ALLEGATO C – ACCORDO SUL TRATTAMENTO DEI DATI
Tra
Cliente, come definito nel Contratto Commerciale (di seguito “ Proprietario ”);
E
Tu acquisti, come definito nel Contratto Commerciale (di seguito “ Responsabile ”);
(Il Proprietario e il Titolare dei Dati sono di seguito anche indicati singolarmente come la “ Parte ” e congiuntamente come le “ Parti ”).
Considerando che:
un Contratto Commerciale (di seguito “ Contratto ”) è stato stipulato tra il Titolare del trattamento e il Responsabile del trattamento a cui questo Accordo di Trattamento dei Dati (di seguito “ DPA ”) è allegato e di cui forma una parte integrale e sostanziale;
l'oggetto del Contratto è la fornitura, secondo i metodi e i termini definiti nel Contratto stesso, del SaaS Compri (di seguito “ SaaS ”), destinato a gestire e snellire la catena di approvvigionamento del Cliente;
l'uso del SaaS comporta il trattamento di dati personali, come definito ai sensi dell'art. 4(1)(1) del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (di seguito “ GDPR ”);
rispetto a tale trattamento, il Cliente agisce come titolare del trattamento, come definito ai sensi dell'Articolo 4(1)(7) del GDPR e Compri agisce come responsabile del trattamento, ai sensi dell'Articolo 28 del GDPR;
Il Responsabile del trattamento certifica e garantisce di possedere l'esperienza, la capacità e l'affidabilità necessarie per adottare misure tecniche e organizzative di sicurezza appropriate per garantire un livello di sicurezza adeguato al rischio, in modo che il trattamento effettuato per l'adempimento dell'incarico previsto nel Contratto soddisfi i requisiti del GDPR e, in generale, della legislazione in materia di protezione dei dati personali e garantisca la protezione dei diritti degli interessati;
Le Parti intendono concordare, ai sensi e per gli effetti dell'Articolo 28(2) del GDPR, sulla natura, scopo, durata, tipo di dati personali, categorie di soggetti interessati, così come i loro diritti e obblighi derivanti dal trattamento di dati personali effettuato tramite il SaaS.
Alla luce di quanto sopra, le Parti concordano come segue:
Alla luce di quanto sopra, le Parti concordano come segue:
Definizioni
Nel presente DPA, i termini indicati di seguito hanno i significati attribuiti loro di seguito. Per quanto non espressamente definito ai sensi di questo articolo, si prega di fare riferimento alle definizioni contenute nell'Articolo 4 del GDPR.
Il termine “Legge Applicabile” significa il GDPR, il Decreto Legislativo 196/2003 e qualsiasi altra legge sulla protezione dei dati applicabile di volta in volta al trattamento dei dati personali;
Il termine "Data Processors" (Responsabili del trattamento) significa dipendenti, agenti o qualsiasi altra persona fisica autorizzata dalle Parti a svolgere operazioni di trattamento dei dati personali ai sensi dell'Articolo 29 del GDPR e dell'Articolo 2-quaterdecies del Decreto Legislativo 196/2003;
Il termine “Sub-Processor” (Sub-responsabile) significa qualsiasi entità utilizzata dal titolare del trattamento per svolgere specifiche attività per conto del Titolare del trattamento o di un'altra entità nominata da quest'ultimo;
Il termine “EEA” (Spazio Economico Europeo) significa l'Area Economica Europea.
Scopo e finalità
Lo scopo di questo DPA è garantire la conformità con l'articolo 28, paragrafi 3 e 4, del GDPR.
Questo DPA si applica alle operazioni di trattamento elencate e descritte nell'allegato "Descrizione del trattamento e istruzioni" ( Allegato C-bis ). Le Parti riconoscono che il SaaS è di natura modulare e che, pertanto, il trattamento dei dati personali effettuato dal Titolare del trattamento è come indicato:
nella Parte 1 dell'allegato “Descrizione del trattamento e istruzioni”;
nella Parte 2 dell'allegato “Descrizione del trattamento e istruzioni”, relativa ai moduli coperti dall'Offerta Commerciale.
Obblighi del Titolare del Trattamento
Il Titolare del Trattamento si impegna a rispettare la legislazione applicabile, nonché a trattare i dati in conformità a qualsiasi altra disposizione legale applicabile che ha o può avere effetti vincolanti sui metodi e le garanzie da applicare al trattamento dei dati personali.
Il Titolare del Trattamento fornisce al Responsabile le istruzioni riguardanti il trattamento dei dati personali (le "Istruzioni") inserite nel SaaS, verificando che tali istruzioni siano conformi alla Legislazione sulla Protezione dei Dati. Le Istruzioni del Titolare del Trattamento, alla data della firma del presente DPA, sono descritte nell'Allegato C-bis.
Il Titolare del Trattamento può emettere nuove istruzioni per l'intera durata del trattamento, notificando per iscritto il Responsabile almeno 15 giorni prima della data di entrata in vigore delle nuove istruzioni. Le nuove istruzioni devono essere documentate per iscritto. Il Responsabile ha il diritto di risolvere il Contratto ai sensi dell'Articolo 1456 del Codice Civile Italiano se tali nuove Istruzioni impongono un onere eccessivo o sono ritenute dal Responsabile in conflitto con la Normativa Applicabile.
Il Titolare del Trattamento può, riguardo alle caratteristiche del trattamento dei dati personali intrinsecamente legate al funzionamento di Compri, apportare modifiche all'Allegato C-bis, dando notizia di ciò al Titolare del Trattamento con almeno 5 giorni di preavviso.
In nessun caso il Titolare del Trattamento sarà ritenuto responsabile per qualsiasi violazione delle Normative Applicabili derivante dalla condotta del Titolare del Trattamento o dall'applicazione delle Istruzioni fornite dal Titolare del Trattamento.
Il Titolare del Trattamento si impegna a verificare e dimostrare che i dati inseriti nel SaaS siano raccolti e trattati su una base giuridica appropriata, nonché in conformità con eventuali altre obbligazioni di trasparenza imposte dalla Normativa Applicabile.
Il Titolare del Trattamento si impegna a identificare, per ciascuna categoria di dati personali trattati all'interno del SaaS, i relevanti periodi di conservazione e a rimuovere le informazioni dal SaaS dopo che tale periodo è scaduto.
In ogni caso, gli obblighi del Responsabile non includono la determinazione della liceità delle attività di trattamento dei dati effettuate per conto del Titolare del Trattamento, né alcuna verifica della conformità del trattamento effettuato tramite il SaaS con la legislazione applicabile.
Obblighi del Titolare del Trattamento
Il Responsabile tratta i dati personali in conformità con le istruzioni del Titolare, salvo quanto richiesto dalla legge dell'Unione o nazionale a cui è soggetto il Responsabile. Il Responsabile tratta i dati personali esclusivamente per le finalità specifiche indicate nell'Allegato C-bis e per il periodo di tempo ivi indicato.
Fatto salvo quanto previsto dall'Articolo 3.7. del presente DPA, il Responsabile deve informare immediatamente il Titolare del Trattamento se, a suo avviso, le Istruzioni violano la Legge Applicabile.
Il Responsabile mantiene e aggiorna il Registro delle Attività di Trattamento ai sensi dell'Art. 30(2) GDPR, con specifico riferimento alle attività svolte per conto del Titolare del Trattamento. Il Responsabile, su richiesta del Titolare, fornisce una copia delle sezioni del suddetto registro relative al trattamento svolto per conto del Titolare del Trattamento.
Il Responsabile del Trattamento deve informare il Titolare del Trattamento senza indebito ritardo di qualsiasi obbligo imposto da un'autorità pubblica di consultare e/o acquisire i dati personali del Titolare, salvo che l'autorità suddetta imponga obblighi diversi a causa del segreto investigativo.
Assistenza del Proprietario
Il Responsabile del trattamento risponde prontamente e in modo appropriato alle richieste di informazioni da parte del Titolare del trattamento riguardo al trattamento dei dati soggetti a questo DPA e fornisce al Titolare del trattamento la documentazione appropriata per dimostrare la conformità a questo DPA e alla legislazione applicabile.
Il Titolare del trattamento può adempiere all'obbligo previsto dal precedente Articolo 5.1 rendendo disponibili materiali informativi e documentazione utile su pagine web dedicate e/o nell'area personale disponibile nell'interfaccia SaaS.
Il Responsabile fornisce assistenza ragionevole al Titolare del trattamento nell'effettuare valutazioni di impatto sulla protezione dei dati e in consultazioni preventive con le Autorità di vigilanza o altre autorità competenti per la protezione dei dati, secondo necessità per il Titolare del trattamento per rispettare gli Articoli 35 e 36 del GDPR.
Il Responsabile consente al Titolare del trattamento o a un revisore designato dal Titolare di effettuare audit, comprese ispezioni, in relazione al trattamento dei Dati Personali effettuato dal Responsabile, a condizione che al Responsabile venga fornito un preavviso ragionevole di almeno 2 mesi.
La richiesta di audit deve contenere un'indicazione delle attività di trattamento e degli obblighi che vengono verificati, nonché indicare i motivi per cui la verifica non può essere eseguita sulla base della documentazione.
Richieste da Parte di Soggetti Interessati
Nel caso in cui il Responsabile del Trattamento riceva richieste riguardanti i diritti dei Soggetti Interessati, è obbligato a comunicare tali richieste al Titolare del Trattamento, allegando una copia alla comunicazione.
Il Responsabile del Trattamento si impegna ad assistere il Titolare del Trattamento implementando misure tecniche e organizzative appropriate per rispondere alle richieste dei Soggetti Interessati.
Il Titolare del Trattamento tratterà le richieste per esercitare diritti in conformità alle istruzioni specificamente fornite dal Titolare del Trattamento per iscritto.
Sicurezza dei dati
Il Processore implementa almeno le misure tecniche e organizzative specificate nell'Allegato "Elenco delle Misure di Sicurezza" (" Allegato C-ter ") per garantire la sicurezza dei dati personali. Ciò include la protezione contro qualsiasi violazione della sicurezza che porti a distruzione, perdita, alterazione, divulgazione non autorizzata o accesso ai dati, che possono costituire una violazione dei dati personali ai sensi dell'Articolo 33 del GDPR.
Il Data Processor può apportare modifiche all'Allegato C-ter, fornendo al Data Controller un preavviso di almeno cinque giorni. Il Data Controller rimane obbligato a mantenere un livello adeguato di sicurezza e protezione dei dati personali.
Nella valutazione del livello appropriato di sicurezza, le Parti devono tener conto dello stato dell'arte, dei costi di attuazione, nonché della natura, dell'ambito, del contesto e degli scopi del trattamento, oltre ai rischi per i Soggetti Interessati.
Persone incaricate del trattamento
Il Titolare concede l'accesso ai dati personali in fase di trattamento ai membri del proprio personale solo nella misura strettamente necessaria per l'attuazione, gestione e supervisione delle operazioni di trattamento coperte da questo DPA.
Il Titolare dei Dati garantisce che le persone autorizzate a trattare i dati personali ricevuti:
si siano impegnate a mantenere la riservatezza o siano soggette a un'appropriata obbligazione legale di riservatezza;
abbiano ricevuto l'autorizzazione appropriata per trattare i dati personali.
Sub-controllers
Il Processore ha l'autorizzazione generale del Titolare del trattamento per utilizzare i Sub-processori elencati nell'Allegato “Elenco dei Sub-processori” (“ Allegato C-quater ”).
Il Processore ha il diritto di emendare unilateralmente l'Allegato C-quater. In tal caso, il Processore informerà il Titolare del trattamento delle modifiche con almeno 5 giorni di preavviso, dando così al Titolare del trattamento tempo sufficiente per opporsi a tali modifiche prima di ricorrere ai Sub-Processori per il trattamento in questione.
In ogni caso, il Titolare del trattamento si impegna a coinvolgere Sub-Processori che presentano garanzie sufficienti per garantire un adeguato livello di protezione dei dati personali e a firmare un contratto scritto con ciascun Sub-Processore che impone al Sub-Processore, in sostanza, gli stessi obblighi ai quali il Titolare del trattamento è soggetto nei confronti del Titolare del trattamento.
Violazione dei dati personali
In caso di violazione della sicurezza che possa influire sui dati personali trattati dal Processore per conto del Titolare del Trattamento, il Processore si impegna a notificare l'incidente entro 48 ore dalla sua scoperta.
La notifica contiene informazioni di riepilogo utili per il Titolare del Trattamento per adempiere agli obblighi previsti dagli articoli 33 e 34 del GDPR, inclusa almeno una descrizione della violazione, compresa la natura e l'estensione dei dati violati.
In attesa delle indagini tecniche necessarie per determinare le caratteristiche e l'estensione della violazione, il Titolare del Trattamento ha il diritto di fornire una notifica parziale dell'incidente. Al termine di queste indagini tecniche, il Titolare del Trattamento deve fornire al Titolare del Trattamento una notifica supplementare.
Il Titolare del Trattamento deve notificare al Processore dei Dati eventuali violazioni della sicurezza, comprese quelle che non coinvolgono dati personali, che possono compromettere la sicurezza dell'infrastruttura SaaS, come, a titolo esemplificativo, la perdita di controllo sulle credenziali assegnate agli utenti.
Trasferimento di dati al di fuori dello Spazio Economico Europeo
Qualsiasi trasferimento di dati verso un paese terzo o un'organizzazione internazionale da parte del Titolare avviene in conformità con il Capitolo V del GDPR.
Dati personali Durata e cessazione
Il termine del DPA è efficace dalla data di firma dell'Accordo e si applica per tutto il tempo in cui i dati personali vengono elaborati dal Titolare del trattamento per conto del Controllore.
In caso di cessazione, per qualsiasi motivo, di questo DPA, il Titolare del trattamento sarà tenuto, salvo diversa indicazione scritta da parte del Controllore, a:
cessare tutte le attività di trattamento coinvolgenti i dati personali;
b. anonimizzare i dati personali in suo possesso tramite l'eliminazione non reversibile delle righe del database associate agli Interessati.
Le Parti riconoscono e accettano che oltre la data di cessazione dell'Accordo, il trattamento dei dati personali continuerà a svolgersi per scopi strettamente tecnici, come ad esempio, il completamento delle operazioni di cancellazione dei dati personali, la gestione delle copie di backup o l'adempimento degli obblighi legali o normativi.
Disposizioni Finali
L'esecuzione delle attività di cui al presente DPA non genera alcun diritto da parte del Processor, o di qualsiasi Sub-Processor, di ricevere un compenso diverso da quello contrattualmente concordato tra le Parti nell'Accordo.
In caso di conflitto tra questo DPA e l'Accordo, il DPA prevarrà in merito alle questioni relative al trattamento dei dati personali.
Per tutto ciò che non è espressamente previsto in questo DPA, si prega di fare riferimento alla legislazione sulla protezione dei dati applicabile.
Se una qualsiasi disposizione di questo DPA è ritenuta invalida o inapplicabile, le disposizioni rimanenti rimarranno in pieno vigore ed efficienza. La disposizione invalida o inapplicabile sarà (i) modificata nella misura necessaria per garantirne la validità e l'applicabilità, preservando nella massima misura possibile le intenzioni originali delle Parti, o, se ciò non è possibile, (ii) interpretata come se non fosse mai stata inclusa nel corpo dell'Accordo.
Il Titolare del Trattamento ha il diritto di rimuovere dalla documentazione e dalle informazioni fornite a seguito di richieste effettuate dal Titolare del Trattamento ai sensi degli Articoli 5, 6, 7, 8, 9 e 10 di questo DPA, qualsiasi informazione la cui divulgazione potrebbe portare, anche teoricamente, a una violazione degli obblighi di protezione dei dati personali ai quali il Titolare del Trattamento è soggetto o alla divulgazione di informazioni soggette a segreto industriale o altrimenti suscettibili di danneggiare il know-how aziendale del Titolare del Trattamento.
Legge e Foro Competente
Le Parti sottomettono questo Accordo di Nomina alla legge e giurisdizione scelte nell'Accordo. Pertanto, eventuali controversie o reclami che possono sorgere ai sensi di questo Accordo di Nomina, comprese le controversie relative alla sua esistenza, validità o risoluzione o alle conseguenze della sua invalidità, sono soggetti al foro scelto nell'Accordo.
Allegato C-bis – Descrizione del trattamento e istruzioni
Parte 1 - Caratteristiche generali del trattamento dei dati personali
Le seguenti informazioni si riferiscono a tutti i trattamenti di dati effettuati tramite il SaaS, indipendentemente dal modulo acquistato.
Natura del trattamento
Fornitura SaaS Compri
Scopo del trattamento
Fornitura di funzioni associate ai moduli acquistati dal Proprietario
Gestione dell'account utente
Gestione della sicurezza
Durata del trattamento
Fino a quando il SaaS non è sottoscritto dal Proprietario, oltre a qualsiasi elaborazione necessaria per scopi tecnici.
Categorie di parti interessate
Dipendenti del Proprietario
Categorie di dati personali
Dati di identificazione (nome, cognome, titolo professionale)
Contatti (indirizzi email)
Dati sensibili
non disponibile
Parte 2 - Caratteristiche specifiche di elaborazione per singoli moduli SaaS
Le seguenti informazioni si riferiscono all'elaborazione dei dati effettuata tramite moduli SaaS specifici, da verificare in base a quelli effettivamente acquistati dal Titolare del Trattamento.
Gestione e Visibilità degli Ordini
Natura del trattamento
Analisi degli ordini e delle attività relative ai singoli fornitori, attraverso l'accesso all'IRP e alla casella di posta elettronica del dipendente collegato all'account Compri.
Categorie di parti interessate
Dipendenti del Proprietario
Dipendenti dei fornitori del Titolare del trattamento
Fornitori freelance o singole aziende
Categorie di dati personali
Dati identificativi (nome, cognome, titolo professionale, classificazione e dipartimento aziendale)
Dettagli di contatto (indirizzi email, numero di cellulare aziendale)
Dettagli bancari e fiscali (numero di partita IVA, IBAN)
Contenuto delle comunicazioni via email
Dati sensibili
non disponibile
Richiesta per X
Natura del trattamento
Invio di richieste di preventivo a più fornitori
Categorie di parti interessate
Dipendenti dei fornitori del Titolare del trattamento
Fornitori freelance o singole aziende
Categorie di dati personali
Dati di identificazione (nome, cognome)
Dettagli di contatto (indirizzi email)
Dati sensibili
non disponibile
Qualifica fornitori
Natura del trattamento
Gestione centralizzata del processo di onboarding e accreditamento dei fornitori
Categorie di parti interessate
Dipendenti dei fornitori del Titolare del trattamento
Fornitori freelance o singole aziende
Direttori e sindaci delle aziende fornitrici
Familiare dei direttori e dei revisori delle aziende fornitrici
Categorie di dati personali
Dati identificativi (nome, cognome, titolo professionale)
Dettagli di contatto (indirizzi email)
Presenza o assenza di cause di incompatibilità, dichiarazioni ai fini della legislazione antiriciclaggio
Dati sensibili
non disponibile
Conformità
Natura del trattamento
Gestione centralizzata dei processi aziendali per la verifica della conformità normativa dei fornitori
Categorie di parti interessate
Dipendenti dei fornitori del Titolare del trattamento
Fornitori freelance o singole aziende
Categorie di dati personali
Dati di identificazione (nome, cognome, titolo professionale)
Contatti (indirizzi email)
Dati sensibili
non disponibile
Documenti
Natura del trattamento
Accesso e gestione dei documenti relativi al rapporto con i fornitori
Categorie di parti interessate
Dipendenti dei fornitori del Titolare del trattamento
Fornitori freelance o singole aziende
Amministratori dei fornitori del Titolare del trattamento
Categorie di dati personali
Dati di identificazione (nome, cognome, data di nascita, titolo di lavoro, descrizione del lavoro e reparto aziendale)
Dettagli di contatto (indirizzi email, numero di cellulare dell'azienda)
Dettagli bancari e fiscali (numero di partita IVA, IBAN)
Contenuto delle comunicazioni via email
Firme autografe
Dati sensibili
non disponibile
Analytics
Natura del trattamento
Analisi aggregata delle informazioni sulla gestione dei fornitori
Categorie di parti interessate
Fornitori freelance o singole aziende
Categorie di dati personali
Dati di identificazione (nome, cognome)
Dettagli di contatto (indirizzi email)
Dati sensibili
non disponibile
Gestione dei fornitori
Natura del trattamento
Gestione dettagliata delle attività
Categorie di parti interessate
Fornitori freelance o singole aziende
Categorie di dati personali
Dati identificativi (nome, cognome)
Dettagli di contatto (indirizzi email)
Affidabilità creditizia
Dati sensibili
non disponibile
Articoli
Natura del trattamento
non disponibile
Categorie di parti interessate
non disponibile
Categorie di dati personali
non disponibile
Dati sensibili
non disponibile
Approfondimenti
Natura del trattamento
Analisi delle spese gestite e delle posizioni dei fornitori per identificare opportunità di risparmio o margine.
Categorie di parti interessate
Dipendenti dei fornitori del Titolare del trattamento
Fornitori freelance o singole aziende
Categorie di dati personali
Dipendenti dei fornitori del Titolare del trattamento
Fornitori freelance o singole aziende
Dati sensibili
non disponibile
Orchestrazione dell'Assunzione
Natura del trattamento
Gestione internalizzata del processo di presentazione e convalida delle richieste di acquisto
Categorie di parti interessate
Dipendenti dei fornitori del Titolare del trattamento
Fornitori freelance o singole aziende
Categorie di dati personali
Dati di identificazione (nome, cognome, data di nascita, titolo professionale, descrizione del lavoro e reparto aziendale)
Dettagli di contatto (indirizzi email, numero di cellulare aziendale)
Dati sensibili
non disponibile
Budget
Natura del trattamento
non disponibile
Categorie di parti interessate
non disponibile
Categorie di dati personali
non disponibile
Dati sensibili
non disponibile
Contratti
Natura del trattamento
Gestione e analisi dei contratti
Categorie di parti interessate
Dipendenti dei fornitori del Titolare del trattamento
Fornitori freelance o singole aziende
Amministratori dei fornitori del Titolare del trattamento
Categorie di dati personali
Dati identificativi (nome, cognome, data di nascita, titolo professionale, descrizione del lavoro e dipartimento aziendale)
Dettagli di contatto (indirizzi email, numero di cellulare aziendale)
Dettagli bancari e fiscali (numero di partita IVA, IBAN)
Firme autografe
Dati sensibili
non disponibile
DDT
Natura del trattamento
Gestione e analisi dei documenti di trasporto
Categorie di parti interessate
Dipendenti dei fornitori del Titolare del trattamento
Fornitori freelance o singole aziende
Amministratori dei fornitori del Titolare del trattamento
Categorie di dati personali
Dati identificativi (nome, cognome, data di nascita, titolo professionale, descrizione del lavoro e dipartimento aziendale)
Informazioni di contatto (indirizzi email, numero di cellulare aziendale, indirizzo aziendale)
Firme autografate
Dati sensibili
non disponibile
Assistente AI per gli acquisti
Natura del trattamento
documenti di trasporto
Categorie di parti interessate
Dipendenti dei fornitori del Titolare del trattamento
Fornitori freelance o singole aziende
Amministratori dei fornitori del Titolare del trattamento
Dati di identificazione (nome, cognome, data di nascita, titolo professionale, descrizione del lavoro e dipartimento aziendale)
Informazioni di contatto (indirizzi email, numero di cellulare aziendale, indirizzo aziendale)
Dati sensibili
non disponibile
Allegato C-ter – Elenco delle misure di sicurezza
Parte 1 - Caratteristiche generali del trattamento dei dati personali
Le seguenti informazioni si riferiscono a tutti i trattamenti di dati effettuati tramite il SaaS, indipendentemente dal modulo acquistato
Assistente AI per gli acquisti
Campo
Catalogazione
Requisito di dettaglio
Misure di Sicurezza del Data Center
Accesso al Sistema o SW (autenticazione)
Adozione di misure volte a garantire che:
- l'accesso amministrativo da parte del Manager sia riservato al personale a cui è assegnata la qualifica (“ruolo”) di amministratore di sistema, in virtù di elevate competenze tecniche e caratteristiche di comprovata affidabilità e moralità;
- l'accesso amministrativo ai sistemi da parte del personale del Cliente avverrà tramite procedure di autenticazione a più fattori (MFA).
Misure per la Sicurezza del Data Center
Accesso al Sistema o SW (politica di gestione)
Per i servizi che prevedono un metodo di gestione amministrativa dei componenti infrastrutturali, devono essere fornite le seguenti politiche:
- utenti che consentono l'identificazione dell'amministratore che esegue l'intervento; - attivazione di un processo di gestione dei log che identifica gli accessi, le disconnessioni e i tentativi di accesso non riusciti ;
- archiviazione dei log in un formato che garantisca la loro integrità e leggibilità nel tempo; - archiviazione dei log per almeno sei (6) mesi; - verifica annuale del lavoro degli amministratori di sistema; - accesso ai sistemi tramite VPN e MFA.
Misure per la Sicurezza del Data Center
Gestione dei log
Caratteristiche per il tracciamento o la registrazione (log) dell'accesso e dell'attività degli utenti. I registri delle attività devono essere adeguatamente protetti per garantire la loro integrità e riservatezza. Queste funzionalità devono essere attivate dall'amministratore di sistema del cliente o dalla casa software su richiesta del cliente.
Misure per la Sicurezza del Data Center
Auditare
Utilizzo del sistema di gestione e analisi dei log per monitorare l'attività degli amministratori di sistema. L'accesso al sistema di gestione dei log è riservato agli auditor e non è consentito al personale di amministrazione di sistema.
Misure per la Sicurezza del Data Center
Crittografia dei protocolli di comunicazione
Applicazione di protocolli di comunicazione crittografica sicuri e non obsoleti, nei casi in cui l'accesso al sistema avviene tramite Internet.
Misure per la Sicurezza del Data Center
Minacce e Vulnerabilità
Implementa un programma di gestione delle minacce e dei rischi per monitorare continuamente le vulnerabilità della piattaforma SaaS, come definito dalle migliori pratiche internazionali, pianificando ed eseguendo scansioni di vulnerabilità interne ed esterne e test di penetrazione. Le vulnerabilità identificate devono essere valutate per determinare i rischi associati e le opportune azioni correttive devono essere stabilite in base alla loro priorità assegnata e alla gravità rilevata.
Misure per la Sicurezza del Data Center
Firewalling
Adozione di sistemi firewall volti a filtrare e contenere il traffico identificando eventuali traffico anomalo che potrebbe indicare potenziali attacchi informatici.
Misure per la Sicurezza del Data Center
Prevenzione delle intrusioni
Protezione dell'ambiente attraverso il quale il servizio del Manager viene fornito tramite Sistemi di Prevenzione delle Intrusioni (IPS) che analizzano tutto il traffico in ingresso e identificano immediatamente eventuali tentativi di attacco in corso. Il traffico di rete su segmenti significativi della piattaforma passa attraverso sistemi che ispezionano ogni pacchetto in transito.
Misure per la Sicurezza del Data Center
Protezione da malware
Adozione di misure per proteggere contro infezioni da malware, azioni non autorizzate, applicazioni sospette e tentativi di rubare dati personali (ad es., tramite antivirus costantemente aggiornati, sistemi anti-spam, anti-phishing, ecc.).
Misure per la Sicurezza del Data Center
Antivirus del file system
Adozione di moduli antivirus per filesystem su tutti i server utilizzati per fornire servizi, con la possibilità di configurare, su base progetto per progetto, specifici prodotti antivirus che sono gestiti centralmente in termini di aggiornamenti, distribuzione delle policy, avvii di scansione on-demand, notifiche e gestione dell'area di quarantena.
Misure per la Sicurezza del Data Center
Monitoraggio e gestione degli incidenti
Adozione di politiche e procedure per identificare, rispondere, rimediare e segnalare incidenti che pongono a rischio l'integrità o la riservatezza dei dati personali o di altre violazioni della sicurezza.
Misure per la Sicurezza del Data Center
Gestione delle patch di sicurezza
Soggettare la piattaforma a un processo di verifica periodica per le patch o le soluzioni disponibili relative ai componenti del sistema di consegna e quelli considerati critici per la fornitura del servizio o per la sicurezza.
Misure per la Sicurezza del Data Center
Sicurezza fisica
Applicazione di adeguate misure di sicurezza fisica alla piattaforma hardware/software progettata (ad esempio, utilizzo di fornitori di hosting/servizi di data center dotati di sistemi adeguati per prevenire il rischio di intrusione, incendio, allagamenti, ecc.).
Misure per la Sicurezza del Data Center
Antiallagamento
Adozione di tutte le misure necessarie all'interno del Data Center per prevenire allagamenti (come la presenza di sonde, sistemi di allerta, ecc.).
Misure per la Sicurezza del Data Center
Antintrusione
Impostare un sistema di controllo degli accessi nel centro dati che identifica chi vi accede e previene l'accesso non autorizzato. La procedura deve includere anche la gestione delle modifiche, attivando e disattivando le autorizzazioni di accesso in base ai cambiamenti di ruolo.
Misure per la Sicurezza del Data Center
Telecamere a circuito chiuso
Installazione di telecamere a circuito chiuso per monitorare il perimetro dell'edificio, gli ingressi, le porte interbloccate e qualsiasi altra area critica.
Misure per la Sicurezza del Data Center
Condizionamento
Adozione di sistemi di condizionamento e refrigerazione adeguati per stanze e attrezzature.
Misure per la Sicurezza del Data Center
Continuità e emergenza
Adozione di procedure e controlli per garantire il necessario livello di continuità e disponibilità del sistema/software (in caso di incidente/violazione dei dati personali). Le procedure devono includere istruzioni per mantenere copie di backup e un piano di recupero in caso di disastro.
Misure per la Sicurezza del Data Center
Cancellazione dei dati
Fornitura di misure per la cancellazione dei dati di produzione al termine della fornitura del servizio secondo i termini contrattuali definiti con il Cliente.
Misure per la Sicurezza del Data Center
Gestione dei subappaltatori
Selezione e verifica dei requisiti del subappaltatore che gestirà i sistemi e le infrastrutture necessarie per svolgere i Servizi, e sottoscrizione di un contratto che vincola il subappaltatore a rispettare gli obblighi relativi alle misure di sicurezza.
Connettività
Linee Internet e larghezza di banda
Attuazione di misure per garantire un'adeguata connettività in conformità con i livelli di servizio definiti contrattualmente con il Cliente.
Connettività
Firewalling
misure di firewall.
Sicurezza della rete
AntiDDoS
Fornitura da parte del Data Center di un servizio in grado di rispondere efficacemente ai problemi creati dagli attacchi (“DDoS”)
Sicurezza della rete
IDS/IPS
Adozione di un sistema IPS (Intrusion Prevention System) in grado di bloccare automaticamente gli attacchi rilevati e un sistema IDS (Intrusion Detection System) in grado di intercettare le minacce, offrendo così protezione in tempo reale ai servizi forniti dal Data Center.
Governance
Formazione
Fornitura di corsi di formazione periodici sulla sicurezza e protezione dei dati personali per i dipendenti coinvolti nelle attività di trattamento dei dati.
Governance
Localizzazione geografica
Dichiarazione da SWH al Cliente della posizione geografica del DC e dei dati.
Governance
Violazione dei dati
Adozione di procedure per identificare, contenere e risolvere situazioni di rischio (ad es., violazioni di dati personali) per la sicurezza dei dati e dei sistemi nella fase post-intrusione.
Governance
Sicurezza logica
Rivalutare le misure di sicurezza e le procedure in atto almeno annualmente per aggiornarlas based su vulnerabilità, attacchi e sviluppi tecnologici rilevati.
Allegato C-quater – Elenco dei sub-processori
Sottomanager
Natura del trattamento
Terms of Service
Amazon Web Services
Cloud e hosting fornendo
Mongo DB Limitato
Servizio di gestione del database
Clickhouse Inc
Servizio di gestione del database
Microsoft Inc.
Fornitura del Servizio di Intelligenza Artificiale Generativa di Azure
Anthropic PBC
Fornire il servizio AI generativa API Claude
Google Inc
Fornire il servizio di intelligenza artificiale generativa API Google Gemini tramite Google Studio