MailUp SPA CONDIZIONI GENERALI DI SERVIZIO
Xxx Xxxx 0, 00000 Xxxxxx - Xxxxxx C.F., P. IVA, Reg. Imp. di Milano n. 09480090159
Capitale Sociale Euro 300.000 i.v.
REA n. MI - 0000000 Tel: x00 00 00000000
Email: xxxx@xxxxxx.xxx PEC: xxxxxxxxxxxxxxx@xxx.xxxxxx.xx
MailUp SPA CONDIZIONI GENERALI DI SERVIZIO
1. VALORE DELLE CONDIZIONI GENERALI – DEFINIZIONI
1.1 Le presenti condizioni generali (le Condizioni Generali) disciplinano, unitamente al modulo per la richiesta di attivazione stipulato dal Cliente e alle eventuali relative offerte commerciali (insieme, ai fini delle presenti Condizioni Generali, “MRA”), la prestazione da parte di MailUp e in favore dei propri clienti, esclusivamente persone giuridiche (i Clienti), dei prodotti e servizi (i Servizi) in ogni tempo inclusi nell’offerta commerciale di MailUp. Le presenti Condizioni Generali si intendono efficaci e in vigore a far data dal 15/06/2023 e con riferimento a rapporti contrattuali sorti successivamente a tale data.
1.2 PRESTATORE: indica MailUp S.p.a., con sede in Xxxxxx, 00000, Xxx Xxxx 0, P. I.V.A. n. 09480090159, iscritta al Registro delle Imprese presso la CCIAA di Milano (“MailUp”).
1.4 Nelle presenti Condizioni Generali, in aggiunta ai termini altrove definiti, le seguenti parole e frasi avranno il significato loro di seguito ascritto:
a) Manutenzione Ordinaria, indica gli interventi di manutenzione programmata dei Sistemi di MailUp;
b) Manutenzione Straordinaria, indica gli interventi di manutenzione dei Sistemi di MailUp non programmati e dovuti ad eventi al di fuori del ragionevole controllo di MailUp;
c) Piattaforma Contactlab, indica il sistema di software e hardware ideato, realizzato, sviluppato e gestito da MailUp che consente la gestione di servizi di invio di informazioni personalizzate a mezzo e-mail, sms e fax;
d) Servizi Agency, indica i servizi di consulenza e gestione delle campagne promozionali del Cliente eventualmente prestati da MailUp come descritti nel MRA;
e) Servizi Server Farm, indica i servizi di hosting, housing, colocation e i relativi servizi accessori eventualmente prestati da MailUp come descritti nel MRA;
f) Sistemi di MailUp, indica, generalmente, l’insieme di hardware, software, reti e sistemi di telecomunicazioni (ivi espressamente inclusa la Piattaforma Contactlab) organizzati da MailUp per la prestazione dei Servizi e, nello specifico e a seconda del contesto, ciascuno di tali elementi;
g) Utenti Finali, indica i soggetti, persone fisiche o giuridiche, destinatari di messaggi e, più in generale, delle comunicazioni del Cliente.
2. NATURA DEI PRODOTTI E SERVIZI DI MailUp
2.1 MailUp è una società attiva nel settore del c.d. digital direct marketing e, più in generale, della consulenza alle imprese in materia di comunicazione digitale e ha, tra le altre cose, ideato, sviluppato e implementato una piattaforma tecnologica proprietaria denominata MailUp per l’invio di messaggi e-mail, sms e fax e la gestione di campagne di comunicazione digitale (la Piattaforma Contactlab).
2.2 I servizi e prodotti di MailUp hanno natura prettamente consulenziale, di fornitura di servizi di information technology e, nel caso della Piattaforma Contactlab, di fornitura di software in modalità c.d. ASP (application service providing). L’offerta commerciale di MailUp include, a titolo esemplificativo:
a) consulenza in marketing digitale (e.g. realizzazione newsletter e campagne DEM);
b) consulenza nella creazione di campagne di acquisizione utenti, di concorsi e giochi online per incrementare gli iscritti al database, di programmi di incentivazione e fidelizzazione;
c) la Piattaforma Contactlab;
d) i Servizi Server Farm.
3. CORRISPETTIVI – FATTURAZIONE – PAGAMENTI
3.1 I corrispettivi dovuti dal Cliente a MailUp nonché i termini e le modalità per l’effettuazione dei pagamenti da parte del Cliente ed in favore di MailUp sono quelli stabiliti nei MRA.
3.2 Tutti i Corrispettivi sono soggetti a I.V.A. Tutti gli oneri fiscali derivanti dall’utilizzo dei prodotti e servizi da parte del Cliente saranno a carico esclusivo di quest’ultimo.
3.3 Qualora i corrispettivi prevedano la vendita di pacchetti di messaggi (e.g., SMS e/o e-mail) in relazione a un determinato periodo di riferimento, gli eventuali messaggi non trasmessi entro la fine di tale periodo non saranno successivamente utilizzabili né saranno oggetto di rimborso a qualsivoglia titolo.
4. USER ID E PASSWORD
4.1 Ove previsto in relazione ai singoli Servizi, MailUp assegnerà al Cliente User ID e Password da utilizzarsi per l’accesso on line in modalità remota ai Sistemi di MailUp. Il Cliente si obbliga a fornire i propri dati personali in maniera corretta e veritiera con i contenuti e secondo le modalità indicate da MailUp (e.g., nel corso di una procedura di registrazione telematica). Sarà sempre consentito al Cliente di verificare i dati immessi e di correggere gli eventuali errori. È responsabilità del Cliente l’aggiornamento tempestivo dei propri dati personali qualora questi subiscano modifiche nel corso di durata del rapporto contrattuale con MailUp; l’aggiornamento dei dati, ivi inclusa la modifica di User ID e Password sarà sempre possibile mediante comunicazione a MailUp all’indirizzo indicato al paragrafo 1.3. che precede.
4.2 Il Cliente si obbliga a mantenere la segretezza degli User ID e Password ad esso assegnati e a custodirli con la dovuta cura e diligenza. Il Cliente riconosce e concorda di essere il solo responsabile dei propri User ID e Password e conviene e concorda che tutti gli atti compiuti mediante utilizzo di tali User ID e Password saranno a lui attribuiti e avranno efficacia vincolante nei suoi confronti. Ogni persona autorizzata all’utilizzo di un Servizio cui si accede tramite utilizzo di User ID e Password dovrà avere una propria User ID e Password personale; è espressamente vietata la condivisione degli accessi tra più utenti. Ove il Cliente ritenga che la segretezza dei propri User ID e Password sia, o possa essere stata, violata da terzi ne dovrà dare pronta informazione a MailUp, che provvederà ad attribuirne di nuovi annullando quelli precedenti.
4.3 In ogni caso, il Cliente accetta che le registrazioni informatiche e/o telematiche effettuate da MailUp e/o dai propri fornitori possano essere opposte e dedotte avanti qualsiasi Autorità competente ad ogni fine probatorio ai sensi e per gli effetti delle presenti Condizioni Generali e che, in particolare, su di esse le parti possano fondare idonea prova civile circa la sussistenza delle relazioni e/o degli atti oggetto di eventuale contestazione.
5. PRESTAZIONE DEI SERVIZI AGENCY [APPLICABILE SOLO IN CASO DI OPZIONE PER SERVIZI AGENCY]
5.1 I Servizi Agency saranno prestati da MailUp con la diligenza dovuta e in conformità a quanto di volta in volta concordato tra le Parti.
5.2 Il Cliente si impegna a prestare a MailUp la necessaria collaborazione e a porre in essere le attività e fornire le informazioni di propria competenza nei tempi e con i modi dovuti in relazione allo specifico Servizio concordato.
6. Piattaforma Contactlab [APPLICABILE SOLO IN CASO DI OPZIONE PER Piattaforma Contactlab]
6.1 Licenza d’uso. La Piattaforma Contactlab è resa disponibile per l’accesso e utilizzo da parte dei Clienti in modalità ASP (application service providing), mediante accesso on line e in remoto. Per l’effetto, MailUp concede al Cliente, che accetta, una licenza onerosa, non esclusiva e non trasferibile, per l’accesso a, e l’uso de, la Piattaforma Contactlab nei limiti di quanto strettamente necessario a tal fine.
6.2 Divieti. È fatto espresso divieto al Cliente, salvo il caso di sublicenza autorizzata da MailUp mediante MRA, di rivendere e/o comunque cedere a qualsivoglia titolo a terzi l’accesso a, e utilizzo de, la Piattaforma Contactlab.
6.3 Uso in sub licenza. Qualora la sublicenza da parte del Cliente ai propri clienti sia autorizzata da MailUp, il Cliente sarà ritenuto l’unico responsabile dell’osservanza delle previsioni e degli obblighi delle presenti Condizioni Generali, non sussistendo, per tali clienti finali, alcun rapporto diretto con MailUp. Il Cliente si impegnerà a non concedere a tali terzi diritti aggiuntivi o diversi da quanto previsto nelle presenti Condizioni Generali.
6.4 Hosting. La licenza d’uso della Piattaforma Contactlab include la messa a disposizione da parte di MailUp e in favore del Cliente di uno spazio di memoria sul disco rigido di un proprio server dedicato alla condivisione di spazi per servizi di hosting esclusivamente di immagini presenti nelle newsletter del Cliente, secondo quanto indicato nel MRA. È fatto divieto al Cliente di fare hosting di materiale diverso dalle immagini presenti nelle proprie newsletter.
6.5 Responsabilità delle informazioni pubblicate. In considerazione della natura e delle caratteristiche della Piattaforma Contactlab e del suo funzionamento, il Cliente, anche in qualità di responsabile per il fatto del proprio dipendente, commesso o ausiliario ai sensi degli artt. 1228 e/o 2049 c.c., si impegna a tenere integralmente indenne e manlevare MailUp nel caso in cui quest’ultima sia richiesta o tenuta, direttamente o in solido, sia stragiudizialmente sia giudizialmente, a pagare importi, in via esemplificativa e non esaustiva, a titolo di risarcimento danno, indennizzo, sanzioni (penali, amministrative, fiscali o di altra natura) in relazione al contenuto delle comunicazioni e alle informazioni transitate o comunque trasmesse tramite la Piattaforma Contactlab, alla legittimità delle stesse, nonché al comportamento tenuto dal Cliente, da personale, dipendenti, collaboratori di quest’ultimo, da clienti finali, o comunque da qualunque soggetto del cui operato il Cliente sia tenuto a rispondere per previsione di legge o di contratto. La responsabilità civile e penale in relazione alle informazioni pubblicate tramite il servizio offerto da MailUp resta ad esclusivo carico del Cliente.
6.6 Manutenzione Ordinaria e Straordinaria. MailUp si riserva il diritto di sospendere in tutto o in parte l’accesso alla Piattaforma Contactlab per esigenze di Manutenzione Ordinaria e/o di Manutenzione Straordinaria. MailUp darà comunicazione dell’effettuazione degli interventi di Manutenzione Ordinaria pubblicandoli all’URL https:
//xxxxx.XxxxXx.xx con preavviso di almeno 2 Giorni Lavorativi rispetto all’effettuazione del relativo intervento. MailUp farà quanto possibile, senza tuttavia assumere alcun impegno al riguardo, per preavvertire il Cliente dell’effettuazione di interventi di Manutenzione Straordinaria e per ridurre al minimo i disagi derivanti da tali interventi. Resta inteso che, MailUp non sarà ritenuta in alcun modo responsabile del malfunzionamento della Piattaforma Contactlab o dell’impossibilità o difficoltà di svolgere le prestazioni accessorie derivanti da responsabilità dei gestori delle linee telefoniche, elettriche e di reti mondiali e nazionali, a titolo esemplificativo, ma non esaustivo, a seguito di guasti, sovraccarichi, interruzioni, ecc.
6.7 Disponibilità della Piattaforma Contactlab. Con le presenti Condizioni Generali MailUp si obbliga a rendere disponibile la Piattaforma Contactlab con un tasso di disponibilità up-time del 99% su base annua, da intendersi quindi per 24 ore giornaliere e per 365 giorni all’anno per ciascuna annualità. Le Parti si danno atto che in ogni caso non potrà essere imputata a MailUp la mancata disponibilità della Piattaforma Contactlab dovuta a fatti e circostanze riconducibili al Cliente o a soggetti del cui comportamento il Cliente sia tenuto a rispondere, quali, a titolo esemplificativo e non esaustivo, la disponibilità di idonea rete Internet presso il Cliente, problemi hardware, software, di network interni alla struttura organizzativa del Cliente. Dalla definizione del livello minimo di funzionalità garantito vanno escluse le attività di manutenzione ordinaria comunicate al Cliente con preavviso di almeno 2 (due) giorni di calendario e di manutenzione straordinaria comunicate al Cliente con preavviso che potrà essere anche inferiore alle 4 (quattro) ore. Durante i giorni festivi e dalle 00:00 (GMT+1) alle 06:00 (GMT+1) dei giorni lavorativi, potranno essere necessari occasionali interruzioni del servizio a causa delle operazioni di manutenzione del programma che non entreranno nella determinazione del livello minimo di funzionalità garantito, e rispetto alle quali dunque è esclusa ogni responsabilità in capo a MailUp.
6.8 Beta. Qualora MailUp conceda al Cliente specifiche funzionalità della Piattaforma Contactlab in modalità alfa, beta o simili ("Beta"), il relativo uso è consentito solo per finalità di test del Cliente durante il periodo designato, a insindacabile giudizio, da MailUp. L’utilizzo delle Beta è opzionale e facoltativo e entrambe le Parti possono sospenderne l’utilizzo o l’erogazione in qualsiasi momento e per qualsiasi motivo. Il Cliente è consapevole e accetta che le Beta potrebbero essere incomplete, non correttamente funzionanti o includere funzionalità che
MailUp potrebbe, a suo insindacabile giudizio, non rilasciare mai. Rimane inteso che le Beta sono escluse dalla definizione del livello minimo di funzionalità garantito da MailUp nel presente articolo. MailUp concede al Cliente una licenza non esclusiva, revocabile, non subappaltabile e non trasferibile per l'utilizzo delle Beta esclusivamente ai fini di test. MailUp non fornisce alcuna garanzia, indennità o supporto per le Beta e, salvo i casi di dolo e colpa grave, è esclusa qualsiasi forma di responsabilità di MailUp. MailUp raccomanda al Cliente di utilizzare ogni più opportuna cautela e di non fare affidamento in alcun modo sul corretto funzionamento o sulle prestazioni delle Beta e/o dell’eventuale documentazione di accompagnamento.
6.9 Assistenza clienti. In via strumentale ed accessoria per assicurare il corretto utilizzo e la piena funzionalità della Piattaforma Contactlab, MailUp si impegna a fornire assistenza tecnica per segnalazioni su problemi legati al corretto funzionamento della Piattaforma Contactlab in conformità alle specifiche dettagliate nell’offerta tecnico-economica e/o nella documentazione progettuale per il Cliente, così come eventualmente precisate alla seguente pagina web xxxxx://XxxxXx.xxx/xx/xxxxxxxxxx-xxxxxxx-xx-xxxxxxx/ oppure nella documentazione tecnico-economica di riferimento.
6.10 Il Cliente dichiara di essere consapevole che i dati personali trattati per mezzo della Piattaforma potranno essere utilizzati esclusivamente per le finalità per le quali tali dati sono stati raccolti e rispetto ai quali è stato, se necessario, fornito il prescritto consenso da parte dell’interessato. In particolare, il Cliente garantisce che il consenso espresso formulato dagli interessati è raccolto e documentato in conformità con il Regolamento 2016/679/UE e che le soluzioni predisposte dalla Piattaforma, quali, a titolo esemplificativo, log di sistema, schemi tecnici di funzionamento del meccanismo di acquisizione dei dati, opt-in e ogni altra soluzione prevista, sono a mero corredo della tematica.
6.11 Invio dei messaggi. I messaggi si intendono inviati quando sono inviati dalla Piattaforma Contactlab alla destinazione programmata nella Piattaforma Contactlab, inclusi, a titolo esemplificativo e non esaustivo: SMTP server, reti di telecomunicazioni mobili o ogni server di intermediari o API di fornitori di servizi terzi. Il Cliente prende atto ed accetta che le terze parti fornitrici potrebbero interrompere senza preavviso le prestazioni erogate a MailUp o a fornitori di MailUp. In questo caso i messaggi non verranno consegnati a destinazione, senza che ciò sia in alcun modo imputabile a MailUp. La ricevuta di recapito dei messaggi è disponibile ma non garantita: quando il fornitore di servizi o l’operatore di telecomunicazioni mobili la fornisce viene riportata nella Piattaforma Contactlab. Il Cliente prende atto che l’invio di comunicazioni, per le intrinseche caratteristiche tecnologiche, non è da utilizzarsi nei casi in cui la mancata ricezione di un messaggio, totale e/o entro un certo tempo, sia suscettibile di produrre un danno al Cliente o a terzi; MailUp non garantisce la consegna delle comunicazioni e la costante fruibilità della Piattaforma Contactlab e, in caso di mancato e/o ritardato recapito, o di mancanza di ricevuta di recapito, non è in alcun modo responsabile né direttamente, né indirettamente verso il Cliente e/o verso terzi. MailUp si riserva inoltre la facoltà di escludere dall’invio alcuni destinatari o gruppi di destinatari che possono compromettere la qualità dell’invio singolarmente o nel suo complesso (Es. Spamtrap).
6.12 Dati statistici. I dati di dettaglio relativi alle spedizioni effettuate dal, o per conto del, Cliente (e.g. aperture di pagina, link traking, analisi campagne ecc.) tramite la Piattaforma Contactlab saranno conservati per un periodo massimo di 12 mesi e dopodiché aggregati in forma anonima e, pertanto, non più disponibili se non in forma aggregata. I dati delle spedizioni effettuate dal, o per conto del, Cliente (resi anonimi, aggregati e, in ogni caso, tali da non essere riconducibili ad uno specifico soggetto, sia esso il Cliente o meno) potranno essere utilizzati da MailUp per finalità statistiche (analisi di c.d. deliverability e/o di trend).
7. SERVIZ I SERVER FARM [APPLICABILE SOLO IN CASO DI OPZIONE PER SERVIZI SERVER FARM]
7.1 MailUp garantisce unicamente che i Servizi Server Farm abbiano le caratteristiche tecniche indicate nei MRA e, qualora previsto per lo specifico Servizio prestato, che venga mantenuto il livello di servizio concordato con il Cliente.
7.2 Il Cliente dichiara e garantisce di possedere tutte le autorizzazioni, licenze e/o concessioni eventualmente richieste dalle norme di legge in materia per l'installazione, utilizzo e gestione delle proprie attrezzature hardware e software e per la loro connessione ai Sistemi di MailUp.
8. UTILIZZO DEI SERVIZI
8.1 Il Cliente si impegna ad utilizzare i Servizi esclusivamente per finalità lecite, conformemente alla normativa applicabile e alle caratteristiche dei Servizi quali descritte negli MRA e/o nella documentazione ad essi relativa. A titolo solo esemplificativo e in quanto applicabile, il Cliente si impegna a:
a) rispettare le regole, anche tecniche, di utilizzo dei singoli Servizi in ogni tempo comunicate da MailUp;
b) non caricare, pubblicare, inviare o in altro modo trasmettere o diffondere tramite i Sistemi di MailUp contenuti e/o informazioni che comportino la violazione di brevetti, marchi, segreti commerciali, diritti di autore o altri diritti di proprietà industriale e/o intellettuale di terzi;
c) non caricare, pubblicare, inviare o in altro modo trasmettere o diffondere tramite i Sistemi di MailUp contenuti osceni, offensivi o, comunque, contrari all’ordine pubblico;
d) non caricare, pubblicare, inviare o in altro modo trasmettere o diffondere tramite i Sistemi di MailUp pubblicità, materiale promozionale, “junk mail”, “spam”, catene di S. Xxxxxxx, piramidi, o qualsiasi altra forma di sollecitazione non autorizzata o non richiesta e, in particolare, a non porre in essere attività che possano arrecare danno agli altri clienti con i quali il Cliente condivide lo spazio sui Sistemi di MailUp e così, in via ulteriormente solo esemplificativa, a non porre in essere attività di phishing o che, comunque, conducano all’inserimento dei Sistemi di MailUp in black list e/o altri analoghi sistemi di sbarramento;
e) non caricare, inviare o in altro modo trasmettere o diffondere tramite i Sistemi di MailUp qualsivoglia materiale che contenga virus o altri codici, file o programmi creati per interrompere, distruggere o limitare il funzionamento dei software, degli hardware o degli apparati di telecomunicazioni;
8.2 Tutte le informazioni, i dati e, più in generale, i contenuti caricati dal Cliente nei Sistemi di MailUp o altrimenti forniti a o messi a disposizione di MailUp sono e rimangono di esclusiva proprietà del Cliente stesso, il quale si assume ogni e qualsivoglia responsabilità in relazione a tali dati, informazioni e, più in generale, contenuti. Tali dati e informazioni saranno conservati nel rispetto delle applicabili disposizioni di legge e poi cancellati.
9. PRIVACY
9.1 Il Cliente si impegna a raccogliere e trattare i dati personali degli Utenti Finali nel rispetto delle prescrizioni di cui alla normativa, anche di natura regolamentare, applicabile in materia di trattamento e tutela dei dati personali.
9.2 Privacy. Per quanto occorrer possa, fermo restando che in base alla vigente normativa dato personale è qualunque informazione relativa esclusivamente a persona fisica, il Cliente prende atto che MailUp provvederà al trattamento dei dati (inclusi quelli relativi a propri delegati e preposti da lui designati a gestire i rapporti con MailUp), ai sensi della normativa vigente e, secondo quanto indicato dall’Informativa Privacy di MailUp al link xxxxx://XxxxXx.xxx/xx/xxxxxxx-xxxxxx/ e dal Data Processing Agreement sub allegato A. Con la sottoscrizione del presente Contratto, ai sensi dell’art. 28 del Regolamento Privacy, il Cliente, avendo ritenuto MailUp soggetto idoneo ed affidabile, nomina MailUp responsabile o, a seconda dei casi, sub-responsabile per il trattamento dei Dati Personali. MailUp accetta tale nomina contestualmente alla propria sottoscrizione, confermando la diretta ed approfondita conoscenza degli obblighi con essa assunti e garantendo di possedere capacità, esperienza e competenze, anche tecniche, per ricoprire tale ruolo. In particolare, MailUp si impegna a trattare i Dati Personali nel rispetto delle istruzioni e previsioni previste nell’atto di nomina allegato sub Allegato A al presente Contratto che ne forma parte integrante e che qui si intende integralmente richiamato. Il Cliente garantisce di avere adempiuto ad ogni obbligo imposto dalla normativa sulla protezione dei dati personali e si impegna a manlevare e, comunque, a tenere indenne MailUp da ogni e qualsiasi pretesa, istanza, azione, costo, spesa, incluse le spese
legali, sanzione od onere derivanti da ogni inadempimento con riferimento agli obblighi imposti dalla legislazione applicabile al trattamento dei dati personali.
9.3 Il Cliente dichiara di essere consapevole che la conformità alla tematica privacy, ed in particolare agli obblighi derivanti dall’applicazione del Regolamento 2016/679/UE è complessivamente, e soprattutto, a carico del medesimo, fatto salvo per le misure tecniche e organizzative ricadenti nel perimetro esclusivo di MailUp, e che sono pertanto fondamentali sia l’aspetto organizzativo sia le azioni e/o le procedure messe in atto dal Cliente e dai suoi responsabili ed incaricati.
9.4 La nomina di MailUp a Responsabile esterno al trattamento dei dati da parte del Cliente si estende anche ai trattamenti che verranno effettuati in relazione agli accordi contrattuali in essere con i propri clienti sub licenziatari, ove autorizzati, rispetto ai quali è onere dei clienti sub licenziatari stessi provvedere a nominare i rivenditori quali responsabili esterni al trattamento dei dati ovvero ad individuare idonee modalità organizzative volte a garantire la sicurezza dei dati trattati. Il Cliente si impegna in ogni caso a manlevare e tenere indenne MailUp da qualsiasi pregiudizio che la stessa dovesse subire a causa di comportamenti, inadempimenti o violazioni dei sub licenziatari.
9.5 In particolare, a titolo solo esemplificativo e senza pregiudizio per le altre disposizioni delle presenti Condizioni Generali, il Cliente si impegna a inviare, o, nell’ambito dei Servizi Agency, richiedere l’invio di, messaggi o comunicazioni, ivi espressamente incluse quelle a carattere pubblicitario e/o promozionale, agli Utenti Finali esclusivamente nel rispetto delle applicabili disposizioni normative, anche di natura regolamentare, concernenti il trattamento e la tutela dei dati personali e, comunque, a includere sempre nei propri messaggi l’indirizzo a cui l’Utente Finale può scrivere per cancellare la propria iscrizione alla mailing list (c.d. “unsubscribe me”)
9.6 Il Cliente si impegna a mantenere attivi e raggiungibili gli indirizzi e/o riferimenti comunicati agli Utenti Finali ai sensi del paragrafo che precede per un periodo minimo di 30 giorni di calendario decorrenti dall’invio dell’ultimo messaggio a ciascun Utente Finale.
9.7 Il Cliente si impegna a cancellare tempestivamente e, comunque, entro i termini previsti dalla normativa, anche di natura regolamentare, applicabile, dai propri database gli indirizzi degli Utenti Finali che ne facciano richiesta e a interrompere subitaneamente qualunque invio di comunicazioni agli stessi.
9.8 Nel caso in cui l’attività posta in essere dal Cliente tramite utilizzo della Piattaforma Contactlab conduca a
a) l’inserimento degli indirizzi IP di MailUp (e/o suoi fornitori) in black-list di primaria importanza e in particolare: Spamhaus Zen o Spamcop RBL;
b) l’inserimento dei domini di MailUp (e/o suoi fornitori) nonché dei domini del Cliente configurati in modo da far riferimento ai server di MailUp (“domini di personalizzazione”) in blacklist di particolare importanza e in particolare: a) Spamhaus DBL; b) SURBL e c) URIBL black.
il Cliente sarà tenuto a seguire le istruzioni di MailUp per rimediare all’incidente senza indugio e con la massima diligenza, anche sospendendo gli invii, riconfermando le liste eventualmente identificate come responsabili del blacklisting, o rinunciando all’utilizzo delle liste stesse; nonché a corrispondere a MailUp, a titolo di penale, l’importo di EUR 1000,00 per evento (inserimento dell’IP/dominio in almeno una delle blacklist indicate), e EUR 500,00 per ogni giorno lavorativo di attività continuativa dell’account MailUp connesso all’IP/dominio, dopo la notificazione del blocco da parte di MailUp.
9.9 Nei casi di particolare gravità MailUp potrà applicare una sospensione forzata di utilizzo dell’account, nel qual caso il periodo di sospensione non verrà conteggiati nel calcolo della penale.
9.10 La penale si intende quale corrispettivo minimo per l’attività che MailUp dovrà porre in essere al fine di rimediare la situazione. È fatto comunque espressamente salvo il diritto di MailUp al risarcimento dell’eventuale maggior danno e quanto previsto dal paragrafo 10.4. delle C.G.
9.11 MailUp in quanto organizzazione impegnata a combattere l’abuso dei sistemi di messaggistica aderisce e richiede ai propri clienti di conoscere e rispettare con continuità le riconosciute best practices e autoregolamentazioni della industry e in particolare:
a) Admission Criteria per la Certified Senders Alliance (CSA):
xxxxx://xxxxxxxxx-xxxxxxx.xxx/xxxxxxxxx/xxxxxxx/0000/00/XXX_Xxxxxxxxx_Xxxxxxxx.xxx
b) La Charte déontologique dell’associazione Signal Spam: xxxxx://xxx.xxxxxx-xxxx.xx/xxxxxxx/xxxxxxxxxxx-xx-xxxxxx-xxxxxxxxx/
10. DISCIPLINA APPLICABILE – CLAUSOLA DI MANLEVA
10.1 Il Cliente riconosce che MailUp non controlla preventivamente, né è tecnicamente in grado di farlo, i contenuti caricati, trasmessi o gestiti direttamente dal Cliente tramite i Sistemi di MailUp. MailUp non potrà pertanto in alcun caso essere ritenuta responsabile nei confronti di terzi o del Cliente in relazione al fatto che lo stesso abbia agito in violazione delle applicabili disposizioni normative, anche di natura regolamentare, o contrattuali applicabili.
10.2 Il Cliente prende inoltre atto del fatto che, fermo ogni diritto concesso a MailUp ai sensi delle presenti Condizioni Generali e delle leggi applicabili,
10.3 MailUp potrà: (i) impedire il caricamento o la trasmissione di contenuti del Cliente qualora così richiesta dall’Autorità competente; (ii) rimuovere i contenuti del Cliente o disabilitarne l’accesso qualora così richiesta dall’Autorità competente; (iii) esercitare le attività di informazione delle Autorità competenti previste dalle applicabili disposizioni normative, anche di natura regolamentare.
10.4 MailUp avrà diritto di sospendere immediatamente e senza preavviso la prestazione dei Servizi qualora il Cliente risulti agire in violazione delle disposizioni di cui alle presenti Condizioni Generali (ivi espressamente incluso, per quanto possa occorrere, il mancato pagamento dei corrispettivi dovuti a MailUp) e/o, comunque, alla normativa, anche di natura regolamentare, applicabile.
10.5 Il Cliente si impegna a manlevare e, comunque, a tenere indenne MailUp, a prima e semplice richiesta e rimossa sin d’ora ogni eccezione, da ogni e qualsiasi pretesa, istanza, azione, costo, spesa (incluse quelle legali) od onere derivanti dal mancato rispetto da parte del Cliente di quanto stabilito negli articoli 8. e 9. che precedono, fermo restando ogni altro rimedio disponibile per MailUp a norma delle presenti Condizioni Generali e/o della normativa, anche di natura regolamentare, applicabile.
11. DURATA E SCIOGLIMENTO - CLAUSOLA RISOLUTIVA ESPRESSA
11.1 Le presenti Condizioni Generali si intendono applicabili a tutti i rapporti contrattuali conclusi tra MailUp e il Cliente relativamente ai Servizi ai sensi di ciascun MRA.
11.2 Senza pregiudizio per quanto previsto dal paragrafo 11.1. che precede, MailUp avrà diritto di risolvere di diritto il rapporto contrattuale con il Cliente, mediante comunicazione a mezzo email, o raccomandata a.r. o PEC e ai sensi e per gli effetti di cui all’articolo 1456 cod. civ., nel caso in cui il Cliente si renda inadempiente alle seguenti clausole delle presenti Condizioni Generali: paragrafi 4.2 (Segretezza user ID e password), 6.2 (Piattaforma Contactlab – Divieti), 8.1 (Utilizzo dei servizi), 8.2 (Responsabilità dei dati caricati), da 9.1. a 9.7 (Obblighi in materia di Privacy) e 12.1 (Diritti di proprietà intellettuale e/o industriale – Proprietà della Piattaforma).
12. DIRITTI DI PROPRIETÀ INTELLETTUALE E/O INDUSTRIALE
12.1 Proprietà della Piattaforma Contactlab. MailUp è l’unico proprietario esclusivo di tutti i diritti e gli interessi per la Piattaforma Contactlab, e di qualsiasi Proprietà intellettuale ad essa collegata, compresi gli sviluppi che ne derivano. MailUp è un marchio registrato. Il sito web, la Piattaforma Contactlab e le informazioni ivi contenute sono di proprietà di MailUp, fatta eccezione a quanto previsto dalla normativa Privacy. Ne è vietata la copia non autorizzata e la diffusione in violazione ai diritti di Proprietà intellettuale.
12.2 Pubblicità. Il Cliente autorizza l'utilizzo da parte di MailUp del proprio nome e logo sul proprio sito web, in presentazioni, materiali di marketing, elenchi clienti, rapporti finanziari. L’utilizzo da parte del Cliente del logo, del nome commerciale e di qualsiasi altro segno distintivo relativo alla Piattaforma Contactlab dovrà essere preventivamente richiesto dal Cliente in forma scritta e autorizzato, sempre in forma scritta, da MailUp.
13. LIMITAZIONI DELLA RESPONSABILITÀ DI MailUp
13.1 MailUp non è in grado di garantire, come in effetti non garantisce, che il funzionamento dei Sistemi di MailUp sia esente da errori o guasti, ma farà quanto possibile perché ciò non avvenga. MailUp non assume alcun obbligo né fornisce alcuna garanzia ulteriori rispetto a quelli espressamente previsti nelle presenti Condizioni Generali o nei MRA.
13.2 MailUp non potrà essere ritenuta responsabile per l'inadempimento delle obbligazioni previste a suo carico nelle presenti Condizioni Generali o in un MRA dovuto a caso fortuito o a un evento di forza maggiore o, comunque, al di fuori del suo ragionevole controllo quali, a titolo esemplificativo e non esaustivo, tumulti popolari, atti di terrorismo e di guerra, emergenze sanitarie e pandemie, scioperi, sommosse, trombe d’aria, uragani, alluvioni, incendi, frane e smottamenti. In particolare, le Parti danno atto che MailUp non sarà responsabile in caso di impossibilità per il Cliente di accedere a, e/o utilizzare la, Piattaforma Contactlab causato dal non corretto funzionamento di impianti e linee elettriche e/o di telecomunicazioni quali, a mero titolo esemplificativo, guasti, sovraccarichi, interruzioni, dovuti ad eventi al di fuori del ragionevole controllo di MailUp.
13.3 Salvi i casi di dolo o colpa grave, è esclusa espressamente una qualsiasi responsabilità, anche risarcitoria, di MailUp per eventuali pregiudizi subiti dal Cliente e/o dagli Utenti Finali o da terzi a causa dell’inadempimento da parte di MailUp di una qualsiasi delle
obbligazioni poste a suo carico delle presenti Condizioni Generali e/o dai MRA.
14. DISPOSIZIONI GENERALI
14.1 Salvo ove espressamente previsto in senso difforme, tutte le comunicazioni previste dal o inerenti le presenti Condizioni Generali o la loro esecuzione potranno essere effettuate a mezzo posta elettronica. Le comunicazioni da effettuarsi a mezzo raccomandata a.r. potranno essere inviate in via anticipata a mezzo telefax o posta elettronica, purché confermate entro le 24 ore successive a mezzo raccomandata a.r.
14.2 Qualsiasi notifica o comunicazione al Cliente sarà effettiva se MailUp la invierà all'ultimo indirizzo email o fisico che il Cliente ha fornito a MailUp. Il Cliente è consapevole e accetta che, ai fini della notifica, MailUp può utilizzare qualsiasi indirizzo e-mail o fisico all'interno dell'account del Cliente, comprese le informazioni di contatto associate al contatto principale di un account, contatto di fatturazione, o qualsiasi altro profilo associato all’account.
14.3 L’inefficacia, nullità o inapplicabilità di alcune delle disposizioni delle presenti Condizioni Generali non potrà comportare in alcun caso l’inefficacia, nullità o inapplicabilità dell’intero documento di Condizioni Generali, restando pienamente valide ed applicabili le restanti disposizioni. Qualora si verifichi una tale circostanza le parti concordano fin da ora di negoziare la sostituzione della clausola invalida o inapplicabile con una clausola simile che ne rispecchi il più possibile il significato: analogo intervento sarà effettuato dal giudice nel caso di controversia giudiziale.
15. LEGGE APPLICABILE E FORO ESCLUSIVAMENTE COMPETENTE
15.1 Le presenti Condizioni Generali e gli MRA sono regolati dalle leggi della Repubblica Italiana.
15.2 Qualsiasi controversia inerente le, o derivante dalle, presenti Condizioni Generali e/o da un MRA o dalla loro esecuzione sarà devoluta alla competenza esclusiva del Foro di Milano.
***
MailUp S.p.A. a socio unico
Data:
Timbro e firma:
_
Cliente:
Data:
Timbro e firma:
_
Ai sensi e per gli effetti di cui agli artt. 1341 e 1342 cod. civ., dichiaro di aver attentamente letto e compreso e di approvare specificamente le seguenti clausole delle Condizioni Generali: 4.2 (Segretezza e responsabilità del Cliente per user ID e Password), 6.3 (Responsabilità del Cliente per l’uso in sublicenza), 6.5 (Manleva in relazione al contenuto dei messaggi pubblicati tramite la piattaforma), 6.6 (Limitazione di responsabilità per inadempimento di terzi), 6.8 (Limitazione di responsabilità per funzioni Beta), 6.11 (Piattaforma Contactlab limitazione di garanzia), 8.1 (Utilizzo dei servizi, limitazioni) e 8.2 (Responsabilità del Cliente per i dati caricati), 9.2 (Privacy e anti-spam, garanzie del Cliente),
10.1 (Limitazione di responsabilità di MailUp) e 10.4 (Manleva), 11.2 (Clausola risolutiva espressa), 13 (Limitazioni della responsabilità di MailUp); 15.2 (Foro esclusivamente competente).
Cliente:
Data:
Timbro e firma:
_
ALLEGATO A
ACCORDO PER IL TRATTAMENTO DEI DATI
MailUp S.p.A., con sede legale in Milano (MI), Codice Fiscale e P.Iva n. 09480090159, in persona del legale rappresentante pro tempore (“MailUp” o “Responsabile”) e il Cliente ("Titolare” o “Cliente") hanno stipulato un contratto per la fornitura dei Servizi del Responsabile (di seguito, come di volta in volta modificato o aggiornato, solo il "Contratto").
Il presente accordo per il trattamento dei dati (compresi i suoi allegati, "Accordo per il Trattamento dei Dati") contiene le previsioni dell’art. 28 GDPR come interpretate dal Comitato Europeo per la protezione dei dati personali nell’Opinione 14/2019.
L’Accordo per il Trattamento dei Dati è concluso tra MailUp e il Cliente ed integra il Contratto. L’Accordo per il Trattamento dei Dati sarà efficace, e sostituirà qualsiasi altro accordo tra le parti precedentemente applicabile in relazione allo stesso oggetto (comprese eventuali modifiche o addendum al trattamento dei dati relativi ai Servizi del Responsabile), a partire dalla Data di Entrata in Vigore e per tutta la Durata e sarà valido con riferimento a tutti i rapporti relativi alla fornitura dei Servizi del Responsabile.
1. PREAMBOLO
L’Accordo per il Trattamento dei Dati riflette l'accordo delle parti rispetto al trattamento dei Dati Personali del Cliente come disciplinato dalla Legislazione europea e nazionale.
2. DEFINIZIONI
2.1 Tutti i termini con lettera maiuscola inseriti nell’Accordo per il Trattamento dei Dati hanno il seguente significato:
"Autorità di Controllo" si intende una "autorità di controllo" come definita nel GDPR.
"MailUp" indica l'Entità di MailUp che è parte del Contratto.
"Consociata" indica un'entità giuridica, anche appartenente ad un gruppo societario, che direttamente o indirettamente ha il controllo ovvero è controllata da una parte.
"Data di Entrata in Vigore" si intende la data in cui MailUp ha sottoscritto o le parti hanno altrimenti concordato l’efficacia del Contratto o dell’Accordo per il Trattamento dei Dati.
"Dati Personali del Cliente" si intendono i dati personali che vengono trattati da MailUp per conto del Cliente nella fornitura dei Servizi del Responsabile da parte di MailUp.
"Documentazione di Sicurezza" si intende la documentazione che MailUp rende disponibile in relazione ai Servizi del Responsabile e richiamata nell’Appendice 2
"Durata" si intende il periodo che va dalla Data di Entrata in Vigore fino al termine della fornitura da parte di MailUp dei Servizi del Responsabile ai sensi del Contratto.
"Entità di MailUp" indica MailUp SpA e/o qualsiasi altra Consociata di MailUp.
"GDPR" si intende il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la Direttiva 95/46/CE.
"Incidente" si intende una violazione della sicurezza di MailUp che comporta la distruzione accidentale o illecita, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai Dati Personali del Cliente su sistemi gestiti o altrimenti controllati da MailUp.
"Istruzioni Aggiuntive" si intendono le istruzioni aggiuntive che riflettono l'accordo delle parti sulle ulteriori condizioni che disciplinano il trattamento di alcuni dati in relazione a determinati Servizi del Responsabile.
"Legislazione europea e nazionale" si intende il GDPR e la legislazione dello Stato Membro dell'UE applicabile al trattamento dei Dati Personali del Cliente.
"Meccanismi di Trasferimento" si intende una decisione vincolante emessa dalla Commissione Europea che permette il trasferimento di dati personali dallo SEE verso un paese terzo il cui l’ordinamento interno fornisca un adeguato livello di tutela in materia di protezione dei dati personali. Rientrano in questa definizione l’accordo UE-USA Privacy Shield, Swiss-U.S. Privacy Shield. Ove tale decisione vincolante non sia presente o efficace, si intendono le Clausole Contrattuali Tipo di volta in volta approvate dalla Commissione Europea per il trasferimento di dati personali nonché le norme vincolanti di impresa (BCRs).
"Misure di Sicurezza" si intende quanto indicato nella Sezione 7.1.1. (Misure di Sicurezza sui sistemi di MailUp). "SEE" si intende lo Spazio Economico Europeo.
"Servizi del Responsabile" si intendono i servizi offerti ai sensi del Contratto e descritti collettivamente nell’Appendice 1.
"Subresponsabili" si intendono i terzi autorizzati ai sensi del presente Accordo per il Trattamento dei Dati a trattare i Dati Personali del Cliente al fine di fornire parte dei Servizi del Responsabile e/o qualsiasi supporto tecnico correlato.
2.2 I termini "Dati Personali", "Interessato", “Responsabile”, "Titolare", "Trattamento" hanno il significato indicato nel GDPR.
2.3 I termini "includere" e "incluso" sono illustrativi e non sono l'unico esempio di un particolare concetto.
2.4 Qualsiasi riferimento a una legge, regolamento, statuto o altro atto legislativo è un riferimento a quest'ultimi, come di volta in volta modificati o riformulati.
2.5 Se il presente Accordo per il Trattamento di Xxxx fosse tradotto in un'altra lingua e vi è una discrepanza tra il testo in italiano e il testo tradotto, prevarrà il testo in italiano.
3. DURATA
Il presente Accordo per il Trattamento di Dati ha effetti per tutta la Durata e fino alla cancellazione da parte del Responsabile di tutti i Dati personali del Cliente.
4. AMBITO DI APPLICAZIONE
4.1 Applicazione dei Servizi del Responsabile. Il presente Accordo per il Trattamento di Dati si applica solo ai servizi per i quali le parti ne hanno concordato l’applicazione, e quindi ai servizi indicati nel Contratto.
4.2 Applicazione delle Istruzioni Aggiuntive. Il Titolare potrà, nel corso della Durata, fornire a MailUp delle Istruzioni Aggiuntive, che MailUp non potrà irragionevolmente rifiutare se tali Istruzioni Aggiuntive siano necessarie per consentire al Titolare di rispettare qualsiasi obbligo gravante sul Titolare derivante dalla la Legislazione europea e nazionale. In tutti gli altri casi MailUp avrà il diritto di negoziare con il Titolare il contenuto delle Istruzioni Aggiuntive e non sarà obbligata ad implementarle fino al raggiungimento di un accordo scritto. Una volta che entrambe le Parti avranno confermato le Istruzioni Aggiuntive, le stesse dovranno considerarsi parte integrante di questo Accordo per il Trattamento dei Dati.
4.1.1 Costi derivanti dall’implementazione delle Istruzioni Aggiuntive Le Istruzioni Aggiuntive e/o la loro integrazione, modificazione o riduzione non dovranno comportare costi aggiuntivi a carico di MailUp; in caso contrario, il Titolare
riconosce e accetta che tutti i costi derivanti, direttamente o indirettamente, dall’adeguamento di MailUp alle Istruzioni Aggiuntive sono ad esclusivo carico del Titolare.
5. TRATTAMENTO DEI DATI
5.1 Ruoli, responsabilità e istruzioni
5.1.1 Le parti riconoscono e concordano che: (a) l'Appendice 1 descrive l’oggetto e i dettagli del trattamento dei Dati Personali del Cliente; (b) MailUp agisce come Responsabile o, a seconda dei casi, Sub-responsabile per i Dati Personali del Cliente ai sensi della Legislazione europea e nazionale; (c) il Cliente agisce come Titolare o Responsabile, a seconda dei casi, dei Dati personali del Cliente e ai sensi della Legislazione europea e nazionale; e (d) ciascuna parte si conformerà agli obblighi ad essa applicabili ai sensi della Legislazione europea e nazionale rispetto al trattamento dei Dati Personali del Cliente. In particolare, con la sottoscrizione del presente Accordo, ai sensi dell’art. 28 del Regolamento Privacy, il Cliente, avendo ritenuto MailUp soggetto idoneo ed affidabile, nomina MailUp Responsabile o, a seconda dei casi, Sub- responsabile per il trattamento dei Dati Personali.
5.1.2 Autorizzazione da parte del terzo Titolare. Se il Cliente agisce come Responsabile per conto di una Consociata del Cliente o di un diverso Titolare, il Cliente garantisce a MailUp che le istruzioni e le azioni del Cliente in relazione ai Dati Personali del Cliente, compresa la nomina di MailUp, sono state autorizzate dal rispettivo Titolare.
5.2 Istruzioni del Titolare. Con il presente Accordo per il Trattamento di Dati, il Titolare incarica MailUp di trattare i Dati Personali del Cliente: (a) solo in conformità alla legge applicabile: (b) solo per fornire i Servizi del Responsabile e qualsiasi supporto tecnico correlato; (c) come ulteriormente specificato/indicato dal Cliente attraverso l'uso da parte sua dei Servizi del Responsabile (incluse modifiche alle impostazioni e/o alle funzionalità dei Servizi del Responsabile) e di qualsiasi supporto tecnico correlato; (d) come documentato nel Contratto, incluso il presente Accordo per il Trattamento di Dati; (e) al fine di garantire un livello di sicurezza adeguato al rischio, per eseguire screening automatici di confronto con liste di controllo predefinite, mediante l’utilizzo di sistemi automatici in grado di rilevare contatti acquisiti o mantenuti in difformità alle best practices di settore, per rilevare eventuali abusi, operandone un’automatica disiscrizione; e (f) come ulteriormente documentato in qualsiasi istruzione scritta fornita dal Titolare a MailUp come ulteriore istruzione ai fini del presente Accordo per il Trattamento di Dati.
5.3 Conformità di MailUp alle istruzioni. MailUp si atterrà alle istruzioni di cui alla Sezione 5.2 (Istruzioni del Titolare) a meno che la Legislazione europea o nazionale cui è soggetta non richieda a quest’ultima di intraprendere un diverso o ulteriore trattamento dei Dati Personali del Cliente (es. trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale), nel qual caso MailUp informerà tempestivamente il Cliente (a meno che tale legislazione non vieti a MailUp di farlo per importanti motivi di interesse pubblico).
6. CANCELLAZIONE ED ESPORTAZIONE DEI DATI
6.1 Cancellazione ed esportazione per il periodo di Durata
6.1.1 Servizi del Responsabile con funzionalità di esportazione. Nella misura in cui i Servizi del Responsabile includono la possibilità per il Titolare di esportare autonomamente e in formato interoperabile i Dati Personali del Cliente, MailUp si impegna, per quanto possibile, a fare in modo che tale operazione sia garantita per tutta la Durata e comunque nel rispetto di eventuali ulteriori specifiche disposizioni contenute nel Contratto.
6.1.2 Servizi del Responsabile con funzionalità di cancellazione. Nella misura in cui i Servizi del Responsabile includono la possibilità per il Cliente di cancellare autonomamente i Dati Personali del Cliente, MailUp si impegna, per quanto possibile, a fare in modo che tale cancellazione sia garantita per tutta la Durata, a meno che la Legislazione europea e nazionale non richieda la conservazione per un tempo più lungo. In tale ultimo caso, MailUp tratterà i Dati Personali del
Cliente solo per gli scopi e la durate definite da tale legislazione. Rimangono comunque valide eventuali ulteriori specifiche disposizioni contenute nel Contratto.
6.1.3 Servizi del Responsabile senza funzionalità di cancellazione od estrazione. Se per il periodo di Durata o per parte di esso i Servizi del Responsabile non includessero la possibilità per il Titolare di estrarre e/o cancellare autonomamente i Dati Personali del Cliente, MailUp darà seguito ad ogni richiesta del Cliente per facilitare tale operazione nelle stesse modalità e tempi indicati rispettivamente nella Sezione 6.1.1 (Servizi del Responsabile con funzionalità di esportazione) e Sezione 6.1.2 (Servizi del Responsabile con funzionalità di cancellazione).
6.2 Cancellazione alla scadenza della Durata. Fatto salvo quanto previsto nella Sezione 6.1.1 (Servizi del Responsabile con funzionalità di esportazione), alla scadenza della Durata, il Cliente ordina a MailUp di cancellare tutti i Dati Personali del Cliente (incluse le copie esistenti) dai sistemi di MailUp in conformità alla legge applicabile. MailUp darà esecuzione a questa istruzione non appena ragionevolmente possibile, salvo che la Legislazione europea e nazionale non ne richieda la conservazione.
7. SICUREZZA DEI DATI
7.1 Misure di Sicurezza e assistenza da parte di MailUp
7.1.1 Misure di Sicurezza sui sistemi di MailUp. MailUp adotterà e manterrà misure tecniche e organizzative per proteggere i Dati Personali del Cliente da distruzione accidentale o illecita, perdita, alterazione, divulgazione o accesso non autorizzati come descritto nell'Appendice 2. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento posti in essere con i Servizi del Responsabile, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, l’Appendice 2 deve comprendere in ogni momento misure di sicurezza atte a: (a) contribuire a garantire la riservatezza, l'integrità, la disponibilità e la resilienza costanti dei sistemi e dei servizi di MailUp; (b) contribuire a ripristinare tempestivamente i dati personali a seguito di un incidente; e (c) verificarne periodicamente l'efficacia. MailUp ha il diritto di aggiornare o modificare le Misure di Sicurezza, a condizione che tali aggiornamenti e modifiche non comportino il deterioramento della sicurezza complessiva dei Servizi del Responsabile.
7.1.2 Misure di Sicurezza per il personale di MailUp. MailUp adotterà misure adeguate per garantire il rispetto delle Misure di Sicurezza da parte di tutti coloro che operano sotto la sua autorità compresi i propri dipendenti, agenti, appaltatori e Subresponsabili nella misura a loro applicabile secondo la prestazione effettivamente svolta, inclusa l'assicurazione sul fatto che tutte le persone autorizzate a trattare i Dati Personali del Cliente si sono impegnate alla riservatezza o sono soggette a un adeguato obbligo di riservatezza in conformità con la Legislazione europea e nazionale. MailUp inoltre gestirà tutti gli obblighi connessi alla nomina ad amministratore di sistema del proprio personale preposto alla gestione e alla manutenzione dei Servizi del Responsabile, conformemente a quanto disposto dal provvedimento dell’Autorità di Controllo del 27 novembre 2008.
7.1.3 Assistenza sulla sicurezza dei dati da parte di MailUp. MailUp assisterà il Titolare nel garantire il rispetto di eventuali obblighi del Titolare in materia di sicurezza dei dati personali e violazioni dei dati personali, compresi (se del caso) gli obblighi del Titolare ai sensi degli articoli da 32 a 34 GDPR, attraverso:
a) l’attuazione e manutenzione delle Misure di Sicurezza conformemente alla Sezione 7.1.1. (Misure di Sicurezza sui sistemi di MailUp);
(b) l’attuazione di quanto indicato nella Sezione 7.2 (Incidenti sui dati); e
(c) fornendo al Titolare la Documentazione di Sicurezza in conformità alla Sezione 7.5.1 (Revisione della Documentazione di Sicurezza) e le informazioni previste nel presente Accordo per il Trattamento dei Dati.
7.2 Incidenti sui dati
7.2.1 Diligenza professionale. MailUp adotta la diligenza professionale nel monitorare la sicurezza dei Dati Personali del Cliente trattati nell’erogazione dei Servizi del Responsabile.
7.2.2 Notifica di Incidente. Se MailUp viene a conoscenza di un Incidente, MailUp: (a) informerà tempestivamente e senza ingiustificato ritardo il Titolare dell'Incidente; e (b) adotterà tempestivamente misure ragionevoli per ridurre al minimo i danni e proteggere i Dati Personali del Cliente (c) presterà la dovuta collaborazione al Titolare al fine di investigarne le cause e la gravità dell’Incidente.
7.2.3. Dettagli dell'Incidente. Le notifiche effettuate ai sensi della Sezione 7.2.1 (Notifica di Incidente) descriveranno per quanto a conoscenza di MailUp (anche a mezzo di notifiche integrative) i dettagli dell'Incidente, comprese le categorie ed il numero approssimativo di Interessati coinvolti e di registrazioni dei dati personali in questione, i potenziali rischi per gli Interessati e le misure che MailUp ha adottato o che raccomanda al Titolare di adottare per affrontare l'Incidente e mitigarne gli effetti. Qualora non sia possibile fornire le suddette informazioni specifiche nel termine previsto, MailUp indicherà al Titolare i motivi del ritardo, fornendo comunque delle informazioni iniziali riferite alla violazione riscontrata ed utili al Titolare ai fini della relativa notifica.
7.3 Responsabilità e valutazione della sicurezza da parte del Cliente
7.3.1 Responsabilità del Titolare sulla sicurezza. Fatti salvi gli obblighi di MailUp ai sensi delle Sezioni 7.1 (Misure di Sicurezza e assistenza da parte di MailUp) e 7.2 (Incidenti sui dati), il Titolare accetta che è l'unico responsabile per l'utilizzo dei Servizi del Responsabile, incluso proteggere le credenziali di autenticazione degli account, i sistemi e i dispositivi utilizzati dal Titolare per accedere ai Servizi del Responsabile.
7.4 Certificazione di sicurezza. Per valutare e contribuire a garantire la continua efficacia delle Misure di Sicurezza, MailUp potrebbe, a sua libera discrezione, integrare le Misure di Sicurezza e la Documentazione di Sicurezza con l’ottenimento di certificazioni (es. ISO27001), codici di condotta e/o meccanismi di certificazione.
7.5 Verifiche e audit
7.5.1 Revisione della Documentazione di Sicurezza. Per dimostrare il rispetto da parte di MailUp degli obblighi previsti dal presente Accordo per il Trattamento dei Dati, MailUp metterà a disposizione del Cliente le informazioni relative alle misure tecniche, organizzative e di sicurezza adottate, nonché l’eventuale Documentazione di Sicurezza disponibile, effettivamente necessarie per la compliance normativa del Cliente e che dovessero essere formalmente richieste per iscritto dal Cliente per l’adempimento degli obblighi di legge e per dimostrare l’adozione di misure tecniche e organizzative adeguate.
7.5.2 Diritto di audit da parte del Cliente. Le parti convengono che:
(a) MailUp contribuirà altresì alle attività ispettive e di audit che il Cliente vorrà effettuare, direttamente o per il tramite di un altro soggetto da questo incaricato.
(b) tali attività dovranno essere svolte salvaguardando la normale operatività di MailUp;
(c) l’uso delle informazioni di cui il Titolare e l’eventuale soggetto incaricato dal Titolare dovessero venire a conoscenza nel corso dell’audit dovrà essere preventivamente regolamentato da un apposito accordo di confidenzialità.
7.5.3 Condizioni aggiuntive per gli audit. Per lo svolgimento di audit:
(a) Il Titolare invierà a MailUp qualsiasi richiesta di verifica ai sensi della Sezione 7.5.2(a) come descritto nella Sezione
12.1 (Contatti di MailUp) con un preavviso di almeno 15 (quindici) giorni lavorativi, restando inteso che tale attività non
potrà essere effettuata dal Titolare con una frequenza superiore a 1 (una) volta all’anno e, in ogni caso, prima che siano decorsi 12 (dodici) mesi dall’ultima attività di audit svolta o commissionata dal Titolare;
(b) in seguito al ricevimento da parte del Titolare di una richiesta ai sensi della Sezione 7.5.3(a), MailUp e il Titolare si impegnano a discutere e concordare in anticipo la data di inizio, la portata e la durata, i controlli su sicurezza e riservatezza applicabili a qualsiasi audit ai sensi della Sezione 7.5.2(a);
(c) nessuna disposizione del presente Accordo per il Trattamento dei Dati può richiede a MailUp o a sue Consociate di rivelare o consentire l’accesso al Titolare o al revisore terzo a:
(i) dati di qualsiasi altro cliente di MailUp;
(ii) informazioni contabili o finanziarie interne a MailUp;
iii) segreti commerciali e know how di MailUp;
iv) qualsiasi informazione che potrebbe compromettere la sicurezza dei sistemi o dei locali di MailUp; o far sì che MailUp violi gli obblighi derivanti dalla Legislazione europea e nazionale o i suoi obblighi di sicurezza nei confronti del Titolare o di terzi; oppure
(v) qualsiasi informazione alla quale il Titolare o il terzo revisore cerchi di accedere per ragioni diverse dall'adempimento in buona fede degli obblighi del Titolare ai sensi della Legislazione europea e nazionale.
(d) lo svolgimento delle attività di verifica e controllo è condizionato alla conclusione di uno specifico accordo di riservatezza tra tutte le parti coinvolte.
7.5.4 Il Titolare riconosce e accetta che tutti i costi derivanti dallo svolgimento degli audit ai sensi della presente Sezione
7.5 (quali, a titolo esemplificativo, i costi dei propri dipendenti e degli eventuali consulenti incaricati) sono a proprio esclusivo carico.
8. VALUTAZIONI D'IMPATTO E CONSULTAZIONE PREVENTIVA
MailUp accetta (tenendo conto della natura del trattamento e delle informazioni a disposizione di MailUp) di fornire una ragionevole assistenza al Titolare al fine di garantire il rispetto di eventuali obblighi del Titolare in materia di valutazioni d'impatto sulla protezione dei dati e di consultazione preventiva, compresi gli obblighi del Titolare ai sensi degli articoli 35 e 36 GDPR.
9. DIRITTI DEGLI INTERESSATI
9.1 Risposte alle richieste degli Interessati. MailUp garantisce un’adeguata tutela dei diritti dell’interessato, supportando il Cliente al fine di adempiere al proprio obbligo di dare seguito alle richieste degli Interessati per l’esercizio dei propri diritti, anche qualora tali richieste siano ricevute da MailUp. In tal caso, MailUp comunicherà all'Interessato di indirizzare la propria richiesta direttamente al Titolare. In ogni caso il Titolare sarà l’unico responsabile di rispondere alla richiesta dell’Interessato.
9.2 Assistenza di MailUp per le richieste degli Interessati. MailUp accetta (tenendo conto della natura del trattamento dei Dati Personali del Cliente) di fornire una ragionevole assistenza al Titolare al fine di adempiere agli obblighi del Titolare rispetto alle richieste di esercizio dei diritti dell'Interessato di cui al Capitolo III GDPR attraverso: (a) ove possibile, la messa a disposizione di funzionalità specifiche nei Servizi del Responsabile; (b) il rispetto degli impegni di cui alla Sezione 9.1 (Risposte alle richieste degli Interessati).
10. Trasferimenti di dati
10.1 Strutture per la memorizzazione e l'elaborazione dei dati. Il Titolare accetta e autorizza MailUp affinché possa trattare (anche tramite Subresponsabili) i Dati Personali del Cliente all’interno e all’esterno dello SEE purché tali trattamenti siano sorretti da idonei Meccanismi di Trasferimento, da indicare nell’Appendice 3.
11. SUBRESPONSABILI
11.1 Autorizzazione all’impiego di Subresponsabili. Il Titolare conferisce autorizzazione generale all'impiego di Subresponsabili per l’erogazione dei Servizi del Responsabile.
11.2 Informazioni sui Subresponsabili. MailUp accetta di riportare l’elenco aggiornato e le rispettive informazioni sui Subresponsabili nell’Appendice 3 del presente Accordo per il Trattamento dei Dati.
11.3 Requisiti per il coinvolgimento dei Subresponsabili. Quando impiega un Subresponsabile, MailUp:
(a) garantirà tramite un contratto scritto o un altro atto giuridico vincolante che:
(i) il Subresponsabile acceda ed utilizzi i Dati Personali del Cliente solo nella misura necessaria per adempiere agli obblighi a lui affidati in subappalto, in conformità con il Contratto (incluso il presente Accordo per il Trattamento dei Dati) e con i Meccanismi di Trasferimento;
(ii) equivalenti obblighi di protezione dei dati di cui all'articolo 28(3) GDPR siano imposti al Subresponsabile;
(b) rimane pienamente responsabile di tutti gli obblighi subappaltati al Subresponsabile.
11.4 Possibilità di opporsi alle modifiche dei Subresponsabili. Le parti convengono che:
(a) per il periodo di Durata, MailUp notificherà al Cliente l’intenzione di impiegare nuovi Subresponsabili per il trattamento dei Dati Personali del Cliente. Tale comunicazione includerà il nome, l’attività svolta, il Paese di stabilimento dei Subresponsabili impiegati nonché il Meccanismo di Trasferimento ove applicabile;
(b) il Titolare, nel caso in cui ritenesse, motivandolo e documentandolo, che il Subresponsabile non sia idoneo al trattamento dei Dati Personali del Cliente, potrà opporsi all’impiego di tale Subresponsabile comunicandolo a MailUp entro 10 giorni dalla notifica dell'impiego dei nuovi Subresponsabili.
MailUp potrà, a sua discrezione, i) non impiegare il Subresponsabile per il trattamento dei Dati Personali del Cliente; oppure ii) recedere dal Contratto dandone comunicazione al Cliente entro 30 giorni dalla notifica dell'impiego dei nuovi Subresponsabili come descritto nella Sezione 11.4(a), restando inteso che il Cliente rimane tenuto al pagamento dell’intero corrispettivo dovuto ai sensi del Contratto;
(c) in caso di mancata opposizione come indicato nella Sezione 11.4(b), MailUp si impegna a trasmettere l’Appendice 3 aggiornata che diverrà parte integrante del presente Accordo per il Trattamento dei Dati.
12. CONTATTI
12.1 Contatti di MailUp. Il Titolare contatta MailUp in relazione a tutto quanto contenuto nel presente Accordo per il Trattamento dei Dati, in successione alternativa, all’indirizzo e-mail/pec: a) indicato da MailUp nel Contratto; b) utilizzato da MailUp durante l’erogazione dei Servizi del Responsabile per ricevere alcune notifiche del Titolare relative al presente Accordo per il Trattamento dei Dati.
12.2 Contatti del Cliente. Qualsiasi notifica o comunicazione al Cliente sarà effettiva se MailUp la invierà all'ultimo indirizzo email o fisico che il Cliente ha fornito a MailUp. Il Cliente è consapevole e accetta che, ai fini della notifica, MailUp può utilizzare qualsiasi indirizzo e-mail o fisico all'interno dell'account del Cliente, comprese le informazioni di contatto associate al contatto principale di un account, contatto di fatturazione, o qualsiasi altro profilo associato all’account.
13. CONFLITTI
13.1 Conflitti tra gli accordi delle parti. In caso di conflitto o incoerenza tra le previsioni del Contratto, dell’Accordo per il Trattamento dei Dati e le Istruzioni Aggiuntive, ove non diversamente stabilito nel presente Accordo per il Trattamento, si applica il seguente ordine di prevalenza: (a) le Istruzioni Aggiuntive; (b) le restanti previsioni dell’Accordo per il Trattamento dei Dati; e (c) le restanti previsioni del Contratto. Fatte salve eventuali modifiche dell’Accordo per il Trattamento dei Dati, il Contratto rimane pienamente valido ed efficace.
13.2 Violazioni di norme di legge o di regolamento. Ogni previsione del Contratto, dell’Accordo per il Trattamento dei Dati e/o delle Istruzioni Aggiuntive contraria alla Legislazione europea e nazionale deve intendersi come non riportata e integralmente sostituita dalla norma violata nel caso in cui non sia derogabile da un accordo tra le parti.
14. MODIFICHE
14.1 Modifiche alle Appendici. Periodicamente, MailUp può modificare il contenuto delle Appendici, se è espressamente consentito dall’Accordo per il Trattamento dei Dati.
14.2 Modifiche all’Accordo per il Trattamento dei Dati. MailUp può modificare il presente Accordo per il Trattamento dei Dati se la modifica:
(a) è espressamente consentita dall’Accordo per il Trattamento dei Dati;
(b) è obbligatoria per rispettare la legge applicabile, una sentenza o altro provvedimento di un tribunale o gli orientamenti emanati da un’Autorità di Controllo o un'autorità governativa.
15 Foro competente. In caso di controversie relative all’esecuzione o interpretazione del presente Accordo per il Trattamento di Dati, le parti assegnano la competenza esclusiva al foro previsto dal Contratto, con espressa deroga a quanto eventualmente diversamente stabilito da leggi o convenzioni internazionali.
Appendice 1: Oggetto e dettagli del trattamento dei dati
Oggetto
La messa a disposizione dei servizi di MailUp a scelta del Cliente:
- Piattaforma Contactlab
- Servizi Agency
- Servizi Server Farm
Durata del trattamento
Per il periodo di Durata più il periodo successivo fino alla cancellazione di tutti i Dati Personali del Cliente da parte di MailUp in conformità all’Accordo per il Trattamento dei Dati.
Natura e finalità del trattamento dei Servizi del Responsabile
MailUp tratterà Dati Personali del Cliente al fine di fornire i Servizi del Responsabile in conformità con le istruzioni contenute nell’Accordo per il Trattamento dei Dati. A seconda dei Servizi del Responsabile scelti nel Contratto, i Dati Personali del Cliente potrebbero includere i seguenti dati personali:
Tipi di Interessati coinvolti | Per la Piattaforma Contactlab: Destinatari delle comunicazioni inviate dal Cliente tramite i Servizi del Responsabile Per i Servizi Agency: i dati comunicati dal Titolare per l’esecuzione del contratto Per i Servizi di Server Farm: i dati caricati dal Titolare attinenti all’esecuzione degli altri servizi del Responsabile (Piattaforma Contactlab e Agency) |
Dati personali trattati | ☒Dati raccolti da tecnologie traccianti e dispositivi ove non disabilitate dal Cliente ☒Dati identificativi comuni (es. nome, cognome, xxxxxxxxx, e-mail, numero di telefono) ☒Dati non determinabili a priori |
Le parti potrebbero aggiornare di volta in volta la lista dei tipi di dati personali trattati nell’erogazione dei Servizi del Responsabile.
Appendice 2: Misure di sicurezza
Di seguito viene riportato l’elenco delle misure di sicurezza tecniche e organizzative adottate da MailUp.
Privacy e sicurezza delle informazioni
MailUp si è dotata, al livello del Gruppo, di un modello organizzativo cybersecurity che include una politica generale per la sicurezza delle informazioni.
All'interno delle policy di sicurezza adottate da MailUp a livello di Gruppo, è prevista l'applicazione di provvedimenti disciplinari in caso di problematiche ricorrenti nel rispetto di quanto previsto.
MailUp designa le persone autorizzate al trattamento dei dati con specifica nomina, che prevede altresì profili di
autorizzazione distinti per area organizzativi.
MailUp, da maggio 2018, ha nominato un DPO esterno all'organizzazione aziendale, designato sulla base delle sue competenze e conoscenze specialistiche in ambito privacy.
MailUp mantiene un registro dei trattamenti in qualità di responsabile del trattamento. La Società ha definito e implementato processi organizzativi necessari alla redazione, aggiornamento e conservazione del registro delle attività di trattamento, nonché i ruoli e le responsabilità correlate.
MailUp ha approvato una procedura specifica in relazione al riscontro delle richieste di esercizio dei diritti degli
interessati.
Amministratori di sistema
MailUp si è dotata, a livello di Gruppo, di una politica e della relativa procedura per la gestione degli amministratori di sistema che ne contempera tutti i requisiti di cui al Provvedimento dell'Autorità Garante per la protezione dei dati personali.
La raccolta dei log degli amministratori di sistema è svolta da un fornitore esterno che ne ha in carico la conservazione, all’interno di un database criptato, per un periodo che va da 6 mesi a 1 anno.
Formazione
MailUp ha implementato un piano di formazione periodica in ambito privacy e sicurezza delle informazioni, all’interno del quale è previsto che venga erogata formazione specifica sulla normativa privacy e sugli specifici trattamenti dei dati personali per rendere edotto il personale incaricato al trattamento dei rischi individuati e dei modi per prevenirne i danni.
MailUp eroga alle nuove risorse formazione specifica relativamente alle misure di sicurezza implementate nei processi
aziendali in fase di onboarding.
Gestione dei profili autorizzativi
MailUp definisce i profili autorizzativi sulla base ai principi di least privilege e need to know e, all’interno della policy sugli strumenti IT, ha definito un processo di revisione periodica delle abilitazioni di accesso ai sistemi e agli applicativi. Le credenziali di una persona autorizzata per un'operazione di trattamento dati vengono disattivate, oppure i profili di autorizzazione ad essa assegnati vengono modificati, in linea con le eventuali modifiche del compito della persona autorizzata.
Gestione delle terze parti
MailUp si è dotata, a livello di Gruppo, di una politica che descrive le procedure da implementare al fine di garantire la massima tutela dei dati e delle informazioni trattate nelle fasi di ingaggio e gestione dei rapporti con le terze parti nel rispetto degli standard internazionali di riferimento e delle normative cogenti.
MailUp definisce i requisiti di sicurezza e riservatezza dei dati per le terze parti direttamente in fase contrattuale e precontrattuale.
Gestione degli incidenti
MailUp si è dotata, a livello di Gruppo, di una procedura relativa alla gestione degli eventi di sicurezza e dei data breach. L’organizzazione ha inoltre redatto una policy per la definizione del flusso di comunicazione degli incidenti di sicurezza, che innesca, ove necessario, una segnalazione interna nei confronti del DPO.
In MailUp eventuali incidenti di sicurezza vengono comunicati attraverso i canali prestabiliti in Azure o a mezzo e-mail.
Gestione degli asset
MailUp ha definito e documentato le modalità di utilizzo degli asset da parte dei dipendenti e dei collaboratori tramite
modello organizzativo cybersecurity di Gruppo e tramite la propria politica di gestione degli strumenti IT.
MailUp fornisce dispositivi mobili aziendali (smartphone e laptop) ai propri dipendenti da utilizzare esclusivamente per fini lavorativi. La summenzionata politica di gestione degli strumenti IT, difatti, ne vieta espressamente l’uso per fini personali. La gestione dei dispositivi mobili è affidata al team IT dell’organizzazione.
Agli smartphone si applicano le relative policy di Microsoft Office 365, che prevedono l’utilizzo di PIN e la possibilità di cancellare i contenuti da remoto.
MailUp utilizza tool di Infrastructure as a Code quali Packer, Terraform e Ansible) per la gestione delle proprie VM.
Sicurezza fisica e ambientale
L’ufficio di MailUp è dotato di un sistema di antifurto che si innesca/disinnesca in determinati orari, collegato ad una centrale operativa con servizio 24/7; le porte sono dotate di blocco magnetico che viene innescato o disinnescato poco prima o subito dopo il sistema di antifurto.
All’interno della sede sono presenti rilevatori di fumo con pavimento flottante, sirene e segnali sonori e luminosi,
estintori.
MailUp ha implementato un sistema di badge per l'ingresso in ufficio dei dipendenti. L’ufficio di MailUp è dotato di una reception, non è condivisa con altri piani o uffici, presso la quale i visitatori esterni vengono registrati attraverso un’apposita applicazione su tablet.
I visitatori sono sempre accompagnati all’interno della sede.
L’ingresso e l'uscita dei fornitori avviene tramite un registro cartaceo gestito dalla reception.
All’interno dell'ufficio di MailUp è presente un datacenter, collocato in una sala dedicata, chiusa con lucchetto, a cui può accedere esclusivamente il Security Officer.
Sicurezza delle forniture
MailUp si è dotata di una fornitura esterna di backup, nello specifico è presente un UPS sui server con sistema di graceful shutdown attivo. Vengono conservati gli UPS precedentemente in uso come ulteriore backup in caso di problematiche all'UPS principale.
Controllo degli accessi
Gli utenti di MailUp accedono ai sistemi con un proprio account individuale attraverso 2FA tramite Microsoft Authenticator.
ContacLab utilizza le Group Policy di Active Directory per garantire che le password soddisfino i criteri di robustezza definiti dall’organizzazione. Nello specifico, si richiede l’utilizzo di password alfanumeriche di almeno 8 caratteri, contenenti lettere maiuscole e minuscole e caratteri speciali.
Le password degli utenti vengono modificate ogni 3 mesi.
MailUp ha implementato un meccanismo di rate limiting impostando un numero massimo di 3 tentativi falliti di login prima del blocco password dell’account su tutti i sistemi e gli applicativi.
Tutte le applicazioni presenti nei sistemi di MailUp utilizzano l’accesso via SSO tramite Active Directory. Le macchine su Azure sono autenticate via LDAP e a quelle on-premises si accede tramite VPN Microsoft. L’accesso alle macchine Linux da parte dei sysadmin avviene con chiavi SSH con passphrase.
MailUp ha implementato l'Adaptive Authentication sulla piattaforma dedicata ai clienti e al personale, con sistema di geolocalizzazione che richiede l’inserimento di un codice PIN.
Sicurezza delle reti e dei sistemi informativi
Su tutti i sistemi client di MailUp è un installato un sistema di antivirus. Nello specifico, sulle macchine Windows e MacOS
è presente l’antivirus ESET NOD32, mentre sulle macchine Linux è presente ClamAV.
La rete di MailUp è segmentata in VLAN. È presente un server RADIUS con credenziali univoche Active Directory nonché
WI-FI guest separato con captive portal.
La rete di MailUp è protetta da un firewall Palo Alto ed è stato implementato un load balancer F5 all’interno di IT-net. MailUp offre una piattaforma SaaS (Area Clienti) con OAuth2 implementato in house. Inoltre, l'azienda Cliente può modificare i criteri di complessità, scadenza, accesso condizionale e 2FA (via SMS o token) per gli account che fornisce ai propri utenti.
In ottica di protezione della rete, MailUp si affida ad un fornitore esterno come SOC.
Gestione degli aggiornamenti
MailUp ha stabilito, all’interno di una policy interna, che tutte le macchine vengano aggiornate su base continua. L’organizzazione ha implementato una gestione centralizzata degli aggiornamenti Windows.
Monitoraggio
MailUp si avvale di diversi tool per il monitoraggio dei propri sistemi e delle proprie applicazioni. In particolare: È stata implementata una gestione centralizzata dei log delle API basata su Graylog;
- Si utilizza Grafana per per il monitoraggio delle metriche delle macchine e delle applicazioni;
- Viene utilizzato il SaaS BugSnug per la raccolta di errori/eccezioni di alcune applicazioni.
Tutti gli accessi alle VM e alla piattaforma di MailUp sono registrati in forma di log. Tali file sono accessibili
esclusivamente ad utenti autorizzati.
MailUp si è dotata di un SOC basato su Azure Sentinel al fine di identificare accessi non autorizzati ai propri sistemi.
L’organizzazione effettua controlli periodici sugli accessi alla propria piattaforma.
Backup
MailUp effettua snapshot giornalieri di tutte le Virtual Machines. In Azure tutte le macchine che contengono dati fanno 1 backup al giorno, fino al raggiungimento dei 30 giorni. Sui servizi interni, invece, il fornitore principale è Microsoft e le macchine Windows sono dotate di processi di backup automatizzati.
MailUp si è dotata di backup offsite e di sistema di disaster recovery tramite Azure e conservazione di repliche, cifrate, in nazioni nello spazio economico europeo.
Valutazione della sicurezza
In MailUp vengono effettuate attività di Vulnerability Assessment e Penetration Testing con cadenza annuale. A seguito di tali attività l’organizzazione effettua una revisione delle criticità emerse e determina le azioni da porre in essere per la mitigazione e/o la risoluzione delle stesse, pianificando l'esecuzione in base al livello di priorità.
L’organizzazione redige un report in merito alle attività di monitoraggio e risoluzione delle vulnerabilità.
Sicurezza dei dati a riposo e in transito
MailUp ha implementato la cifratura dei dati at-rest su tutti i dispositivi client. In particolare è applicata FDE sui laptop tramite Bitlocker, FileVault e LUKS.
I database di MailUp sono dotati di cifratura tramite crittografia AES a 256 bit. MailUp, attraverso la policy sugli strumenti IT, vieta l’utilizzo di chiavette USB.
In MailUp tutte le comunicazioni sono cifrate tramite protocolli non deprecati.
Sicurezza del software
Gli ambienti di sviluppo e produzione di MailUp sono completamente separati e il passaggio da un ambiente all’altro avviene tramite i tool Xxxxxxx e Capistrano a cui hanno accesso soltanto i product owner e i tech leader.
In MailUp vengono effettuate attività di code review e pair programming, nonché attività di unit testing. In caso di
modifiche particolarmente impattanti è prevista l’esecuzione di stress test.
Appendice 3 Subresponsabili
Ragione sociale | Servizi del Responsabile di riferimento o descrizione attività subappaltata | Luogo di stabilimento | Meccanismo di trasferimento (ove applicabile) |
ITNET srl. | Cloud privato | Italia | NA |
Microsoft Azure | Cloud pubblico | Paesi Bassi | NA |
Agile Telecom SPA | Fornitura del servizio di instradamento del traffico SMS agli operatori telefonici | Italia | NA |
Sinch UK LTD | Fornitura del servizio di instradamento del traffico SMS agli operatori telefonici | United Kingdom | Decisione di adeguatezza |