Condizioni Generali di Contratto Voispeed
Condizioni Generali di Contratto Voispeed
Versione 1.1 giugno 2019
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE
Sistemi Pordenone udine vicenza srl
Definizioni
Nelle presenti condizioni generali di contratto (“Condizioni Generali”), i termini e le espressioni di seguito elencati, quando riportati con la lettera maiuscola, devono intendersi con il significato ad essi attribuito nel presente paragrafo. I termini indicati al singolare si intendono anche al plurale e viceversa.
“Assistenza” significa le attività di riparazione e sostituzione dell’Hardware disciplinate all’articolo 9 delle presenti Condizioni Generali e da quanto indicato nel modulo d’ordine;
“Bolla di Consegna” significa il documento nel quale, all’atto della consegna, viene specificamente elencato e descritto l’Hardware concesso in Comodato al Cliente;
“Cliente” significa la persona fisica o giuridica o la pubblica amministrazione indicata nel Modulo d’Ordine;
“Collaudo” significa l’attività che AZIENDA effettuerà presso la sede indicata dal Cliente nel Modulo d’Ordine volta a verificare l’effettivo funzionamento del Sistema Telefonico;
“Comodato” ha il significato di cui al paragrafo 1.1(iii);
“Connettività” significa gli strumenti informatici e tecnologici - diversi dall’Hardware - utilizzati dal Cliente per accedere al Servizio VOIspeed;
“Contratto” significa, congiuntamente, le presenti Condizioni Generali, i relativi allegati, il Modulo d’Ordine e la Bolla di Consegna;
“Corrispettivi” significa le somme, indicate nel Modulo d’Ordine, che il Cliente corrisponderà a AZIENDA in ragione della concessione del diritto di utilizzare il Servizio VOIspeed e della Licenza;
“Credenziali di Accesso” significa il codice di identificazione (cd. username) e le chiavi di accesso (cd. password) necessari a ciascun Utente per l’utilizzo del Servizio VOIspeed fornite da AZIENDA al Cliente a seguito della sottoscrizione del Contratto;
"GDPR": significa il Regolamento (UE) n. 2016/679 del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;
“Hardware” significa le componenti hardware del Sistema Telefonico di titolarità di AZIENDA, come individuate nella Bolla di Consegna;
“Licenza” ha il significato di cui al paragrafo 1.1(ii);
"Legislazione in materia di Protezione dei Dati Personali": indica il GDPR, e ogni eventuale ulteriore norma e/o regolamento di attuazione emanati ai sensi del GDPR o comunque vigenti in Italia, nonché ogni provvedimento vincolante che risulti emanato dalle autorità di controllo competenti in materia (es. Garante per la protezione dei dati personali) e conservi efficacia vincolante (ivi inclusi i requisiti delle Autorizzazioni generali al trattamento dei dati sensibili e giudiziari, se applicabili e ove mantengano la propria efficacia vincolante successivamente al 25 maggio 2018);
"MDPA": indica l'Accordo Principale per il Trattamento dei Dati Personali e il documento DPA – Condizioni Speciali applicabile, allegati alle presenti Condizioni Generali;
“Modulo d’Ordine” indica il documento “MODULO D’ORDINE SERVIZIO TELEFONIA VOISPEED” e suo eventuale collegato “MODULO D’ORDINE SUPPORTO LINEE NON VoIP” con il quale il Cliente richiede a AZIENDA l’attivazione del Servizio Telefonico;
“Parti” significa, congiuntamente, AZIENDA e il Cliente;
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE
“Proprietà Intellettuale” significa ogni diritto di proprietà intellettuale e/o industriale, registrato o non registrato, in tutto o in parte, ovunque nel mondo, quali - a titolo esemplificativo e non esaustivo - marchi, brevetti, modelli di utilità, disegni e modelli, nomi a dominio, know-how, opere coperte dal diritto d’autore, database e software (ivi inclusi, ma non limitatamente a, le sue derivazioni, il codice sorgente, il codice oggetto e le interfacce);
“Servizio VOIspeed” significa il servizio di telefonia cloud di titolarità di AZIENDA utilizzabile dal Cliente mediante accesso in remoto;
“Sistema Telefonico” significa, congiuntamente, il Servizio VOIspeed, l’Hardware e il Software;
“Software” significa le componenti software (interfaccia web e app per dispositivi mobili) che, previa attivazione del Servizio VOIspeed da parte di AZIENDA, consentono al Cliente di accedere alle funzionalità opzionali avanzate del Servizio VOIspeed, ivi inclusi gli eventuali successivi aggiornamenti, versioni e release;
“Azienda” significa la società Sistemi Pordenone Udine Vicenza Srl;
“Utente” significa ciascuna persona fisica espressamente autorizzata/e dal Cliente ad utilizzare il Sistema Telefonico.
Articolo 1 – Oggetto del Contratto
1.1 Con il Contratto, AZIENDA:
(i) concede al Cliente, che accetta, il diritto di utilizzare il Servizio VOIspeed, per il numero massimo di Utenti indicato nel Modulo d’Ordine e ai termini e alle condizioni di cui al Contratto;
(ii) concede al Cliente, che accetta, una licenza d’uso del Software non esclusiva, non cedibile, onerosa, temporanea e limitata al numero massimo di Utenti indicato nel Modulo d’Ordine (“Licenza”), ai termini e alle condizioni di cui al Contratto;
(iii) concede al Cliente, che accetta, l’Hardware in comodato d’uso gratuito (“Comodato”) ai termini e alle condizioni di cui al Contratto.
Articolo 2 – Obblighi di Azienda
2.1 Con il Contratto, Azienda si impegna a:
(i) adeguare il Servizio VOIspeed e il Software ad eventuali intervenute esigenze di carattere tecnico e/o normativo, apportando le necessarie modifiche e gli eventuali correttivi;
(ii) nell’eventualità in cui ciò sia necessario, effettuare interventi di manutenzione ordinaria e/o straordinaria del Servizio VOIspeed e del Software, in conformità alle modalità e alle tempistiche identificate e descritte sub nel Modulo D’ordine, al fine di assicurare il corretto accesso e uso dei medesimi. Fermo restando quanto previsto all’articolo 10 che segue, tali interventi saranno effettuati, salvo particolari casi di urgenza e/o forza maggiore, in tempi e con modalità tali da arrecare il minor disagio possibile all’operatività del Cliente;
(iii) compiere ogni ragionevole sforzo per mantenere la disponibilità del Servizio VOIspeed nel minimo garantito annuale del 99.95%;
(iv) mettere a disposizione del Cliente l’Hardware e procedere al Collaudo del Sistema Telefonico entro 30gg. dalla data di sottoscrizione delle presenti Condizioni Generali salvo impedimenti direttamente o
indirettamente imputabili al Cliente secondo quanto indicato all’art. 3. ed eventuali tempi di delivery da parte dei servizi di voce e connettività che vengono rivenduti dalla AZIENDA.
Articolo 3 – Obblighi del Cliente
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE
3.1 Con il Contratto, il Cliente si impegna a:
(i) pagare a AZIENDA i Corrispettivi dovuti ai sensi dell’articolo 5;
(ii) dotarsi autonomamente di materiale hardware e software, nonché, tramite un operatore di telecomunicazioni di sua esclusiva e libera scelta, di una Connettività adeguata al fine di poter utilizzare il Sistema Telefonico;
(iii) adeguare le caratteristiche dei propri sistemi informatici e della Connettività alle modifiche e ai correttivi eventualmente apportati da AZIENDA al Sistema Telefonico successivamente alla conclusione del Contratto;
(iv) fornire a AZIENDA tutte le informazioni necessarie per la piena fruibilità del Sistema Telefonico, nonché a comunicare immediatamente le eventuali successive variazioni;
(v) conservare e custodire con diligenza l’Hardware e tutto il materiale ad esso pertinente per tutta la durata del Contratto;
(vi) non alterare, modificare, trasformare, manomettere e/o eseguire interventi di qualunque natura, direttamente o indirettamente, sull’Hardware e a non rimuovere i segni identificativi eventualmente apposti su di esso da AZIENDA;
(vii) richiedere esclusivamente a AZIENDA eventuali variazioni di consistenza e/o di configurazione dell’Hardware.
Articolo 4 – Durata
4.1 Il Contratto ha una durata di 36 (trentasei) mesi che decorrono dalla data di accettazione, da parte del Cliente, del verbale del Collaudo e si intenderà automaticamente rinnovato alla scadenza per ulteriori periodi di 36 (trentasei) mesi ciascuno salvo disdetta da inviarsi, a mezzo raccomandata A/R, almeno 6 (sei) mesi prima della relativa scadenza.
Articolo 5 – Corrispettivi
5.1 A fronte della concessione, da parte di AZIENDA, del diritto di utilizzare il Servizio VOIspeed e della Licenza, il Cliente si impegna a corrispondere puntualmente a AZIENDA i Corrispettivi indicati nel Modulo d’Ordine sottoscritto dal Cliente e accettato da AZIENDA, secondo le modalità ivi previste.
5.2 Tutti i Corrispettivi devono intendersi al netto di I.V.A. e degli eventuali altri oneri di legge.
5.3 Il Cliente prende atto che il Servizio VOIspeed e il Software sono soggetti, per loro natura, ad una costante evoluzione tecnologica e normativa che richiede continue e onerose attività di aggiornamento e sviluppo necessarie al fine di garantire la funzionalità del Sistema Telefonico. In ragione di quanto precede, AZIENDA avrà il diritto di modificare i Corrispettivi anche in misura superiore all’indice ISTAT con le modalità previste dall’articolo 15 che segue.
5.4 Fermo restando quanto previsto al paragrafo 5.3, qualora, durante l’esecuzione del Contratto, dovessero verificarsi circostanze imprevedibili tali da rendere maggiormente onerosa l’esecuzione delle prestazioni da parte di AZIENDA, quest’ultima avrà diritto di percepire un equo compenso una tantum ovvero di modificare unilateralmente i Corrispettivi.
5.5 In caso di mancato o ritardato pagamento di una qualsiasi somma dovuta ai sensi del Contratto, il Cliente decadrà automaticamente dal beneficio del termine e AZIENDA avrà facoltà di applicare sulle somme ad essa dovute interessi di mora nella misura prevista dal d.lgs. 231/2002.
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE
5.6 Il Cliente rinuncia a proporre eccezioni senza avere preventivamente adempiuto alle proprie obbligazioni di pagamento ai sensi del presente articolo 5.
Articolo 6 – Riservatezza
6.1 E’ tassativamente vietata alle Parti ogni forma di comunicazione e/o divulgazione o comunque di utilizzazione, anche per interposta persona e/o ente, di qualsiasi notizia, informazione e documentazione comunque appresa e ottenuta in occasione dell’esecuzione del Contratto, da intendersi sin d’ora incondizionatamente riservata, anche ove non si tratti di veri e propri segreti industriali, tanto se attinente alle Parti, quanto se riguardante imprese loro clienti e/o fornitrici, salvo:
(i) quanto strettamente richiesto dall’esecuzione del Contratto;
(ii) espressa autorizzazione per iscritto dell’altra Parte;
(iii) le Parti siano a ciò obbligate per legge e/o per provvedimento dell’autorità amministrativa e/o giudiziaria.
6.2 Il divieto di cui al precedente paragrafo resterà incondizionatamente fermo anche dopo la cessazione, per qualsiasi causa intervenuta, del Contratto per il successivo periodo di 5 (cinque) anni, ritenuto congruo da entrambe le Parti, fatta salva la caduta in pubblico dominio dell’informazione che non sia imputabile alle Parti.
Articolo 7 – Credenziali d’accesso
7.1 Il Cliente e ciascun Utente potranno accedere al Servizio VOIspeed e utilizzare il Sistema Telefonico mediante le Credenziali di Accesso, che verranno comunicate al Cliente a mezzo posta elettronica all’indirizzo indicato nel Modulo d’Ordine.
7.2 Il Cliente è consapevole del fatto che la conoscenza delle Credenziali di Accesso da parte di soggetti terzi consentirebbe a questi ultimi l’accesso al Servizio VOIspeed e ai dati ivi memorizzati.
7.3 Il Cliente è pertanto tenuto a custodire e a far sì che ciascun Utente custodisca le Credenziali di Accesso con la massima riservatezza e con la massima diligenza, obbligandosi a non cederle né a consentirne l’uso a terzi non espressamente autorizzati.
7.4 AZIENDA non potrà in alcun caso essere ritenuta responsabile di qualsiasi danno, diretto e/o indiretto, che dovesse derivare al Cliente o a terzi in conseguenza della mancata osservanza da parte del Cliente e/o di ciascun Utente delle previsioni di cui al presente articolo.
Articolo 8 – Proprietà Intellettuale
8.1 Il Cliente è tenuto ad utilizzare il Sistema Telefonico nel rispetto dei diritti di Proprietà Intellettuale di AZIENDA e/o di terzi. Il Cliente riconosce e accetta che tutti i diritti di Proprietà Intellettuale relativi al Servizio VOIspeed, al Software e all’Hardware sono di esclusiva titolarità di AZIENDA e/o dei suoi danti causa. Il Cliente si impegna a non contestare, direttamente o indirettamente, in via giudiziale e/o stragiudiziale, la validità e la titolarità dei predetti diritti di Proprietà Intellettuale.
8.2 Il Cliente potrà utilizzare il Sistema Telefonico esclusivamente nei modi espressamente consentiti dal Contratto e dovrà attenersi a qualsiasi limitazione tecnica che gli consenta di utilizzarlo solo in determinati modi. A titolo esemplificativo e non esaustivo, il Cliente non potrà:
(i) aggirare le limitazioni tecniche e le misure tecnologiche presenti nel Sistema Telefonico;
(ii) decodificare, decompilare o disassemblare il Software, salvo che tali attività siano espressamente consentite da previsioni di legge e comunque nei limiti di tali previsioni;
(iii) eseguire copie del Software;
(iv) pubblicare il Software, anche per consentirne la duplicazione da parte di terzi;
(v) utilizzare il Sistema Telefonico in contrasto con norme di legge;
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE
(vi) migrare il Software e/o eseguire o far eseguire copie del Software;
(vii) utilizzare il Software e/o l’Hardware al di fuori del Sistema Telefonico;
(viii) cedere o far utilizzare a terzi non autorizzati, in tutto o in parte, il Sistema Telefonico.
Articolo 9 – Assistenza
9.1 AZIENDA si impegna a fornire al Cliente, in caso di guasti all’Hardware, le necessarie componenti di ricambio o, in caso di guasti che necessitino la sostituzione integrale, a procedere alla sostituzione dell’Hardware medesimo. Il Cliente prende atto e accetta che AZIENDA valuterà, a proprio insindacabile giudizio, se la causa del guasto all’Hardware sia imputabile o meno al Cliente. Nel caso in cui il guasto sia imputabile al Cliente, le spese di riparazione e/o di sostituzione dell’Hardware e tutte le relative spese accessorie saranno ad esclusivo carico del Cliente.
9.2 Ogni obbligo di Assistenza da parte di AZIENDA verrà a cessare automaticamente, senza necessità di preavviso alcuno, nel caso in cui il Cliente effetti o faccia effettuare da personale non autorizzato da AZIENDA modifiche, interventi e/o riparazioni sull’Hardware. In tale ipotesi, resta inteso fra le Parti che AZIENDA riprenderà a fornire l’Assistenza solo a seguito degli interventi tecnici, eseguiti da incaricati di AZIENDA, che dovessero rendersi necessari al fine di ripristinare l’Hardware.
9.3 Il Cliente prende atto e accetta che l’Assistenza non comprende i materiali di consumo eventualmente necessari (quali, a titolo esemplificativo e non esaustivo, batterie, supporti magnetici, etc.) e i seguenti interventi, i cui costi rimangono ad esclusivo carico del Cliente:
(i) eliminazione di guasti all’Hardware dovuti ad un uso improprio o non conforme alle relative prescrizioni tecniche, e
(ii) eliminazione di guasti causati da eventi di forza maggiore (quali, a titolo esemplificativo ma non esaustivo, allagamenti, fulmini, sbalzi di tensione, scariche elettriche, atti di sabotaggio o vandalismo, etc.), incuria, dolo, colpa grave del Cliente e/o di ciascun Utente e/o di terzi.
Articolo 10 – Sospensione e Interruzione
10.1 Il Cliente prende atto ed accetta che AZIENDA potrà sospendere e/o interrompere l’accesso al Servizio VOIspeed e al Software per garantire gli interventi di manutenzione ordinaria o straordinaria che si rendano opportuni e/o necessari.
10.2 Il Cliente riconosce e accetta che AZIENDA avrà altresì la facoltà di sospendere e/o interrompere l’accesso al Servizio VOIspeed e al Software:
(i) in ogni caso di uso improprio del Sistema Telefonico;
(ii) in caso di guasti e/o malfunzionamenti alla rete e agli apparati dipendenti da caso fortuito o forza maggiore o che comportino pericolo per la rete, per le persone e/o per le cose, nonché nel caso di modifiche e/o manutenzioni non programmabili e/o prevedibili e tecnicamente indispensabili;
(iii) qualora ricorrano motivate ragioni di sicurezza e/o garanzia di riservatezza;
(iv) in caso di manomissione o interventi sull’Hardware eseguiti dal Cliente o da parte di soggetti terzi non autorizzati;
(v) qualora il Cliente utilizzi apparecchiature (diverse dall’Hardware) difettose o che presentino delle disfunzioni che possano danneggiare l’integrità della rete e/o disturbare il Sistema Telefonico e/o creare danni a persone o cose; in tal caso, AZIENDA potrà provvedere direttamente e richiedere al Cliente di modificare e/o sostituire dette apparecchiature per ragioni tecniche e/o operative. In caso di inerzia del Cliente, AZIENDA provvederà ad addebitare al Cliente il costo della sostituzione o riparazione effettuata;
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE
(vi) in caso di mancato pagamento, totale o parziale, dei Corrispettivi.
Articolo 11 – Nomina del responsabile del trattamento
11.1 Con riferimento al trattamento da parte di AZIENDA dei dati personali di soggetti terzi (es. utenti del Servizio VOIspeed) di cui il Cliente è titolare del trattamento e da quest'ultimo immessi o comunque trattati nell'esecuzione del Servizio VOIspeed (“Dati Personali di Terzi”), ai sensi del GDPR, le Parti si danno atto e accettano di conformarsi a quanto previsto nell’”Accordo Principale per il Trattamento di Dati Personali” (“MDPA”) allegato al presente Contratto (All. A).
11.2 I dati personali del Cliente, o del personale del Cliente e raccolti ed elaborati dalla Licenziante per finalità e con modalità proprie e del cui trattamento, pertanto, la Licenziante è Titolare ai sensi del GDPR (“Dati Personali del Cliente”), saranno trattati dalla Licenziante in conformità a quanto riportato nell’informativa rilasciata in calce alla presenti Condizioni Generali dalla Licenziante ai sensi dell’articolo 13 e 14 del GDPR.
Articolo 12 – Dichiarazioni e Responsabilità del Cliente
12.1 Il Cliente dichiara di (i) avere tutti i diritti e poteri necessari per concludere e dare esecuzione piena ed efficace al Contratto e di (ii) voler utilizzare il Sistema Telefonico nell’ambito della propria attività imprenditoriale, artigianale, commerciale o professionale e che, pertanto, non si applicano nei suoi confronti le disposizioni del D. Lgs. 206/2005 a protezione dei consumatori.
12.2 Il Cliente sarà ritenuto unico ed esclusivo responsabile per l’utilizzo del Sistema Telefonico. Il Cliente riconosce di essere l’unico responsabile per i contenuti immessi, presenti, transitati e/o conservati sul Sistema Telefonico e si obbliga ad utilizzare lo stesso esclusivamente per scopi leciti e ammessi dalle disposizioni di legge di volta in volta applicabili, dalle regole di diligenza, della morale e dell’ordine pubblico ed in ogni caso, senza ledere qualsivoglia diritto di terzi.
12.3 Il Cliente prende atto ed accetta che il Sistema Telefonico è caratterizzato da tecnologia in continua evoluzione e, pertanto, esso potrà essere modificato, in tutto o in ogni sua parte, quando ciò sia reso necessario dall’evoluzione tecnologica e da esigenze di fornitura e/o organizzazione.
12.4 Il Cliente fornisce sin d’ora la sua autorizzazione affinché il Sistema Telefonico possa venire erogato, in tutto o in parte, da altro soggetto individuato da AZIENDA.
12.5 Il Cliente si impegna a mantenere l’Hardware libero da qualsiasi onere, pegno o gravame e a mantenere il diritto di AZIENDA su di esso immune da atti pregiudizievoli. Il Cliente si impegna ad informare prontamente AZIENDA dell’esistenza di eventuali azioni giudiziarie iniziate da terzi aventi ad oggetto e/o comunque relative all’Hardware.
12.6 È fatto divieto di utilizzare il Sistema Telefonico al fine di depositare, conservare, inviare, pubblicare, trasmettere e/o condividere dati, applicazioni o documenti informatici che:
(i) siano in contrasto o violino la Proprietà Intellettuale di titolarità di AZIENDA e/o di terzi;
(ii) abbiano contenuti diffamatori, calunniosi o minacciosi;
(iii) contengano materiale pornografico, osceno o comunque contrario alla pubblica morale;
(iv) contengano virus, worm, trojan horse o, comunque, altre caratteristiche di contaminazione o distruttive;
(v) costituiscano attività di spamming, phishing e/o simili;
(vi) siano in ogni caso in contrasto con le disposizioni normative e/o regolamentari applicabili.
12.7 AZIENDA si riserva il diritto di sospendere l’accesso al Cliente al Sistema Telefonico, qualora venga a conoscenza di una violazione di quanto previsto nel presente articolo e/o venga avanzata espressa richiesta in tal senso da un organo giurisdizionale o amministrativo in base alle norme vigenti.
12.8 Il Cliente si impegna a far sì che le disposizioni del Contratto siano rispettate da ciascun Utente e, in generale, dai propri dipendenti, collaboratori, consulenti ed altri possibili aventi causa del Cliente stesso.
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE
12.9 Il Cliente assume gli obblighi di cui al presente articolo anche ai sensi dell’art. 1381 c.c. in relazione a ciascun Utente e/o soggetto terzo autorizzato dal Cliente medesimo ad utilizzare il Sistema Telefonico.
Articolo 13 – Responsabilità di AZIENDA
13.1 Il Cliente prende atto e accetta che AZIENDA non rilascia dichiarazioni e garanzie espresse o implicite sul fatto che il Sistema Telefonico sia adatto a soddisfare le esigenze del Cliente. Il Cliente prende atto che AZIENDA, in nessun caso, potrà essere ritenuta responsabile per qualsiasi danno dovesse derivare al Cliente o a terzi in conseguenza di malfunzionamenti o di uso improprio e non previsto del Sistema Telefonico da parte del Cliente, di ciascun Utente e/o di terzi.
13.2 Il Cliente prende altresì atto che AZIENDA in nessun caso (fatti salvi i casi di dolo o colpa grave di AZIENDA medesima) potrà essere ritenuta responsabile per qualsiasi danno, diretto o indiretto, che dovesse derivare al Cliente stesso o a terzi, ivi incluso ciascun Utente, in conseguenza dell’uso o del non uso del Sistema Telefonico.
13.3 Il Cliente accetta e prende atto che, nel caso in cui la disponibilità del Sistema Telefonico dovesse risultare inferiore a quanto previsto al paragrafo 2.1(iii), egli avrà diritto alla restituzione della quota dei Corrispettivi relativa alla percentuale di mancata fruizione del Servizio Telefonico, qualora già versata, rimanendo escluso ogni eventuale risarcimento del danno.
13.4 AZIENDA non è tenuta alla verifica dei dati e dei trasmessi, contenuti e/o conservati nel Sistema Telefonico, salvo che ciò si renda necessario per adempiere a disposizioni di legge, a richiesta dell’autorità giudiziaria o di altra autorità competente e pertanto non può essere in alcun modo ritenuto responsabile per la natura e le caratteristiche di tali dati, né per eventuali loro errori e/o omissioni, nonché per eventuali danni diretti e/o indiretti derivanti al Cliente e/o a terzi dall’utilizzo dei dati stessi.
13.5 Il Cliente prende atto e accetta che in nessun caso AZIENDA potrà essere ritenuta responsabile in caso di guasti e/o malfunzionamenti alla rete dipendenti da fatto del terzo che rendano impossibile l’accesso al Sistema Telefonico.
Articolo 14 – Manleva
14.1 Il Cliente si impegna a manlevare e tenere indenne AZIENDA da qualsiasi danno, pretesa, responsabilità e/o onere, diretti o indiretti, ivi comprese le ragionevoli spese legali, che AZIENDA dovesse subire o sopportare in conseguenza dell’inadempimento da parte del Cliente e/o di ciascun Utente di ciascuno degli obblighi previsti dal Contratto e, in particolare, di quanto previsto dagli articoli 3 (Obblighi del Cliente), 5 (Corrispettivi), 6 (Riservatezza), 7 (Credenziali d’Accesso), 8 (Proprietà Intellettuale), 12 (Dichiarazioni e Responsabilità del Cliente), 18 (Effetti della cessazione del Contratto), 19 (Cessione del Contratto), 20 (Privacy).
14.2 Fermo restando quanto previsto all’articolo 9 e al paragrafo 14.1 e salvo il Cliente possa dimostrare il verificarsi di un caso di forza maggiore, il Cliente si impegna a risarcire a AZIENDA, a fronte di semplice richiesta scritta in tal senso, tutti i danni derivanti dal danneggiamento o dalla perdita, totale o parziale, dell’Hardware e di tutti i materiali ad esso pertinenti, anche se causati da terzi, nonché a rifondere a AZIENDA tutti i costi e le spese effettuate da AZIENDA per il ripristino dell’Hardware.
Articolo 15 – Modifiche Unilaterali
15.1 Il Contratto potrà essere modificato da AZIENDA in qualsiasi momento, dandone semplice comunicazione scritta (anche via e-mail o con l’ausilio di programmi informatici) al Cliente.
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE
15.2 In tal caso, il Cliente avrà la facoltà di recedere dal Contratto con comunicazione scritta inviata a AZIENDA a mezzo raccomandata con ricevuta di ricevimento nel termine di 15 giorni dal ricevimento della comunicazione scritta da parte di AZIENDA di cui al paragrafo che precede.
15.3 In mancanza di esercizio della facoltà di recesso da parte del Cliente, nei termini e nei modi sopra indicati, le modifiche al Contratto si intenderanno da quest’ultimo definitivamente conosciute e accettate e diverranno definitivamente efficaci e vincolanti.
Articolo 16 – Recesso
16.1 AZIENDA si riserva il diritto di recedere dal Contratto in ogni momento, con comunicazione a mezzo PEC o Raccomandata A/R da inviarsi al Cliente con almeno 2 (due) mesi di preavviso.
16.2 Nel caso in cui AZIENDA esercitasse il proprio diritto di recesso per motivi diversi rispetto a quelli di cui al paragrafo che segue, il Cliente avrà diritto alla restituzione della quota di corrispettivo per il periodo di mancato utilizzo del Sistema Telefonico, qualora essa sia già stata versata.
16.3 AZIENDA potrà recedere con effetto immediato dal Contratto nelle seguenti ipotesi: (i) qualora il Cliente divenga insolvente, sia posto in liquidazione, sia assoggettato ad una qualsiasi procedura concorsuale; (ii) qualora il Cliente abbia ricevuto da AZIENDA (o da una qualsiasi società del Gruppo) una diffida ad adempiere ai sensi di un qualsiasi contratto in essere tra il Cliente e AZIENDA e sia rimasto inadempiente per oltre 30 giorni dal ricevimento di detta diffida. È fatto comunque salvo il diritto di AZIENDA di ottenere il risarcimento di tutti i danni subiti.
Articolo 17 – Risoluzione
17.1 Fatto salvo il risarcimento del danno, AZIENDA si riserva il diritto di risolvere il Contratto ai sensi dell’art. 1456 c.c. a seguito di invio di semplice comunicazione scritta a mezzo PEC ovvero lettera raccomandata A/R in caso di mancato adempimento da parte del Cliente e/o di ciascun Utente anche di una sola delle previsioni contenute nei articoli 3 (Obblighi del Cliente), 5 (Corrispettivi), 6 (Riservatezza), 7 (Credenziali d’Accesso), 8 (Proprietà Intellettuale), 12 (Dichiarazioni e Responsabilità del Cliente), 14 (Manleva), 19 (Cessione del Contratto), 20 (Privacy).
17.2 La risoluzione opererà di diritto al semplice ricevimento da parte del Cliente di una comunicazione scritta a mezzo PEC e/o raccomandata A/R contenente la contestazione dell’inadempimento e l’intenzione di avvalersi della presente clausola risolutiva.
Articolo 18 – Effetti della cessazione del Contratto
18.1 In ogni caso di cessazione del Contratto, per qualsiasi causa intervenuta, AZIENDA interdirà definitivamente al Cliente e a ciascun Utente l’accesso al Servizio VOIspeed e al Software, fatta salva la possibilità per il Cliente di effettuare il download dei propri dati entro il termine di 30 (trenta) giorni dalla data di cessazione del Contratto.
18.2 In ogni caso di cessazione del Contratto, per qualsiasi causa intervenuta, il Cliente si impegna a restituire a AZIENDA l’Hardware in suo possesso in condizioni di perfetta efficienza e manutenzione ed in perfetto stato di conservazione, salvo il normale deperimento d’uso, entro e non oltre 30 giorni dalla data di cessazione del Contratto.
18.3 Resta in ogni caso inteso che gli articoli 5 (Corrispettivi), 6 (Riservatezza), 12 (Dichiarazioni e Responsabilità del Cliente), 13 (Responsabilità di AZIENDA), 14 (Manleva), 21 (Comunicazioni), 22 (Legge applicabile e foro esclusivo),
24 (Tolleranza) e 25 (Invalidità e inefficacia parziale) sopravvivranno alla cessazione del Contratto, per qualsiasi ragione intervenuta.
Articolo 19 – Cessione del Contratto
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE
19.1 E’ fatto espresso divieto al Cliente di cedere, in tutto o in parte, il Contratto senza la preventiva autorizzazione scritta di AZIENDA.
Articolo 21 – Comunicazioni
21.1 Tutte le comunicazioni al Cliente inerenti lo svolgimento del rapporto potranno essere effettuate ai recapiti indicati da quest’ultimo nel Modulo d’Ordine. Le comunicazioni a AZIENDA andranno invece inviate ai seguenti recapiti [•]. Resta inteso che sarà cura e responsabilità del Cliente comunicare ogni variazione dei recapiti indicati nel Modulo d’Ordine, restando espressamente esclusa qualsiasi responsabilità di AZIENDA in tal senso.
Articolo 22 – Legge applicabile e Foro esclusivo
22.1 Il presente contratto è regolato e deve essere interpretato in conformità alla legge italiana.
22.2 Per ogni e qualsiasi controversia che dovesse insorgere tra le Parti relativamente all’esecuzione e/o interpretazione e/o applicazione del presente contratto, sarà competente in via esclusiva il Foro di riferimento relativo al domicilio della AZIENDA.
Articolo 23 – Effetto novativo
23.1 E’ escluso qualsiasi rilievo di eventuali precedenti accordi individuali tra le Parti, che s’intendono assorbiti ed esaustivamente superati dalla disciplina del Contratto.
Articolo 24 – Tolleranza
24.1 L’eventuale omissione di far valere uno o più dei diritti previsti dal Contratto non potrà comunque essere intesa come definitiva rinuncia a tali diritti e non impedirà, quindi, di esigerne in qualsiasi altro momento il puntuale e rigoroso adempimento.
Articolo 25 – Invalidità e inefficacia parziale
25.1 L’eventuale invalidità o inefficacia di una qualsiasi delle pattuizioni del Contratto lascerà intatte le altre pattuizioni giuridicamente e funzionalmente indipendenti, salvo quanto previsto dall’art. 1419, primo comma, c.c.
Allegato “A”
ACCORDO PRINCIPALE PER IL TRATTAMENTO DI DATI PERSONALI – MASTER DATA PROCESSING AGREEMENT
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE
(ex art. 28 del Regolamento UE 2016/679)
TRA
Il presente accordo per la protezione di dati personali è concluso tra il Fornitore, come di seguito definito, e il cliente che accetta il presente accordo.
Per “Fornitore” si intende uno o più dei seguenti soggetti:
(i) Sistemi Pordenone Udine Vicenza Srl;
E
il soggetto indicato nel Contratto quale Cliente (di seguito il “Cliente”), di seguito, congiuntamente, le “Parti” o disgiuntamente la “Parte”
PREMESSO CHE
a) il Cliente ha sottoscritto uno o più contratti con il Fornitore (di seguito il “Contratto”);
b) le Parti intendono disciplinare nel presente “accordo principale per il trattamento dei dati personali – Master Data Processing Agreement” (nel seguito “MDPA” o “Accordo”) le condizioni e le modalità del trattamento dei dati personali eseguito dal Fornitore nell’ambito del Contratto e della prestazione dei Servizi e le responsabilità connesse al trattamento medesimo, ivi incluso l'impegno assunto dal Fornitore quale Responsabile del trattamento dei dati personali ai sensi dell'art. 28 del Regolamento generale europeo sulla protezione dei dati del 27 aprile 2016 n. 679 (nel seguito “GDPR”);
c) le caratteristiche specifiche del trattamento dei Dati Personali sono descritte, con riferimento a ciascun Servizio, nelle “condizioni speciali di trattamento dei Dati Personali” disponibili sul sito xxx.xxxxxxxx.xxx/xxxx-xxxx (di seguito “DPA - Condizioni Speciali”) le quali costituiscono parte integrante ed essenziale del presente Accordo.
Tutto quanto sopra premesso le Parti convengono quanto segue:
1. DEFINIZIONI E INTERPRETAZIONE
1.1. Le premesse costituiscono parte integrante del presente Accordo. Nell'Accordo i seguenti termini ed espressioni avranno il significato associato ad essi qui di seguito:
“Data di Decorrenza dell'Accordo” indica la data in cui il Cliente sottoscrive o accetta il presente Accordo; “Dati Personali” ha il significato di cui alla Legislazione in materia di Protezione dei Dati Personali e includerà, a titolo puramente esemplificativo, tutti i dati forniti, archiviati, inviati, ricevuti o altrimenti elaborati, o creati dal Cliente, o dall'Utente Finale in relazione alla fruizione dei Servizi, nella misura in cui siano oggetto di trattamento da parte del Fornitore, sulla base del Contratto. Un elenco delle categorie di Dati Personali è riportata nei DPA – Condizioni Speciali;
“Decisione di Adeguatezza” indica una decisione della Commissione Europea sulla base dell’Articolo 45(3) del GDPR in merito al fatto che le leggi di un certo paese garantiscano un adeguato livello di protezione, come previsto dalla Legislazione in materia di Protezione dei Dati Personali;
“Giorni Lavorativi” indica ciascun giorno di calendario, a eccezione del sabato, della domenica e dei giorni nei quali le banche di credito ordinarie non sono di regola aperte sulla piazza di Milano, per l’esercizio della loro attività;
“Email di notifica” si intende l'indirizzo (o gli indirizzi) email fornito/i dal Cliente, all'atto della sottoscrizione del Servizio o fornito tramite altro canale ufficiale al Fornitore, a cui il Cliente intende ricevere le notifiche da parte del Fornitore;
“Istruzioni” indica le istruzioni scritte impartite dal Titolare nel presente Accordo (inclusivo dei relativi DPA – Condizioni Speciali) e, eventualmente, nel Contratto;
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE
“Legislazione in materia di Protezione dei Dati Personali” indica il GDPR, e ogni eventuale ulteriore norma e/o regolamento di attuazione emanati ai sensi del GDPR o comunque vigenti in Italia in materia di protezione dei Dati Personali, nonché ogni provvedimento vincolante che risulti emanato dalle autorità di controllo competenti in materia di protezione dei Dati Personali (es. Garante per la protezione dei dati personali) e conservi efficacia vincolante (ivi inclusi i requisiti delle Autorizzazioni generali al trattamento dei dati sensibili e giudiziari, se applicabili e ove mantengano la propria efficacia vincolante successivamente al 25 maggio 2018).
“Personale del Fornitore” indica i dirigenti, dipendenti consulenti, e altro personale del Fornitore, con esclusione del personale dei Responsabili Ulteriori del Trattamento;
“Richiesta” indica una richiesta di accesso di un Interessato, una richiesta di cancellazione o correzione dei Dati Personali, o una richiesta di esercizio di uno degli altri diritti previsti dal GDPR;
“Responsabile Ulteriore del Trattamento” indica qualunque subappaltatore cui il Fornitore abbia subappaltato uno qualsiasi degli obblighi assunti contrattualmente e che, nell’adempiere tali obblighi, potrebbe dover raccogliere, accedere, ricevere, conservare o altrimenti trattare Dati Personali;
“Servizio/i” indica il servizio o i servizi oggetto dei Contratti sottoscritti tempo per tempo tra il Cliente e il Fornitore;
“Utente Finale” si intende l'eventuale fruitore finale del Servizio, Titolare del Trattamento; e
“Violazione della Sicurezza dei Dati Personali” indica la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati Personali occorsa su sistemi gestiti dal Fornitore o comunque sui quali il Fornitore abbia un controllo.
1.2. I termini “ivi compreso/a/i/e” e “incluso/a/i/e” saranno interpretati come se fossero seguiti dall'espressione “a titolo puramente esemplificativo”, così da fornire un elenco non esaustivo di esempi.
1.3. Per le finalità del presente Accordo, i termini “Interessato”, “Trattamento”, “Titolare del trattamento”, “Responsabile del trattamento”, “Trasferimento” e “Misure tecnico-organizzative adeguate” saranno interpretati in conformità alla Legislazione in materia di Protezione dei Dati Personali applicabile.
2. RUOLO DELLE PARTI
2.1. Le Parti riconoscono e convengono che il Fornitore agisce quale Responsabile del trattamento in relazione ai Dati Personali e il Cliente agisce di regola quale Titolare del trattamento dei Dati Personali.
2.2. Qualora il Cliente svolga operazioni di trattamento per conto di altro Titolare, il Cliente potrà agire come Responsabile del trattamento. In tal caso, il Cliente garantisce che le istruzioni impartite e le attività intraprese in relazione al trattamento dei Dati Personali, inclusa la nomina, da parte del Cliente, del Fornitore quale ulteriore Responsabile del trattamento derivante dalla stipulazione del presente Accordo è stata autorizzata dal relativo Titolare del trattamento e si impegna ad esibire al Fornitore, dietro sua semplice richiesta scritta, la documentazione attestante quanto sopra.
2.3. Ciascuna delle Parti si impegna a conformarsi, nel trattamento dei Dati Personali, ai rispettivi obblighi derivanti dalla Legislazione in materia di Protezione dei Dati Personali applicabile.
3. TRATTAMENTO DEI DATI PERSONALI
3.1. Con la stipulazione del presente Accordo (inclusivo di ciascun DPA - Condizioni Speciali applicabile), il Cliente affida al Fornitore l'incarico di trattare i Dati Personali ai fini della prestazione dei Servizi, così come meglio dettagliato nel Contratto e nei DPA – Condizioni Speciali; i DPA – Condizioni Speciali sono disponibili tramite link al seguente indirizzo:
xxxxx://xxx.xxxxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xxx-xxxxx/xxxxxx-xxxxxxx
3.2. Il Fornitore si impegna a conformarsi alle Istruzioni, fermo restando che, qualora il Cliente richieda variazioni rispetto alle Istruzioni iniziali, il Fornitore valuterà gli aspetti di fattibilità e concorderà con il Cliente le predette variazioni ed i costi connessi.
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE
3.3. Nei casi di cui all'art. 3.2 e in caso di richieste del Cliente che comportino il trattamento di Dati Personali che siano, ad avviso del Fornitore, in violazione della Legislazione in materia di Protezione dei Dati Personali, il Fornitore è autorizzato ad astenersi dall'eseguire tali Istruzioni e ne informerà prontamente il Cliente. In tali casi il Cliente potrà valutare eventuali variazioni alle Istruzioni impartite o contattare l'Autorità di controllo per verificare la liceità delle richieste avanzate.
4. LIMITAZIONI ALL’UTILIZZO DEI DATI PERSONALI
4.1. Nell'eseguire il trattamento dei Dati Personali ai fini della prestazione dei Servizi, il Fornitore si impegna a eseguire il trattamento dei Dati Personali:
4.1.1. soltanto nella misura e con le modalità necessarie per erogare i Servizi o per adempiere opportunamente i propri obblighi, previsti dal Contratto e dal presente Accordo ovvero imposti dalla legge o da un organo di vigilanza o controllo competente. In tale ultima circostanza il Fornitore ne informerà il Cliente (salvo il caso in cui ciò sia vietato dalla legge per ragioni di pubblico interesse) mediante comunicazione trasmessa all'Email di notifica;
4.1.2. in conformità alle Istruzioni del Cliente.
4.2 Il Personale del Fornitore che accede, o comunque tratta i Dati Personali, è preposto al trattamento di tali dati sulla base di idonee autorizzazioni e ha ricevuto la necessaria formazione anche in merito al trattamento dei dati personali. Tale personale è altresì vincolato da obblighi di riservatezza e dal Codice Etico aziendale e deve attenersi alle policy di riservatezza e di protezione dei dati personali adottate dal Fornitore.
5. AFFIDAMENTO A TERZI
5.1. In relazione all'affidamento a Responsabili Ulteriori del Trattamento di operazioni di trattamento di Dati Personali, le Parti convengono quanto segue:
5.1.1. il Cliente acconsente espressamente che alcune operazioni di trattamento di Dati Personali siano affidate dal Fornitore a soggetti terzi individuati nei DPA – Condizioni Speciali.
5.1.3.Resta inteso che la sottoscrizione delle Clausole Contrattuali Tipo (prevista dal successivo punto 7 in caso di trasferimento all’estero dei Dati Personali) da parte del Cliente con un Responsabile Ulteriore del trattamento deve intendersi quale consenso all'affidamento al terzo delle operazioni di trattamento.
5.1.4.Nei casi in cui il Fornitore ricorra a Responsabili Ulteriori del Trattamento per l'esecuzione di specifiche attività di trattamento dei Dati Personali, il Fornitore:
5.1.4.1. si impegna ad avvalersi di Responsabili Ulteriori del Trattamento che garantiscono misure tecniche e organizzative adeguate e garantisce che l'accesso ai Dati Personali, e il relativo trattamento, sarà effettuato esclusivamente nei limiti di quanto necessario per l'erogazione dei servizi subappaltati;
5.1.4.2. almeno 15 (quindici) giorni prima della data di avvio delle operazioni di trattamento dei Dati Personali da parte del Responsabile Ulteriore del Trattamento informa il Cliente dell'affidamento al terzo (nonché dei dati identificativi del terzo, della sua ubicazione – ed eventualmente, dell'ubicazione dei server sui quali saranno conservati i dati, se applicabile - e delle attività affidate) mediante invio di Email di notifica o altro mezzo ritenuto idoneo dal Fornitore. Il Cliente potrà recedere dal Contratto entro 15 (quindici) giorni dal ricevimento della comunicazione, fermo restando l'obbligo di corrispondere al Fornitore gli importi dovuti alla data di cessazione del Contratto.
5.1.5. Eventuali informazioni aggiuntive sull'elenco dei Responsabili Ulteriori del Trattamento, dei trattamenti loro affidati e della loro ubicazione, sono contenuti nei DPA - Condizioni Speciali relativi ai Servizi attivati dal Cliente.
6. DISPOSIZIONI IN MATERIA DI SICUREZZA
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE
6.1. MISURE DI SICUREZZA DEL FORNITORE – Xxxx'eseguire il trattamento dei Dati Personali ai fini della prestazione dei Servizi il Fornitore si impegna ad adottare misure tecnico-organizzative adeguate per evitare il trattamento illecito o non autorizzato, la distruzione accidentale o illecita, il danneggiamento, la perdita accidentale, l'alterazione e la divulgazione non autorizzata di, o l’accesso ai, Dati Personali, come descritte nell'Allegato 1 al presente Accordo (“Misure di Sicurezza”).
6.1.1.L'Allegato 1 all'Accordo contiene misure di protezione degli archivi dati commisurate al livello dei rischi presenti con riferimento ai Dati Personali per consentire la riservatezza, integrità, disponibilità e la resilienza dei sistemi e dei Servizi del Fornitore, nonché misure per consentire il tempestivo ripristino degli accessi ai Dati Personali in caso di Violazione della Sicurezza dei Dati Personali, e misure per testare l'efficacia nel tempo di dette misure. Il Cliente dà atto ed accetta che, tenuto conto dello stato dell’arte, dei costi di implementazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità di trattamento dei Dati Personali, le procedure e i criteri di sicurezza implementati dal Fornitore garantiscono un livello di protezione adeguato al rischio per quanto riguarda i suoi Dati Personali.
0.0.0.Xx Fornitore potrà aggiornare e modificare nel tempo le Misure di Sicurezza sopra indicate, fermo restando che tali aggiornamenti e modifiche non potranno comportare una riduzione del livello di sicurezza complessivo dei Servizi. Di tali aggiornamenti e modifiche sarà fornita notifica al Cliente mediante invio di comunicazione all'Email di notifica.
6.1.3.Qualora il Cliente richieda di adottare misure di sicurezza aggiuntive rispetto alle Misure di Sicurezza, il Fornitore si riserva il diritto di valutarne la fattibilità e potrà applicare costi aggiuntivi a carico del Cliente per tale implementazione.
0.0.0.Xx Cliente riconosce e accetta che il Fornitore, tenuto conto della natura dei Dati Personali e delle informazioni disponibili al Fornitore stesso secondo quanto specificamente riportato nei relativi DPA – Condizioni Particolari, presterà assistenza al Cliente nel garantire il rispetto degli obblighi di sicurezza di cui agli artt. 32-34 del GDPR nei modi seguenti:
6.1.4.1. implementando e mantenendo aggiornate le Misure di Sicurezza secondo quanto previsto ai precedenti punti 6.1.1, 6.1.2, 6.1.3;
6.1.4.2. conformandosi agli obblighi di cui al punto 6.3.
6.1.5.Resta inteso che, nei Contratti aventi ad oggetto prodotti installati presso il Cliente o presso fornitori del Cliente (installazioni on premises), le Misure di Sicurezza sopra indicate troveranno applicazione esclusivamente in relazione ai Servizi che prevedono il Trattamento dei Dati Personali da parte del Fornitore o di suoi affidatari (es. supporto e assistenza da remoto, servizi di migrazione).
6.1.6.Qualora il prodotto consenta l'integrazione con applicativi di terze parti, il Fornitore non sarà responsabile dell'applicazione delle Misure di Sicurezza relative alle componenti delle terze parti o delle modalità di funzionamento del prodotto derivanti dall'integrazione effettuata dalle terze parti.
6.2. MISURE DI SICUREZZA DEL CLIENTE – Xxxxx restando gli obblighi di cui al precedente punto 6.1 in capo al Fornitore, il Cliente riconosce e accetta che, nella fruizione dei Servizi, rimane responsabilità esclusiva del Cliente l'adozione di adeguate misure di sicurezza in relazione alla fruizione dei Servizi da parte del proprio personale e di coloro che sono autorizzati ad accedere a detti Servizi.
6.2.1.A tal fine il Cliente si impegna ad utilizzare i Servizi e le funzionalità di trattamento dei Dati Personali in modo da garantire un livello di protezione adeguato al rischio effettivo.
0.0.0.Xx Cliente si impegna altresì ad adottare tutte le misure idonee per proteggere le credenziali di autenticazione, i sistemi e i dispositivi utilizzati dal Cliente o dai fruitori presso l'Utente Finale per accedere ai Servizi, e per effettuare i salvataggi e backup dei Dati Personali al fine di garantire il ripristino dei Dati Personali nel rispetto delle norme di legge.
6.2.3.Resta escluso qualsiasi obbligo o responsabilità in capo al Fornitore circa la protezione dei Dati Personali che il Cliente o l'Utente Finale, se applicabile, conservino o trasferiscano fuori dai sistemi utilizzati dal Fornitore e dai suoi Responsabili Ulteriori del Trattamento (ad esempio, in archivi cartacei, o presso propri data center, come nel caso di Contratti aventi ad oggetto prodotti installati presso il Cliente o presso fornitori del Cliente).
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE
6.3. VIOLAZIONI DI SICUREZZA – Fatta eccezione per il caso di Contratti aventi ad oggetto prodotti installati presso il Cliente o presso fornitori del Cliente per i quali non trova applicazione il presente punto 6.3, qualora il Fornitore venga a conoscenza di una Violazione di Sicurezza dei Dati Personali, lo stesso:
6.3.1. informerà senza ingiustificato ritardo il Cliente mediante comunicazione inoltrata all'Email di notifica;
6.3.2. adotterà misure ragionevoli per limitare i possibili danni e la sicurezza dei Dati Personali;
6.3.3. fornirà al Cliente, per quanto possibile, una descrizione della Violazione della Sicurezza dei Dati Personali ivi incluse le misure adottate per evitare o mitigare i potenziali rischi e le attività raccomandate dal Fornitore al Cliente per la gestione della Violazione di Sicurezza;
6.3.4. considererà informazioni confidenziali ai sensi di quanto previsto nel Contratto, le informazioni attinenti alle eventuali Violazioni della Sicurezza, i relativi documenti, comunicati e avvisi e non comunicherà a terzi dati informazioni, fuori dai casi strettamente necessari all'assolvimento degli obblighi del Cliente derivanti dalla Legislazione in materia di Protezione dei Dati Personali senza il previo consenso scritto del Titolare del Trattamento.
6.4. Nei casi di cui al precedente punto 6.3, è responsabilità esclusiva del Cliente adempiere, nei casi previsti dalla Legislazione in materia di Trattamento di Dati Personali, agli obblighi di notificazione della Violazione di Sicurezza ai terzi (all'Utente Finale qualora il Cliente sia un Responsabile del Trattamento) e, se il Cliente è Titolare del Trattamento, all'Autorità di controllo e agli interessati.
6.5. Resta inteso che la notificazione di una Violazione di Sicurezza o l'adozione di misure volte a gestire una Violazione di Sicurezza non costituisce riconoscimento di inadempimento o di responsabilità da parte del Fornitore in relazione a detta Violazione di Sicurezza.
6.6. Il Cliente dovrà comunicare tempestivamente al Fornitore eventuali utilizzi impropri degli account o delle credenziali di autenticazione oppure eventuali Violazioni di Sicurezza di cui abbia avuto conoscenza riguardanti i Servizi.
7. LIMITAZIONI AL TRASFERIMENTO DEI DATI PERSONALI AL DI FUORI DELLO SPAZIO ECONOMICO EUROPEO (SEE)
7.1. Il Fornitore non trasferirà i Dati Personali al di fuori dello SEE se non in accordo con il Cliente.
7.2. Se, ai fini della conservazione o del trattamento dei Dati Personali da parte di un Responsabile Ulteriore del trattamento, è necessario effettuare il trasferimento dei Dati Personali fuori dallo SEE in un paese che non gode di una decisione di adeguatezza da parte della Commissione Europea ai sensi dell'art. 45 del GDPR, il Fornitore:
7.2.1.farà in modo che il Responsabile Ulteriore del trattamento stipuli le clausole contrattuali tipo previste nella Decisione della Commissione europea 2010/87/UE, del 5 febbraio 2010, per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi (le “Clausole Contrattuali Tipo”), o loro equivalente, se modificate nel tempo. Copia delle Clausole Contrattuali Tipo sottoscritte dal Fornitore per conto del Cliente saranno rese disponibili al Cliente; e/o
7.2.2.potrà proporre al Cliente altre modalità di trasferimento dei Dati Personali conformi a quanto previsto dalla Legislazione in materia di Protezione dei Dati Personali (es. Privacy Shield in caso di Responsabili Ulteriori del trattamento situati negli Stati Uniti e per cui sia verificabile l'aderenza tramite i canali e registri ufficiali, o trasferimenti infragruppo del Responsabile Ulteriore del Trattamento che sia parte di un gruppo societario che ha ottenuto l'approvazione delle BCR per i Responsabili del trattamento).
7.3. Nei casi di cui al precedente punto 7.2.1 con il presente Accordo il Cliente conferisce espressamente mandato al Fornitore a sottoscrivere le Clausole Contrattuali Tipo con i Responsabili Ulteriori del Trattamento riportati nei relativi DPA – Condizioni Particolari. Qualora Titolare del trattamento sia l'Utente Finale, il Cliente si
impegna a informare l'Utente Finale di tale trasferimento e dichiara che l'autorizzazione ad avvalersi del Responsabile Ulteriore del Trattamento situato fuori dallo SEE equivale al mandato di cui sopra.
8. VERIFICHE E CONTROLLI
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE
8.1. Il Fornitore sottopone ad audit periodici la sicurezza dei sistemi e degli ambienti di elaborazione dei Dati Personali dallo stesso utilizzati per l'erogazione dei Servizi e le sedi in cui avviene tale trattamento. Il Fornitore avrà la facoltà di incaricare dei professionisti indipendenti selezionati dal Fornitore per lo svolgimento di audit secondo standard internazionali e/o best practice, i cui esiti saranno riportati in specifici report (“Report”). Tali Report, che costituiscono informazioni confidenziali del Fornitore, potranno essere resi disponibili al Cliente per consentirgli di verificare la conformità del Fornitore agli obblighi di sicurezza di cui al presente Accordo.
8.2. Nei casi previsti dall’art. 8.1, il Cliente concorda che il proprio diritto di verifica sarà esercitato attraverso la verifica dei Report messi a disposizione dal Fornitore.
8.3. Il Fornitore riconosce il diritto del Cliente, con le modalità e nei limiti di seguito indicati, ad effettuare audit indipendenti per verificare la conformità del Fornitore agli obblighi previsti nel presente Accordo e nei rispettivi DPA – Condizioni Speciali, e di quanto previsto dalla normativa. Il Cliente potrà avvalersi per tali attività di proprio personale specializzato o di revisori esterni, purché tali soggetti siano previamente vincolati da idonei impegni alla riservatezza.
8.4. Nel caso di cui al precedente punto 8.2, il Cliente dovrà previamente inviare richiesta scritta al Responsabile della Protezione dei Dati (DPO) del Fornitore. Successivamente alla richiesta di audit o ispezione il Fornitore e il Cliente concorderanno, prima dell'avvio delle attività, i dettagli di tali verifiche (data di inizio e durata), le tipologie di controllo e l'oggetto delle verifiche, i vincoli di riservatezza a cui devono essere vincolati il Cliente e coloro che effettuano le verifiche e i costi che il Fornitore potrà addebitare per tali verifiche e che saranno determinati in relazione all’estensione e alla durata delle attività di verifica.
8.5. Il Fornitore potrà opporsi per iscritto alla nomina da parte del Cliente di eventuali revisori esterni che siano, ad insindacabile giudizio del Fornitore, non adeguatamente qualificati o indipendenti, siano concorrenti del Fornitore o che siano evidentemente inadeguati. In tali circostanze il Cliente sarà tenuto a nominare altri revisori o a condurre le verifiche in proprio.
8.6. Il Cliente si impegna a corrispondere al Fornitore gli eventuali costi calcolati dal Fornitore e comunicati al Cliente nella fase di cui al precedente punto 8.4, con le modalità e nei tempi ivi concordati. Restano a carico esclusivo del Cliente i costi delle attività di verifica dallo stesso commissionate a terzi.
8.7. Resta fermo quanto previsto in relazione ai diritti di ispezione del Titolare del trattamento e delle autorità nelle Clausole Contrattuali Tipo eventualmente sottoscritte ai sensi del precedente punto 7, che non potranno considerarsi modificate da alcuna delle previsioni contenute nel presente Accordo o nei relativi DPA
– Condizioni Speciali.
8.8. Il presente punto 8 non è applicabile ai Contratti aventi ad oggetto prodotti installati presso il Cliente o presso fornitori del Cliente.
8.9. Le attività di verifica che interessino eventuali Responsabili Ulteriori dovranno essere svolte nel rispetto delle regole di accesso e delle politiche di sicurezza dei Responsabili Ulteriori.
9. ASSISTENZA A FINI DI CONFORMITÀ
9.1. Il Fornitore presterà assistenza al Cliente e coopererà nei modi di seguito indicati al fine di consentire al Cliente il rispetto degli obblighi previsti dalla Legislazione in materia di Protezione dei Dati Personali.
9.2. Qualora il Fornitore riceva Richieste o reclami da un Interessato in relazione ai Dati Personali, il Fornitore raccomanderà all'Interessato di rivolgersi al Cliente o all'Utente Finale, nel caso in cui quest'ultimo sia il Titolare del Trattamento. In tali casi il Fornitore informerà tempestivamente il Cliente del ricevimento della Richiesta mediante invio di Email di notifica e fornirà al Cliente le informazioni ad esso disponibili unitamente a copia della Richiesta o del reclamo. Resta inteso che tale attività di cooperazione sarà svolta in via eccezionale, in quanto la gestione dei rapporti con gli Interessati resta esclusa dai Servizi ed è responsabilità del Cliente gestire eventuali reclami in via diretta e garantire che il punto di contatto per l'esercizio dei diritti
da parte degli Interessati sia il Cliente stesso, o l'Utente Finale se Titolare del Trattamento. Sarà responsabilità del Cliente, o dell'Utente Finale qualora questi sia Titolare del Trattamento, provvedere a dar seguito a tali Richieste o reclami.
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE
9.3. Il Fornitore provvederà a informare tempestivamente il Cliente, salvo il caso in cui ciò sia vietato dalla legge, con avviso all'Email di notifica di eventuali ispezioni o richieste di informazioni presentate da autorità di controllo e forze di polizia rispetto a profili che riguardano il trattamento dei Dati Personali.
9.4. Qualora, ai fini dell'evasione delle Richieste di cui ai precedenti punti, il Cliente abbia necessità di ricevere informazioni dal Fornitore circa il trattamento dei Dati Personali, il Fornitore presterà la necessaria assistenza nei limiti di quanto ragionevolmente possibile, a condizione che tali richieste siano presentate con congruo preavviso.
9.5. Il Fornitore, tenuto conto della natura dei Dati Personali e delle informazioni ad esso disponibili, fornirà ragionevole assistenza al Cliente nel rendere disponibili informazioni utili per consentire al Cliente l'effettuazione di valutazioni di impatto sulla protezione dei Dati Personali nei casi previsti dalla legge. In tal caso il Fornitore renderà disponibili informazioni di carattere generale in base al Servizio, quali le informazioni contenute nel Contratto, nel presente Accordo e nei DPA - Condizioni Particolari relativi ai Servizi interessati. Eventuali richieste di assistenza personalizzate potranno essere soggette al pagamento di un corrispettivo da parte del Cliente. Resta inteso che è responsabilità e onere esclusivo del Cliente, o dell'Utente Finale se Titolare del trattamento, procedere alla valutazione di impatto in base alle caratteristiche del trattamento dei Dati Personali dallo stesso posto in essere nel contesto dei Sevizi.
9.6. Il Fornitore si impegna a rendere Servizi improntati ai principi di minimizzazione del trattamento (privacy by design & by default), fermo restando che è responsabilità esclusiva del Cliente, o dell'Utente Finale, se Titolare del Trattamento, assicurare che il trattamento sia condotto poi concretamente nel rispetto di detti principi e verificare che le misure tecniche e organizzative di un Servizio soddisfano i requisiti di conformità della Società, ivi inclusi i requisiti previsti dalla Legislazione in materia di protezione dei dati personali.
9.7. Il Cliente prende atto che, in caso di Richieste di portabilità dei Dati Personali avanzate dai rispettivi Interessati, e solo in relazione ai Servizi che generano Dati Personali rilevanti a tal fine, il Fornitore presterà assistenza al Cliente mettendo a disposizione le informazioni necessarie per estrarre i dati richiesti in formato conforme a quanto previsto dalla Legislazione in materia di Protezione dei Dati Personali.
9.8. I precedenti punti 9.5 e 9.7 non sono applicabili in caso di Contratti aventi ad oggetto prodotti installati presso il Cliente o presso fornitori del Cliente.
10. OBBLIGHI DEL CLIENTE E LIMITAZIONI
10.1. Il Cliente si impegna a impartire Istruzioni conformi alla normativa e a utilizzare i Servizi in modo conforme alla Legislazione in materia di Protezione dei Dati Personali e solo per trattare Dati Personali che siano stati raccolti in conformità alla Legislazione in materia di Protezione dei Dati Personali.
10.3. Il Cliente si impegna ad assolvere a tutti gli obblighi posti in capo al Titolare del Trattamento (e, nei casi in cui tali obblighi sono in capo all'Utente Finale, garantisce che analoghi obblighi sono imposti a carico dell'Utente Finale) dalla Legislazione in materia di Protezione dei Dati Personali, ivi inclusi gli obblighi di informativa nei confronti degli Interessati. Il Cliente si impegna inoltre a garantire che il trattamento dei Dati Personali effettuato mediante l'utilizzo dei Servizi avvenga solo in presenza di idonea base giuridica.
10.4. Qualora il rilascio dell'informativa e l'ottenimento del consenso debbano avvenire per il tramite del prodotto oggetto del Contratto, il Cliente dichiara di aver valutato il prodotto e che esso risponde alle esigenze del Cliente. Resta altresì a carico del Cliente valutare se l'eventuale modulistica resa disponibile dal Fornitore per agevolare l'assolvimento degli obblighi di informativa e consenso (es. modello di privacy policy per App o informative presenti negli applicativi), quando disponibile, sia conforme alla Legislazione in materia di Protezione dei Dati Personali e adattare la stessa ove ritenuto opportuno.
10.5. E' altresì onere esclusivo del Cliente provvedere alla gestione dei Dati Personali in conformità alle Richieste avanzate dagli Interessati, e pertanto provvedere ad esempio agli eventuali aggiornamenti, integrazioni, rettifiche e cancellazioni dei Dati Personali.
10.6. E' onere del Cliente mantenere l'account collegato all'Email di notifica attivo ed aggiornato.
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE
10.7. Il Cliente prende atto che, ai sensi dell'art. 30 del GDPR, il Fornitore è tenuto a mantenere un registro delle attività di trattamento eseguite per conto dei Titolari (o Responsabili) del Trattamento e a raccogliere a tal fine i dati identificativi e di contatto di ciascun Titolare (e/o Responsabile) del Trattamento per conto del quale il Fornitore agisce e che tali informazioni devono essere rese disponibili all'autorità competente, su richiesta. Pertanto, quando richiesto, il Cliente si impegna a dare al Fornitore i dati identificativi e di contatto sopra indicati con le modalità individuate dal Fornitore nel tempo e a mantenere aggiornate tali informazioni tramite i medesimi canali.
10.8. Il Cliente dichiara pertanto che le attività di trattamento dei Dati Personali, come descritte nei Contratti, nel presente Accordo e nei relativi DPA – Condizioni Particolari, sono lecite.
11. DURATA
11.1. Il presente Accordo avrà efficacia a decorrere dalla Data di Decorrenza dell'Accordo e cesserà automaticamente, alla data di cancellazione di tutti i Dati Personali da parte del Fornitore, come previsto nel presente Accordo e, se previsto, nei relativi DPA – Condizioni Particolari.
12. DISPOSIZIONI PER LA RESTITUZIONE O LA CANCELLAZIONEDEI DATI PERSONALI
12.1. Alla cessazione del Servizio, per qualunque causa intervenuta, il Fornitore cesserà ogni trattamento dei Dati Personali e
12.1.1. provvederà alla cancellazione dei Dati Personali (ivi incluse eventuali copie) dai sistemi del Fornitore o da quelli su cui lo stesso abbia controllo entro il termine previsto nel Contratto, tranne il caso in cui la conservazione dei dati da parte del Fornitore sia necessaria al fine di assolvere ad una disposizione di legge italiana o europea;
12.1.2. distruggerà eventuali Dati Personali conservati in formato cartaceo in suo possesso, tranne il caso in cui la conservazione dei dati da parte del Fornitore sia necessaria ai fini del rispetto di norme di legge italiane o europee; e
12.1.3. manterrà a disposizione del Cliente i Dati Personali per l'estrazione per il periodo di 30 (trenta) giorni successivi alla cessazione del Contratto. Durante tale periodo, il trattamento sarà limitato alla sola conservazione finalizzata a mantenere i Dati Personali a disposizione del Cliente per l’estrazione di cui al punto 12.2.
12.2. Fermo restando quanto altrimenti previsto nel presente Accordo, il Cliente riconosce di poter estrarre i Dati Personali, alla cessazione del Servizio, nei modi convenuti nel Contratto e conviene che è sua responsabilità provvedere all'estrazione totale o parziale dei soli Dati Personali che ritenga utile conservare e che tale estrazione dovrà essere effettuata prima della scadenza del termine di cui al punto 12.1.3.
12.3. Resta inteso che quanto previsto ai punti 12.1e Errore. L'origine riferimento non è stata trovata. non si applica ai Contratti aventi ad oggetto prodotti installati presso il Cliente o presso fornitori del Cliente. In tali casi, è responsabilità del Cliente estrarre, entro e non oltre 30 (trenta) giorni dal termine della Durata del Contratto, i Dati Personali che ritenga utile conservare; il Cliente riconosce che successivamente al predetto termine i Dati Personali potrebbero non essere più accessibili. Nei casi di cui al presente punto 12.3 resta altresì responsabilità del Cliente provvedere alla cancellazione dei Dati Personali nel rispetto delle norme di legge.
12.4. Restano ferme eventuali ulteriori o diverse disposizioni circa la cancellazione dei Dati Personali previste ne rispettivi DPA – Condizioni Speciali.
13. RESPONSABILITA'
13.1. Ciascuna Parte è responsabile per l'adempimento dei propri obblighi previsti dal presente Accordo e dai relativi DPA –Condizioni Particolari e dalla Legislazione in materia di protezione dei Dati Personali. Fatti salvi
i limiti inderogabili di legge, il Fornitore sarà tenuto a risarcire il Cliente in caso di violazione del presente Accordo e/o dei relativi DPA – Condizioni Particolari entro i limiti massimi convenuti nel Contratto.
14. DISPOSIZIONI VARIE
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE
14.1. Il presente Accordo sostituisce qualsiasi altro accordo, contratto o intesa tra le Parti con riferimento al suo oggetto nonché qualsivoglia istruzione fornita in qualsiasi forma dal Cliente al Fornitore precedentemente alla data del presente Accordo in merito ai Dati Personali trattati nell’ambito dell’esecuzione del Contratto.
14.2. Il presente Accordo potrà essere modificato dal Fornitore dandone comunicazione scritta (anche via e-mail o con l’ausilio di programmi informatici) al Cliente. In tal caso, il Cliente avrà il diritto di recedere dal Contratto con comunicazione scritta inviata al Fornitore a mezzo raccomandata con ricevuta di ricevimento nel termine di 15 giorni dal ricevimento della comunicazione del Fornitore. In mancanza di esercizio del diritto di recesso da parte del Cliente, nei termini e nei modi sopra indicati, le modifiche al presente Accordo si intenderanno da questi definitivamente conosciute e accettate e diverranno definitivamente efficaci e vincolanti.
14.3. In caso di conflitto tra le previsioni del presente Accordo e quanto previsto nel Contratto per la prestazione dei Servizi, o in documenti del Cliente non espressamente accettati dal Fornitore in deroga al presente Accordo e/ ai rispettivi DPA – Condizioni Speciali, prevarrà quanto previsto nel presente Accordo e nelle clausole dei relativi DPA – Condizioni Speciali.
Allegato1
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE
Misure tecnico-organizzative
In aggiunta alle misure di sicurezza previste nel Contratto e nel MDPA il Responsabile del Trattamento applica le seguenti misure di sicurezza organizzative a seconda della tipologia di Servizio con cui viene erogato o licenziato il prodotto:
A – Cloud SaaS B – Servizi Iaas
C – BPO (Business Process Outsourcing) D – BPI (Business Process Insourcing)
E – On premises
A – CLOUD SaaS
Misure di sicurezza organizzative | Policy e Disciplinari utenti – Il Fornitore applica dettagliate policy e disciplinari, ai quali tutta l’utenza con accesso ai sistemi informativi ha l’obbligo di conformarsi e che sono finalizzate a garantire comportamenti idonei ad assicurare il rispetto dei principi di riservatezza, disponibilità ed integrità dei dati nell’utilizzo delle risorse informatiche. Autorizzazione accessi logici – il Fornitore definisce i profili di accesso nel rispetto del least privilege necessari all’esecuzione delle mansioni assegnate. I profili di autorizzazione sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. Tali profili sono oggetto di controlli periodici finalizzati alla verifica della sussistenza delle condizioni per la conservazione dei profili attribuiti. Gestione interventi di assistenza – Gli interventi di assistenza sono regolamentati allo scopo di garantire l’esecuzione delle sole attività previste contrattualmente e impedire il trattamento eccessivo di dati personali la cui titolarità è in capo al Cliente o all’Utente Finale. Valutazione d'impatto sulla protezione dei dati (DPIA) – In conformità agli artt. 35 e 36 del GDPR e sulla base del documento WP248 – Linee guida sulla valutazione d’impatto nella protezione dei dati adottate dal Gruppo di lavoro ex art. 29, il Fornitore ha predisposto una propria metodologia per l’analisi e la valutazione dei trattamenti che, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, presentino un rischio elevato per i diritti e le libertà delle persone fisiche allo scopo di procedere con la valutazione dell’impatto sulla protezione dei dati personali prima di iniziare il trattamento. Incident Management – Il Fornitore ha realizzato una specifica procedura di Incident Management allo scopo di garantire il ripristino delle normali operazioni di servizio nel più breve tempo possibile, garantendo il mantenimento dei livelli migliori di servizio. |
Data Breach – Il Fornitore ha implementato un’apposita procedura finalizzata alla gestione degli eventi e degli incidenti con un potenziale impatto sui dati personali che definisce ruoli e responsabilità, il processo di rilevazione (presunto o accertato), l’applicazione delle azioni di contrasto, la risposta e il contenimento dell’incidente / violazione nonché le modalità attraverso le quali effettuare le comunicazioni delle violazioni di dati personali al Cliente. Formazione: Il Fornitore eroga periodicamente ai propri dipendenti coinvolti nelle attività di trattamento corsi di formazione sulla corretta gestione dei dati personali | |
Misure di sicurezza tecniche | Firewall, IDPS - I dati personali sono protetti contro il rischio d'intrusione di cui all'art. 615-quinquies del codice penale mediante sistemi di Intrusion Detection & Prevention, mantenuti aggiornati in relazione alle migliori tecnologie disponibili. Sicurezza linee di comunicazione- Per quanto di propria competenza, sono adottati dal Fornitore protocolli di comunicazione sicuri e in linea con quanto la tecnologia rende disponibile. Protection from malware– I sistemi sono protetti contro il rischio di intrusione e dell'azione di programmi mediante l'attivazione di idonei strumenti elettronici aggiornati con cadenza periodica. Sono in uso strumenti antivirus mantenuti costantemente aggiornati. Credenziali di autenticazione – I sistemi sono configurati con modalità idonee a consentirne l’accesso unicamente a soggetti dotati di credenziali di autenticazione che ne consentono la loro univoca identificazione. Fra questi, codice associato a una parola chiave, riservata e conosciuta unicamente dallo stesso; dispositivo di autenticazione in possesso e uso esclusivo dell’utente, eventualmente associato a un codice identificativo o a una parola chiave. Parola chiave – Relativamente alle caratteristiche di base ovvero obbligo di modifica al primo accesso, lunghezza minima, assenza di elementi riconducibili agevolmente al soggetto, regole di complessità, scadenza, history, valutazione contestuale della robustezza, visualizzazione e archiviazione, la parola chiave è gestita conformemente alle best practice. Ai soggetti ai quali sono attribuite le credenziali sono fornite puntuali istruzioni in relazione alle modalità da adottare per assicurarne la segretezza. Logging – I sistemi sono configurabili con modalità che consentono il tracciamento degli accessi e, ove appropriato, delle attività svolte in capo alle diverse tipologie di utenze (Amministratore, Super Utente, etc.) protetti da adeguate misure di sicurezza che ne garantiscono l’integrità. Backup & Restore – Sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati. Ove gli accordi contrattuali lo prevedono è posto in uso un piano di continuità operativa integrato, ove necessario, con il piano di disaster recovery; essi garantiscono la disponibilità e l’accesso ai sistemi anche nel caso di eventi negativi di portata rilevante che dovessero perdurare nel tempo. |
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE
Vulnerability Assessment & Penetration Test – Il Fornitore effettua periodicamente attività di analisi delle vulnerabilità finalizzate a rilevare lo stato di esposizione alle vulnerabilità note, sia in relazione agli ambiti infrastrutturali sia a quelli applicativi, considerando i sistemi in esercizio o in fase di sviluppo. Ove ritenuto appropriato in relazione ai potenziali rischi identificati, tali verifiche sono integrate periodicamente con apposite tecniche di Penetration Test, mediante simulazioni di intrusione che utilizzano diversi scenari di attacco, con l’obiettivo di verificare il livello di sicurezza di applicazioni/sistemi/reti attraverso attività che mirano a sfruttare le vulnerabilità rilevate per eludere i meccanismi di sicurezza fisica/logica ed avere accesso agli stessi. I risultati delle verifiche sono puntualmente e dettagliatamente esaminati per identificare e porre in essere i punti di miglioramento necessari a garantire l’elevato livello di sicurezza richiesto. Amministratori di Sistema – Relativamente a tutti gli utenti che operano in qualità di Amministratori di Sistema, il cui elenco è mantenuto aggiornato e le cui funzioni attribuite sono opportunamente definite in appositi atti di nomina, è gestito un sistema di log management finalizzato al puntuale tracciamento delle attività svolte ed alla conservazione di tali dati con modalità inalterabili idonee a consentirne ex post il monitoraggio. L’operato degli Amministratori di Sistema è sottoposto ad attività di verifica in modo da controllarne la rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previsti dalle norme vigenti. Data Center – L’accesso fisico al Data Center è limitato ai soli soggetti autorizzati. Per il dettaglio delle misure di sicurezza adottate con riferimento ai servizi di data center erogati dai Responsabili Ulteriori del Trattamento, così come individuati nei DPA Condizioni Speciali, si fa rinvio alle misure di sicurezza indicate descritte dai medesimi Responsabili Ulteriori e rese disponibili nei relativi siti istituzionali ai seguenti indirizzi (o a quelli che saranno successivamente resi disponibili dai Responsabili Ulteriori): Per i servizi di Data Center erogati da Amazon Web Services: xxxxx://xxx.xxxxxx.xxx/xx/xxxxxxxxxx/xxxx-xxxxxx/xxxxxxxx/ Per i servizi di Data Center erogati da Microsoft: |
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE
B – Servizi Iaas
Misure di sicurezza organizzative | Certificazioni – il Fornitore ha ottenuto le seguenti certificazioni/attestazioni: • ISO/IEC 27001:2013: “Erogazione dei servizi di progettazione e gestione dell’infrastruttura ICT, di gestione delle applicazioni interne al Gruppo e di gestione dell’infrastruttura Cloud (IaaS)” • ISO/IEC 27018:2014 per la protezione dei dati personali nei servizi Public Cloud. Autorizzazione accessi logici – Il Fornitore definisce i profili di accesso nel rispetto del least privilege necessari all’esecuzione delle mansioni assegnate. I profili di autorizzazione sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. Tali profili sono oggetto di controlli periodici finalizzati alla verifica della sussistenza delle condizioni per la conservazione dei profili attribuiti. Utenze – Le utenze del servizio si scindono in utenze amministrative dell'infrastruttura di virtualizzazione e utenze amministrative della console di gestione dell’infrastruttura cloud TeamSystem Communication. Le VM sono configurate con modalità idonee a consentirne l’accesso unicamente a soggetti dotati di credenziali di autenticazione che ne consentono la loro univoca identificazione. |
Misure di sicurezza tecniche | Sicurezza linee di comunicazione- Per quanto di propria competenza, sono adottati dal Fornitore protocolli di comunicazione sicuri e in linea con quanto la tecnologia rende disponibile in relazione al processo di autenticazione. Change Management – Il Fornitore ha in essere una specifica procedura attraverso la quale regolamenta il processo di Change Management in considerazione dell'introduzione di eventuali innovazioni tecnologiche o cambiamenti della propria impostazione e della propria struttura organizzativa. Formazione: Il Fornitore eroga periodicamente ai propri dipendenti coinvolti nelle attività di trattamento corsi di formazione sulla corretta gestione dei dati personali. Protection from malware – Le VM sono protette contro il rischio di intrusione e dell'azione di programmi mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza periodica. Tutte le VM sono gestite tramite funzionalità antivirus (sia a livello hypervisor che infrastrutturale). Backup & Restore – Sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati. Ove previsto dagli accordi contrattuali, sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati. È comunque demandata al Titolare del trattamento la facoltà di eseguire autonomamente il backup dei propri dati per l'intera durata del contratto e per i 60 giorni successivi al termine dello stesso. Logging – I sistemi sono configurabili con modalità che consentono il tracciamento degli accessi e, ove appropriato, delle attività svolte in capo alle diverse tipologie di utenze (Amministratore, Super Utente, etc.) protetti da adeguate misure di sicurezza che ne garantiscono l’integrità. Firewall, IDS/IPS – I sistemi anti-intrusione, quali Firewall e IDS/IPS, sono posizionati all’interno del segmento di rete che collega l’infrastruttura cloud con Internet, al fine di intercettare ogni eventuale azione malevola volta a degradare, parzialmente o totalmente, l’erogazione del servizio. Nello specifico gli apparati adottati sono del tipo UTM SourceFire (Cisco), che includono sia la componente Firewall sia la componente IDS/IPS. Incident Management– Il Fornitore ha in essere una specifica procedura di Incident Management allo scopo di garantire il ripristino delle normali operazioni di servizio nel più breve tempo possibile, garantendo il mantenimento dei livelli migliori di servizio. Alta affidabilità – il Fornitore garantisce l’alta affidabilità nei seguenti termini: • L’architettura Server è basata sull’utilizzo della soluzione di virtualizzazione VMWare applicata mediante duplicazione fisica e virtuale dei singoli sistemi, al fine di garantire la tolleranza ai guasti e l’eliminazione dei single point of failure. In particolare in caso di failure di un sistema, il software di gestione dell’ambiente virtuale è in grado di ridistribuire le attività in corso verso gli altri |
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE
sistemi (high availabilty e load balancing), riducendo al minimo i disservizi e garantendo la persistenza delle connessioni esistenti. • Ciascun Server è attestato su una SAN mediante connessione iSCSI ad alta velocità. • Tutte le componenti dell’infrastruttura, tra i quali server, apparati di rete e sicurezza, sistemi Storage ed infrastruttura SAN, sono completamente ridondate per eliminare ogni single point of failure. • L’architettura di rete è progettata per proteggere i sistemi di front-end da Internet e dalle reti interne mediante l’utilizzo di una DMZ protetta da due livelli di firewalling distinti (defense-in-depth): un firewall di frontiera connesso ad Internet ed un secondo firewall, che integra anche funzionalità di Intrusion Prevention e antimalware, di proprietà dell’organizzazione, è messo a protezione della DMZ e dei sistemi di backend. Data center – L'ambiente di virtualizzazione (inclusa la SAN – Storage Area network) è presente su server ospitati in un data center sito in Italia la cui gestione è demandata ad un fornitore certificato ISO 27001. In particolare le misure di sicurezza fisica poste a protezione del Data Center sono di seguito elencate: • Perimetro di sicurezza esterno: • Recinzione perimetrale che delimita il confine di proprietà composta da una protezione passiva anti scavalcamento con altezza minima di 3 m; • Le aree esterne sono monitorate da barriere infrarossi e/o sistemi di videoanalisi e sistemi di videosorveglianza con videoregistrazione; • Accesso pedonale selettivo/singolo; • Accesso veicolare selettivo; • Ronda armata; • Perimetro di sicurezza interno: • Presidio di vigilanza per controlli aree interne ed esterne, supervisione; • Xxxxxxx, gestione visitatori con consegna badge in osservanza a disposizioni aziendali e specifiche per i Data Center; • Presidio di reception per la gestione degli accessi; • Xxxxxxxx a braccio triplice prospicienti al locale del presidio vigilanza e reception; • Perimetro di massima sicurezza interno: • Varco di accesso sala sistemi dotato di protezione passiva interbloccato; • Sistema di controllo accessi con gestione delle liste ABILITATI; • Sensori magnetici stato porta in grado di rilevare lo stato della porta; • Uscite d’emergenza dotate di sensori stato porta. Tutti gli allarmi sono remotizzati al presidio di vigilanza. |
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE
C – BUSINESS PROCESS OUTSOURCING (BPO)
Misure di sicurezza organizzative | Certificazioni – Il Fornitore ha ottenuto le seguenti certificazioni/attestazioni: • ISO/IEC 27001:2013: “Erogazione dei servizi di progettazione e gestione dell’infrastruttura ICT, di gestione delle applicazioni interne al Gruppo e di gestione dell’infrastruttura Cloud (IaaS)”. • ISO/IEC 27018:2014 per la protezione dei dati personali nei servizi Public Cloud. Policy e Disciplinari utenti – Sono in essere dettagliate policy e disciplinari, ai quali tutta l’utenza con accesso ai sistemi informativi ha l’obbligo di conformarsi, finalizzate a garantire comportamenti idonei ad assicurare il rispetto dei principi di riservatezza, disponibilità ed integrità dei dati nell’utilizzo delle risorse informatiche. Autorizzazione accessi logici – Il Fornitore definisce i profili di accesso nel rispetto del least privilege necessario all’esecuzione delle mansioni assegnate. I profili di autorizzazione sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. Tali profili sono oggetto di controlli periodici finalizzati alla verifica della sussistenza delle condizioni per la conservazione dei profili attribuiti. Gestione interventi di assistenza – Il Fornitore regolamenta la gestione degli interventi di assistenza allo scopo di garantire l’esecuzione delle sole attività disciplinate contrattualmente e impedire il trattamento eccessivo di dati personali la cui titolarità è in capo al Cliente o all’Utente Finale. Change Management – Il Fornitore ha in essere una specifica procedura attraverso la quale regolamenta il processo di Change Management in considerazione dell'introduzione di eventuali innovazioni tecnologiche o cambiamenti della propria impostazione e della propria struttura organizzativa. Valutazione d'impatto sulla protezione dei dati (DPIA) – In conformità agli artt. 35 e 36 del GDPR e sulla base del documento WP248 – Linee guida sulla valutazione d’impatto nella protezione dei dati adottate dal Gruppo di lavoro ex art. 29, il Fornitore ha predisposto una propria metodologia per l’analisi e la valutazione dei trattamenti che, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, presentino un rischio elevato per i diritti e le libertà delle persone fisiche allo scopo di procedere con la valutazione dell’impatto sulla protezione dei dati personali prima di iniziare il trattamento. Incident Management – Il Fornitore ha realizzato una specifica procedura di Incident Management allo scopo di garantire il ripristino delle normali operazioni di servizio nel più breve tempo possibile, garantendo il mantenimento dei livelli migliori di servizio. Data Breach – Il Fornitore ha implementato un’apposita procedura finalizzata alla gestione degli eventi e degli incidenti con un potenziale impatto sui dati personali che definisce ruoli e responsabilità, il processo di rilevazione (presunto o accertato), l’applicazione delle azioni di contrasto, la risposta e il contenimento dell’incidente / violazione nonché le modalità attraverso le quali effettuare le comunicazioni delle violazioni di dati personali al Cliente. |
Formazione: Il Fornitore eroga periodicamente ai propri dipendenti coinvolti nelle attività di trattamento, corsi di formazione sulla corretta gestione dei dati personali. | |
Misure di sicurezza tecniche | Alta affidabilità – Il Fornitore garantisce l’alta affidabilità nei seguenti termini: • L’architettura Server è completamente basata sull’utilizzo della soluzione di virtualizzazione VMWare applicata mediante duplicazione fisica e virtuale dei singoli sistemi, al fine di garantire la tolleranza ai guasti e l’eliminazione dei single point of failure. In particolare in caso di failure di un sistema, il software di gestione dell’ambiente virtuale è in grado di ridistribuire le attività in corso verso gli altri sistemi (high availabilty e load balancing), riducendo al minimo i disservizi e garantendo la persistenza delle connessioni esistenti. • Ciascun Server è attestato su una SAN mediante connessione iSCSI ad alta velocità. • Tutte le componenti dell’infrastruttura, tra i quali server, apparati di rete e sicurezza, sistemi Storage ed infrastruttura SAN, sono completamente ridondate per eliminare ogni single point of failure. • L’architettura di rete è progettata per proteggere i sistemi di front-end da Internet e dalle reti interne mediante l’utilizzo di una DMZ protetta da due livelli di firewalling distinti (defense-in-depth): un firewall di frontiera connesso ad Internet ed un secondo firewall, che integra anche funzionalità di Intrusion Prevention e antimalware, di proprietà dell’organizzazione, è messo a protezione della DMZ e dei sistemi di backend. Hardening – Sono in essere apposite attività di hardening finalizzate a prevenire il verificarsi di incidenti di sicurezza minimizzando le debolezze architetturali dei sistemi operativi, delle applicazioni e degli apparati di rete considerando - in particolare - le diminuzione dei rischi connessi alle vulnerabilità di sistema, la diminuzione dei rischi connessi al contesto applicativo presente sui sistemi e l’aumento dei livelli di protezione dei servizi erogati dai sistemi stessi. Firewall, IDS/IPS – I sistemi anti-intrusione, quali Firewall e IDS/IPS, sono posizionati all’interno del segmento di rete che collega l’infrastruttura cloud con Internet, al fine di intercettare ogni eventuale azione malevola volta a degradare, parzialmente o totalmente, l’erogazione del servizio. Nello specifico gli apparati adottati sono del tipo UTM SourceFire (Cisco), che includono sia la componente Firewall sia la componente IDS/IPS. Sicurezza linee di comunicazione - Per quanto di propria competenza, sono adottati dal Fornitore protocolli di comunicazione sicuri e in linea con quanto la tecnologia rende disponibile. Protection from malware – Le VM sono protette contro il rischio di intrusione e dell'azione di programmi mediante l'attivazione di idonei strumenti elettronici aggiornati con cadenza periodica. Tutte le VM sono gestite tramite funzionalità antivirus (sia a livello hypervisor che infrastrutturale). Credenziali di autenticazione – I sistemi sono configurati con modalità idonee a consentirne l’accesso unicamente a soggetti dotati di credenziali di autenticazione che ne consentono la loro univoca identificazione. Fra questi, codice associato a una |
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE
parola chiave, riservata e conosciuta unicamente dallo stesso; dispositivo di autenticazione in possesso e uso esclusivo dell’utente, eventualmente associato a un codice identificativo o a una parola chiave.. Parola chiave – Relativamente alle caratteristiche di base ovvero, obbligo di modifica al primo accesso, lunghezza minima, assenza di elementi riconducibili agevolmente al soggetto, regole di complessità, scadenza, history, valutazione contestuale della robustezza, visualizzazione e archiviazione, la parola chiave è gestita conformemente alle best practice. Ai soggetti ai quali sono attribuite le credenziali sono fornite puntuali istruzioni in relazione alle modalità da adottare per assicurarne la segretezza. Logging – I sistemi sono configurabili con modalità che consentono il tracciamento degli accessi e, ove appropriato, delle attività svolte in capo alle diverse tipologie di utenze (Amministratore, Super Utente, etc.) protetti da adeguate misure di sicurezza che ne garantiscono l’integrità. Backup & Restore – Sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati. È comunque demandata al Titolare la facoltà di eseguire autonomamente il backup dei propri dati per l'intera durata del contratto e per i 60 giorni successivi al termine dello stesso. Ove gli accordi contrattuali lo prevedono è posto in uso un piano di continuità operativa integrato, ove necessario, con il piano di disaster recovery i quali garantiscono la disponibilità e l’accesso ai sistemi anche nel caso di eventi negativi di portata rilevante che dovessero perdurare nel tempo. Vulnerability Assessment & Penetration Test – Il Fornitore effettua periodicamente attività di analisi delle vulnerabilità finalizzata a rilevare lo stato di esposizione alle vulnerabilità note, sia in relazione agli ambiti infrastrutturali sia a quelli applicativi, considerando i sistemi in esercizio o in fase di sviluppo. Ove ritenuto appropriato in relazione ai potenziali rischi identificati, tali verifiche sono integrate periodicamente con apposite tecniche di Penetration Test, mediante simulazioni di intrusione che utilizzano diversi scenari di attacco, con l’obiettivo di verificare il livello di sicurezza di applicazioni / sistemi / reti attraverso attività che mirano a sfruttare le vulnerabilità rilevate per eludere i meccanismi di sicurezza fisica / logica ed avere accesso agli stessi. I risultati delle verifiche sono puntualmente e dettagliatamente esaminati per identificare e porre in essere i punti di miglioramento necessari a garantire l’elevato livello di sicurezza richiesto. Amministratori di Sistema – Relativamente a tutti gli utenti che operano in qualità di Amministratori di Sistema, il cui elenco è mantenuto aggiornato e le cui funzioni attribuite sono opportunamente definite in appositi atti di nomina, è gestito un sistema di log management finalizzato al puntuale tracciamento delle attività svolte ed alla conservazione di tali dati con modalità inalterabili idonee a consentirne ex post il monitoraggio. L’operato degli Amministratori di Sistema è sottoposto ad attività di verifica in modo da controllarne la rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previsti dalle norme vigenti. |
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE
Data Center – L'ambiente di virtualizzazione (inclusa la SAN – Storage Area network) è presente su server ospitati in un data center sito in Italia la cui gestione è demandata ad un fornitore certificato ISO 27001. In particolare le misure di sicurezza fisica poste a protezione del Data Center sono di seguito elencate:
• Perimetro di sicurezza esterno:
✓ recinzione perimetrale che delimita il confine di proprietà composta da una protezione passiva anti scavalcamento con altezza minima di 3 m;
✓ le aree esterne sono monitorate da barriere infrarossi e/o sistemi di videoanalisi e sistemi di videosorveglianza con videoregistrazione;
✓ accesso pedonale selettivo/singolo;
✓ accesso veicolare selettivo;
✓ ronda armata.
• Perimetro di sicurezza interno:
✓ presidio di vigilanza per controlli aree interne ed esterne, supervisione;
✓ allarmi, gestione visitatori con consegna badge in osservanza a disposizioni aziendali e specifiche per i Data Center;
✓ presidio di reception per la gestione degli accessi;
✓ tornelli a braccio triplice prospicienti al locale del presidio vigilanza e reception.
• Perimetro di massima sicurezza interno:
✓ varco di accesso sala sistemi dotato di protezione passiva interbloccato;
✓ sistema di controllo accessi con gestione delle liste ABILITATI;
✓ sensori magnetici stato porta in grado di rilevare lo stato della porta;
✓ uscite d’emergenza dotate di sensori stato porta. Tutti gli allarmi sono remotizzati al presidio di vigilanza.
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE
D - BPI – BUSINESS PROCESS INSOURCING
Misure di sicurezza organizzative | Policy e Disciplinari utenti – Sono in essere dettagliate policy e disciplinari, ai quali tutta l’utenza con accesso ai sistemi informativi ha l’obbligo di conformarsi, finalizzate a garantire comportamenti idonei ad assicurare il rispetto dei principi di riservatezza, disponibilità ed integrità dei dati nell’utilizzo delle risorse informatiche. Autorizzazione accessi logici – Il Fornitore definisce i profili di accesso el rispetto del least privilege necessario all’esecuzione delle mansioni assegnate. I profili di autorizzazione sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. Tali profili sono oggetto di controlli periodici finalizzati alla verifica della sussistenza delle condizioni per la conservazione dei profili attribuiti. Data Breach – Il Fornitore ha implementato un’apposita procedura finalizzata alla gestione degli eventi e degli incidenti con un potenziale impatto sui dati personali che definisce ruoli e responsabilità, il processo di rilevazione (presunto o accertato), l’applicazione delle azioni di contrasto, la risposta e il contenimento dell’incidente / violazione nonché le modalità attraverso le quali effettuare le comunicazioni delle violazioni di dati personali al Cliente. Formazione: Il Fornitore eroga periodicamente ai propri dipendenti coinvolti nelle attività di trattamento corsi di formazione sulla corretta gestione dei dati personali. |
Misure di sicurezza tecniche | Sicurezza linee di comunicazione - Per quanto di propria competenza, sono adottati dal Fornitore protocolli di comunicazione sicuri e in linea con quanto la tecnologia rende disponibile in relazione al processo di autenticazione. Backup & Restore – Ove previsto dagli accordi contrattuali, sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati. |
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE
E – ON PREMISES
Misure di sicurezza organizzative | Policy e Disciplinari utenti – Sono in essere dettagliate policy e disciplinari, ai quali tutta l’utenza con accesso ai sistemi informativi ha l’obbligo di conformarsi, finalizzate a garantire comportamenti idonei ad assicurare, in fase di assistenza tecnica, il rispetto dei principi di riservatezza, disponibilità ed integrità dei dati nell’utilizzo delle risorse informatiche. Autorizzazione accessi logici – Il Fornitore definisce i profili di accesso nel rispetto del least privilege necessario all’esecuzione delle mansioni assegnate. I profili di autorizzazione sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. Tali profili sono oggetto di controlli periodici finalizzati alla verifica della sussistenza delle condizioni per la conservazione dei profili attribuiti. Gestione interventi di assistenza – Il Fornitore regolamenta la gestione degli interventi di assistenza allo scopo di garantire l’esecuzione delle sole attività previste contrattualmente e impedire il trattamento eccessivo di dati personali la cui titolarità è rivestita dal Cliente. Incident Management & Data Breach – Il Fornitore ha implementato un’apposita procedura finalizzata alla gestione degli eventi e degli incidenti con un potenziale impatto sui dati personali che definisce ruoli e responsabilità, il processo di rilevazione (presunto o accertato), l’applicazione delle azioni di contrasto, la risposta e il contenimento dell’incidente / violazione nonché le modalità attraverso le quali effettuare le comunicazioni delle violazioni di dati personali al Cliente. Formazione: Il Fornitore eroga periodicamente ai propri dipendenti coinvolti nelle attività di trattamento corsi di formazione sulla corretta gestione dei dati personali |
Misure di sicurezza tecniche | Sicurezza linee di comunicazione- Per quanto di propria competenza, in fase di gestione di interventi di assistenza, sono adottati dal Fornitore protocolli di comunicazione sicuri e in linea con quanto la tecnologia rende disponibile. Protection from malware– Le postazioni di lavoro adottate in fase di Assistenza tecnica, sono protette contro il rischio di intrusione e dell'azione di programmi mediante l'attivazione di idonei strumenti elettronici aggiornati con cadenza periodica. Tutte le VM sono gestite tramite funzionalità antivirus (sia a livello hypervisor che infrastrutturale). |
Amministratori di Sistema – Relativamente a tutti gli utenti che operano in qualità di Amministratori di Sistema, il cui elenco è mantenuto aggiornato e le cui funzioni attribuite sono opportunamente definite in appositi atti di nomina, è gestito un sistema di log management finalizzato al puntuale tracciamento delle attività svolte ed alla conservazione di tali dati con modalità inalterabili idonee a consentirne ex post il monitoraggio. L’operato degli Amministratori di Sistema è sottoposto ad attività di verifica in modo da controllarne la rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previsti dalle norme vigenti. |
SOLUZIONI SOFTWARE E SERVIZI PER PROFESSIONISTI E AZIENDE