ALLEGATO C – DATA PROCESSING AGREEMENT
Tra
Cliente, così come definito nell’Accordo Commerciale (di seguito “Titolare”);
e
Compri, così come definito nell’Accordo Commerciale (di seguito “Responsabile”);
(Titolare e Responsabile sono di seguito indicati anche singolarmente come “Parte” e congiuntamente come “Parti”).
Premesso che:
tra il Titolare e il Responsabile è stato stipulato un Accordo Commerciale (di seguito “Accordo”) cui il presente Contratto sul Trattamento dei Dati (di seguito “DPA”) è allegato e del quale forma parte integrante e sostanziale;
oggetto dell’Accordo è la fornitura, secondo le modalità e i termini definiti nell’Accordo stesso, del SaaS Compri (di seguito “SaaS”), volto alla gestione e all’efficientamento della catena di approvvigionamento del Cliente;
l’utilizzo del SaaS comporta il trattamento di dati personali, come definiti ai sensi dell’art. 4(1)(1) del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito “GDPR”);
rispetto a detti trattamenti, il Cliente opera in qualità di titolare del trattamento dei dati, così come definito ai sensi dell’articolo 4(1)(7) del GDPR e Compri operata in qualità di responsabile del trattamento, ai sensi dell’art. 28 del GDPR;
il Responsabile attesta e garantisce di essere in possesso dei requisiti di esperienza, capacità e affidabilità necessari per adottare idonee misure di sicurezza tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio affinché il trattamento posto in essere in esecuzione dell’incarico di cui all’Accordo soddisfi i requisiti richiesti dal GDPR e, in generale, dalla normativa in materia di protezione dei dati personali e garantisca la tutela dei diritti dei soggetti interessati;
le Parti intendono concordare ai sensi e per gli effetti dell’art. 28(2) del GDPR, la natura, la finalità, la durata, il tipo di dati personali, le categorie di interessati, nonché i propri diritti e obblighi derivanti dal trattamento di dati personali effettuato mediante il SaaS.
Tutto ciò premesso, le Parti convengono quanto segue:
Definizioni
Nel presente DPA, i termini infra indicati hanno il significato attribuito loro a seguire. Per tutto quanto non espressamente definito ai sensi del presente articolo si rimanda alle definizioni di cui all’art. 4 del GDPR.
Con il termine “Normativa applicabile” si intende il GDPR, il d. lgs. 196/2003 e qualsiasi altra legge in materia di protezione dei dati di volta in volta applicabile al trattamento dei dati personali;
Con il termine “Incaricati del Trattamento” si intendono i dipendenti, gli incaricati o qualsiasi altra persona fisica autorizzata dalle Parti a svolgere operazioni di trattamento dei dati personali ai sensi dell’art. 29 del GDPR e dell’art. 2-quaterdecies del d. lgs. 196/2003;
Con il termine “Sub-Responsabile” si intende qualsiasi entità cui il responsabile del trattamento ricorre per l’esecuzione di specifiche attività svolte per conto del Titolare o da un altro soggetto da questi incaricato;
con il termine “SEE” si intende lo Spazio Economico Europeo.
Scopo e ambito di applicazione
Lo scopo del presente DPA è garantire il rispetto dell'articolo 28, paragrafi 3 e 4, del regolamento GDPR.
Il presente DPA si applica ai trattamenti elencati e descritti nell’Allegato “Descrizione del trattamento e istruzioni” (Allegato C-bis)]. Le Parti riconoscono che il SaaS ha natura modulare e che, pertanto, il trattamento dei dati personali effettuato dal Responsabile è quello indicato:
nella Parte 1 dell’Allegato “Descrizione del trattamento e istruzioni”;
nella Parte 2 dell’Allegato “Descrizione del trattamento e istruzioni”, relativamente ai moduli oggetto dell’Offerta Commerciale.
Obblighi del Titolare
Il Titolare si impegna a rispettare la Normativa applicabile, nonché a trattare i dati in conformità a qualsiasi altra disposizione di legge applicabile che abbia o possa avere effetti di natura obbligatoria circa le modalità e le garanzie da applicare al trattamento di dati personali.
Il titolare impartisce al Responsabile istruzioni circa la modalità di trattamento dei dati personali (le “Istruzioni”) inseriti all’interno del SaaS, verificando che queste siano conformi alla Normativa in materia di Protezione dei Dati. Le Istruzioni del Titolare alla data di sottoscrizione del presente DPA sono descritte nell’Allegato C-bis.
Il Titolare del trattamento può impartire nuove istruzioni per tutta la durata del trattamento, dandone notizia al Responsabile per iscritto almeno 15 giorni prima della data di effettiva applicazione delle stesse. Tali nuove istruzioni sono documentate per iscritto. Il Responsabile ha diritto di risolvere l’Accordo ai sensi dell’art. 1456 c.c. nel caso in cui tali nuove Istruzioni comportino un onere eccessivo o siano ritenute dal Responsabile in contrasto con la Normativa Applicabile.
Il Responsabile può, per quanto attiene alle caratteristiche del trattamento dei dati personali intrinsecamente legate al funzionamento di Compri, apportare modifiche all’Allegato C-bis, dandone comunicazione al Titolare con un preavviso di almeno 5 giorni.
In nessun caso, è imputabile al Responsabile la violazione della Normativa Applicabile derivante da un comportamento del Titolare, nonché dall’applicazione delle Istruzioni da esso impartite.
Il Titolare si impegna a verificare e dimostrare che i dati inseriti all’interno del SaaS siano raccolti e trattati sulla base di un’idonea base giuridica, nonché nel rispetto di ogni altro obbligo imposto dalla Normativa Applicabile in termini di trasparenza.
Il Titolare si impegna a identificare, per ogni categoria di dati personali trattata all’interno del SaaS, i relativi periodi di conservazione e a rimuovere dal SaaS le informazioni al decorrere di tale termine.
In ogni caso non rientra tra gli obblighi a carico del Responsabile la determinazione dei presupposti di liceità delle attività di trattamento dei dati svolte per conto del Titolare, nonché qualsivoglia verifica circa la conformità dei trattamenti svolti tramite il SaaS alla Normativa applicabile.
Obblighi del Responsabile
Il Responsabile tratta i dati personali in conformità alle Istruzioni del Titolare, salvo che lo richieda il diritto dell'Unione o nazionale cui è soggetto il Responsabile. Il Responsabile tratta i dati personali unicamente per le finalità specifiche di cui all’Allegato C-bis, nonché per il periodo di tempo ivi indicato.
Senza pregiudizio delle disposizioni di cui all’art. 3.7. del presente DPA, il Responsabile informa immediatamente il Titolare del trattamento qualora, a suo parere, le Istruzioni violino la Normativa Applicabile
Il Responsabile tiene e aggiorna il Registro delle Attività di trattamento di cui all’art. 30(2) GDPR, con speciale riferimento alle attività svolte per conto del Titolare. Il Responsabile, su richiesta del Titolare, mette a disposizione una copia delle sezioni del suddetto registro riguardanti il trattamento svolto per conto del Titolare.
Il Responsabile informa il Titolare senza ingiustificato ritardo circa l’obbligo di consultazione e/o acquisizione dei dati personali del Titolare imposto da un’Autorità pubblica, salvo vincoli diversi da parte della suddetta Autorità dovuti a segreto investigativo.
Assistenza al Titolare
Il Responsabile del trattamento risponde prontamente e adeguatamente alle richieste di informazioni del titolare del trattamento relative al trattamento dei dati oggetto del presente DPA e mette a disposizione del Titolare la documentazione idonea a comprovare il rispetto del presente DPA e della Normativa applicabile.
Il Responsabile può adempiere all’obbligo di cui al precedente articolo 5.1. mettendo a disposizione materiale informativo e documentazione utile all’interno di pagine web dedicate e/o dell’area personale disponibile nell’interfaccia del SaaS.
Il Responsabile offre ragionevole assistenza al Titolare nell’esecuzione delle valutazioni d’impatto sulla protezione dei dati e nelle consultazioni preventive con le Autorità di controllo o altre autorità competenti in materia di protezione dei dati personali, che si rendano necessarie affinché il Titolare sia conforme agli articoli 35 e 36 del GDPR.
Il Responsabile acconsente a che il Titolare o un auditor incaricato dal Titolare svolga degli audit, incluse ispezioni, in relazione al Trattamento dei dati personali effettuato dal Responsabile, a condizione che al Responsabile venga dato un preavviso ragionevole di almeno 2 mesi.
La richiesta di audit deve contenere l’indicazione delle attività di trattamento e degli obblighi oggetto di verifica, nonché indicare le ragioni per cui l’attività di verifica non possa essere svolta su base documentale.
Istanze dei Soggetti Interessati
Nel caso in cui il Responsabile sia destinatario di richieste sui diritti dei Soggetti Interessati, lo stesso ha l’obbligo di comunicare tali richieste al Titolare, allegando copia alla comunicazione.
Il Responsabile si impegna ad assistere il Titolare attuando misure tecniche e organizzative adeguate al fine di dare seguito alle richieste dei Soggetti Interessati.
Il Responsabile da seguito alle richieste di esercizio dei diritti attenendosi alle istruzioni specificatamente impartite dal Titolare per iscritto.
Sicurezza dei dati
Il Responsabile mette in atto almeno le misure tecniche e organizzative specificate all’Allegato “Elenco delle misure di sicurezza” (“Allegato C-ter”) per garantire la sicurezza dei dati personali. Ciò include la protezione da ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati, che possa costituire una violazione dei dati personali ai sensi dell’art. 33 del GDPR
Il Responsabile ha facoltà di apportare modifiche all’Allegato C-ter, dandone comunicazione al Titolare con un anticipo di almeno 5 giorni. Resta fermo l’obbligo del Titolare di mantenere un adeguato livello di sicurezza e protezione dei dati personali.
Nel valutare l'adeguato livello di sicurezza, le Parti tengono debitamente conto dello stato dell'arte, dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi per gli Interessati.
Soggetti incaricati del trattamento
Il Responsabile concede l'accesso ai dati personali oggetto di trattamento ai membri del suo personale soltanto nella misura strettamente necessaria per l'attuazione, la gestione e il controllo dei trattamenti oggetto del presente DPA.
Il Responsabile garantisce che le persone autorizzate al trattamento dei dati personali ricevuti:
si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
abbiano ricevuto idonea autorizzazione al trattamento dei dati personali.
Sub-responsabili
Il Responsabile ha l’autorizzazione generale del Titolare a ricorrere ai Sub-responsabili di cui all’Allegato “Elenco dei sub-responsabili del trattamento” (“Allegato C-quater”).
Il Responsabile ha diritto di modificare all’Allegato C-quater in modo unilaterale. In tal caso, il Responsabile informa il Titolare delle modifiche con un anticipo di almeno 5 giorni, dando così al Titolare tempo sufficiente per poter opporsi a tali modifiche prima del ricorso al o ai Sub-Responsabili del trattamento in questione.
In ogni caso, il Responsabile si impegna a ingaggiare Sub-Responsabili che presentino garanzie sufficienti a garantire un adeguato livello di protezione dei dati personali e a sottoscrivere con ciascun Sub-Responsabile un accordo scritto che imponga al Sub-Responsabile, in sostanza, gli stessi obblighi cui il Responsabile è tenuto nei confronti del Titolare.
Violazione dei dati personali
In caso di una violazione della sicurezza che possa avere impatti sui dati personali, trattati dal Responsabile per conto del Titolare, il Responsabile si impegna a notificare l’episodio entro 48h dalla sua scoperta.
La notifica contiene le informazioni sommarie, utili al Titolare per adempiere agli obblighi di cui agli articoli 33 e 34 del GDPR, tra cui almeno una descrizione della violazione che comprenda l’indicazione della natura dei dati violati e della loro entità.
Nella pendenza degli accertamenti tecnici necessari per determinare le caratteristiche e l’entità della violazione, il Responsabile ha diritto di effettuare una notifica parziale dell’incidente. Al termine di tali accertamenti tecnici, il Responsabile dovrà rendere al Titolare una notifica integrativa.
Il Titolare notifica al Responsabile eventuali violazioni della sicurezza, anche non riguardanti dati personali, che possano compromettere la sicurezza dell’infrastruttura del SaaS, quali, a titolo meramente esemplificativo, la perdita di controllo sulle credenziali assegnate agli utenti.
Trasferimento di dati oltre lo Spazio Economico Europeo
Qualunque trasferimento di dati verso un paese terzo o un'organizzazione internazionale da parte del Responsabile è effettuato nel rispetto del capo V del GDPR.
Durata e cessazione
La durata del DPA ha efficacia dalla data di sottoscrizione dell’Accordo e si applica fin tanto che sono in essere trattamenti di dati personali svolti dal Responsabile per conto del Titolare.
All’atto della cessazione, per qualsiasi causa, del presente DPA, il Responsabile sarà tenuto, salvo diverse istruzioni scritte da parte del Titolare, alternativamente a:
cessare ogni attività di trattamento aventi ad oggetto i dati personali;
anonimizzare i dati personali in suo possesso tramite cancellazione non reversibile delle righe di database associate ai Soggetti Interessati.
Le Parti riconoscono e accettano che oltre il termine di cessazione dell’Accordo avranno comunque luogo i trattamenti di dati personali necessari per finalità strettamente tecniche quali, a titolo meramente esemplificativo, l’espletamento delle operazioni di cancellazione dei dati personali, la gestione delle copie di back-up o l’adempimento di obblighi di legge o regolamento.
Disposizioni Finali
L’esecuzione delle attività di cui al presente DPA non originano alcun diritto in capo al Responsabile, ovvero all’eventuale Sub-Responsabile, a percepire compensi ulteriori rispetto a quanto contrattualmente convenuto tra le Parti nell’Accordo.
In caso di conflitto tra il presente DPA e l’Accordo, il primo prevale per le questioni attinenti al trattamento dei dati personali.
Per tutto quanto non espressamente previsto nel presente DPA, si rinvia alla Normativa in materia di Protezione applicabile.
L’eventuale invalidità o inapplicabilità di una disposizione del presente DPA non incide sulle disposizioni restanti, che rimangono pienamente valide e vigenti. La disposizione invalida o inapplicabile viene (i) modificata nella misura necessaria ad assicurarne la validità e applicabilità, preservando per quanto possibile le intenzioni originarie delle Parti o, se ciò non fosse possibile, (ii) interpretata come se non fosse mai stata inserita nel corpo contrattuale.
Il Responsabile ha facoltà di espungere dalla documentazione e dalle informazioni fornite a seguito di richieste rivolte dal Titolare ai sensi degli articoli di questo 5, 6, 7, 8, 9, 10 del presente DPA, quelle informazioni la cui rivelazione potrebbe comportare, anche astrattamente, una violazione degli obblighi in materia di protezione dei dati personali cui è sottoposto il Responsabile o la divulgazione di informazioni sottoposte segreto industriale o comunque suscettibili di ledere in know-how aziendale del Responsabile.
Legge Regolatrice e Foro Competente
Le Parti assoggettano il presente Contratto di Nomina alla legge e alla giurisdizione scelte nell’Accordo. Pertanto, eventuali controversie o pretese che dovessero sorgere ai termini del presente Contratto di Nomina, incluse controversie relative alla sua esistenza, validità o cessazione o alle conseguenze della sua nullità, sono soggette al foro scelto nell’Accordo
Allegato C-bis – Descrizione del trattamento e istruzioni
Parte 1 - Caratteristiche generali del trattamento dei dati personali
Le seguenti informazioni si riferiscono a tutti i trattamenti di dati effettuati tramite il SaaS, indipendentemente dal modulo acquistato
Natura del trattamento
Fornitura del SaaS Compri
Finalità del trattamento
Erogazione delle funzioni associate ai moduli acquistati dal Titolare
Gestione del account utente
Gestione della sicurezza
Durata del trattamento
Fino alla sottoscrizione del SaaS da parte del Titolare, oltre eventuali trattamenti necessari per finalità di natura tecnica
Categorie di interessati
Dipendenti del Titolare
Categorie di dati personali
Dati identificativi (nome, cognome, posizione lavorativa)
Dati di contatto (indirizzi di posta elettronica)
Dati sensibili
n/a
Parte 2 - Caratteristiche dei trattamenti specifiche per i singoli moduli del SaaS
Le seguenti informazioni si riferiscono ai trattamenti di dati effettuati tramite specifici moduli del SaaS, da verificare sulla base di quelli effettivamente acquistati dal Titolare.
Order Mangement & Visibility
Natura del trattamento
Analisi degli ordini e delle attività relative ai singoli fornitori, tramite accesso all’IRP e alla casella di posta elettronica del dipendente collegato all’account Compri
Categorie di interessati
Dipendenti del Titolare
Dipendenti dei fornitori del Titolare
Fornitori liberi professionisti o ditte individuali
Categorie di dati personali
Dati identificativi (nome, cognome, posizione lavorativa, inquadramento e dipartimento aziendale)
Dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale)
Dati bancari e fiscali (P.IVA, IBAN)
Contenuto delle comunicazioni mail
Dati sensibili
n/a
Request for X
Natura del trattamento
Invio richieste di offerta a fornitori multipli
Categorie di interessati
Dipendenti dei fornitori del Titolare
Fornitori liberi professionisti o ditte individuali
Categorie di dati personali
Dati identificativi (nome, cognome)
Dati di contatto (indirizzi di posta elettronica)
Dati sensibili
n/a
Onboarding
Natura del trattamento
Gestione centralizzata del processo di onboarding e accreditamento dei fornitori
Categorie di interessati
Dipendenti dei fornitori del Titolare
Fornitori liberi professionisti o ditte individuali
Amministratori e sindaci delle aziende fornitrici
Familiari di amministratori e sindaci delle aziende fornitrici
Categorie di dati personali
Dati identificativi (nome, cognome, posizione lavorativa)
Dati di contatto (indirizzi di posta elettronica)
Presenza o assenza di cause di incompatibilità, dichiarazioni ai fini della normativa antiriciclaggio
Dati sensibili
n/a
Documents
Natura del trattamento
Accesso e gestione dei documenti relativi al rapporto con i fornitori
Categorie di interessati
Dipendenti dei fornitori del Titolare
Fornitori liberi professionisti o ditte individuali
Amministratori dei fornitori del Titolare
Categorie di dati personali
Dati identificativi (nome, cognome, data di nascita, posizione lavorativa, inquadramento e dipartimento aziendale)
Dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale)
Dati bancari e fiscali (P.IVA, IBAN)
Contenuto delle comunicazioni mailFirme autografe
Dati sensibili
n/a
Analytics
Natura del trattamento
Analisi in forma aggregata delle informazioni relative alla gestione dei fornitori
Categorie di interessati
Fornitori liberi professionisti o ditte individuali
Categorie di dati personali
Dati identificativi (nome, cognome)
Dati di contatto (indirizzi di posta elettronica)
Dati sensibili
n/a
Vendor management
Natura del trattamento
Gestione in forma di dettaglio delle attività
Categorie di interessati
Fornitori liberi professionisti o ditte individuali
Categorie di dati personali
Dati identificativi (nome, cognome)
Dati di contatto (indirizzi di posta elettronica)
Merito creditizio
Dati sensibili
n/a
Items
Natura del trattamento
n/a
Categorie di interessati
n/a
Categorie di dati personali
n/a
Dati sensibili
n/a
Insights
Natura del trattamento
Analisi delle spese gestite e delle posizioni fornitori per identificare possibilità di risparmio o marginalità
Categorie di interessati
Dipendenti dei fornitori del Titolare
Fornitori liberi professionisti o ditte individuali
Categorie di dati personali
Dati identificativi (nome, cognome, data di nascita, posizione lavorativa, inquadramento e dipartimento aziendale)
Dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale)
Dati sensibili
n/a
Budget
Natura del trattamento
n/a
Categorie di interessati
n/a
Categorie di dati personali
n/a
Dati sensibili
n/a
Contracts
Natura del trattamento
Gestione e analisi dei contratti
Categorie di interessati
Dipendenti dei fornitori del Titolare
Fornitori liberi professionisti o ditte individuali
Amministratori dei fornitori del Titolare
Categorie di dati personali
Dati identificativi (nome, cognome, data di nascita, posizione lavorativa, inquadramento e dipartimento aziendale)
Dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale)
Dati bancari e fiscali (P.IVA, IBAN)Firme autografe
Dati sensibili
n/a
DDT
Natura del trattamento
Gestione e analisi dei documenti di trasporto
Categorie di interessati
Dipendenti dei fornitori del Titolare
Fornitori liberi professionisti o ditte individuali
Amministratori dei fornitori del Titolare
Categorie di dati personali
Dati identificativi (nome, cognome, data di nascita, posizione lavorativa, inquadramento e dipartimento aziendale)
Dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale, indirizzo dell’attività imprenditoriale)
Firme autografe
Dati sensibili
n/a
Procurement AI Assistant
Natura del trattamento
Gestione e analisi dei documenti di trasporto
Categorie di interessati
Dipendenti dei fornitori del Titolare
Fornitori liberi professionisti o ditte individuali
Amministratori dei fornitori del Titolare
Categorie di dati personali
Dati identificativi (nome, cognome, data di nascita, posizione lavorativa, inquadramento e dipartimento aziendale)
Dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale, indirizzo dell’attività imprenditoriale)
Dati sensibili
n/a
Allegato C-ter – Elenco delle misure di sicurezza
Parte 1 - Caratteristiche generali del trattamento dei dati personali
Le seguenti informazioni si riferiscono a tutti i trattamenti di dati effettuati tramite il SaaS, indipendentemente dal modulo acquistato
Procurement AI Assistant
Ambito
Catalogazione
Requisito di dettaglio
Misure sicurezza Data Center
Accesso al Sistema o SW (autenticazione)
Adozione di misure dirette a garantire che:
- gli accessi di amministrazione da parte del Responsabile siano riservati al personale a cui sia attribuita la qualifica (“ruolo”) di amministratore di sistema, in virtù di elevate capacità tecniche e caratteristiche di comprovata affidabilità e moralità ;
- l’accesso amministrativo ai sistemi da parte del personale del Cliente avverrà attraverso procedure di autenticazione a più fattori (MFA).
Misure sicurezza Data Center
Accesso al Sistema o SW (policy di gestione)
Per i servizi che prevedono una modalità di gestione amministrativa delle componenti infrastrutturali, devono essere previste le seguenti policy:
- utenze che consentono l’individuazione dell’amministratore che esegue l’intervento;
- attivazione di un processo di log management che identifichi i log in, log out e log in failed;
- conservazione dei log in un formato che ne garantisca l’integrità e la lettura nel tempo;
- conservazione dei log per almeno sei (6) mesi;
- verifica annuale dell’operato degli amministratori di sistema;
- accesso ai sistemi attraverso VPN e MFA.
Misure sicurezza Data Center
Log management
Funzionalità per il tracciamento o registrazione (log) degli accessi e delle attività svolte dagli Utenti. I log concernenti le attività svolte devono essere opportunamente protetti a garanzia della loro integrità e riservatezza. Tali funzionalità devono essere attivabili da parte dell'amministratore di sistema del Cliente o della Software House su richiesta del Cliente.
Misure sicurezza Data Center
Auditing
Utilizzo del sistema di gestione e analisi dei log anche per il monitoraggio delle attività degli amministratori di sistema. L’accesso al sistema di gestione dei log è riservato al personale avente ruolo di auditor e non è ammesso per il personale addetto all’amministrazione di sistema.
Misure sicurezza Data Center
Crittografia dei protocolli di comunicazione
Applicazione di protocolli crittografici standard di comunicazione sicuri e non obsoleti, nei casi in cui l'accesso al sistema sia effettuato tramite Internet.
Misure sicurezza Data Center
Minacce e Vulnerabilità
Adozione di un programma di gestione delle minacce e dei rischi per monitorare continuamente le vulnerabilità delle Piattaforme SaaS indicate da best practice internazionali attraverso la pianificazione e l'esecuzione di scansioni delle vulnerabilità interne ed esterne e test di penetrazione. Le vulnerabilità identificate devono essere valutate per determinare i rischi associati e le opportune azioni correttive stabilite in base alla priorità assegnata e gravità rilevata.
Misure sicurezza Data Center
Firewalling
Adozione di sistemi di firewall finalizzati a filtrare e contenere il traffico identificando eventuale traffico anomalo indicatore di possibili attacchi informatici.
Misure sicurezza Data Center
Intrusion Prevention
Protezione dell’ambiente mediante cui è erogato il servizio del Responsabile mediante Intrusion Prevention System (IPS) che permettono di analizzare tutto il traffico in entrata individuando immediatamente i tentativi di attacco in corso. Il traffico di rete, su segmenti significativi della piattaforma, passa attraverso sistemi che ispezionano ogni pacchetto del traffico in transito.
Misure sicurezza Data Center
Malware protection
Adozione di misure di protezione da infezioni di software malevolo, di difesa da azioni non autorizzate, da applicazioni sospette e di protezione da tentativi di sottrazione di dati personali (es. mediante sistemi antivirus, antispamming, antiphishing, etc., mantenuti costantemente aggiornati).
Misure sicurezza Data Center
Filesystem Antivirus
Adozione di moduli Antivirus sul filesystem su tutti i server utilizzati per la fornitura dei servizi, con possibilità di configurare, su base progettuale, prodotti antivirus specifici gestiti centralmente in termini di aggiornamento, distribuzione delle policy, avvio di scansioni on demand, notifiche e gestione della area di quarantena.
Misure sicurezza Data Center
Monitoraggio e gestione incidenti
Adozione di policy e procedure per l'identificazione, gli interventi, i rimedi e le segnalazioni di incidenti che determinano un rischio per l’integrità o riservatezza dei dati personali o altre violazioni della sicurezza.
Misure sicurezza Data Center
Security Patch Management
Sottoposizione della piattaforma ad un processo periodico di verifica delle patch o delle fix disponibili relativamente alle componenti dell'impianto di erogazione e a quelle ritenute critiche per l’erogazione del servizio o per la sicurezza.
Misure sicurezza Data Center
Sicurezza fisica
Applicazione di adeguate misure di sicurezza fisica alla piattaforma hardware/software progettata (es. utilizzo di hosting providers/servizi di data center dotati di adeguati sistemi di prevenzione del rischio intrusione, incendio, allagamento, ecc.).
Misure sicurezza Data Center
Anti allagamento
Adozione nell'ambito del Data Center di tutte le misure necessarie a prevenire allagamenti (quali presenza di sonde, impianti di allarme, ecc.).
Misure sicurezza Data Center
Anti intrusione
Impostazione nel Data Center di un sistema di controllo degli accessi che identifichi coloro che accedono e impedisca l'accesso ai non autorizzati. La procedura deve prevedere anche la gestione del Change con l'attivazione e disattivazione dell'autorizzazione all'accesso in funzione dei cambi di ruolo.
Misure sicurezza Data Center
Telecamere a circuito chiuso
Installazione di telecamere (CCTV) per il controllo del perimetro dell’edificio, degli ingressi, delle porte interbloccate e di eventuali altre zone critiche.
Misure sicurezza Data Center
Condizionamento
Adozione di adeguati impianti di condizionamento e di raffreddamento degli ambienti ed apparati.
Misure sicurezza Data Center
Continuità ed emergenza
Adozione di procedure e controlli da eseguire al fine di garantire il necessario livello di continuità e disponibilità del sistema/SW (in caso di incidente / violazione di dati personali). Le procedure devono comprendere le indicazioni per la conservazione delle copie di backup nonché un piano per il disaster recovery
Misure sicurezza Data Center
Cancellazione dei dati
Previsione di misure per la cancellazione dei dati di produzione al termine dell'erogazione del servizio secondo i termini contrattuali definiti con il Cliente.
Misure sicurezza Data Center
Gestione sub-fornitori
Selezione e verifica dei requisiti del sub-fornitore che assume la gestione sistemistica dei server e dell’infrastruttura necessari allo svolgimento dei Servizi e sottoscrizione di un contratto che vincoli il medesimo sub-fornitore al rispetto degli obblighi concernenti le misure di sicurezza.
Connettività
Linee internet e banda
Previsione di misure volte ad assicurare una connettività adeguata in conformità ai livelli di servizio contrattualmente definiti con il Cliente.
Connettività
Firewalling
Protezione dell'accesso ai sistemi contro il rischio d'intrusione attraverso adeguate misure di firewalling.
Sicurezza rete
AntiDDoS
Erogazione da parte del Data Center di un servizio in grado di rispondere in modo efficace alle problematiche create dagli attacchi (“DDoS”)
Sicurezza rete
IDS/IPS
Adozione di un sistema IPS (Intrusion Prevention System) in grado di bloccare automaticamente gli attacchi rilevati e IDS (Intrusion Detection System) in grado di intercettare le minacce fornendo così una protezione real-time ai servizi erogati dal Data Center.
Governance
Formazione
Erogazione periodica di corsi di formazione sulla sicurezza e protezione dei dati personali ai propri dipendenti coinvolti nelle attività di trattamento.
Governance
Ubicazione geografica
Dichiarazione da parte della SWH nei confronti del Cliente dell'ubicazione geografica del DC e dei dati.
Governance
Data breach
Adozione di procedure di individuazione, contenimento e risoluzione di situazioni di rischio (e.g. violazioni di dati personali) per la sicurezza dei dati e dei sistemi in fase post-intrusione.
Governance
Sicurezza logica
Rivalutazione con cadenza almeno annuale delle misure e procedure di sicurezza applicate in modo da aggiornarle in relazione alle vulnerabilità rilevate, agli attacchi subiti e all’evoluzione della tecnologia.
Allegato C-quater – Elenco dei sub-responsabili del trattamento
Sub-Responsabile
Natura del trattamento
Termini di servizio
Amazon Web Services
Cloud and host providing
Mongo DB Limited
Servizio di gestione del database
Clickhouse Inc
Servizio di gestione del database
Microsoft Inc
Fornitura del servizio di AI generativa Azure Service
Anthropic PBC
Fornitura del servizio di AI generativa Claude API
Google Inc
Fornitura del servizio di AI generativa Google Gemini API tramite Google Studio