.l. è certificata: ISO 9001:2015 – ISO 27001:2013 – ISO 27017:2015 – ISO 27018:2019 – ISO
27701:2019 ed è iscritta come CSP qualificato sul portale AGID (CSP-Tipo A, ID Scheda: IN-1619); ulteriori informazioni sulle certificazioni di MOMIT S.r.l. sono reperibili all’indirizzo web: xxxxx://xxx.xxxxx.xx/xxxxxxxxxxxxxx/
I Datacenter utilizzati da MOMIT per l’infrastruttura di AXIOS sono dislocati esclusivamente in
Italia e, in particolare:
- Infrastruttura primaria nel Datacenter STACK INFRASTRUCTURE (SNI) Xxx Xxxxxx, 0-00 00000 Xxxxxxx (XX) XXXXXX
- Infrastruttura secondaria (sito di Disaster Recovery o DR) nel Datacenter Open Hub Med (OHM) XX000 Xxxxx Xxxxxxx 00000 Xxxxxx (XX) XXXXXX
SICUREZZA DATA CENTER
I Datacenter utilizzati da MOMIT per l’infrastruttura di AXIOS garantiscono elevati standard di sicurezza e protezione dei dati; nel dettaglio:
DATACENTER “SNI”:
- ANSI/TIA 942 B Rating 4 (Tier 4) Design Certified
- ANSI/TIA 942 B Rating 4 (Tier 4) Construction Certified
- ISO 9001
- ISO 14001
- ISO 27001
- ISO 45001
- ISO 00000
- XX 8000
- SOC2
- PCI/DSS Compliant
- 100% uptime SLA
- Alimentato al 100% con energia rinnovabile
Ulteriori informazioni sono disponibili all’indirizzo web:
xxxxx://xxx.xxxxxxxxxx.xxx/xxxxxxxxx/xxxxx/?xxxx_xxxxxxxxxx00x
DATACENTER “OHM”:
- ISO 14001
- ISO 27001
Ulteriori informazioni sono disponibili all’indirizzo web: xxxxx://xxx.xxxxxxxxxx.xx/xxxxxxxx/
Il sito di Disaster Recovery (OHM) è collegato al sito primario (SNI) tramite fibra dedicata layer2 non internet, in doppia via (una via segue con la fibra la costa Adriatica dell’Italia, l’altra xxx xxxxx xx xxxxx Xxxxxxxxx), per garantire il massimo dell’affidabilità anche in caso di taglio/rottura accidentale di un percorso in fibra ottica o in caso di disastri naturali (terremoti, inondazioni, etc.). L’infrastruttura di Disaster Recovery è progettata per ripristinare, in caso di disastro, un sottoinsieme selezionato dei sistemi primari.
SICUREZZA DELLE COMUNICAZIONI
L’accesso alle applicazioni web avviene mediante il protocollo SSL che garantisce un elevato livello di sicurezza in fase di utilizzo dei servizi in rete su internet. In particolare, AXIOS utilizza certificati aggiornati alla più recente e sicura versione di SSL disponibile.
DISPONIBILITA’ DEI DATI
Disponibilità dei servizi – SLA almeno 95%
Backup dei dati presenti nelle applicazioni web sono richiedibili mezzo PEC all’indirizzo: xxxxx@xxxxxxxxxxx.xx e saranno resi disponibili entro 30 giorni dalla richiesta mediante appositi link con scadenza a 30 giorni.
GESTIONE E PROFILAZIONE UTENTI
Alla attivazione del servizio web, vengono create le credenziali per il SUPER UTENTE dell’Istituto.
Il nome utente e la password provvisoria, da cambiare al primo accesso, vengono inviate
mediante due mail distinte. Gli utenti delle applicazioni web sono gestiti direttamente dal Cliente attraverso il pannello di configurazione messo a sua disposizione che consente di creare gli utenti e di assegnare loro i profili di autorizzazione necessari.
GESTIONE UTENTI RELATIVAMENTE AGLI ACCESSI A SERVIZI DI TERZE PARTI
Con le credenziali per l’accesso ai servizi web, l’utente ha la possibilità di accedere ad ulteriori servizi opzionali erogati da fornitori con i quali il TITOLARE ha già attivo o ha intenzione di attivare un accordo/contratto di fornitura e ne ha abilitato o intende abilitare all’utilizzo gli utenti dal pannello di configurazione dei servizi stessi. I dati che vengono o verranno forniti ai fornitori dei servizi opzionali si riferiscono esclusivamente alle seguenti tipologie di dati personali: nome, cognome, indirizzo mail, ruolo (alunno, genitore, docente, ATA) e sono esclusivamente sotto la responsabilità del TITOLARE e del fornitore di servizi che agisce come RESPONSABILE del trattamento.
MODELLO DI RESPONSABILITA’ CONDIVISA
Sicurezza e conformità sono una responsabilità condivisa tra AXIOS e il Cliente. AXIOS in qualità di fornitore è in grado di “progettare, sviluppare, manutenere e assistere software gestionale e servizi SaaS connessi” e si avvale di fornitori di servizi qualificati e certificati per l’implementazione dei propri prodotti/servizi.
Il “modello di responsabilità condivisa” evidenzia i livelli di responsabilità, nell’utilizzo e nella gestione dei servizi SaaS, che vengono condivisi tra AXIOS ed il Cliente. Ciò si rende necessario in quanto, generalmente ed erroneamente, il Cliente crede che utilizzando un servizio web (SaaS) siano demandate al fornitore tutte le responsabilità e le problematiche tecniche, di sicurezza e conformità normativa.
La tabella seguente rappresenta il “modello di responsabilità condivisa” tra AXIOS e i Clienti che
si servono dei suoi prodotti/servizi:
Responsabilità | SW locale (client/server) | Applicazioni web (SaaS) |
Dati (informazioni e documenti) | CLIENTE | CLIENTE |
PC e mobile Device | CLIENTE | CLIENTE |
Credenziali di accesso e autorizzazione | CLIENTE | CLIENTE |
Applicativo | CLIENTE | AXIOS |
Server e Infrastruttura di rete | CLIENTE | AXIOS |
SICUREZZA DEI DATI E DEGLI APPLICATIVI WEB
CONTINUITA’ OPERATIVA
La continuità operativa è garantita dalla presenza di numerosi Server dedicati all’erogazione dei
servizi con ridondanze che garantiscono l’assenza di SPOF (Single Point of Failure).
L’infrastruttura è dotata di doppio servizio AntiDDoS, sia attraverso i carrier di rete utilizzati, sia tramite i servizi di sicurezza Enterprise di Cloudflare per evitare attacchi che possano minare il funzionamento del cluster di Firewall in HA.
AXIOS ha previsto anche un’infrastruttura secondaria presso il sito di Disaster Recovery (Datacenter OHM) progettata per ripristinare, in caso di disastro, un sottoinsieme selezionato dei sistemi primari.
BACKUP
Per l’intera infrastruttura CLOUD di AXIOS sono previsti, oltre ad un immediato supporto tecnico da parte di MOMIT ed una infrastruttura ridondante (sito di DR), anche uno specifico piano di Disaster Recovery con tempi massimi garantiti per RTO, pari a circa 4 ore ed RPO, pari a circa 6 ore.
Tutti i sistemi CLOUD hanno una doppia protezione di backup: tramite Policy Snapshot (per il ripristino immediato) verso SAN (Zadara Storage) e tramite backup tradizionale verso NAS (ripristino in tempi più lunghi).
Il NAS è dotato anche di un secondo layer di backup su Nastro mantenuto Offline. I Nastri vengono poi archiviati in un Vault di sicurezza a 80Km dalla sede del Datacenter principale (il trasporto dei Nastri avviene, ogni settimana, con furgoni blindati e cassette di protezione di massima sicurezza).
I dati sono ospitati sulla infrastruttura SAN e la loro protezione è garantita da specifiche policy degli snapshot dello Storage Zadara.
ARCHITETTURA INFORMATICA, MODALITA’ DI GESTIONE DEI DATI E CONFIGURAZIONE
L’architettura informatica scelta da AXIOS per gli applicativi web è studiata per garantire continuità operativa, sicurezza dei dati e fluidità nell’utilizzo quotidiano.
La configurazione e la gestione dei Server presenti nell’infrastruttura sono svolte da personale
qualificato di MOMIT S.r.l.
Gli accessi ai Server da parte del personale AXIOS, per quanto di loro competenza, vengono eseguiti esclusivamente attraverso connessioni VPN con credenziali di accesso, 2FA con Token OTP e utenze di dominio personali al fine di poterne monitorare gli accessi.
Il personale AXIOS abilitato alla gestione dei Server è autorizzato al trattamento dei dati personali ai sensi dell’art.2-quaterdecies del D.lgs.196/03 così come modificato dal D.lgs.101/18, istruito sulle modalità di utilizzo e protezione dei dati nonché sulle procedure di sicurezza dei sistemi informatici e nominato Amministratore di Sistema (Rif. provvedimento del Garante Privacy del 27/11/2008 poi modificato dal provvedimento del 25 giugno 2009).
I log degli accessi degli amministratori di sistema vengo conservati per non meno di sei mesi e
l’operato di questi ultimi è sottoposto a controllo annuale.
Ove si rendesse necessario l’accesso ai dati da parte di soggetti in outsourcing AXIOS provvederà a nominarli responsabili del trattamento ai sensi dell’art.28 dell’RGPD dopo essersi assicurata che gli stessi offrano adeguate garanzie in merito al trattamento dei dati personali (art.28 par.4 dell’RGPD).
Periodicamente vengono svolte, con l’ausilio di società specializzate, attività di Penetration test e Vulnerability Assessment con l’obiettivo di verificare l’efficacia e l’efficienza del sistema di protezione dei dati.
TRACCIABILITA’ DEGLI ACCESSI UTENTE
AXIOS, per motivi di sicurezza, conserva per 12 mesi i log di accesso agli applicativi da parte
degli utenti nonché i log relativi alle operazioni svolte dagli stessi.
Ove si rendesse necessario per esigenze tecniche, per motivi di sicurezza, per obblighi di legge o per ottemperare ad una eventuale richiesta dell’autorità giudiziaria, AXIOS si riserva di conservare i log per un periodo di tempo superiore e, se necessario, consegnarli alle autorità competenti.
I log di accesso agli applicativi da parte degli utenti sono resi disponibili su espressa richiesta
del Dirigente Scolastico o dell’Autorità Giudiziaria secondo diverse modalità.
COMPLIANCE ALLE LINEE GUIDA AGID
AXIOS è qualificata AGID per quanto riguarda i servizi SaaS (es. Registro Elettronico, Segreteria Digitale, etc.). Relativamente agli applicativi client/server, AXIOS mette a disposizione degli Istituti il documento: “AXIOS_misure_minime” in riferimento alla Circolare AGID del 26 Aprile 2016 in materia di “MISURE MINIME DI SICUREZZA ICT PER LE PUBBLICHE AMMINISTRAZIONI” per chiarire in
che modo AXIOS è conforme e fornire indicazioni utili alla conformità degli Istituti stessi; il documento è scaricabile dal sito web xxx.xxxxxxxxxxx.xx
PROTEZIONE DEI DATI PERSONALI
AXIOS Italia eroga i servizi nel rispetto della normativa che regola il trattamento dei dati personali agendo come Responsabile del trattamento ai sensi dell’art.28 del Regolamento UE 2016/679 (Rif. documento DPA AXIOS Italia Service Srl).
NOMINA DI UN RESPONSABILE PER LA PROTEZIONE DEI DATI PERSONALI (RPD/DPO)
AXIOS ha designato quale Responsabile della Protezione dei Dati (RPD/DPO) il Sig. Xxxxxxxx Xx
Vita raggiungibile all’indirizzo xxx@xxxxxxxxxxx.xxx
RESTITUZIONE E CANCELLAZIONE DEI DATI
In caso di mancato rinnovo del contratto in essere con l’Istituto scolastico, AXIOS garantisce la restituzione dei dati come previsto dall’art. 28 par. 3 lettera g. dell’RGPD attraverso le seguenti modalità:
- Modalità di esportazione in formato intelligibile dei dati contenuti nei database locali
(Software Client/Server)
Su espressa richiesta dell’Istituto, da esercitare mezzo PEC all’indirizzo xxxxx@xxxxxxxxxxx.xx o raccomandata entro 30 gg. dal mancato rinnovo del contratto, AXIOS Italia Service S.r.l. fornirà le istruzioni necessarie all’esportazione dei dati per i Software Client/Server.
- Modalità di restituzione in formato intelligibile dei dati contenuti nei database web
Su espressa richiesta dell’Istituto, da esercitare mezzo PEC all’indirizzo xxxxx@xxxxxxxxxxx.xx o raccomandata entro 30 gg. dal mancato rinnovo del contratto, AXIOS Italia Service S.r.l. fornirà i dati contenuti in cloud in formato CSV, JSON, XML intelligibile. Tale servizio verrà garantito attraverso piattaforma dedicata predisposta da AXIOS dalla quale il cliente potrà prelevare i dati protetti da crittografia e da password di accesso. Le credenziali saranno fornite al cliente mezzo PEC o altro mezzo sicuro.
Si provvederà, successivamente, alla cancellazione dei dati (art.28 par.3 lettera g) o, in cambio di un canone annuo da definire in base alla quantità di dati da conservare, al mantenimento degli stessi.
AGGIORNAMENTO DEL DOCUMENTO
Il documento è liberamente scaricabile dal sito xxx.xxxxxxxxxxx.xx nella sezione LEGALE e verrà aggiornato periodicamente ogniqualvolta ci dovessero essere revisioni in merito ai sistemi di sicurezza e continuità operativa dei sistemi cui si riferisce.
In caso di aggiornamento del documento verrà data comunicazione ai Clienti mezzo mail e sul
portale AXIOS Scuola Digitale. Roma, 10/01/2023
XXXXXXXX XXXXX 19.01.2023
08:59:00
GMT+01:00