Condizioni Contrattuali - Servizio Cloud Share/SDS Drive
Condizioni Contrattuali - Servizio Cloud Share/SDS Drive
1. Premesse
Every Software Solutions S.r.l., società con sede legale in Xxxxxx (XX), xxx Xxxxxxxx Xxxxxxxx 00/0 Codice Fiscale e Partita IVA 054693309626, (di seguito: “EVERY SWS”) ha sviluppato una piattaforma digitale (il Servizio Share/*) che rende disponibile ai suoi Clienti in modalità Cloud (Software-as-a-Service) e che permette di archiviare, ricercare, trattare e distribuire (mediante vari canali) documenti e file digitali.
Il servizio Share/SDS Drive (di seguito: “Servizio”) è un servizio
Cloud, ottenuto mediante una specifica configurazione di Share/
*, specializzato per le attività di archiviazione, ricerca, distribuzione interna delle SDS (Schede Dati di Sicurezza) ricevute in azienda.
Per specifiche configurazioni, in particolare per l’archiviazione delle SDS ricevute dai propri fornitori mediante il servizio di consegna delle SDS denominato Share/SDS Delivery e/o per l’archiviazione autonoma di limitati volumi di documenti comunque ricevuti, Share/SDS Drive, nella versione “Start”, viene reso disponibile a titolo gratuito a quelle aziende che intendono utilizzarlo per esigenze connesse alla propria attività.
Per utilizzi più estensivi, a fronte di corrispettivi sono anche disponibili configurazioni commerciali di Share/SDS Drive, denominate “Pro”, “Business”, “Enterprise” e “Corporate”. Resta comunque inteso che il passaggio da una versione gratuita a una onerosa può avvenire solo mediante la sottoscrizione di uno specifico ordine da parte dell’azienda Cliente ed EVERY SWS garantisce che non è previsto alcun automatismo di passaggio dalla versione gratuita a quella a pagamento.
2. Oggetto
2.1 Le presenti Condizioni Contrattuali (di seguito: “Condizioni Contrattuali”) disciplinano la fornitura da parte di EVERY SWS del Servizio alle aziende utilizzatrici, identificate con i dati che avranno fornito al momento dell’accettazione delle Condizioni Contrattuali (di seguito: nella loro pluralità, “Clienti” e singolarmente “Cliente”).
2.2 Le Condizioni Contrattuali si rivolgono esclusivamente a persone fisiche o giuridiche che agiscono per scopi inerenti la propria attività professionale, artigianale o d’impresa e comunque possessori di partita IVA e possono essere accettate solo da persone che siano in possesso dei necessari poteri per l’assunzione di impegni in nome e per conto del Cliente. Il Cliente è responsabile della completezza e veridicità delle informazioni fornite a EVERY SWS anche ai sensi e per gli effetti di cui al D.P.R. n. 445/2000 e s.m.i. e si impegna altresì a comunicare a EVERY SWS eventuali errori, omissioni, o variazioni dei dati forniti per tutto il periodo contrattuale.
2.3 Per tutta la durata delle Condizioni Contrattuali, come meglio determinata all’articolo 11 che segue, EVERY SWS concede al Cliente un diritto non esclusivo, non trasferibile, senza limitazioni territoriali, di accedere ed utilizzare il Servizio, esclusivamente nell’ambito della propria attività interna di business e in conformità a quanto previsto nelle Condizioni Contrattuali.
2.4 Il Cliente accederà al Servizio mediante credenziali di autenticazione che egli sceglierà autonomamente o che gli verranno attribuite da parte di EVERY SWS. In quest’ultimo caso,
Contractual Terms - Cloud service Share/SDS Drive
1. Whereas
Every Software Solutions Srl, a company with registered office in Xxxxx (XX), Xxx Xxxxxxxx Xxxxxxxx 00/0, Tax number and VAT number 054693309626, (hereinafter: "EVERY SWS") has developed a digital platform (Share service/*) which is available to its Customers in Cloud (Software-as-a-Service), and allows to store, search, process and distribute (through different channels) digital documents and files.
The service Share/SDS Drive (hereinafter: "Service") is a Cloud service, obtained through a specific Share/* configuration, dedicated to activities of storage, research, internal distribution of SDS (Safety Data Sheet) received at the company.
For specific configurations, in particular for the storage of SDS received by its suppliers, by means of the SDS delivery service called Share/SDS Delivery and/or for the self-archiving of limited volumes of documents otherwise received, Share/SDS Drive, in "Start" version, is made available free of charge to those companies wishing to use it for reasons related to business activities.
For more extensive use, against payments are also available commercial configurations of Share/SDS Drive, called "Pro", "Business", "Enterprise" and "Corporate". The transition from a free version to a paid one, can only happen through the subscription of a specific order by the customer, and EVERY SWS ensures that no automatic switch from the free version to the paid version is provided.
2. Purpose
2.1 These Terms and Conditions (hereinafter: "Contract Terms") govern the provision of the Service, by EVERY SWS to the companies, identified by means of data provided at the time of acceptance of the Contract Terms (hereinafter jointly, "Customers" and severally "Customer").
2.2 Contract Terms cater exclusively to natural or legal persons acting for purposes related to their professional activities, trade or business, in any case with a VAT number and can only be accepted by persons duly empowered to undertake in the name and on behalf of the Customer. Customer is responsible for the completeness and accuracy of information provided to EVERY SWS also under and for the purposes set out in Presidential Decree n. 445/2000 and subsequent amendments and also undertakes to communicate to EVERY SWS any errors, omissions, or changes in the data provided throughout the contract period.
2.3 For the duration of the Contract Terms, as further specified in Article 11 below, EVERY SWS grants the Customer a non- exclusive, non-transferable, without territorial limitations, right to get access and use the Service solely in the context of its internal business and in accordance with the provisions in the Contract Terms.
2.4 The customer will access the service through authentication details that it will choose independently or that will be allotted by EVERY SWS. In the latter case, at the first access, the
al primo accesso, il Cliente dovrà impostare una nuova password, che sarà conosciuta solo da lui. Il Cliente potrà facoltativamente impostare anche un suo User-ID diverso da quello assegnatogli. Il Cliente sarà responsabile della custodia e dell’utilizzo di tali credenziali, che verranno utilizzate sotto la sua esclusiva responsabilità.
2.5 Le Condizioni Contrattuali dovranno essere accettate e saranno vincolanti, in quanto compatibili, anche in ipotesi di offerta di versioni gratuite del Servizio (qualora disponibili) o di concessione di periodi di “Try&Buy”, normalmente concessi per un massimo di 30 (trenta) giorni.
2.6 Il Servizio verrà erogato da EVERY SWS tramite infrastrutture tecnologiche hardware e software nella disponibilità di EVERY SWS e aventi sede sul territorio dell’Unione Europea.
3. Obblighi e responsabilità del Cliente
b) vigilare affinché il Servizio venga utilizzato solo da soggetti da lui autorizzati e sottoposti al suo diretto controllo e potere gerarchico e disciplinare, assumendosi al riguardo ogni responsabilità;
c) non divulgare, direttamente o indirettamente anche tramite il proprio personale, password e/o User-ID di accesso al Servizio, impedendo quindi che vengano utilizzati impropriamente o indebitamente e comunque rimanendo responsabile per ogni uso degli stessi;
d) non porre in essere alcuna azione che possa compromettere la sicurezza di sistemi e/o apparati cui il Cliente abbia accesso tramite il Servizio;
e) comunicare per iscritto a EVERY SWS il cambiamento dei propri dati identificativi e, in particolare, dei dati relativi alla sede legale e/o altra sede ai fini della fatturazione (ove applicabile) riconoscendo sin da ora che tutte le comunicazioni inviate da EVERY SWS all’ultimo indirizzo reso noto dal Cliente si reputeranno da questi ricevute e conosciute.
3.2 il Cliente garantisce la legittima disponibilità dei dati e/o delle informazioni ed in via generale dei contenuti che andrà a caricare sulla e/o utilizzare tramite la piattaforma messa a disposizione da EVERY SWS ai fini della erogazione del Servizio, assumendosi in via esclusiva ogni responsabilità. Il Cliente riconosce altresì che EVERY SWS non è in grado di esercitare alcun controllo in ordine ai contenuti ed alle informazioni trasmesse e/o ricevute e/o memorizzate dal Cliente attraverso il Servizio e/o sulla piattaforma messa a disposizione da EVERY SWS.
3.3 Il Cliente si impegna a manlevare e tenere indenne EVERY SWS per ogni contestazione stragiudiziale od azione giudiziaria che dovesse essere proposta da terzi relativamente a pretese violazioni delle leggi nazionali o internazionali commesse dal Cliente o con il concorso di quest'ultimo tramite e/o nell’utilizzazione del Servizio. Il Cliente si impegna ad informare tempestivamente per iscritto EVERY SWS qualora una tale contestazione od azione dovesse essere proposta nei suoi confronti, e comunque dovrà assumere a proprio carico la
customer must set a new password, known only to the same. The customer can also optionally set up a User-ID other than the one allocated. The customer will be responsible for the safekeeping and use of these credentials, which will be used under its sole responsibility.
2.5 Contract Terms will be accepted and binding, as these are compatible, even if free versions of the service (if available) or granting of periods of "Try & Buy", usually for a maximum of 30 (thirty) days, are offered.
2.6 The Service will be provided by EVERY SWS through technological infrastructure hardware and software available to EVERY SWS and established within the European Union.
3. Customer Responsibilities
3.1 By accepting the Contract Terms, the Customer shall:
a) use the Service in accordance with applicable laws and regulations, and respecting the rights of EVERY SWS and third parties, carefully following Contract Terms and technical instructions that may be issued by EVERY SWS;
b) ensure that the service is used only by authorized persons, under its direct control, hierarchical and disciplinary authority, taking in this regard any liability;
c) not to disclose, directly or indirectly, through its own staff, password or User-ID to access the service, thus preventing them being used improperly or unduly and still remaining responsible for any use of the same;
d) not engage in any action that could compromise the security of systems and/or equipment the customer has access to through the Service;
e) communicate in writing to EVERY SWS the change of its identification data and, in particular, the data relating to the registered office or the headquarters for invoicing purposes (if applicable) recognizing from the outset that all communications sent by EVERY SWS to the last address disclosed by the Customer, are deemed to be received.
3.2 The Customer guarantees the legitimate availability of the data or information, and in general of the contents uploaded or used through the platform made available by EVERY SWS, for the purposes of service delivery, assuming exclusive responsibility. The Customer also acknowledges that EVERY SWS is unable to exercise any control in regard to the content and information transmitted, received or stored by the Customer through the Service or on the platform made available by EVERY SWS.
3.3 The Customer agrees to indemnify and hold harmless EVERY SWS any claims or action, in or out of court that may be brought by third parties in respect of alleged infringements of national or international laws perpetrated by the Customer or with the consent of the latter through or by using the Service. The Customer undertakes to inform in writing EVERY SWS if such a complaint or action should be brought against him, and in any case will have to undertake the management of any dispute, supporting all costs and charges, even if the complaint is proven
gestione dell'eventuale lite sostenendone tutti i costi ed oneri, anche nell'ipotesi in cui la contestazione o l'azione si dimostrino successivamente infondate.
3.4 Il Cliente si impegna a manlevare e tenere indenne EVERY SWS da ogni perdita, costo, onere e/o conseguenza pregiudizievole dovesse derivarle da azioni e pretese fatte valere da terzi nei confronti di quest'ultima, in dipendenza od in connessione con inadempimenti del Cliente alle obbligazioni derivanti dalle Condizioni Contrattuali o comunque riguardanti atti o fatti che attengono alla sfera del Cliente medesimo.
4. Diritti di proprietà e restrizioni
4.1 Tutti i diritti di proprietà, anche intellettuale, sul software, sul Servizio e sui loghi, marchi e qualsivoglia segno distintivo di EVERY SWS o di terzi restano di esclusiva titolarità di EVERY SWS o dei terzi che ne sono proprietari.
4.2 E’ fatto divieto al Cliente di:
a) concedere in sub-licenza, cedere, trasferire in tutto o in parte, vendere, concedere in locazione, sfruttare a fini commerciali o comunque rendere disponibile il Servizio a terzi;
4.3 Il Cliente detiene tutti i diritti di proprietà, anche intellettuale, su qualsiasi anagrafica, indirizzo, file, documento digitale e, in generale, qualunque altro dato o informazione da lui gestita mediante il Servizio (di seguito, complessivamente: “Materiali del Cliente”).
4.4 EVERY SWS si impegna a non fare alcun uso dei Materiali del Cliente diverso da quello previsto per l'erogazione del Servizio e a non mantenerne copia, salvo quella indispensabile all'esecuzione del Servizio e alle condizioni e nei limiti previsti dalla normativa vigente.
5. Sospensione del Servizio
5.1 In caso di guasti, vizi, difetti, malfunzionamenti a uno o più elementi dell’infrastruttura, anche se dovuti a caso fortuito, forza maggiore o comunque ad atti o fatti al di fuori del controllo di EVERY SWS, nonché in caso di emergenze o minacce relative alla sicurezza del Servizio, EVERY SWS potrà sospendere il Servizio, anche senza alcun preavviso al Cliente, per il tempo strettamente necessario al Suo corretto ripristino.
5.2 Fatta salva l’applicazione del successivo articolo 10, EVERY SWS si riserva il diritto di sospendere il Servizio, ove vi siano fondate ragioni di ritenere che il Servizio sia utilizzato da terzi non autorizzati o vi sia fondato motivo di ritenere che il Servizio venga utilizzato illecitamente e/o illegalmente da parte del Cliente e/o dei suoi collaboratori e/o incaricati, riservandosi peraltro il diritto di agire, anche in sede legale, per la tutela dei suoi diritti ed il risarcimento di ogni eventuale danno, sia diretto che indiretto, inclusi eventuali danni alla sua reputazione e a quella del Servizio.
5.3 Fatta eccezione per le ipotesi in cui EVERY SWS ritenga necessaria una sospensione immediata, EVERY SWS fornirà al Cliente un ragionevole preavviso prima di sospendere il Servizio.
5.4 EVERY SWS, con preavviso minimo di 3 giorni da comunicarsi al Cliente con le modalità di cui al successivo articolo 18, potrà
groundless.
3.4 The Customer agrees to indemnify and hold harmless EVERY SWS for all losses, costs, charges and / or damaging consequences that may be caused by actions and claims made by third parties in respect of the latter, depending on or in connection with the Customer's failure to perform obligations arising from the contract terms or in any case related to acts or facts which depend on the Customer.
4. Property Rights and limitations
4.1 All property rights, including intellectual property, software, service and logos, trademarks and any specific brand of EVERY SWS or third parties, are owned by EVERY SWS or third parties who are owners.
4.2 The Customer is forbidden to:
a) sublicense, assign, transfer, in whole or in part, sell, lease, commercially exploit or otherwise make available the Service to third parties;
b) modify, make derivative works, reproduce, distribute, decompile or perform reverse engineering all or part of what is derived from the Service, subject to the mandatory legal limits;
4.3 The customer retains all property rights, including intellectual property, any personal details, address, files, digital document and, in general, any other data or information managed by means of the Service (hereafter, collectively, "Customer Materials").
4.4 EVERY SWS undertakes not to make any use of the Customer Materials other than that provided for the supply of the Service and not to keep a copy, except those essential to the performance of the Service and subject to the conditions and limits provided by law.
5. Service in abeyance
5.1 In the event of faults, defects, malfunctions in one or more elements of the infrastructure, although due to unforeseeable circumstances, force majeure or acts or events beyond the control of EVERY SWS as well as in case of emergencies or threats related to the security of the Service, EVERY SWS is entitled to stop the Service, without prior notice to Customer, for the time strictly necessary for the proper recovery.
5.2 Save as otherwise provided in article 10 below, EVERY SWS is entitled to stop the Service, where there are reasonable grounds to believe that the Service is used by an unauthorized third party or there is reason to believe that the Service is being used unlawfully or illegally by the Customer or its employees. EVERY SWS has the right to bring action, even in court, for the protection of its rights and compensation for any damage, whether direct or indirect, including damage to its reputation and to that of the Service.
5.3 Except for cases in which EVERY SWS require an abrupt withdrawal, EVERY SWS will provide the Customer reasonable notice before stopping the Service.
5.4 With a minimum of 3 (three) days written notice to the Customer in the manner set forth in Article 18, EVERY SWS is
sospendere il Servizio per permettere lo svolgimento di attività di manutenzione pianificata.
6. Garanzie
a) il Servizio sia conforme alle aspettative del Cliente o risponda allo scopo specifico da questi perseguito;
b) il Servizio funzioni senza interruzioni, tempestivamente o sia privo di errori;
c) qualsiasi errore nel software sotteso alla erogazione del Servizio e/o nel Servizio stesso venga tempestivamente corretto e/o rimosso.
6.2 Il Cliente riconosce ed accetta espressamente che l’utilizzo del Servizio avviene a propria esclusiva discrezione e a proprio esclusivo rischio.
7. Limitazioni di responsabilità
7.1 EVERY SWS sarà responsabile per ogni danno causato con dolo o colpa grave.
7.2 Fermi restando i limiti inderogabili di legge e quanto previsto al comma che precede, il limite massimo di responsabilità di EVERY SWS per qualsiasi danno, a qualsiasi titolo derivato al Cliente o a terzi in connessione o in esecuzione alle Condizioni Contrattuali, non potrà complessivamente eccedere gli importi pagati dal Cliente stesso per il Servizio nei 12 (dodici) mesi precedenti al verificarsi dell’evento che dà luogo a responsabilità.
7.3 EVERY SWS non si assume alcuna responsabilità per danni indiretti (ivi inclusi, a mero titolo esemplificativo e non esaustivo, perdite di profitti, interruzioni dell’attività, mancato guadagno) né per la perdita o l’impossibilità di accedere o usare i dati e/o le informazioni e per qualunque altra perdita economica, subiti dal Cliente e/o da terzi derivanti dall’uso e/o dal mancato uso del Servizio.
8. Servizio di assistenza Clienti
8.1 EVERY SWS si impegna a fornire un servizio di assistenza tecnica per segnalazioni legate al corretto funzionamento del Servizio in conformità a quanto previsto nelle sue specifiche.
8.2 Tale servizio è disponibile dal Lunedì al Venerdì in orario d'ufficio (09.00-13.00 / 14.00-18.00, ora Italiana), esclusi festivi, e può essere richiesto dal Cliente:
i) per l’intera durata contrattuale, tramite il Form richiamabile dal Portale di Gestione del Servizio, con presa in carico del problema entro 4 ore lavorative;
ii) durante il primo mese di Servizio, tramite chiamata telefonica diretta al Centro di Supporto, con presa in carico del problema entro 4 ore lavorative.
8.3 Il servizio di assistenza viene erogato a un utente del Cliente
entitled to stop the Service to allow the execution of planned maintenance activities.
6. Warranties
6.1 EVERY SWS represents and warrants that the Service provided is not affected by defects which exclude or significantly decrease its potential use in relation to its description made available to EVERY SWS upon activation of the Service. In any case, the Service is provided by EVERY SWS "as is" and "as available". To the extent permitted by any mandatory legal provisions, EVERY SWS provides no additional warranties, express or implied. In particular, EVERY SWS does not guarantee that:
a) the Service meets the expectations of the customer or responds to the specific aim pursued;
b) the Service works without interruption, timely, or is free of errors;
c) any error in software, underlying the provision of the Service
or in the Service, is promptly corrected and/or removed.
6.2 Customer acknowledges and expressly agrees that the use of the Service is at its sole discretion and at its own risk only.
7. Limitations of liability
7.1 EVERY SWS will be responsible for any damage caused by willful misconduct or gross negligence.
7.2 Without prejudice to the extent required by law and the provisions of the preceding paragraph, the maximum limit of liability of EVERY SWS for any damages, in any capacity, caused to the Customer or to third parties in connection in Contract Terms, shall not exceed in aggregate the amounts paid by the Customer for the Service in the 12 (twelve) months prior to the occurrence of the event giving rise to the liability.
7.3 EVERY SWS does not accept any liability for consequential damages (including, by way of example and without limitation, business interruption, loss of profits or earnings) nor for the loss of or inability to get access or use the data and/or information and for any other economic loss suffered by the Customer and/ or third parties arising from the use and/or inability to use the Service.
8. Customer service
8.1 EVERY SWS is committed to provide a service of technical assistance, for alerts related to the proper functioning of the Service in accordance with the provisions in its specifications.
8.2 This service is available Monday to Friday during business hours (9:00 to 13:00 / 14:00 to 18:00, Italian time), excluding holidays, and may be required by the customer:
i) for the entire contract period, using the template on the Service Management Portal, with taking charge of the problem within 4 working hours;
ii) during the first month of Service, via direct phone call to the Service Centre, with taking charge of the problem within 4 working hours.
8.3 The service is delivered to a user of the customer, which has
che sia stato identificato e comunicato a EVERY SWS come incaricato della gestione del Servizio (di seguito: “Focal Point”). Sarà onere del Cliente informare EVERY SWS di eventuali cambiamenti dell’incaricato. Il servizio non comprende interventi richiesti da utenti diversi dal Focal Point comunicato.
9. Modifiche alle Condizioni Contrattuali
EVERY SWS potrà modificare, aggiornare o variare le Condizioni Contrattuali e/o le modalità tecniche di erogazione del Servizio, dandone comunicazione scritta al Cliente, con le modalità di cui al successivo articolo 18, con preavviso di almeno 90 (novanta) giorni di calendario. In tal caso il Cliente, qualora non dovesse accettare la variazione, avrà diritto di fare cessare gli effetti delle Condizioni Contrattuali dandone comunicazione a EVERY SWS, con le modalità di cui al successivo articolo 18, nel termine di 60 (sessanta) giorni di calendario dalla data di ricezione della comunicazione di variazione. In tal caso, il Cliente avrà diritto alla restituzione di eventuali somme versate proporzionalmente alla quota parte di Servizio eventualmente non fruito e senza che nulla a qualunque titolo, anche risarcitorio, debba ulteriormente essere versato al Cliente. In caso di mancata comunicazione di rifiuto della variazione da comunicarsi a EVERY SWS nel termine previsto nel presente articolo, la variazione si intenderà accettata dal Cliente.
10. Clausola risolutiva espressa
EVERY SWS si riserva il diritto di dichiarare risolte le Condizioni Contrattuali, ai sensi e per gli effetti di cui all’art. 1456 c.c. con semplice comunicazione scritta, qualora il Cliente si renda inadempiente anche ad una sola delle obbligazioni previste ai seguenti articoli: 2.2; 2.3; 3; 4.2.
11. Durata e recesso
11.1 Le Condizioni Contrattuali avranno durata indeterminata. In ogni momento ciascuna parte potrà recedere senza alcun costo dalle Condizioni Contrattuali con preavviso di 90 (novanta) giorni comunicato per iscritto all’altra parte.
11.2 In ipotesi di concessione di periodi gratuiti di prova “Try&Buy”, il Cliente potrà recedere dalle Condizioni Contrattuali in qualsiasi momento, senza alcun costo e senza alcun obbligo di preavviso.
11.3 Trascorsi 90 (novanta) giorni di non utilizzo di un ambiente rilasciato a titolo gratuito, EVERY SWS si riserva il diritto di revocare le credenziali di accesso al Servizio e, trascorsi ulteriori 30 (trenta) giorni, di annullare permanentemente le utenze del Cliente e cancellare definitivamente i Materiali del Cliente.
12. Restituzione dei Materiali del Cliente
12.1 In ogni ipotesi di cessazione o di termine del Servizio, per qualsiasi causa intervenuta, il Cliente (posto che – ove applicabile – sia in regola con il pagamento dei corrispettivi dovuti fino a quel momento) ha il diritto di ricevere, a semplice richiesta e senza che possa essere richiesto alcun corrispettivo per questa attività, l’estratto di tutti i Materiali del Cliente memorizzati attraverso il Servizio.
12.2 In particolare, i Materiali del Cliente e i relativi dati saranno consegnati nei seguenti formati:
• i Materiali: in una directory in formato NTSF contenente i singoli file, con il nome originario congiunto a un suffisso composto da data e ora di pubblicazione (per poter gestire
been identified and communicated to EVERY SWS as responsible of the Service management (Hereinafter: "Focal Point"). The Customer shall be responsible to inform EVERY SWS of any changes related to the responsible. The service does not include interventions required by user, other than the Focal Point.
9. Amendments to Contract Terms
EVERY SWS may amend, update or alter contract terms or technical mode of Service delivery, in writing to the customer, in the manner set forth in Article 18, with advance notice of at least ninety (90) calendar days. In this case the customer, should not accept the change, will be entitled to terminate the effects of Contract Terms by notifying EVERY SWS, in the manner set forth in Article 18, within a period of sixty (60) calendar days from the date of receipt of the notice of change. In this case, the customer will be entitled to a refund of any sums paid in proportion to the part of Service not delivered, and without anything in any way, even compensation, should further be paid to the Customer. In case of failure to disclose refusal of the change, to be addressed to EVERY SWS within the period provided in this Article, the change shall be deemed accepted by the Customer
10. Waiver clause
EVERY SWS is entitled to terminate the Contract Terms, pursuant to and for the purposes of Art. 1456 civil code with written notice, if the customer fails to meet even one of the obligations provided for in the following articles: 2.2; 2.3; 3; 4.2.
11. Term and Termination
11.1 The Conditions of Contract will have indefinite term. At any time either party may terminate Contract Terms at no cost, with prior written notice of ninety (90) days to the other party.
11.2 In case of grant of free trial "Try & Buy" periods, the customer can withdraw from the Contract Terms at any time, at no cost and without any prior notice.
11.3 After 90 (ninety) days of non-use of a slot granted free of charge, EVERY SWS is entitled to revoke the login credentials and after additional 30 (thirty) days, to permanently cancel utilities of the Customer and delete Customer Materials.
12. Return of Customer Materials
12.1 In case of term or termination of the Service, for any reason, the Customer (provided that - where applicable - it has duly paid the fees due until that moment) is entitled to receive, upon request and without any compensation for this activity, the extract of all Customer Materials stored through the Service.
12.2 In particular, Customer Materials and its data will be delivered in the following formats:
• Materials: a NTSF directory containing individual files with the original name, joined to a suffix consisting of the date and time of publication (in order to manage even the cases
anche i casi di file con nomi non unici);
• i Dati indice: in file in formato “csv”, con delimitatore dichiarato, ove il primo record contiene il nome dei dati estratti.
12.3 Decorsi 30 giorni dalla cessazione o termine del Servizio, in assenza di specifiche richieste effettuate dal Cliente, EVERY SWS provvederà alla rimozione e alla cancellazione definitiva dei Materiali del Cliente dalle proprie infrastrutture.
13. Comunicazione degli incidenti di sicurezza
EVERY SWS si impegna a comunicare al Cliente prontamente, ed in ogni caso entro 72 ore, ogni incidente di sicurezza di cui sia venuta a conoscenza. Ai fini del presente articolo, per incidente di sicurezza si intende ogni violazione della sicurezza che comporti anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso ai dati personali e alle informazioni riservate, così come definite al successivo articolo 15. EVERY SWS: i) indagherà sulle cause dell’incidente di sicurezza; ii) fornirà al Cliente un report dettagliato con la descrizione dell’incidente di sicurezza e dei dati interessati dallo stesso.
14. Divulgazione del Materiale del Cliente
Salvo quanto necessario per l’erogazione del Servizio, EVERY SWS non divulgherà i Materiali del Cliente all’esterno salvo che: i) non vi sia un obbligo di legge in tale senso; ii) la divulgazione avvenga su richiesta o con il consenso del Cliente. EVERY SWS darà immediata comunicazione al Cliente di ogni richiesta di divulgazione del Materiale del Cliente proveniente da un’autorità giudiziaria o di polizia, salvo che non vi osti un espresso divieto di legge o un provvedimento dell’autorità.
15. Riservatezza
15.1 EVERY SWS si impegna, per sé, per il proprio personale e per gli eventuali collaboratori esterni impiegati durante lo svolgimento delle attività di cui alle Condizioni Contrattuali, a mantenere la massima riservatezza su ogni informazione riservata (di seguito: “Informazioni Riservate”) delle quali dovesse avere conoscenza in conseguenza o in occasione del Servizio Per Informazioni Riservate si intendono tutte quelle che riportino, nella relativa documentazione, la dicitura “Riservata”, “Confidenziale” o altre indicazioni equivalenti. Vengono inoltre considerate come Riservate tutte le informazioni commerciali sulla clientela ed i dati economici, finanziari e relativi al personale del Cliente. Non potranno essere considerate come Riservate tutte le informazioni che sono, o divengano, di pubblico dominio.
15.2 Fermo quanto previsto al comma 15.1 che precede, EVERY SWS si riserva il diritto di citare il Cliente e di utilizzarne i marchi, i loghi e qualsivoglia altro segno distintivo, solo ed esclusivamente per finalità di referenza commerciale, salvo espressa negazione di tale diritto che il Cliente potrà effettuare, per iscritto, in ogni momento.
16. Trattamento dei dati personali del Cliente
16.1 In relazione alle attività connesse all’esecuzione delle Condizioni Contrattuali e del Servizio, le parti si conformano, ognuna per quanto di propria competenza, alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (cd. GDPR) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati
of files with non-unique names);
• Data index: "csv" file, with declared delimiter where the first
record contains the name of the data extracted.
12.3 After 30 days from the termination or the end of the Service, if no specific requests is issued by the customer, EVERY SWS will remove and permanently delete Customer Materials from its infrastructure.
13. Reporting of security incidents
EVERY SWS is committed to inform the Customer promptly, and in any case within 72 hours, any security incident of which it became aware. For the purposes of this Article, security incident means any breach of security that results in even accidental destruction, loss, alteration, unauthorized disclosure or access to personal data and confidential information, as defined in the next Article 15. EVERY SWS: i) will investigate the causes of security incidents; ii) will provide the Customer with a detailed report containing the description of the incident to security and data affected by the same.
14. Customer Material Disclosure
Except as required for the provision of the Service, EVERY SWS will not disclose Customer Materials outside except that: i) there is a legal requirement to that effect; ii) the dissemination is made upon request or with the consent of the customer. EVERY SWS will immediately notify the Customer of any request for disclosure of of Customer Material from a court or police authorities, unless there is an explicit prohibition by law or an authority order.
15. Confidentiality
15. EVERY SWS is committed, for itself, for its staff and for any independent contractors employed when carrying out the activities referred to the Terms and Conditions, to maintain the strictest confidentiality of any confidential information (hereinafter "Confidential Information") of which becomes aware as a result of or during the Service. Confidential Information means all those marked in the related documentation, as "Confidential", or with other equivalent details. Confidential are also considered all relevant business information about customers and the economic, financial data related to the Customer's personnel. Confidential cannot be deemed any information that is, or becomes, public.
15.2 Subject to the provisions of paragraph 15.1 above, EVERY SWS has the right to quote the Customer and to use the trademarks, logos and any other distinctive sign, solely for purposes of commercial reference, unless an express denial of this right that the customer may exercise, in writing, at any time.
16. Customer personal data processing
16.1 Regarding the activities related to the execution of the Contract Terms and the Service, the Parties shall comply, each within its respective competence, with the provisions of the Regulation (EU) 2016/679 of European Parliament and of the Council on 27 April 2016 (GDPR) concerning protection of individuals with regard to the processing of personal data and
personali, nonché ad ogni altra disposizione di legge o di regolamento applicabile al proprio settore di attività. Resta espressamente inteso che è onere del Cliente valutare l’idoneità del Servizio rispetto alle proprie esigenze di conformità a leggi o regolamenti ad esso applicabili. EVERY SWS dichiara di adottare tutte le misure tecniche ed organizzative adeguate per garantire al Servizio un livello di sicurezza appropriato alla natura dei dati trattati e alle specifiche caratteristiche del Servizio. Qualora il Cliente richiedesse a EVERY SWS eventuali misure aggiuntive, i relativi costi saranno a carico del Cliente.
16.2 il Cliente è il titolare del trattamento di tutti i dati - anche di terzi - immessi e/o trattati per il tramite del Servizio. Egli sarà pertanto responsabile della sicurezza di dati, documenti e/o informazioni immessi in rete tramite il Servizio, nonché del compimento di ogni altra attività utile o necessaria al fine di garantirne l'integrità e la riservatezza, impegnandosi a farsi carico della protezione dei dati immessi e ad ottemperare autonomamente e direttamente a tutte le disposizioni normative in materia di protezione di dati personali.
16.3 In conformità alle nome di legge in materia di tutela e trattamento dei dati personali, il Cliente nomina EVERY SWS quale responsabile del trattamento dei dati di sua titolarità immessi in rete per il tramite del Servizio. Gli estremi di tale nomina sono contenuti nell’ATTO DI DESIGNAZIONE A RESPONSABILE DEL TRATTAMENTO riportato in questo stesso documento, subito dopo le Condizioni Contrattuali.
16.4 EVERY SWS si impegna, per quanto di propria competenza, a rispettare il Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008, per come nel tempo modificato, in materia di amministratori di sistema (di seguito: “Provvedimento”) e, a tal fine, manterrà:
- l’elenco aggiornato del proprio personale che sarà rispettivamente nominato “amministratore di sistema” ai sensi del Provvedimento;
- i log di accesso, disconnessione e tentativo di accesso previsti dal Provvedimento per i termini previsti dal Provvedimento stesso.
16.5 Resta espressamente inteso che EVERY SWS non ha alcun obbligo di raccogliere e/o mantenere log relativi all’utilizzo del Servizio e/o inerenti l’utilizzo della Infrastruttura e, pertanto, tutti i log che dovessero essere generati e/o raccolti da EVERY SWS saranno di esclusiva proprietà di quest’ultima.
17. Invalidità delle clausole
Nel caso in cui una o più clausole delle Condizioni Contrattuali fossero ritenute, anche solo in parte, invalide o inapplicabili, tale invalidità non invaliderà la residua parte di clausola o le Condizioni Contrattuali, che continueranno ad avere piena applicazione. Agli articoli delle Condizioni Contrattuali risultati invalidi o inapplicabili verranno sostituite altre clausole legalmente consentite che permetteranno di dare alle Condizioni Contrattuali un contenuto più vicino possibile a quello voluto dalle parti.
18. Comunicazioni
18.1 Le comunicazioni di cui agli articoli 9 e 11 delle Condizioni Contrattuali saranno effettuate per iscritto mediante raccomandata A.R. o PEC e si intenderanno efficacemente e validamente eseguite al ricevimento delle stesse.
18.2 Ogni comunicazione diretta a EVERY SWS ai sensi del
with any other provision of law or regulations applicable to its business sector. The Customer will have to assess the suitability of the Service with respect to its own needs for compliance with laws and regulations applicable to it. EVERY SWS states to take all appropriate technical and organizational measures to ensure the Service a level of security appropriate to the nature of the data and the specific characteristics of the Service. Should the Customer require to EVERY SWS any additional measures, the related costs will be charged to the customer.
16.2 The Customer is the data controller of all data - also third parties ones - entered and/or treated by means of the Service. It will therefore be responsible for the security of data, documents and/or information entering the network through the Service, as well as the fulfillment of any other relevant or necessary activities to ensure the integrity and confidentiality, by committing to take responsibility for the protection of the data entered and to comply independently and directly with all legal provisions relating to personal data protection.
16.3 In compliance with the law concerning the protection and processing of personal data, the Customer appoints EVERY SWS as data processor, for data entering the network through the Service. The details of this appointment are contained in the DEED OF APPOINTMENT AS DATA PROCESSOR reported in this same document, immediately after the Contractual Conditions.
16.4 EVERY SWS is committed, to the extent of its competence, to comply with the ruling issued by the Authority for personal data protection on 27 November 2008, as amended, relating to system administrators (hereinafter: "Ruling") and, to this end:
- will keep updated the list of personnel who will be in turn appointed as "System Administrator" pursuant to Ruling;
- keep the access, disconnection and attempt to access log
provided by the Ruling, for the terms envisaged by Xxxxxx.
16.5 EVERY SWS is not required to collect or maintain log related to the Service or concerning the use of infrastructure and, therefore, all the logs that may be generated or collected by EVERY SWS, will be the sole property of the latter.
17. Non-enforceability of clauses
In case any provision of the Contract Terms were considered, even in part, to be invalid or unenforceable, such unenforceability shall not invalidate the remaining part of clause or of the Contract Terms which shall remain in full application. The articles considered invalid or inapplicable will be replaced with other terms legally allowed, in order to let the Contract Terms being as much similar as possible to those intended by the parties.
18. Communication
18.1 The communications provided for in Articles 9 and 11 of the Contract Terms will be made in writing by Registered mail (with return receipt or by Certified email and shall be deemed effectively and validly executed upon receipt of the same.
18.2 Any communication addressed to EVERY SWS, pursuant to
comma 18.1 che precede dovrà essere indirizzata a: Every Software Solutions srl, xxx Xxxxxxxx Xxxxxxxx 00/0, 00000 Xxxxxx (XX) o all’indirizzo PEC xxxxxxxx.xxxxxx@xxxxxxxxx.xx.
19. Legge applicabile e foro competente
19.1 Le eventuali difformità di vedute o conflitti che dovessero insorgere tra le parti nella interpretazione e/o esecuzione delle Condizioni Contrattuali dovranno, in prima analisi, essere risolte in forma bonaria tra le parti, attivando la seguente procedura che le parti dichiarano di accettare:
I. all’insorgere di conflitti non immediatamente risolvibili dai
II. se tale tentativo di composizione non dovesse avere esito positivo entro 30 (trenta) giorni solari, la parte che ne abbia interesse potrà rimettere la controversia alla Autorità Giudiziaria.
19.2 Le parti espressamente convengono che in caso di controversia è competente il giudice italiano e in via esclusiva il foro di Milano.
19.3 La legge applicabile alle Condizioni Contrattuali è quella
Italiana.
Ai sensi e per gli effetti degli artt. 1341 e 1342 c.c., il Cliente dichiara di aver letto, compreso e di espressamente accettare le seguenti clausole:
- art. 5) Sospensione del Servizio;
- art. 6) Garanzie;
- art. 7) Limitazioni di responsabilità;
- art. 11) Xxxxxx e recesso;
- art. 19) Legge applicabile e foro competente.
paragraph 18.1 above should be addressed to: Every Software Solutions srl, Xxx Xxxxxxxx Xxxxxxxx 00/0, 00000 Xxxxxx (XX) or to the certified email xxxxxxxx.xxxxxx@xxxxxxxxx.xx.
19. Governing Law and Jurisdiction
19.1 Any differences of opinion or conflicts that may arise between the parties to the interpretation and / or execution of the Contract Terms must, at first, be resolved in amicable way between the parties, by activating the following steps that the parties agree to be bound to:
I. in cases of conflicts not immediately resolvable by the two parties responsible, upon request of either party, the two parties shall appoint a representative with appropriate competence and powers, possibly chosen among people not directly involved in the implementation or management of the contract; these representatives will meet with the aim of reaching an amicable settlement of the conflict, agreeing on the specific measures and procedures for resolution;
II. if such an attempt to settle does not succeed within thirty
(30) calendar days, the interested party may refer the matter to the relevant Court.
19.2 The parties expressly agree that in case of dispute the Italian court and exclusively the Court of Milan, will be the competent authorities.
19.3 The law applicable to the Contract Terms is the Italian one.
Pursuant to and for the purposes of articles. 1341 and 1342 of the Italian Civil Code, the Customer states to have read, understood and expressly agreed to the following clauses:
- art. 5) Discontinuation of Service;
- art. 6) Warranties;
- art. 7) Limitation of liability;
- art. 11) Term and Termination;
- art. 19) Governing Law and Jurisdiction.
ATTO DI DESIGNAZIONE A RESPONSABILE DEL TRATTAMENTO
Tra Every SWS e il Cliente (di seguito, collettivamente definite le
“Parti”).
PREMESSO CHE
Tra le Parti sono vigenti degli accordi contrattuali (“Accordi Contrattuali”) aventi ad oggetto l’erogazione del/dei servizio/i specificato/i nell’Allegato 1: Ambito del trattamento “NATURA E FINALITÀ DEL TRATTAMENTO” (di seguito: “Servizi”);
lo svolgimento dei suddetti Servizi da parte di EVERY SWS comporta il trattamento, da parte di quest’ultima, per conto del Cliente, dei dati personali di interessati di cui il Cliente stesso è Titolare (di seguito: “Dati Personali”), meglio indicati in Allegato 1: Ambito del trattamento “TIPOLOGIA DI DATI PERSONALI OGGETTO DI TRATTAMENTO” e “CATEGORIE DI INTERESSATI”;
EVERY SWS dichiara di possedere esperienza, competenze tecniche e risorse che gli consentono di mettere in atto misure tecniche e organizzative adeguate atte a garantire la conformità alla normativa in materia di tutela dei dati personali e la tutela degli interessati;
con il presente atto di designazione, le Parti intendono disciplinare il trattamento e la protezione dei Dati Personali in conformità alle norme di legge e di regolamento applicabili, ivi incluso il Regolamento (UE) 2016/679 del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali - Regolamento Generale sulla Protezione dei Dati Personali (di seguito: “GDPR” o “Regolamento”);
Il Cliente e EVERY SWS sono qualificati anche, nel prosieguo, rispettivamente, quali “Titolare” e “Responsabile”;
ai fini del presente atto di designazione, i termini “Titolare”, “Responsabile”, “interessato”, “Trattamento”, “Autorità di Controllo” avranno il significato ad essi rispettivamente attribuito dal GDPR.
Tutto ciò premesso (e costituendo le premesse parte integrante e sostanziale del presente atto di designazione), fra le Parti si
conviene e si stipula quanto segue.
1. Oggetto
1.1 Le Parti espressamente riconoscono ed accettano che, con riferimento al trattamento dei Dati Personali, il Cliente riveste il ruolo di Titolare del trattamento. In quanto tale, esso è l’unico responsabile della correttezza e della legittimità dei Dati Personali, del loro utilizzo ai sensi degli Accordi Contrattuali e della legittimità delle modalità con cui essi sono stati acquisiti.
1.2 Il Cliente nomina EVERY SWS, ai sensi dell’articolo 28 del GDPR, Responsabile del trattamento dei Dati Personali connesso all’erogazione dei Servizi.
2. Ambito del trattamento
2.1 La finalità del trattamento dei Dati Personali da parte di EVERY SWS è la prestazione dei Servizi ai sensi degli Accordi Contrattuali.
2.2 La natura del trattamento, la tipologia di Dati personali trattati e le categorie di interessati sono meglio specificate nell’Allegato 1: Ambito del trattamento.
DEED OF APPOINTMENT AS DATA PROCESSOR
Between Every SWS and the Customer (hereinafter jointly the
“Parties”).
WHEREAS
There are contractual agreements in force between the Parties ("Contractual Agreements") concerning the provision of the service(s) specified in Annex 1: Purpose of the processing: "NATURE AND PURPOSES OF PROCESSING" (hereinafter:
"Services");
the performance of these Services involves the processing by Every SWS on the Customer’s behalf of data subjects’ personal data of which Customer is Data Controller (hereinafter, "Personal Data"), as indicated in Annex 1: Purpose of the processing: “TYPE OF PERSONAL DATA TO BE PROCESSED” and “CATEGORIES OF DATA SUBJECTS”;
Every SWS represents and warrants to have the experience, technical skills and resources to implement appropriate technical and organizational measures to ensure its compliance with the data protection law and the protection of data subjects;
The Parties hereby intend to regulate the processing and protection of Personal Data in accordance with the applicable laws and regulations, including Regulation (Eu) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (hereinafter: "GDPR" or "Regulations");
The Customer and Every SWS are also referred, hereinafter, respectively as the “Data Controller” and the “Data Processor”;
For the purposes of this deed of appointment, the terms "Data Controller", "Data Processor", "Data Subject", "Processing", "Supervisory Authority" shall have the meaning assigned to them by the GDPR.
NOW, THEREFORE considering the recitals above (to be considered as an integral part of this appointment) the Parties agree as follows.
1. Subject
1.1 The Parties acknowledges and accepts that, with regard to the processing of Personal Data, the Customer is the Data Controller. As such, it is the only responsible for the correctness and legitimacy of the Personal Data, for its use under the terms of the Contractual Agreements and for the legitimacy of the ways in which it has been acquired.
1.2 The Customer appoints EVERY SWS, in compliance with Article 28 of the GDPR, as the Data Processor for the Processing of Personal Data in connection with the provision of the Services.
2. Purpose of the processing
2.1 The purpose of the processing of Personal Data is the performance of the services under the Contractual Agreements.
2.2 Nature and purposes of processing, type of personal data to be processed and categories of data subjects are specified in Annex 1: Purpose of the processing.
3. Obblighi generali del responsabile
3.1 I Dati Personali saranno trattati dal Responsabile in conformità alle norme applicabili in materia di trattamento dei dati personali, al presente atto di designazione, alle eventuali istruzioni ragionevoli ricevute per iscritto dal Titolare, a condizione che tali istruzioni siano coerenti con i termini del presente atto di designazione, e solo ed esclusivamente negli stretti limiti in cui ciò risulti necessario per l'esecuzione dei Servizi oggetto degli Accordi Contrattuali, restando espressamente escluso ogni altro e diverso utilizzo.
3.2 L’unica deroga possibile rispetto al divieto di cui al comma
3.1 che precede è l’esistenza di un obbligo di legge o la richiesta motivata da parte di un’Autorità amministrativa o giurisdizionale, ivi incluse le Autorità di Controllo (di seguito: “Autorità”), nel qual caso il Responsabile, nei limiti consentiti dalla legge o dai provvedimenti dell’Autorità, provvederà ad informare la Società dei trattamenti di Dati Personali diversi o eccedenti rispetto a quanto previsto dal presente atto di designazione.
3.3 Resta espressamente inteso che i Dati Personali di titolarità della Società:
i) non potranno essere comunicati, nemmeno in parte, ad altri soggetti senza il consenso scritto della Società;
Ii) non potranno essere trasferiti per qualunque ragione fuori dal territorio dell’Unione Europea senza il previo consenso scritto della Società.
3.4 Il Responsabile si obbliga a istituire, aggiornare e trasmettere al Titolare, su richiesta scritta di quest’ultimo ed entro il termine di 7 (sette) giorni di calendario dal ricevimento di tale richiesta, il registro delle attività di trattamento svolte dal Responsabile per conto del Titolare medesimo, completo di tutte le informazioni richieste dalla legge.
4. Obblighi inerenti la sicurezza
4.1 Il Responsabile, previa effettuazione dell’analisi dei rischi (e tenendo conto, in particolare, dei rischi che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, ai Dati Personali trasmessi, conservati o comunque trattati), provvederà ad adottare e a mantenere misure tecniche ed organizzative adeguate per proteggere la sicurezza, la riservatezza e l’integrità dei Dati Personali, tenendo conto, fra l’altro, della tipologia di trattamento, delle finalità perseguite, del contesto e delle specifiche circostanze in cui avviene il trattamento, nonché della tecnologia applicabile e dei costi di attuazione.
4.2 Il Responsabile si obbliga ad adottare le misure di sicurezza fisiche, logiche e organizzative di cui al successivo capitolo “Misure di sicurezza”. Tali misure potranno essere modificate solo a condizione che venga mantenuto un livello di sicurezza almeno pari a quello esistente al momento della sottoscrizione del presente atto di designazione.
4.3 Eventuali evoluzioni e/o modifiche delle misure di sicurezza da apportarsi nel corso della durata degli Accordi Contrattuali per mutate esigenze del Cliente, saranno adottate ed implementate da EVERY SWS e/o suoi eventuali subappaltatori a onere e spese del Cliente e su espressa richiesta ed indicazione da parte di quest’ultimo e anche sulla base della valutazione di impatto che sarà suo onere condurre in qualità di Titolare del trattamento, se del caso con la collaborazione del Responsabile.
3. Data Processor’s obligations
3.1 Data Processor shall process Personal Data solely and exclusively for the purpose of the performance of the services/ activities under the Contract in compliance with the provisions of the applicable laws regarding the protection of personal data, the appointment, as well as the documented instructions provided for by the Data Controller as stated in the following articles and any other written instruction provided by the same. It's forbidden every other and different use.
3.2 The only possible exception to the prohibition referred to in Art. 3.1 above is the existence of a legal obligation or a reasoned request by an administrative or judicial authority, including the Supervisory Authority (hereinafter: "Authority"), in which case the Data Processor, within the limits allowed by law or by the measures of the Authority, will inform the Data Controller of the processing of Personal Data different from or in excess of what is provided for by this deed of appointment.
3.3 It is expressly understood that the Personal Data owned by the Data Controller:
i) may not be communicated, not even in part, to other parties without the written consent of the Data Controller;
Ii) may not be transferred for any reason outside the territory of the European Union without the prior written consent of the Data Controller.
3.4 The Data Processor undertakes to establish, update and transmit to the Data Controller, upon written request by the latter and within 7 (seven) calendar days of receipt of such request, the register of the processing activities carried out by the Data Processor on behalf of the Data Controller, complete with all the information required by law.
4. Security measures
4.1 The Data Processor, after the risk assessment (taking in to account, in particular, of the risks that are presented by processing, in particular from accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to personal data transmitted, stored or otherwise processed), will implements suitable security measures to protect the security, confidentiality and integrity of Personal Data, taking in to account also, the nature, scope, context and purposes of processing, as well as the state of the art and the costs of implementation.
4.2 The Data Processor undertakes to adopt the physical, logical and organizational security measures as indicated in Annex 2 “Security Measures”. Such Security Measures can be modified only on condition that a level of security at least equal to that existing at the time of signature of this deed of appointment is maintained.
4.3 Any modifications of the security measures, to be made under the Contractual Agreements following express requests from the Customer, shall be adopted and implemented by Every SWS and/or its subcontractors, if any, at the Company's expense and also on the consideration of the impact assessment which it shall be its responsibility to carry out as Data Controller, where applicable with the cooperation of the Data Processor.
4.4 Il Responsabile si impegna, altresì, a fornire al Titolare assistenza e collaborazione in relazione all’obbligo del Titolare di mettere in atto misure tecniche ed organizzative adeguate, secondo quanto disposto dall’articolo 32 del GDPR.
5. Soggetti autorizzati al trattamento
5.1 Fatto salvo quanto previsto all’articolo 12 che segue, il Responsabile garantisce che l’accesso ai Dati Personali sarà limitato ai soli propri dipendenti e collaboratori il cui accesso ai Dati Personali sia necessario per l’esecuzione dei Servizi e a condizione che gli stessi siano istruiti in maniera appropriata, ai sensi del comma 5.2 che segue, in relazione alle modalità di trattamento dei Dati Personali e alle misure di sicurezza tecniche ed organizzative poste a tutela dei Dati Personali.
5.2 Il Responsabile si impegna a identificare per iscritto i propri dipendenti e collaboratori deputati a trattare i Dati Personali di titolarità della Società tramite apposite lettere di incarico, individuando l’ambito di trattamento consentito e fornendo loro le istruzioni idonee allo scopo, in particolare vincolandoli alla riservatezza su tutte le informazioni acquisite nello svolgimento della loro attività, anche per il periodo successivo alla cessazione del rapporto di lavoro.
5.3 Il Responsabile è tenuto, inoltre, a curarne la formazione, vigilare sul loro operato e a comunicare alla Società, su specifica richiesta, l’elenco aggiornato degli stessi.
6. Violazioni di dati personali (cd. “Data Breach”)
6.1 Il Responsabile si impegna, a decorrere dal 25 maggio 2018, ad informare, senza giustificato ritardo e comunque entro 72 ore dal momento in cui ne è venuto a conoscenza, il Titolare di ogni violazione della sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai Dati Personali trasmessi, conservati o comunque trattati, ed a prestare ogni necessaria collaborazione al Titolare in relazione all’adempimento degli obblighi sullo stesso gravanti di notifica delle suddette violazioni all’Autorità ai sensi dell’art. 33 del GDPR o di comunicazione della stessa agli interessati ai sensi dell’art. 34 del GDPR.
7. Valutazione d’impatto (cd. “Data Protection Impact
Assessment”)
7.1 Il Responsabile s’impegna a fornire al Titolare ogni elemento utile all’effettuazione, da parte di quest’ultimo, della valutazione di impatto sulla protezione dei dati, qualora lo stesso sia tenuto ad effettuarla ai sensi dell’art. 35 del Regolamento, nonché ogni collaborazione nell’effettuazione della eventuale consultazione preventiva al Garante ai sensi dell’art. 36 del Regolamento stesso.
8. Amministratori di sistema
8.1 Il Responsabile si impegna a conformarsi al Provvedimento generale del Garante per la protezione dei dati personali del 27 novembre 2008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, così come modificato dal Provvedimento del Garante del 25 giugno 2009 “Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di
4.4 The Data Processor also undertakes to provide the Data Controller with assistance and collaboration in relation to the Data Controller's obligation to implement appropriate technical and organizational measures, in compliance with the Art. 32 of the GDPR.
5. Persons Authorized to the processing
5.1 Without prejudice to the provisions of article 12 below, the Data Processor guarantees that access to Personal Data will be limited to its own employees and collaborators whose access to Personal Data is necessary for the performance of the Services and on condition that they are properly instructed, in accordance with art. 5.2 below, in relation to the methods of processing Personal Data and the technical and organisational security measures implemented to protect Personal Data.
5.2 The Data Processor is required to identify in writing its employees appointed to process Personal Data through specific appointments, setting out the authorized scope of the processing and providing them with appropriate instructions, in particular by binding them to the confidentiality of all information acquired in the performance of their duties, even for the period following the termination of the employment relationship.
5.3 The Data Processor is also required to take care of authorized persons’ training, to supervise their actions and communicate to the Data Controller, upon specific request, the updated list of the same.
6. Data Breach
6.1 The Data Processor undertakes to notify, without unjustified delay and in any case within 72 hours from the moment it becomes aware of it any breach of security that involves accidentally or illicitly the destruction, loss, modification, unauthorized disclosure or the access to the data transmitted, stored or otherwise processed and to fully collaborate with the Data Controller in order to fulfil its obligation to notify the aforementioned breaches to the Supervisory Authority pursuant to art. 33 of the GDPR.
7. Data Protection Impact Assessment
7.1. The Data Processor hereby undertakes to provide to the Data Controller, with any information useful for the data protection impact assessment carried out by the Data Controller, if required to do so pursuant to art. 35 of the Regulation as well as any collaboration in carrying out any prior consultation with the Supervisory Authority pursuant to art. 36 of the same Regulation.
8. System Administrators
8.1 The Data Processor undertakes to comply with the General Decision of the the Italian Data Protection Authority (hereinafter “Authority” or “Supervisory Authority”), of November 27, 2008 " Measures and arrangements applying to the controllers of processing operations performed with the help of electronic tools in view of committing the task of system administrator ", as amended by the Decision of June 25, 2009 "Amendments to the Decision of November 27, 2008 containing the requirements applying to the controllers of processing operations carried out
amministratore di sistema e proroga dei termini per il loro adempimento”, così come eventualmente modificato o sostituito dallo stesso Xxxxxxx, e ad ogni altro pertinente provvedimento dell’Autorità.
8.2 Il Responsabile si impegna, in particolare, a:
i) designare quali amministratori di sistema le figure professionali dedicate alla gestione e alla manutenzione di impianti di elaborazione o di loro componenti con cui vengono effettuati trattamenti di Dati personali;
ii) predisporre e conservare l’elenco contenente gli estremi identificativi delle persone fisiche qualificate quali amministratori di sistema e le funzioni ad essi attribuite;
iii) comunicare periodicamente al Titolare l’elenco aggiornato degli amministratori dei sistemi;
iv) verificare annualmente l'operato degli amministratori di sistema, informando il Titolare circa le risultanze di tale verifica;
v) mantenere i file di log previsti in conformità a quanto
previsto nel suddetto provvedimento.
9. Rapporti con le autorità
9.1 Il Responsabile, su richiesta del Titolare, si impegna a coadiuvare quest’ultimo nella difesa in caso di procedimenti dinanzi all’autorità di controllo o all’autorità giudiziaria, anche consentendogli la tempestiva esibizione della modulistica privacy e dei documenti probatori rientranti nella competenza del Responsabile stesso.
10. Istanze degli interessati
10.1 Nei limiti consentiti dalla legge, il Responsabile provvederà a dare comunicazione al Titolare di qualsiasi richiesta riceva da un interessato per l’esercizio dei suoi diritti di accesso, rettifica, limitazione del trattamento, cancellazione, portabilità dei dati, opposizione al trattamento o diritto a non essere soggetto a processi decisionali basati unicamente sul trattamento automatizzato, allegando alla comunicazione una copia della richiesta.
10.2 Tenuto conto della natura del trattamento, il Responsabile assisterà il Titolare con misure tecniche ed organizzative adeguate, nella misura in cui ciò sia possibile, nell’adempimento dell’obbligo della Società di dar seguito alle richieste degli interessati ai sensi delle norme applicabili in materia.
10.3 Resta espressamente inteso che il Responsabile non darà seguito alle istanze ricevute ai sensi del comma 10.1 che precede senza il preventivo consenso scritto del Titolare.
11. Ulteriori obblighi
11.1 Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui normativa e/o delle istruzioni del Titolare di cui al presente atto di designazione e consente al Titolare del trattamento l’esercizio del potere di controllo e ispezione, prestando ogni ragionevole collaborazione alle attività di audit effettuate dal Titolare stesso o da un altro soggetto da questi incaricato o autorizzato, con lo scopo di controllare l’adempimento degli obblighi e delle istruzioni di cui al presente atto di designazione. Resta inteso che qualsiasi verifica condotta ai sensi del presente comma dovrà essere eseguita in maniera tale da non interferire con il normale corso delle attività del Responsabile e fornendo a quest’ultimo un ragionevole preavviso.
by electronic means relating to the duties of system administrator and extension of the deadlines for their fulfillment", as may be amended or replaced by the Authority and/or any other relevant provision of the same.
8.2 In particular, the Data Processor undertakes to:
i) appoint as system administrators the professional figure dedicated to the management and maintenance of processing plants or their components with which personal data are processed;
ii) draft and keep the list containing the identification details of the natural persons qualified as system administrators and the functions attributed to them;
iii) periodically communicate to the Data Controller the updated list of system administrators;
iv) annually check the actions of system administrators, informing the Data Controller about the results of this verification;
v) keep the log files envisaged for compliance with the
aforementioned provision.
9. Relations With The Authorities
9.1 The Data Processor, upon the Data Controller’s request, shall assist the latter in the defence in case of proceedings before the Supervisory Authority or the Judicial Authority.
10. Request From Data Subjects
10.1 the Data Processor shall inform the Data Controller of any request received from data subjects for the exercise of the rights of access, rectification, restriction of processing, erasure, data portability, opposition to processing or the right not to be subject to decision-making processes based solely on automated processing, attaching to the communication a copy of the request
10.2 The Data Processor shall assist the Data Controller with technical and organization measures, that is useful or appropriate to handle any possible request from data subjects.
10.3 The Data Processor shall not handle to any request from data subjects without the previous authorization in writing of the Data Controller.
11. Further Obligations
11.1 The Data Processor shall make available to the Data Controller all the information necessary to demonstrate its compliance with the obligations set out in the above mentioned legislation and/or with the instructions of the Data Controller referred to in this deed of appointment allowing the Data Controller to control and inspect, giving any necessary cooperation in the audit activities carried out by the Data Controller or by any other person appointed or authorized by the same, in order to check compliance with the obligations and instructions set forth in this deed of appointment. It is understood between the Parties that any verification carried out pursuant to this paragraph shall be performed in such a way as to avoid interfering with the regular course of the Data Processor's activities and prior reasonable notice.
11.2 Il Responsabile si impegna altresì a:
i) effettuare almeno annualmente un rendiconto in ordine all’esecuzione delle istruzioni ricevute dal Titolare (e agli adempimenti eseguiti) e alle conseguenti risultanze;
ii) collaborare, se richiesto dalla Società, con gli altri Responsabili del trattamento, al fine di armonizzare e coordinare l’intero processo di trattamento dei Dati Personali;
iii) informare prontamente il Titolare di ogni questione rilevante ai fini di legge, in particolar modo, a titolo esemplificativo e non esaustivo, nei casi in cui abbia notizia, in qualsiasi modo, che risulti violata la normativa in materia di protezione dei dati personali, ovvero che il trattamento presenti rischi specifici per i diritti, le libertà fondamentali e/ o la dignità dell’interessato, nonché qualora, a suo parere, un'istruzione violi la normativa, nazionale o comunitaria, relativa alla protezione dei dati.
12. Sub-responsabili
12.1 Il Titolare autorizza il Responsabile ad avvalersi di ulteriori responsabili (di seguito: “Sub-responsabili”) per trattare i Dati Personali di propria titolarità.
12.2 Il Responsabile si obbliga ad imporre per iscritto ai propri Sub-responsabili, attraverso appositi accordi vincolanti, i medesimi obblighi in materia di protezione dei Dati Personali cui è soggetto il Responsabile in virtù del presente atto di designazione, in particolare sotto il profilo degli obblighi in materia di sicurezza.
12.3 Il Responsabile si impegna espressamente ad informare il Titolare di eventuali modifiche riguardanti l’aggiunta o la sostituzione degli ulteriori Sub-responsabili. Il Titolare avrà il diritto di opporsi a tali modifiche, comunicando la sua opposizione per iscritto entro 15 (quindici) giorni di calendario dalla notifica da parte del Responsabile. Il Responsabile non ricorrerà ai Sub-responsabili nei cui confronti il Titolare abbia manifestato la propria opposizione, salvo che il Responsabile non possa ragionevolmente accogliere l’opposizione del Titolare. In tal caso il Responsabile lo comunicherà al Titolare , che avrà la facoltà di recedere senza oneri dai Servizi impattati dalla variazione, entro e non oltre 30 (trenta) giorni dalla data della comunicazione del Responsabile. In mancanza di opposizione, la modifica si intenderà accettata”.
12.4 Resta espressamente inteso che il Responsabile rimarrà direttamente responsabile nei confronti del Titolare in ordine alle azioni e alle omissioni dei propri Sub-responsabili.
13. Responsabilità
13.1 Il Responsabile sarà responsabile per i danni conseguenti a inadempimenti o inosservanze delle istruzioni di cui al presente atto di designazione, di quelle successive eventualmente trasmesse per iscritto dalla Società, nonché delle disposizioni del GDPR specificamente dirette al Responsabile del trattamento nei limiti della clausola sulla limitazione di responsabilità eventualmente pattuita negli Accordi Contrattuali relativi al Servizio.
14. Restituzione e cancellazione dei dati personali
14.1 Il Responsabile, all’atto della scadenza degli Accordi Contrattuali e/o della cessazione dei Servizi o, comunque, in caso di cessazione – per qualunque causa – dell’efficacia del presente atto di designazione, salvo la sussistenza di un obbligo di legge o di regolamento nazionale e/o comunitario che
11.2 the Data Processor also undertakes to
i) to draw up at least annually a report on the performance of the instructions received from the Data Controller (and the fulfilments performed) and the consequent outcomes;
ii) cooperate, if requested by the Company, with other data processors, in order to harmonize and coordinate the entire process of processing of Personal Data;
iv) promptly inform the Data Controller of any relevant matter for the purposes of the law, in particular, by way of example and not exhaustively, in the event that it becomes aware, in any way, that the legislation on personal data protection has been infringed, or that the processing entails specific risks for the rights, fundamental freedoms and/or dignity of the data subjects, as well as if, in its opinion, an instruction contravenes the relevant national or communitarian legislation.
12. Sub-Processors
12.1 The Data Controller expressly authorizes the Data Processor to use additional Processors (hereafter, "Sub- Processors") for the performance of the processing activities.
12.2 The Data Processor shall impose to its Sub-Processors in writing the same data protection obligations the Data Processor is subject to, according to this deed of appointment, in particular with regard to security measures.
12.3 The Data Processor expressly undertakes to inform the Data Controller of any change concerning the addition or
replacement of further Sub-Processors, which will have the right to object to such changes, communicating its opposition in writing within 15 days from notification by the Data Processor. The Data Processor will not resort to Sub-Processors to whom the Data Controller has expressed its opposition, unless the Data Processor can’t reasonably accept the Data Controller’s opposition. In this case, the Data Processor shall inform Data Controller, who shall have the right to termination from the
Services without charge, within and no later than 30 (thirty) days from the date of Data Processor’s communication. If there is no opposition, the amendment shall be deemed to have been accepted.
12.4 In any case, the Data Processor shall remain directly responsible towards the Data Controller in relation to the actions and omissions of his Sub-Processors.
13. Liability
13.1 The Data Processor shall be responsible for any damage from failure, failure to the instructions set out in this deed of appointment, any subsequent instructions sent in writing by the Data Controller, and the provisions of the GDPR specifically addressed to the Data Processor within the limits of the clause on the limitation of liability that may be agreed in the contractual agreements relating to the Service.
14. Personal Data return and cancellation
14.1 Upon expiration of the Contract and/or activities/services or, in any case, in the event of termination - for whatever reason
- of the effectiveness of this deed of appointment, except for the existence of a legal obligation or national and/or EU regulation that provides for the retention of Personal Data, the Data
preveda la conservazione dei Dati Personali, dovrà interrompere ogni operazione di trattamento degli stessi e dovrà provvedere, a scelta del Titolare, all’immediata restituzione allo stesso dei Dati Personali oppure alla loro cancellazione (salvo i backup trimestrali di sistema, conservati offline per 10 anni). In caso di richiesta scritta del Titolare, il Responsabile è tenuto a indicare le modalità tecniche e le procedure utilizzate per la cancellazione/distruzione.
15. Durata
15.1 La presente nomina decorre dalla data in cui viene sottoscritta dal Cliente (Titolare) ed è valida fino alla cessazione per qualunque motivo degli Accordi Contrattuali e/o, comunque, dei Servizi ovvero fino alla revoca anticipata per qualsiasi motivo da parte del Titolare, fermo restando che, anche successivamente alla cessazione degli Accordi Contrattuali o dei Servizi o alla revoca, il Responsabile dovrà mantenere la massima riservatezza sui dati e le informazioni relative al Titolare delle quali sia venuto a conoscenza nell’adempimento delle sue obbligazioni.
16. Disposizioni finali
16.1 Resta inteso che la presente designazione non comporta alcun diritto per il Responsabile ad uno specifico compenso o indennità o rimborso per l’attività svolta, né ad un incremento del compenso spettante allo stesso in virtù del Contratto con il Cliente.
16.2 Per tutto quanto non previsto dal presente atto di nomina si rinvia alle disposizioni generali vigenti ed applicabili in materia protezione dei dati personali.
ALLEGATO 1 (AMBITO del TRATTAMENTO)
Il presente allegato costituisce parte integrante dell’atto di
nomina a responsabile.
TIPOLOGIA DI DATI PERSONALI OGGETTO DI TRATTAMENTO
Dati personali comuni (identificativi)
CATEGORIE DI INTERESSATI
Fornitori (email presenti sui documenti)
NATURA E FINALITÀ DEL TRATTAMENTO
Archiviazione e/o distribuzione e/o di trattamento di documenti digitali
DURATA DEL TRATTAMENTO
Fino a eliminazione dei dati dopo la cessazione del Servizio
ALLEGATO 2 (MISURE DI SICUREZZA)
Disponibilità del Servizio
La disponibilità del servizio, garantita 24x7, è funzione di una serie di scelte effettuate sia nel disegno e nell’implementazione delle infrastrutture, sia nella loro collocazione, sia nei livelli di servizio utilizzati.
Sistemi utilizzati dal servizio
Il servizio viene erogato mediante sistemi (apparecchiature, dispositivi, software di base e di middleware) di proprietà EVERY SWS o per le quali EVERY SWS è detentore di regolare licenza.
Processor shall interrupt any processing of the same and, at Data Controller’s discretion, shall immediately return or totally erase Personal Data, in both cases releasing a written document stating that there is no copy more. In the event of a written request from Data Controller, Data Processor is required to indicate the technical measures and procedures used for the erasure/destruction.
15. Duration
15.1 This deed of appointment shall be effective from the date of the signature and shall be in force until termination for any reason whatsoever of the Contract and/or, in any case, of the activities/services referred to above or until early termination for any reason by the Data Controller (also for the breach of the requirements under letter c) of the recitals, on which this appointment is grounded and whose possession by the Data Processor is deemed indispensable), it also being understood that, even after the termination of the Contract or of the activities/services or revocation, the Data Processor shall maintain the utmost confidentiality on the data and information relating to the Data Controller of which it has become aware for the fulfillment of its obligations.
16. Final Provisions
16.1 This deed of appointment does not entail any right for the Data Processor to a specific compensation or indemnity or reimbursement for the activity carried out, nor to an increase in the remuneration due to it pursuant to the Contractual agreements with the Company.
16.2 For anything not provided for in this deed of appointment, reference should be made to the general provisions in force applicable to personal data protection.
ANNEX 1 (SCOPE OF THE PROCESSING)
This annex is an integral part of the appointment.
TYPE OF PERSONAL DATA TO BE PROCESSED
Personal identifying data
CATEGORIES OF DATA SUBJECTS
Suppliers
NATURE AND PURPOSE OF THE PROCESSING
Storage, distribution and processing of digital documents
DURATION OF THE PROCESSING
Until data are deleted after termination of service
ANNEX 2 (SECURITY MEASURES)
Service availability
The availability of the service, guaranteed 24x7, is a function of a series of choices made both in the design and implementation of infrastructure, both in their location, and in the levels of service used.
Systems used by the service
The service is provided through systems (equipment, devices, basic software and middleware) owned by Every SWS or for which Every SWS is the owner of a regular license.
Sia le componenti hardware che quelle software vengono gestite autonomamente, sia per quanto riguarda le attività sistemistiche che di monitoraggio, sia per le attività di manutenzione/ammodernamento.
I dispositivi e i principali software di base e di sicurezza utilizzati sono i seguenti:
• Firewall/VPN: dispositivi multipli Active/Standby
• Bilanciatore: dispositivi multipli Active/Standby
• Switch dispositivi multipli
• Server Server multipli (fisici e virtuali)
• Backup Unità di backup robotizzate a drive indipendenti con Tape multipli, collegati in fibra ottica e gestiti con agenti per backup “a caldo”
• Antispam Soluzioni leader di settore
• Antivirus Soluzioni leader di settore
Ridondanza dei sistemi
Ogni dispositivo critico è ridondato in modo da garantire la
continuità del servizio.
In particolare:
• ogni sistema monta a bordo Dischi Fissi configurati in modalità Raid-5, in modo che, in caso di perdita di un disco, il sistema continui il funzionamento ininterrotto e che il disco guasto possa essere sostituito con uno nuovo e i suoi dati ricostruiti automaticamente; inoltre è installato un disco di Hot Spare che subentra automaticamente in caso di guasto a un disco
• le connessioni di rete sono ridondate mediante duplicazione fisica delle schede di rete (l’indirizzo IP viene assegnato a una scheda virtuale mediante un team configurato con 2 porte di rete fisiche su differenti schede hardware)
• gli alimentatori di ogni dispositivo sono ridondati in modo che il sistema sia supportato anche da un solo alimentatore per volta, inoltre ognuno dei due alimentatori è collegato a una linea elettrica indipendente
• i Server sono ridondati e i database in cluster, in modo tale che il servizio sia disponibile anche in caso di spegnimento di un intero server; inoltre i dati sono fisicamente duplicati sui sistemi in modo tale da garantire la continuità del servizio e, contemporaneamente, fungere da copia integrale dei dati
Collocazione dei Sistemi in Datacenter
I nostri dispositivi, apparecchiature e server sono ospitati in modalità “colocation” presso un Data Center locato in territorio nazionale, attualmente BT Italia a Settimo Milanese (MI), struttura certificata ISO 9001, ISO 27001, ISO 14001 e
OHSAS 18001.
La scelta di questo Data Center risponde a una serie di requisiti che contribuiscono alla definizione degli SLA del nostro servizio.
Tra questi citiamo:
• locazione in territorio italiano, a semplificazione dell’aderenza alle normative vigenti in termine di Privacy e confidenzialità dei dati
• possibilità di fruire dei servizi del Datacenter in “colocation”, ovvero ospitando un’intera infrastruttura di nostra proprietà e gestione (a partire dai firewall sino alla gestione dei supporti su cui vengono effettuati i backup); questo ci permette di garantire ai nostri clienti che i loro dati sono gestiti esclusivamente da personale EVERY SWS
• posizione geografica del sito ottimale dal punto di vista
Both the hardware and software components are managed autonomously, both for systems and monitoring activities, and for maintenance / modernization activities.
The devices and the main basic and safety software used are the following:
• Firewall/VPN: multiple Active/Standby devices
• Load balancer: multiple Active/Standby devices
• Switch multiple devices
• Server multiple server (physical and virtual)
• Backup Robotic backup units with independent
drives with multiple Tape, connected in optical fiber and managed with specific agents for “hot backup”
• Antispam Industry-leading solutions
• Antivirus Industry-leading solutions
Systems redundancy
Each critical device is redundant in order to guarantee the
service continuity.
In particular:
• each system mounts on board fixed disks configured in Raid-5 mode, so that, in case of loss of a disk, the system continues the uninterrupted operation and that the failed disk can be replaced with a new one and its data automatically reconstructed; in addition, a Hot Spare disk is installed which takes over automatically in the event of a disk failure
• network connections are redundant by physical duplication of network cards (the IP address is assigned to a virtual card by a team configured with 2 physical network ports on different hardware cards)
• the power supplies of each device are redundant so that the system is also supported by only one power supply at a time, in addition each of the two power supplies is connected to an independent power line
• Servers are redundant and the databases are clustered, so that the service is available even if an entire server is shut down; moreover, the data are physically duplicated on the systems in order to guarantee the continuity of the service and, at the same time, act as a complete copy of the data
Placement of Systems in Datacenter
Our devices, equipment and servers are hosted in "colocation" mode at a Data Center located throughout Italy, currently BT Italia in Settimo Milanese (MI), one of the best equipped facilities in Italy and certified ISO 9001, ISO 27001, ISO 14001 and OHSAS 18001.
The choice of this Data Center responds to a series of requirements that contribute to the definition of SLAs of our service.
Among these we mention:
• leasing in Italian territory, simplifying compliance with current regulations in terms of Privacy and data confidentiality
• possibility of using Datacenter services in "colocation", ie hosting an entire infrastructure owned and managed by us (from firewalls to the handling of the media on which the backups are made); this allows us to guarantee our customers that their data is managed exclusively by Every SWS personnel
• geographic position of the site from the seismic point of view,
sismico, del rischio inondazione e dei rischi dovuti alla vicinanza di impianti industriali pericolosi
• copertura con uno scudo in cemento armato, tetto dotato di sistema di drenaggio delle acque piovane e sistemi di impermeabilizzazione
• impianti tecnologici esenti da “single point of failure” con ridondanza N+N per garantire la continuità di servizi anche durante le fasi di manutenzione straordinaria
Lo SLA da noi concordato con il Datacenter è lo SLA-GOLD, che ci consente accessi illimitati 24x7x1.
Procedure Anti-intrusione
L’accesso ai Sistemi è permesso solamente a dipendenti della società EVERY SWS nominativamente autorizzati.
Ad ogni accesso, il personale del Datacenter preposto al controllo degli accessi effettua il riconoscimento del nostro incaricato, ne verifica l’autorizzazione e lo accompagna nel luogo in cui sono collocate le nostre apparecchiature.
È presente una squadra di sorveglianza 24x7 con personale specializzato e intervento delle Forze dell’Ordine entro 3 minuti dalla segnalazione.
Alimentazione elettrica
Il Datacenter rende disponibile l’energia elettrica mediante circuiti di alimentazione sdoppiati fino alle prese presenti nei rack, che permettono di alimentare i dispositivi con alimentatore ridondato mediante due circuiti realmente indipendenti.
In caso di interruzione dell’erogazione di energia dalla rete, il Datacenter è dotato di batterie tampone e di generatori diesel in grado di sopperire alla mancanza di energia principale (con autonomia superiore a 50 ore senza bisogno di rifornimento).
Connettività Internet
Il Datacenter rende disponibile la connessione ad Internet mediante connettività ridondata tramite diversi carrier, in modo da minimizzare la possibilità che la connessione Internet venga a mancare, anche a causa di guasti dovuti a cause estranee alle infrastrutture e tecnologie del Datacenter (ad esempio: dorsali in fibra danneggiate durante interventi di manutenzione stradale).
La quantità di banda che il Datacenter è in grado di fornirci è virtualmente illimitata, sia in download che in upload.
Monitoraggio del servizio
Il servizio è dotato, a vari livelli, di funzioni di monitoraggio automatico di pre-allarme e di funzionamento.
I sistemi sono supportati da contratti di manutenzione con i più elevati SLA disponibili, normalmente 24x7x4. Qualora disponibili, i servizi di pre-allarme permettono l’effettuazione di interventi di manutenzione preventiva (sostituzione di dispositivi che, pur funzionando, iniziano a registrare segnali di malfunzionamento).
I servizi sono monitorati mediante tools che automaticamente inviano le segnalazioni di eccezionalità di funzionamento ai nostri incaricati, che ne determinano le motivazioni avvisando, se necessario, l’azienda cliente e/o intraprendendo le opportune azioni correttive.
flood risk and risks due to the proximity of dangerous industrial plants
• roof with a reinforced concrete shield, roof equipped with
rainwater drainage system and waterproofing systems
• technology systems without "single point of failure" with N+N redundancy to guarantee continuity of services even during extraordinary maintenance phases
Lo SLA da noi concordato con il Datacenter è lo SLA-GOLD, che ci consente accessi illimitati 24x7x1.
Anti-intrusion procedures
Access to the systems is allowed only to employees of the company Every SWS nominally authorized.
At each access, the Datacenter staff responsible for access control performs the recognition of our representative, checks the authorization and accompanies it to the place where our equipment is located.
There is a 24x7 surveillance team with specialized personnel and
intervention of the Police Forces within 3 minutes of reporting.
Power supply
The Datacenter makes electrical power available through double power circuits up to the sockets in the racks, which allow powering the devices with redundant power supply through two truly independent circuits.
In case of power interruption from the network, the Datacenter is equipped with buffer batteries and diesel generators able to compensate for the lack of main energy (with autonomy of more than 50 hours without the need for refueling).
Internet connectivity
The Datacenter makes the connection to the Internet available through redundant connectivity through different carriers, in order to minimize the possibility that the Internet connection is lost, also due to failures unrelated to the Datacenter infrastructures and technologies (for example: backbones in damaged fiber during road maintenance interventions).
The amount of bandwidth that the Datacenter is able to provide us is virtually unlimited, both in download and upload.
Monitoring of the service
The service is equipped, at various levels, with automatic monitoring of pre-alarm and operation.
The systems are supported by maintenance contracts with the highest available SLAs, normally 24x7x4. Where available, the pre-alarm services allow the carrying out of preventive maintenance interventions (replacement of devices that, while working, start to record malfunction signals).
The services are monitored using tools that automatically send reports of exceptional operation to our employees, who determine the reasons for notifying the client company, if necessary, and / or undertaking appropriate corrective actions.
Sicurezza
Accessibilità ai dati
I dati sono contenuti in database il cui accesso è consentito solo
a chi è in possesso delle opportune credenziali di autorizzazione.
Gli accessi sono registrati in log che permettono di risalire, in ogni momento, a chi ha effettuato l’accesso e a quali operazione sono state effettuate.
Nessun dato è archiviato o conservato al di fuori della Comunità Europea.
L’accesso alle cassette di sicurezza bancarie è riservato a personale dipendente EVERY SWS, con inquadramento minimo al 1° livello, oltre a componenti dell’organo amministrativo di EVERY SWS.
Controllo accesso ai sistemi
L’accesso ai sistemi è riservato a personale dipendente EVERY SWS (o a consulenti in caso di interventi specialistici, ma in questo caso sotto la supervisione di personale dipendente EVERY SWS).
L’accesso fisico è controllato e registrato dagli incaricati del Datacenter.
L’accesso via internet è possibile solo mediante connessioni VPN, effettuate da personale in possesso delle opportune credenziali autorizzative, e viene tracciato e registrato su LOG che vengono conservato per almeno 10 anni.
Salvataggio dei dati
I dati vengono salvati mediante apparecchiature e su supporti di proprietà di EVERY SWS, e il trattamento (compreso il cambio nastri e il loro trasporto da e per le cassette di sicurezza bancarie) viene esclusivamente effettuato da parte di personale dipendente Every SWS, con inquadramento minimo al 1° livello.
I salvataggi sono integrali ed effettuati quotidianamente, con una retention di 28 giorni. La metà dei supporti viene conservato all’interno dell’unità di backup, allocata presso il Datacenter e quindi soggetta a tutte le restrizioni d’accesso già citate per quanto riguarda l’accesso ai sistemi. L’altra metà dei supporti viene invece conservata in cassette di sicurezza bancarie; il loro trasporto è esclusivamente a cura degli incaricati Every SWS preposti al trattamento dei salvataggi.
Vengono inoltre effettuati salvataggi di sistema integrali trimestrali (4 volte all’anno), che vengono conservati in cassetta di sicurezza bancaria per 10 anni.
Proprietà e diritto di migrazione dei dati
I dati gestiti attraverso i nostri servizi restano di proprietà esclusiva dei precedenti proprietari.
EVERY SWS si impegna a non accedervi se non per motivazioni tecniche connesse con il buon funzionamento dei servizi e a non permettere l’accesso ad alcuno al di fuori della propria Organizzazione.
In caso di dismissione del servizio il cliente può scaricarsi autonomamente una copia integrale dei suoi dati, in forma non criptata e con formati standard di interscambio. In caso di impossibilità tecnica ad effettuare autonomamente tale attività (ad esempio: perché la quantità dei dati da scaricare risulta eccessiva per le operazioni effettuabili da remoto via Internet), EVERY SWS effettuerà lo scaricamento dei dati e li consegnerà al cliente senza richiedere alcun corrispettivo per tale attività.
Security
Accessibility to data
The data are contained in databases whose access is allowed
only to those has appropriate authorization credentials.
The accesses are recorded in logs that allow you to trace, at any time, to who logged in and what operations were performed.
No data is stored or stored outside the European Community.
The access to the bank security deposit boxes is reserved for EVERY SWS employees, with minimum classification at the 1st level, as well as EVERY SWS board members.
Access control to systems
Access to the systems is reserved for EVERY SWS employees (or consultants in case of specialized interventions, but in this case under the supervision of EVERY SWS employee).
Physical access is controlled and recorded by the Datacenter employees.
Internet access is only possible through VPN connections, carried out by personnel with the appropriate authorization credentials, and is tracked and logged on LOG which are kept for at least 10 years.
Saving data
The data are saved using equipment and media owned by EVERY SWS, and the media handling (including the exchange of tapes and their transport to and from the bank security deposit boxes) is exclusively performed by EVERY SWS employee, with minimum classification at the 1st level.
The backup are full and carried out daily, with a retention of 28 days. Half of the media is stored inside the backup unit, allocated at the Datacenter and therefore subject to all access restrictions already mentioned regarding access to the systems. The other half of the supports is instead stored in bank safes; their transport is exclusively by the EVERY SWS responsible for the backup media handling.
In addition, quarterly full system backup are made (4 times a
year), which are kept in a bank safe for 10 years.
Properties and right to data migration
The data managed through our services remain the exclusive property of the previous owners.
EVERY SWS undertakes not to access it except for technical reasons connected with the proper functioning of the services and not to allow access to anyone outside its Organization.
In the case of termination of the service, the customer can independently download a complete copy of his data, in an unencrypted form and with standard interchange formats. In case of technical impossibility to carry out this activity independently (for example: because the amount of data to download is excessive for operations that can be done remotely via the Internet), EVERY SWS will download the data and deliver it to the customer without requesting any payment for this activity.