English
English
English

ALLEGATO C – DATA PROCESSING AGREEMENT

Tra

Cliente, così come definito nell’Accordo Commerciale (di seguito “Titolare”);

e

Compri, così come definito nell’Accordo Commerciale (di seguito “Responsabile”);

(Titolare e Responsabile sono di seguito indicati anche singolarmente come “Parte” e congiuntamente come “Parti”). 

Premesso che:


  1. tra il Titolare e il Responsabile è stato stipulato un Accordo Commerciale (di seguito “Accordo”) cui il presente Contratto sul Trattamento dei Dati (di seguito “DPA”) è allegato e del quale forma parte integrante e sostanziale; 

  2. oggetto dell’Accordo è la fornitura, secondo le modalità e i termini definiti nell’Accordo stesso, del SaaS Compri (di seguito “SaaS”), volto alla gestione e all’efficientamento della catena di approvvigionamento del Cliente;

  3. l’utilizzo del SaaS comporta il trattamento di dati personali, come definiti ai sensi dell’art. 4(1)(1) del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito “GDPR”);

  4. rispetto a detti trattamenti, il Cliente opera in qualità di titolare del trattamento dei dati, così come definito ai sensi dell’articolo 4(1)(7) del GDPR e Compri operata in qualità di responsabile del trattamento, ai sensi dell’art. 28 del GDPR;

  5. il Responsabile attesta e garantisce di essere in possesso dei requisiti di esperienza, capacità e affidabilità necessari per adottare idonee misure di sicurezza tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio affinché il trattamento posto in essere in esecuzione dell’incarico di cui all’Accordo soddisfi i requisiti richiesti dal GDPR e, in generale, dalla normativa in materia di protezione dei dati personali e garantisca la tutela dei diritti dei soggetti interessati;

  6. le Parti intendono concordare ai sensi e per gli effetti dell’art. 28(2) del GDPR, la natura, la finalità, la durata, il tipo di dati personali, le categorie di interessati, nonché i propri diritti e obblighi derivanti dal trattamento di dati personali effettuato mediante il SaaS.

Tutto ciò premesso, le Parti convengono quanto segue:



  1. Definizioni 

    1. Nel presente DPA, i termini infra indicati hanno il significato attribuito loro a seguire. Per tutto quanto non espressamente definito ai sensi del presente articolo si rimanda alle definizioni di cui all’art. 4 del GDPR.

    2. Con il termine “Normativa applicabile” si intende il GDPR, il d. lgs. 196/2003 e qualsiasi altra legge in materia di protezione dei dati di volta in volta applicabile al trattamento dei dati personali;

    3. Con il termine “Incaricati del Trattamento” si intendono i dipendenti, gli incaricati o qualsiasi altra persona fisica autorizzata dalle Parti a svolgere operazioni di trattamento dei dati personali ai sensi dell’art. 29 del GDPR e dell’art. 2-quaterdecies del d. lgs. 196/2003;

    4. Con il termine “Sub-Responsabile” si intende qualsiasi entità cui il responsabile del trattamento ricorre per l’esecuzione di specifiche attività svolte per conto del Titolare o da un altro soggetto da questi incaricato;

    5. con il termine “SEE” si intende lo Spazio Economico Europeo.

  2. Scopo e ambito di applicazione

    1. Lo scopo del presente DPA è garantire il rispetto dell'articolo 28, paragrafi 3 e 4, del regolamento GDPR.

    2. Il presente DPA si applica ai trattamenti elencati e descritti nell’Allegato “Descrizione del trattamento e istruzioni” (Allegato C-bis)]. Le Parti riconoscono che il SaaS ha natura modulare e che, pertanto, il trattamento dei dati personali effettuato dal Responsabile è quello indicato:

      1. nella Parte 1 dell’Allegato “Descrizione del trattamento e istruzioni”;

      2. nella Parte 2 dell’Allegato “Descrizione del trattamento e istruzioni”, relativamente ai moduli oggetto dell’Offerta Commerciale. 

  1. Obblighi del Titolare

    1. Il Titolare si impegna a rispettare la Normativa applicabile, nonché a trattare i dati in conformità a qualsiasi altra disposizione di legge applicabile che abbia o possa avere effetti di natura obbligatoria circa le modalità e le garanzie da applicare al trattamento di dati personali. 

    2. Il titolare impartisce al Responsabile istruzioni circa la modalità di trattamento dei dati personali (le “Istruzioni”) inseriti all’interno del SaaS, verificando che queste siano conformi alla Normativa in materia di Protezione dei Dati. Le Istruzioni del Titolare alla data di sottoscrizione del presente DPA sono descritte nell’Allegato C-bis.

    3. Il Titolare del trattamento può impartire nuove istruzioni per tutta la durata del trattamento, dandone notizia al Responsabile per iscritto almeno 15 giorni prima della data di effettiva applicazione delle stesse. Tali nuove istruzioni sono documentate per iscritto. Il Responsabile ha diritto di risolvere l’Accordo ai sensi dell’art. 1456 c.c. nel caso in cui tali nuove Istruzioni comportino un onere eccessivo o siano ritenute dal Responsabile in contrasto con la Normativa Applicabile.

    4. Il Responsabile può, per quanto attiene alle caratteristiche del trattamento dei dati personali intrinsecamente legate al funzionamento di Compri, apportare modifiche all’Allegato C-bis, dandone comunicazione al Titolare con un preavviso di almeno 5 giorni. 

    5. In nessun caso, è imputabile al Responsabile la violazione della Normativa Applicabile derivante da un comportamento del Titolare, nonché dall’applicazione delle Istruzioni da esso impartite.

    6. Il Titolare si impegna a verificare e dimostrare che i dati inseriti all’interno del SaaS siano raccolti e trattati sulla base di un’idonea base giuridica, nonché nel rispetto di ogni altro obbligo imposto dalla Normativa Applicabile in termini di trasparenza. 

    7. Il Titolare si impegna a identificare, per ogni categoria di dati personali trattata all’interno del SaaS, i relativi periodi di conservazione e a rimuovere dal SaaS le informazioni al decorrere di tale termine.

    8. In ogni caso non rientra tra gli obblighi a carico del Responsabile la determinazione dei presupposti di liceità delle attività di trattamento dei dati svolte per conto del Titolare, nonché qualsivoglia verifica circa la conformità dei trattamenti svolti tramite il SaaS alla Normativa applicabile.

  2. Obblighi del Responsabile

    1. Il Responsabile tratta i dati personali in conformità alle Istruzioni del Titolare, salvo che lo richieda il diritto dell'Unione o nazionale cui è soggetto il Responsabile. Il Responsabile tratta i dati personali unicamente per le finalità specifiche di cui all’Allegato C-bis, nonché per il periodo di tempo ivi indicato.

    2. Senza pregiudizio delle disposizioni di cui all’art. 3.7. del presente DPA, il Responsabile informa immediatamente il Titolare del trattamento qualora, a suo parere, le Istruzioni violino la Normativa Applicabile 

    3. Il Responsabile tiene e aggiorna il Registro delle Attività di trattamento di cui all’art. 30(2) GDPR, con speciale riferimento alle attività svolte per conto del Titolare. Il Responsabile, su richiesta del Titolare, mette a disposizione una copia delle sezioni del suddetto registro riguardanti il trattamento svolto per conto del Titolare. 

    4. Il Responsabile informa il Titolare senza ingiustificato ritardo circa l’obbligo di consultazione e/o acquisizione dei dati personali del Titolare imposto da un’Autorità pubblica, salvo vincoli diversi da parte della suddetta Autorità dovuti a segreto investigativo. 

  3. Assistenza al Titolare

    1. Il Responsabile del trattamento risponde prontamente e adeguatamente alle richieste di informazioni del titolare del trattamento relative al trattamento dei dati oggetto del presente DPA e mette a disposizione del Titolare la documentazione idonea a comprovare il rispetto del presente DPA e della Normativa applicabile. 

    2. Il Responsabile può adempiere all’obbligo di cui al precedente articolo 5.1. mettendo a disposizione materiale informativo e documentazione utile all’interno di pagine web dedicate e/o dell’area personale disponibile nell’interfaccia del SaaS. 

    3. Il Responsabile offre ragionevole assistenza al Titolare nell’esecuzione delle valutazioni d’impatto sulla protezione dei dati e nelle consultazioni preventive con le Autorità di controllo o altre autorità competenti in materia di protezione dei dati personali, che si rendano necessarie affinché il Titolare sia conforme agli articoli 35 e 36 del GDPR. 

    4. Il Responsabile acconsente a che il Titolare o un auditor incaricato dal Titolare svolga degli audit, incluse ispezioni, in relazione al Trattamento dei dati personali effettuato dal Responsabile, a condizione che al Responsabile venga dato un preavviso ragionevole di almeno 2 mesi. 

    5. La richiesta di audit deve contenere l’indicazione delle attività di trattamento e degli obblighi oggetto di verifica, nonché indicare le ragioni per cui l’attività di verifica non possa essere svolta su base documentale.

  4. Istanze dei Soggetti Interessati

    1. Nel caso in cui il Responsabile sia destinatario di richieste sui diritti dei Soggetti Interessati, lo stesso ha l’obbligo di comunicare tali richieste al Titolare, allegando copia alla comunicazione.

    2. Il Responsabile si impegna ad assistere il Titolare attuando misure tecniche e organizzative adeguate al fine di dare seguito alle richieste dei Soggetti Interessati.

    3. Il Responsabile da seguito alle richieste di esercizio dei diritti attenendosi alle istruzioni specificatamente impartite dal Titolare per iscritto.

  5. Sicurezza dei dati

    1. Il Responsabile mette in atto almeno le misure tecniche e organizzative specificate all’Allegato “Elenco delle misure di sicurezza” (“Allegato C-ter”) per garantire la sicurezza dei dati personali. Ciò include la protezione da ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati, che possa costituire una violazione dei dati personali ai sensi dell’art. 33 del GDPR

    2. Il Responsabile ha facoltà di apportare modifiche all’Allegato C-ter, dandone comunicazione al Titolare con un anticipo di almeno 5 giorni. Resta fermo l’obbligo del Titolare di mantenere un adeguato livello di sicurezza e protezione dei dati personali.

    3. Nel valutare l'adeguato livello di sicurezza, le Parti tengono debitamente conto dello stato dell'arte, dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi per gli Interessati. 

  6. Soggetti incaricati del trattamento

    1. Il Responsabile concede l'accesso ai dati personali oggetto di trattamento ai membri del suo personale soltanto nella misura strettamente necessaria per l'attuazione, la gestione e il controllo dei trattamenti oggetto del presente DPA. 

    2. Il Responsabile garantisce che le persone autorizzate al trattamento dei dati personali ricevuti:

      1. si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

      2. abbiano ricevuto idonea autorizzazione al trattamento dei dati personali. 

  1. Sub-responsabili

    1. Il Responsabile ha l’autorizzazione generale del Titolare a ricorrere ai Sub-responsabili di cui all’Allegato “Elenco dei sub-responsabili del trattamento” (“Allegato C-quater”). 

    2. Il Responsabile ha diritto di modificare all’Allegato C-quater in modo unilaterale. In tal caso, il Responsabile informa il Titolare delle modifiche con un anticipo di almeno 5 giorni, dando così al Titolare tempo sufficiente per poter opporsi a tali modifiche prima del ricorso al o ai Sub-Responsabili del trattamento in questione.

    3. In ogni caso, il Responsabile si impegna a ingaggiare Sub-Responsabili che presentino garanzie sufficienti a garantire un adeguato livello di protezione dei dati personali e a sottoscrivere con ciascun Sub-Responsabile un accordo scritto che imponga al Sub-Responsabile, in sostanza, gli stessi obblighi cui il Responsabile è tenuto nei confronti del Titolare.

  2. Violazione dei dati personali

    1. In caso di una violazione della sicurezza che possa avere impatti sui dati personali, trattati dal Responsabile per conto del Titolare, il Responsabile si impegna a notificare l’episodio entro 48h dalla sua scoperta. 

    2. La notifica contiene le informazioni sommarie, utili al Titolare per adempiere agli obblighi di cui agli articoli 33 e 34 del GDPR, tra cui almeno una descrizione della violazione che comprenda l’indicazione della natura dei dati violati e della loro entità.

    3. Nella pendenza degli accertamenti tecnici necessari per determinare le caratteristiche e l’entità della violazione, il Responsabile ha diritto di effettuare una notifica parziale dell’incidente. Al termine di tali accertamenti tecnici, il Responsabile dovrà rendere al Titolare una notifica integrativa.

    4. Il Titolare notifica al Responsabile eventuali violazioni della sicurezza, anche non riguardanti dati personali, che possano compromettere la sicurezza dell’infrastruttura del SaaS, quali, a titolo meramente esemplificativo, la perdita di controllo sulle credenziali assegnate agli utenti.

  3. Trasferimento di dati oltre lo Spazio Economico Europeo

    1. Qualunque trasferimento di dati verso un paese terzo o un'organizzazione internazionale da parte del Responsabile è effettuato nel rispetto del capo V del GDPR.

  4. Durata e cessazione

    1. La durata del DPA ha efficacia dalla data di sottoscrizione dell’Accordo e si applica fin tanto che sono in essere trattamenti di dati personali svolti dal Responsabile per conto del Titolare.

    2. All’atto della cessazione, per qualsiasi causa, del presente DPA, il Responsabile sarà tenuto, salvo diverse istruzioni scritte da parte del Titolare, alternativamente a:

      1. cessare ogni attività di trattamento aventi ad oggetto i dati personali; 

      2. anonimizzare i dati personali in suo possesso tramite cancellazione non reversibile delle righe di database associate ai Soggetti Interessati.

    3. Le Parti riconoscono e accettano che oltre il termine di cessazione dell’Accordo avranno comunque luogo i trattamenti di dati personali necessari per finalità strettamente tecniche quali, a titolo meramente esemplificativo, l’espletamento delle operazioni di cancellazione dei dati personali, la gestione delle copie di back-up o l’adempimento di obblighi di legge o regolamento. 


  1. Disposizioni Finali

    1. L’esecuzione delle attività di cui al presente DPA non originano alcun diritto in capo al Responsabile, ovvero all’eventuale Sub-Responsabile, a percepire compensi ulteriori rispetto a quanto contrattualmente convenuto tra le Parti nell’Accordo. 

    2. In caso di conflitto tra il presente DPA e l’Accordo, il primo prevale per le questioni attinenti al trattamento dei dati personali. 

    3. Per tutto quanto non espressamente previsto nel presente DPA, si rinvia alla Normativa in materia di Protezione applicabile.

    4. L’eventuale invalidità o inapplicabilità di una disposizione del presente DPA non incide sulle disposizioni restanti, che rimangono pienamente valide e vigenti. La disposizione invalida o inapplicabile viene (i) modificata nella misura necessaria ad assicurarne la validità e applicabilità, preservando per quanto possibile le intenzioni originarie delle Parti o, se ciò non fosse possibile, (ii) interpretata come se non fosse mai stata inserita nel corpo contrattuale.

    5. Il Responsabile ha facoltà di espungere dalla documentazione e dalle informazioni fornite a seguito di richieste rivolte dal Titolare ai sensi degli articoli di questo 5, 6, 7, 8, 9, 10 del presente DPA, quelle informazioni la cui rivelazione potrebbe comportare, anche astrattamente, una violazione degli obblighi in materia di protezione dei dati personali cui è sottoposto il Responsabile o la divulgazione di informazioni sottoposte segreto industriale o comunque suscettibili di ledere in know-how aziendale del Responsabile.

  2. Legge Regolatrice e Foro Competente

    1. Le Parti assoggettano il presente Contratto di Nomina alla legge e alla giurisdizione scelte nell’Accordo. Pertanto, eventuali controversie o pretese che dovessero sorgere ai termini del presente Contratto di Nomina, incluse controversie relative alla sua esistenza, validità o cessazione o alle conseguenze della sua nullità, sono soggette al foro scelto nell’Accordo

Allegato C-bis – Descrizione del trattamento e istruzioni

Parte 1 - Caratteristiche generali del trattamento dei dati personali

Le seguenti informazioni si riferiscono a tutti i trattamenti di dati effettuati tramite il SaaS, indipendentemente dal modulo acquistato

Natura del trattamento

Fornitura del SaaS Compri 

Finalità del trattamento

Erogazione delle funzioni associate ai moduli acquistati dal Titolare

Gestione del account utente

Gestione della sicurezza

Durata del trattamento

Fino alla sottoscrizione del SaaS da parte del Titolare, oltre eventuali trattamenti necessari per finalità di natura tecnica

Categorie di interessati

Dipendenti del Titolare

Categorie di dati personali

Dati identificativi (nome, cognome, posizione lavorativa)

Dati di contatto (indirizzi di posta elettronica)

Dati sensibili

n/a

Parte 2 - Caratteristiche dei trattamenti specifiche per i singoli moduli del SaaS

Le seguenti informazioni si riferiscono ai trattamenti di dati effettuati tramite specifici moduli del SaaS, da verificare sulla base di quelli effettivamente acquistati dal Titolare.

Order Mangement & Visibility

Natura del trattamento

Analisi degli ordini e delle attività relative ai singoli fornitori, tramite accesso all’IRP e alla casella di posta elettronica del dipendente collegato all’account Compri

Categorie di interessati

Dipendenti del Titolare

Dipendenti dei fornitori del Titolare

Fornitori liberi professionisti o ditte individuali

Categorie di dati personali

Dati identificativi (nome, cognome, posizione lavorativa, inquadramento e dipartimento aziendale)

Dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale)

Dati bancari e fiscali (P.IVA, IBAN)

Contenuto delle comunicazioni mail

Dati sensibili

n/a

Request for X

Natura del trattamento

Invio richieste di offerta a fornitori multipli

Categorie di interessati

Dipendenti dei fornitori del Titolare

Fornitori liberi professionisti o ditte individuali

Categorie di dati personali

Dati identificativi (nome, cognome)

Dati di contatto (indirizzi di posta elettronica)

Dati sensibili

n/a

Onboarding

Natura del trattamento

Gestione centralizzata del processo di onboarding e accreditamento dei fornitori

Categorie di interessati

Dipendenti dei fornitori del Titolare

Fornitori liberi professionisti o ditte individuali

Amministratori e sindaci delle aziende fornitrici

Familiari di amministratori e sindaci delle aziende fornitrici

Categorie di dati personali

Dati identificativi (nome, cognome, posizione lavorativa)

Dati di contatto (indirizzi di posta elettronica)

Presenza o assenza di cause di incompatibilità, dichiarazioni ai fini della normativa antiriciclaggio

Dati sensibili

n/a

Documents

Natura del trattamento

Accesso e gestione dei documenti relativi al rapporto con i fornitori

Categorie di interessati

Dipendenti dei fornitori del Titolare

Fornitori liberi professionisti o ditte individuali

Amministratori dei fornitori del Titolare

Categorie di dati personali

Dati identificativi (nome, cognome, data di nascita, posizione lavorativa, inquadramento e dipartimento aziendale)

Dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale)

Dati bancari e fiscali (P.IVA, IBAN)

Contenuto delle comunicazioni mailFirme autografe

Dati sensibili

n/a

Analytics

Natura del trattamento

Analisi in forma aggregata delle informazioni relative alla gestione dei fornitori

Categorie di interessati

Fornitori liberi professionisti o ditte individuali

Categorie di dati personali

Dati identificativi (nome, cognome)

Dati di contatto (indirizzi di posta elettronica)

Dati sensibili

n/a

Vendor management

Natura del trattamento

Gestione in forma di dettaglio delle attività

Categorie di interessati

Fornitori liberi professionisti o ditte individuali

Categorie di dati personali

Dati identificativi (nome, cognome)

Dati di contatto (indirizzi di posta elettronica)

Merito creditizio

Dati sensibili

n/a

Items

Natura del trattamento

n/a

Categorie di interessati

n/a

Categorie di dati personali

n/a

Dati sensibili

n/a

Insights

Natura del trattamento

Analisi delle spese gestite e delle posizioni fornitori per identificare possibilità di risparmio o marginalità

Categorie di interessati

Dipendenti dei fornitori del Titolare

Fornitori liberi professionisti o ditte individuali

Categorie di dati personali

Dati identificativi (nome, cognome, data di nascita, posizione lavorativa, inquadramento e dipartimento aziendale)

Dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale)

Dati sensibili

n/a

Budget

Natura del trattamento

n/a

Categorie di interessati

n/a

Categorie di dati personali

n/a

Dati sensibili

n/a

Contracts

Natura del trattamento

Gestione e analisi dei contratti

Categorie di interessati

Dipendenti dei fornitori del Titolare

Fornitori liberi professionisti o ditte individuali

Amministratori dei fornitori del Titolare

Categorie di dati personali

Dati identificativi (nome, cognome, data di nascita, posizione lavorativa, inquadramento e dipartimento aziendale)

Dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale)

Dati bancari e fiscali (P.IVA, IBAN)Firme autografe

Dati sensibili

n/a

DDT

Natura del trattamento

Gestione e analisi dei documenti di trasporto

Categorie di interessati

Dipendenti dei fornitori del Titolare

Fornitori liberi professionisti o ditte individuali

Amministratori dei fornitori del Titolare

Categorie di dati personali

Dati identificativi (nome, cognome, data di nascita, posizione lavorativa, inquadramento e dipartimento aziendale)

Dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale, indirizzo dell’attività imprenditoriale)

Firme autografe

Dati sensibili

n/a

Procurement AI Assistant

Natura del trattamento

Gestione e analisi dei documenti di trasporto

Categorie di interessati

Dipendenti dei fornitori del Titolare

Fornitori liberi professionisti o ditte individuali

Amministratori dei fornitori del Titolare

Categorie di dati personali

Dati identificativi (nome, cognome, data di nascita, posizione lavorativa, inquadramento e dipartimento aziendale)

Dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale, indirizzo dell’attività imprenditoriale)

Dati sensibili

n/a

Allegato C-ter – Elenco delle misure di sicurezza

Parte 1 - Caratteristiche generali del trattamento dei dati personali

Le seguenti informazioni si riferiscono a tutti i trattamenti di dati effettuati tramite il SaaS, indipendentemente dal modulo acquistato

Procurement AI Assistant

Ambito

Catalogazione 

Requisito di dettaglio 

Misure sicurezza Data Center

Accesso al Sistema o SW (autenticazione)

Adozione di misure dirette a garantire che:
- gli accessi di amministrazione da parte del Responsabile siano riservati al personale a cui sia attribuita la qualifica (“ruolo”) di amministratore di sistema, in virtù di elevate capacità tecniche e caratteristiche di comprovata affidabilità e moralità ;
- l’accesso amministrativo ai sistemi da parte del personale del Cliente avverrà attraverso procedure di autenticazione a più fattori (MFA).

Misure sicurezza Data Center

Accesso al Sistema o SW (policy di gestione)

Per i servizi che prevedono una modalità di gestione amministrativa delle componenti infrastrutturali, devono essere previste le seguenti policy:
- utenze che consentono l’individuazione dell’amministratore che esegue l’intervento;
- attivazione di un processo di log management che identifichi i log in, log out e log in failed;
- conservazione dei log in un formato che ne garantisca l’integrità e la lettura nel tempo;
- conservazione dei log per almeno sei (6) mesi;
- verifica annuale dell’operato degli amministratori di sistema;
- accesso ai sistemi attraverso VPN e MFA.

Misure sicurezza Data Center

Log management

Funzionalità per il tracciamento o registrazione (log) degli accessi e delle attività svolte dagli Utenti. I log concernenti le attività svolte devono essere opportunamente protetti a garanzia della loro integrità e riservatezza. Tali funzionalità devono essere attivabili da parte dell'amministratore di sistema del Cliente o della Software House su richiesta del Cliente.

Misure sicurezza Data Center

Auditing

Utilizzo del sistema di gestione e analisi dei log anche per il monitoraggio delle attività degli amministratori di sistema. L’accesso al sistema di gestione dei log è riservato al personale avente ruolo di auditor e non è ammesso per il personale addetto all’amministrazione di sistema.

Misure sicurezza Data Center

Crittografia dei protocolli di comunicazione

Applicazione di protocolli crittografici standard di comunicazione sicuri e non obsoleti, nei casi in cui l'accesso al sistema sia effettuato tramite Internet.

Misure sicurezza Data Center

Minacce e Vulnerabilità

Adozione di un programma di gestione delle minacce e dei rischi per monitorare continuamente le vulnerabilità delle Piattaforme SaaS indicate da best practice internazionali attraverso la pianificazione e l'esecuzione di scansioni delle vulnerabilità interne ed esterne e test di penetrazione. Le vulnerabilità identificate devono essere valutate per determinare i rischi associati e le opportune azioni correttive stabilite in base alla priorità assegnata e gravità rilevata.

Misure sicurezza Data Center

Firewalling

Adozione di sistemi di firewall finalizzati a filtrare e contenere il traffico identificando eventuale traffico anomalo indicatore di possibili attacchi informatici. 

Misure sicurezza Data Center

Intrusion Prevention

Protezione dell’ambiente mediante cui è erogato il servizio del Responsabile mediante Intrusion Prevention System (IPS) che permettono di analizzare tutto il traffico in entrata individuando immediatamente i tentativi di attacco in corso. Il traffico di rete, su segmenti significativi della piattaforma, passa attraverso sistemi che ispezionano ogni pacchetto del traffico in transito.

Misure sicurezza Data Center

Malware protection

Adozione di misure di protezione da infezioni di software malevolo, di difesa da azioni non autorizzate, da applicazioni sospette e di protezione da tentativi di sottrazione di dati personali (es. mediante sistemi antivirus, antispamming, antiphishing, etc., mantenuti costantemente aggiornati).

Misure sicurezza Data Center

Filesystem Antivirus

Adozione di moduli Antivirus sul filesystem su tutti i server utilizzati per la fornitura dei servizi, con possibilità di configurare, su base progettuale, prodotti antivirus specifici gestiti centralmente in termini di aggiornamento, distribuzione delle policy, avvio di scansioni on demand, notifiche e gestione della area di quarantena.

Misure sicurezza Data Center

Monitoraggio e gestione incidenti

Adozione di policy e procedure per l'identificazione, gli interventi, i rimedi e le segnalazioni di incidenti che determinano un rischio per l’integrità o riservatezza dei dati personali o altre violazioni della sicurezza.

Misure sicurezza Data Center

Security Patch Management

Sottoposizione della piattaforma ad un processo periodico di verifica delle patch o delle fix disponibili relativamente alle componenti dell'impianto di erogazione e a quelle ritenute critiche per l’erogazione del servizio o per la sicurezza.

Misure sicurezza Data Center

Sicurezza fisica

Applicazione di adeguate misure di sicurezza fisica alla piattaforma hardware/software progettata (es. utilizzo di hosting providers/servizi di data center dotati di adeguati sistemi di prevenzione del rischio intrusione, incendio, allagamento, ecc.).

Misure sicurezza Data Center

Anti allagamento

Adozione nell'ambito del Data Center di tutte le misure necessarie a prevenire allagamenti (quali presenza di sonde, impianti di allarme, ecc.).

Misure sicurezza Data Center

Anti intrusione

Impostazione nel Data Center di un sistema di controllo degli accessi che identifichi coloro che accedono e impedisca l'accesso ai non autorizzati. La procedura deve prevedere anche la gestione del Change con l'attivazione e disattivazione dell'autorizzazione all'accesso in funzione dei cambi di ruolo.

Misure sicurezza Data Center

Telecamere a circuito chiuso

Installazione di telecamere (CCTV) per il controllo del perimetro dell’edificio, degli ingressi, delle porte interbloccate e di eventuali altre zone critiche.

Misure sicurezza Data Center

Condizionamento

Adozione di adeguati impianti di condizionamento e di raffreddamento degli ambienti ed apparati.

Misure sicurezza Data Center

Continuità ed emergenza

Adozione di procedure e controlli da eseguire al fine di garantire il necessario livello di continuità e disponibilità del sistema/SW (in caso di incidente / violazione di dati personali). Le procedure devono comprendere le indicazioni per la conservazione delle copie di backup nonché un piano per il disaster recovery

Misure sicurezza Data Center

Cancellazione dei dati

Previsione di misure per la cancellazione dei dati di produzione al termine dell'erogazione del servizio secondo i termini contrattuali definiti con il Cliente.

Misure sicurezza Data Center

Gestione sub-fornitori

Selezione e verifica dei requisiti del sub-fornitore che assume la gestione sistemistica dei server e dell’infrastruttura necessari allo svolgimento dei Servizi e sottoscrizione di un contratto che vincoli il medesimo sub-fornitore al rispetto degli obblighi concernenti le misure di sicurezza. 

Connettività

Linee internet e banda

Previsione di misure volte ad assicurare una connettività adeguata in conformità ai livelli di servizio contrattualmente definiti con il Cliente.

Connettività

Firewalling

Protezione dell'accesso ai sistemi contro il rischio d'intrusione attraverso adeguate misure di firewalling.

Sicurezza rete

AntiDDoS

Erogazione da parte del Data Center di un servizio in grado di rispondere in modo efficace alle problematiche create dagli attacchi (“DDoS”)

Sicurezza rete

IDS/IPS

Adozione di un sistema IPS (Intrusion Prevention System) in grado di bloccare automaticamente gli attacchi rilevati e IDS (Intrusion Detection System) in grado di intercettare le minacce fornendo così una protezione real-time ai servizi erogati dal Data Center.

Governance

Formazione

Erogazione periodica di corsi di formazione sulla sicurezza e protezione dei dati personali ai propri dipendenti coinvolti nelle attività di trattamento.

Governance

Ubicazione geografica

Dichiarazione da parte della SWH nei confronti del Cliente dell'ubicazione geografica del DC e dei dati.

Governance

Data breach

Adozione di procedure di individuazione, contenimento e risoluzione di situazioni di rischio (e.g. violazioni di dati personali) per la sicurezza dei dati e dei sistemi in fase post-intrusione.

Governance

Sicurezza logica

Rivalutazione con cadenza almeno annuale delle misure e procedure di sicurezza applicate in modo da aggiornarle in relazione alle vulnerabilità rilevate, agli attacchi subiti e all’evoluzione della tecnologia.

Allegato C-quater – Elenco dei sub-responsabili del trattamento

Sub-Responsabile

Natura del trattamento

Termini di servizio

Amazon Web Services

Cloud and host providing

Mongo DB Limited

Servizio di gestione del database

Clickhouse Inc

Servizio di gestione del database

Microsoft Inc

Fornitura del servizio di AI generativa Azure Service

Anthropic PBC

Fornitura del servizio di AI generativa Claude API

Google Inc

Fornitura del servizio di AI generativa Google Gemini API tramite Google Studio

compri helps you handle your day to day procurement activities all in one place and 10x faster.

Compri’s newsletter

© compri S.r.l 2024

Viale Tunisia 42, 20124, Milan, Italy

VAT: 13568830965

© 2025 Compri UI. All rights reserved.

compri helps you handle your day to day procurement activities all in one place and 10x faster.

Compri’s newsletter

© compri S.r.l 2024

Viale Tunisia 42, 20124, Milan, Italy

VAT: 13568830965

© 2025 Compri UI. All rights reserved.

compri helps you handle your day to day procurement activities all in one place and 10x faster.

Compri’s newsletter

© compri S.r.l 2024

Viale Tunisia 42, 20124, Milan, Italy

VAT: 13568830965

© 2025 Compri UI. All rights reserved.