ALLEGATO C – CONTRATTO DI TRATTAMENTO DATI
Between
Client, as defined in the Commercial Agreement (hereinafter referred to as “Owner”);
and
Buyer, as defined in the Commercial Agreement (hereinafter referred to as “Manager”);
(Owner and Manager are hereinafter also referred to individually as “Party” and collectively as “Parties”).
Premesso che:
tra il Titolare e il Responsabile è stato stipulato un Accordo Commerciale (di seguito “Accordo”) cui il presente Contratto sul Trattamento dei Dati (di seguito “DPA”) è allegato e del quale forma parte integrante e sostanziale;
oggetto dell’Accordo è la fornitura, secondo le modalità e i termini definiti nell’Accordo stesso, del SaaS Compri (di seguito “SaaS”), volto alla gestione e all’efficientamento della catena di approvvigionamento del Cliente;
l’utilizzo del SaaS comporta il trattamento di dati personali, come definiti ai sensi dell’art. 4(1)(1) del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito “GDPR”);
rispetto a detti trattamenti, il Cliente opera in qualità di titolare del trattamento dei dati, così come definito ai sensi dell’articolo 4(1)(7) del GDPR e Compri operata in qualità di responsabile del trattamento, ai sensi dell’art. 28 del GDPR;
il Responsabile attesta e garantisce di essere in possesso dei requisiti di esperienza, capacità e affidabilità necessari per adottare idonee misure di sicurezza tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio affinché il trattamento posto in essere in esecuzione dell’incarico di cui all’Accordo soddisfi i requisiti richiesti dal GDPR e, in generale, dalla normativa in materia di protezione dei dati personali e garantisca la tutela dei diritti dei soggetti interessati;
le Parti intendono concordare ai sensi e per gli effetti dell’art. 28(2) del GDPR, la natura, la finalità, la durata, il tipo di dati personali, le categorie di interessati, nonché i propri diritti e obblighi derivanti dal trattamento di dati personali effettuato mediante il SaaS.
Everything said, the Parties agree as follows:
Definizioni
Nel presente DPA, i termini infra indicati hanno il significato attribuito loro a seguire. Per tutto quanto non espressamente definito ai sensi del presente articolo si rimanda alle definizioni di cui all’art. 4 del GDPR.
Con il termine “Normativa applicabile” si intende il GDPR, il d. lgs. 196/2003 e qualsiasi altra legge in materia di protezione dei dati di volta in volta applicabile al trattamento dei dati personali;
Con il termine “Incaricati del Trattamento” si intendono i dipendenti, gli incaricati o qualsiasi altra persona fisica autorizzata dalle Parti a svolgere operazioni di trattamento dei dati personali ai sensi dell’art. 29 del GDPR e dell’art. 2-quaterdecies del d. lgs. 196/2003;
Con il termine “Sub-Responsabile” si intende qualsiasi entità cui il responsabile del trattamento ricorre per l’esecuzione di specifiche attività svolte per conto del Titolare o da un altro soggetto da questi incaricato;
con il termine “SEE” si intende lo Spazio Economico Europeo.
Scopo e ambito di applicazione
Lo scopo del presente DPA è garantire il rispetto dell'articolo 28, paragrafi 3 e 4, del regolamento GDPR.
Il presente DPA si applica ai trattamenti elencati e descritti nell’Allegato “Descrizione del trattamento e istruzioni” (Allegato C-bis)]. Le Parti riconoscono che il SaaS ha natura modulare e che, pertanto, il trattamento dei dati personali effettuato dal Responsabile è quello indicato:
nella Parte 1 dell’Allegato “Descrizione del trattamento e istruzioni”;
nella Parte 2 dell’Allegato “Descrizione del trattamento e istruzioni”, relativamente ai moduli oggetto dell’Offerta Commerciale.
Obblighi del Titolare
Il Titolare si impegna a rispettare la Normativa applicabile, nonché a trattare i dati in conformità a qualsiasi altra disposizione di legge applicabile che abbia o possa avere effetti di natura obbligatoria circa le modalità e le garanzie da applicare al trattamento di dati personali.
Il titolare impartisce al Responsabile istruzioni circa la modalità di trattamento dei dati personali (le “Istruzioni”) inseriti all’interno del SaaS, verificando che queste siano conformi alla Normativa in materia di Protezione dei Dati. Le Istruzioni del Titolare alla data di sottoscrizione del presente DPA sono descritte nell’Allegato C-bis.
Il Titolare del trattamento può impartire nuove istruzioni per tutta la durata del trattamento, dandone notizia al Responsabile per iscritto almeno 15 giorni prima della data di effettiva applicazione delle stesse. Tali nuove istruzioni sono documentate per iscritto. Il Responsabile ha diritto di risolvere l’Accordo ai sensi dell’art. 1456 c.c. nel caso in cui tali nuove Istruzioni comportino un onere eccessivo o siano ritenute dal Responsabile in contrasto con la Normativa Applicabile.
Il Responsabile può, per quanto attiene alle caratteristiche del trattamento dei dati personali intrinsecamente legate al funzionamento di Compri, apportare modifiche all’Allegato C-bis, dandone comunicazione al Titolare con un preavviso di almeno 5 giorni.
In nessun caso, è imputabile al Responsabile la violazione della Normativa Applicabile derivante da un comportamento del Titolare, nonché dall’applicazione delle Istruzioni da esso impartite.
Il Titolare si impegna a verificare e dimostrare che i dati inseriti all’interno del SaaS siano raccolti e trattati sulla base di un’idonea base giuridica, nonché nel rispetto di ogni altro obbligo imposto dalla Normativa Applicabile in termini di trasparenza.
Il Titolare si impegna a identificare, per ogni categoria di dati personali trattata all’interno del SaaS, i relativi periodi di conservazione e a rimuovere dal SaaS le informazioni al decorrere di tale termine.
In ogni caso non rientra tra gli obblighi a carico del Responsabile la determinazione dei presupposti di liceità delle attività di trattamento dei dati svolte per conto del Titolare, nonché qualsivoglia verifica circa la conformità dei trattamenti svolti tramite il SaaS alla Normativa applicabile.
Obblighi del Responsabile
Il Responsabile tratta i dati personali in conformità alle Istruzioni del Titolare, salvo che lo richieda il diritto dell'Unione o nazionale cui è soggetto il Responsabile. Il Responsabile tratta i dati personali unicamente per le finalità specifiche di cui all’Allegato C-bis, nonché per il periodo di tempo ivi indicato.
Senza pregiudizio delle disposizioni di cui all’art. 3.7. del presente DPA, il Responsabile informa immediatamente il Titolare del trattamento qualora, a suo parere, le Istruzioni violino la Normativa Applicabile
Il Responsabile tiene e aggiorna il Registro delle Attività di trattamento di cui all’art. 30(2) GDPR, con speciale riferimento alle attività svolte per conto del Titolare. Il Responsabile, su richiesta del Titolare, mette a disposizione una copia delle sezioni del suddetto registro riguardanti il trattamento svolto per conto del Titolare.
Il Responsabile informa il Titolare senza ingiustificato ritardo circa l’obbligo di consultazione e/o acquisizione dei dati personali del Titolare imposto da un’Autorità pubblica, salvo vincoli diversi da parte della suddetta Autorità dovuti a segreto investigativo.
Assistenza al Titolare
Il Responsabile del trattamento risponde prontamente e adeguatamente alle richieste di informazioni del titolare del trattamento relative al trattamento dei dati oggetto del presente DPA e mette a disposizione del Titolare la documentazione idonea a comprovare il rispetto del presente DPA e della Normativa applicabile.
Il Responsabile può adempiere all’obbligo di cui al precedente articolo 5.1. mettendo a disposizione materiale informativo e documentazione utile all’interno di pagine web dedicate e/o dell’area personale disponibile nell’interfaccia del SaaS.
Il Responsabile offre ragionevole assistenza al Titolare nell’esecuzione delle valutazioni d’impatto sulla protezione dei dati e nelle consultazioni preventive con le Autorità di controllo o altre autorità competenti in materia di protezione dei dati personali, che si rendano necessarie affinché il Titolare sia conforme agli articoli 35 e 36 del GDPR.
Il Responsabile acconsente a che il Titolare o un auditor incaricato dal Titolare svolga degli audit, incluse ispezioni, in relazione al Trattamento dei dati personali effettuato dal Responsabile, a condizione che al Responsabile venga dato un preavviso ragionevole di almeno 2 mesi.
La richiesta di audit deve contenere l’indicazione delle attività di trattamento e degli obblighi oggetto di verifica, nonché indicare le ragioni per cui l’attività di verifica non possa essere svolta su base documentale.
Istanze dei Soggetti Interessati
Nel caso in cui il Responsabile sia destinatario di richieste sui diritti dei Soggetti Interessati, lo stesso ha l’obbligo di comunicare tali richieste al Titolare, allegando copia alla comunicazione.
Il Responsabile si impegna ad assistere il Titolare attuando misure tecniche e organizzative adeguate al fine di dare seguito alle richieste dei Soggetti Interessati.
Il Responsabile da seguito alle richieste di esercizio dei diritti attenendosi alle istruzioni specificatamente impartite dal Titolare per iscritto.
Sicurezza dei dati
Il Responsabile mette in atto almeno le misure tecniche e organizzative specificate all’Allegato “Elenco delle misure di sicurezza” (“Allegato C-ter”) per garantire la sicurezza dei dati personali. Ciò include la protezione da ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati, che possa costituire una violazione dei dati personali ai sensi dell’art. 33 del GDPR
Il Responsabile ha facoltà di apportare modifiche all’Allegato C-ter, dandone comunicazione al Titolare con un anticipo di almeno 5 giorni. Resta fermo l’obbligo del Titolare di mantenere un adeguato livello di sicurezza e protezione dei dati personali.
Nel valutare l'adeguato livello di sicurezza, le Parti tengono debitamente conto dello stato dell'arte, dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi per gli Interessati.
Soggetti incaricati del trattamento
Il Responsabile concede l'accesso ai dati personali oggetto di trattamento ai membri del suo personale soltanto nella misura strettamente necessaria per l'attuazione, la gestione e il controllo dei trattamenti oggetto del presente DPA.
Il Responsabile garantisce che le persone autorizzate al trattamento dei dati personali ricevuti:
si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
abbiano ricevuto idonea autorizzazione al trattamento dei dati personali.
Sub-responsabili
Il Responsabile ha l’autorizzazione generale del Titolare a ricorrere ai Sub-responsabili di cui all’Allegato “Elenco dei sub-responsabili del trattamento” (“Allegato C-quater”).
Il Responsabile ha diritto di modificare all’Allegato C-quater in modo unilaterale. In tal caso, il Responsabile informa il Titolare delle modifiche con un anticipo di almeno 5 giorni, dando così al Titolare tempo sufficiente per poter opporsi a tali modifiche prima del ricorso al o ai Sub-Responsabili del trattamento in questione.
In ogni caso, il Responsabile si impegna a ingaggiare Sub-Responsabili che presentino garanzie sufficienti a garantire un adeguato livello di protezione dei dati personali e a sottoscrivere con ciascun Sub-Responsabile un accordo scritto che imponga al Sub-Responsabile, in sostanza, gli stessi obblighi cui il Responsabile è tenuto nei confronti del Titolare.
Violazione dei dati personali
In caso di una violazione della sicurezza che possa avere impatti sui dati personali, trattati dal Responsabile per conto del Titolare, il Responsabile si impegna a notificare l’episodio entro 48h dalla sua scoperta.
La notifica contiene le informazioni sommarie, utili al Titolare per adempiere agli obblighi di cui agli articoli 33 e 34 del GDPR, tra cui almeno una descrizione della violazione che comprenda l’indicazione della natura dei dati violati e della loro entità.
Nella pendenza degli accertamenti tecnici necessari per determinare le caratteristiche e l’entità della violazione, il Responsabile ha diritto di effettuare una notifica parziale dell’incidente. Al termine di tali accertamenti tecnici, il Responsabile dovrà rendere al Titolare una notifica integrativa.
Il Titolare notifica al Responsabile eventuali violazioni della sicurezza, anche non riguardanti dati personali, che possano compromettere la sicurezza dell’infrastruttura del SaaS, quali, a titolo meramente esemplificativo, la perdita di controllo sulle credenziali assegnate agli utenti.
Trasferimento di dati oltre lo Spazio Economico Europeo
Qualunque trasferimento di dati verso un paese terzo o un'organizzazione internazionale da parte del Responsabile è effettuato nel rispetto del capo V del GDPR.
Durata e cessazione
La durata del DPA ha efficacia dalla data di sottoscrizione dell’Accordo e si applica fin tanto che sono in essere trattamenti di dati personali svolti dal Responsabile per conto del Titolare.
All’atto della cessazione, per qualsiasi causa, del presente DPA, il Responsabile sarà tenuto, salvo diverse istruzioni scritte da parte del Titolare, alternativamente a:
cessare ogni attività di trattamento aventi ad oggetto i dati personali;
anonimizzare i dati personali in suo possesso tramite cancellazione non reversibile delle righe di database associate ai Soggetti Interessati.
Le Parti riconoscono e accettano che oltre il termine di cessazione dell’Accordo avranno comunque luogo i trattamenti di dati personali necessari per finalità strettamente tecniche quali, a titolo meramente esemplificativo, l’espletamento delle operazioni di cancellazione dei dati personali, la gestione delle copie di back-up o l’adempimento di obblighi di legge o regolamento.
Disposizioni Finali
L’esecuzione delle attività di cui al presente DPA non originano alcun diritto in capo al Responsabile, ovvero all’eventuale Sub-Responsabile, a percepire compensi ulteriori rispetto a quanto contrattualmente convenuto tra le Parti nell’Accordo.
In caso di conflitto tra il presente DPA e l’Accordo, il primo prevale per le questioni attinenti al trattamento dei dati personali.
Per tutto quanto non espressamente previsto nel presente DPA, si rinvia alla Normativa in materia di Protezione applicabile.
L’eventuale invalidità o inapplicabilità di una disposizione del presente DPA non incide sulle disposizioni restanti, che rimangono pienamente valide e vigenti. La disposizione invalida o inapplicabile viene (i) modificata nella misura necessaria ad assicurarne la validità e applicabilità, preservando per quanto possibile le intenzioni originarie delle Parti o, se ciò non fosse possibile, (ii) interpretata come se non fosse mai stata inserita nel corpo contrattuale.
Il Responsabile ha facoltà di espungere dalla documentazione e dalle informazioni fornite a seguito di richieste rivolte dal Titolare ai sensi degli articoli di questo 5, 6, 7, 8, 9, 10 del presente DPA, quelle informazioni la cui rivelazione potrebbe comportare, anche astrattamente, una violazione degli obblighi in materia di protezione dei dati personali cui è sottoposto il Responsabile o la divulgazione di informazioni sottoposte segreto industriale o comunque suscettibili di ledere in know-how aziendale del Responsabile.
Legge Regolatrice e Foro Competente
Le Parti assoggettano il presente Contratto di Nomina alla legge e alla giurisdizione scelte nell’Accordo. Pertanto, eventuali controversie o pretese che dovessero sorgere ai termini del presente Contratto di Nomina, incluse controversie relative alla sua esistenza, validità o cessazione o alle conseguenze della sua nullità, sono soggette al foro scelto nell’Accordo
Allegato C-bis – Descrizione del trattamento e istruzioni
Parte 1 - Caratteristiche generali del trattamento dei dati personali
Le seguenti informazioni si riferiscono a tutti i trattamenti di dati effettuati tramite il SaaS, indipendentemente dal modulo acquistato
Nature of treatment
Fornitura del SaaS Acquista
Finalità del trattamento
Provision of the functions associated with the modules purchased by the Holder
User account management
Security management
Duration of treatment
Until the subscription of the SaaS by the Holder, in addition to any treatments necessary for technical purposes.
Categories of interested parties
Employees of the Holder
Categories of personal data
Dati identificativi (nome, cognome, posizione lavorativa)
Dati di contatto (indirizzi di posta elettronica)
Sensitive data
n/a
Part 2 - Features of the treatments specific to the individual modules of the SaaS
The following information refers to the data treatments carried out through specific modules of the SaaS, to be verified based on those actually purchased by the Controller.
Gestione e Visibilità degli Ordini
Nature of treatment
Order analysis and activities related to individual suppliers, through access to the ERP and the email box of the employee connected to the Compri account.
Categories of interested parties
Dipendenti del Titolare
Dipendenti dei fornitori del Titolare
Fornitori liberi professionisti o ditte individuali
Categories of personal data
Dati identificativi (nome, cognome, posizione lavorativa, inquadramento e dipartimento aziendale)
Dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale)
Dati bancari e fiscali (P.IVA, IBAN)
Contenuto delle comunicazioni email
Sensitive data
n/a
Richiesta per X
Nature of treatment
Sending requests for quotes to multiple suppliers
Categories of interested parties
Dipendenti dei fornitori del Titolare
Fornitori liberi professionisti o ditte individuali
Categories of personal data
Dati identificativi (nome, cognome)
Dati di contatto (indirizzi di posta elettronica)
Sensitive data
n/a
Qualifica fornitori
Nature of treatment
Centralized management of the onboarding and accreditation process for suppliers
Categories of interested parties
Employees of the data controller
Freelance suppliers or sole proprietorships
Administrators and auditors of the supplying companies
Relatives of administrators and auditors of the supplying companies
Categories of personal data
Dati identificativi (nome, cognome, posizione lavorativa)
Dati di contatto (indirizzi di posta elettronica)
Presenza o assenza di cause di incompatibilità, dichiarazioni ai fini della normativa antiriciclaggio
Sensitive data
n/a
Documenti
Nature of treatment
Access and management of documents related to the supplier relationship
Categories of interested parties
Dipendenti dei fornitori del Titolare
Fornitori liberi professionisti o ditte individuali
Amministratori dei fornitori del Titolare
Categories of personal data
Dati identificativi (nome, cognome, data di nascita, posizione lavorativa, inquadramento e dipartimento aziendale)
Dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale)
Dati bancari e fiscali (P.IVA, IBAN)
Contenuto delle comunicazioni mail Firme autografe
Sensitive data
n/a
Analytics
Nature of treatment
Aggregate analysis of information related to supplier management
Categories of interested parties
Freelance o ditte individuali
Categories of personal data
Dati identificativi (nome, cognome)
Dati di contatto (indirizzi di posta elettronica)
Sensitive data
n/a
Gestione dei fornitori
Nature of treatment
Management in detail of activities
Categories of interested parties
Freelance o ditte individuali
Categories of personal data
Dati identificativi (nome, cognome)
Dati di contatto (indirizzi di posta elettronica)
Merito creditizio
Sensitive data
n/a
Articoli
Nature of treatment
n/a
Categories of interested parties
n/a
Categories of personal data
n/a
Sensitive data
n/a
Approfondimenti
Nature of treatment
Analysis of managed expenses and supplier positions to identify potential savings or margins
Categories of interested parties
Dipendenti dei fornitori del Titolare
Fornitori liberi professionisti o ditte individuali
Categories of personal data
Identifying data (name, surname, date of birth, job position, classification and company department)
Contact data (email addresses, company mobile number)
Sensitive data
n/a
Bilancio
Nature of treatment
n/a
Categories of interested parties
n/a
Categories of personal data
n/a
Sensitive data
n/a
Contratti
Nature of treatment
Gestione e analisi dei contratti
Categories of interested parties
Dipendenti dei fornitori del Titolare
Fornitori liberi professionisti o ditte individuali
Amministratori dei fornitori del Titolare
Categories of personal data
Identifying data (name, surname, date of birth, job position, classification, and company department)
Contact data (email addresses, company mobile number)
Bank and tax data (VAT number, IBAN) Autograph signatures
Sensitive data
n/a
DDT
Nature of treatment
Management and analysis of transport documents
Categories of interested parties
Dipendenti dei fornitori del Titolare
Fornitori liberi professionisti o ditte individuali
Amministratori dei fornitori del Titolare
Categories of personal data
Dati identificativi (nome, cognome, data di nascita, posizione lavorativa, inquadramento e dipartimento aziendale)
Dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale, indirizzo dell’attività imprenditoriale)
Firme autografe
Sensitive data
n/a
Assistente AI per gli Acquisti
Nature of treatment
Management and analysis of transport documents
Categories of interested parties
Dipendenti dei fornitori del Titolare
Fornitori liberi professionisti o ditte individuali
Amministratori dei fornitori del Titolare
Categories of personal data
Dati identificativi (nome, cognome, data di nascita, posizione lavorativa, inquadramento e dipartimento aziendale)
Dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale, indirizzo dell’attività imprenditoriale)
Sensitive data
n/a
Allegato C-ter – Elenco delle misure di sicurezza
Parte 1 - Caratteristiche generali del trattamento dei dati personali
Le seguenti informazioni si riferiscono a tutti i trattamenti di dati effettuati tramite il SaaS, indipendentemente dal modulo acquistato
Assistente AI per gli Acquisti
Ambito
Catalogazione
Requisito di dettaglio
Misure di sicurezza del Data Center
Accesso al sistema o SW (autenticazione)
Adoption of measures aimed at ensuring that:
- administrative accesses by the Responsible person are limited to personnel attributed with the qualification ("role") of system administrator, due to high technical skills and proven reliability and morality;
- administrative access to the systems by Client personnel will occur through multi-factor authentication (MFA) procedures.
Misure di sicurezza del Data Center
Accesso al Sistema o SW (politica di gestione)
For services that require an administrative management mode of the infrastructural components, the following policies must be provided:
- accounts that allow the identification of the administrator performing the intervention;
- activation of a log management process that identifies log ins, log outs, and log in failures;
- preservation of logs in a format that ensures their integrity and readability over time;
- retention of logs for at least six (6) months;
- annual verification of the actions of system administrators;
- access to systems via VPN and MFA.
Misure di sicurezza del Data Center
Gestione dei log
Features for tracking or logging User access and activities. The logs related to the activities performed must be appropriately protected to ensure their integrity and confidentiality. Such features must be enabled by the system administrator of the Client or the Software House at the Client's request.
Misure di sicurezza del Data Center
Audit
Use of the log management and analysis system also for monitoring the activities of system administrators. Access to the log management system is reserved for personnel with the role of auditor and is not permitted for personnel responsible for system administration.
Misure di sicurezza del Data Center
Encryption of communication protocols
Application of standard secure communication cryptographic protocols that are not obsolete, in cases where access to the system is done via the Internet.
Misure di sicurezza del Data Center
Minacce e Vulnerabilità
Adopting a threat and risk management program to continuously monitor the vulnerabilities of the SaaS platforms as indicated by international best practices through the planning and execution of internal and external vulnerability scans and penetration testing. The identified vulnerabilities must be assessed to determine the associated risks and the appropriate corrective actions established based on the assigned priority and observed severity.
Misure di sicurezza del Data Center
Firewalling
Adoption of firewall systems aimed at filtering and containing traffic by identifying any anomalous traffic indicating possible cyberattacks.
Misure di sicurezza del Data Center
Prevenzione delle intrusioni
Environmental protection through which the service of the Responsible is provided via Intrusion Prevention System (IPS) that allows for the analysis of all incoming traffic, immediately identifying ongoing attack attempts. Network traffic, on significant segments of the platform, passes through systems that inspect every packet of the traffic in transit.
Misure di sicurezza del Data Center
Protezione da malware
Adoption of protective measures against malware infections, defense against unauthorized actions, from suspicious applications, and protection against attempts to steal personal data (e.g., through antivirus, antispamming, antiphishing systems, etc., kept constantly updated).
Misure di sicurezza del Data Center
Antivirus del filesystem
Adoption of antivirus software on the filesystem on all servers used for service delivery, with the possibility of configuring specific centrally-managed antivirus products project-wise in terms of updates, policy distribution, on-demand scanning initiation, notifications, and quarantine area management.
Misure di sicurezza del Data Center
Incident management and monitoring
Adoption of policies and procedures for the identification, intervention, remedies, and reporting of incidents that pose a risk to the integrity or confidentiality of personal data or other security violations.
Misure di sicurezza del Data Center
Gestione delle patch di sicurezza
Submission of the platform to a periodic process of verification of available patches or fixes relating to the components of the supply system and those deemed critical for the provision of the service or for safety.
Misure di sicurezza del Data Center
Sicurezza fisica
Application of appropriate physical security measures to the designed hardware/software platform (e.g., use of hosting providers/data center services equipped with adequate intrusion, fire, flooding risk prevention systems, etc.).
Misure di sicurezza del Data Center
Anti allagamento
Adoption in the Data Center of all necessary measures to prevent flooding (such as the presence of probes, alarm systems, etc.).
Misure di sicurezza del Data Center
Antintrusione
Setting up in the Data Center a control access system that identifies those who access and prevents access to unauthorized individuals. The procedure must also include change management with the activation and deactivation of access authorization based on role changes.
Misure di sicurezza del Data Center
Closed-circuit cameras
Installation of cameras (CCTV) for perimeter control of the building, entrances, interlocked doors, and any other critical areas.
Misure di sicurezza del Data Center
Condizionamento
Adoption of appropriate air conditioning and cooling systems for environments and equipment.
Misure di sicurezza del Data Center
Continuity and emergency
Adoption of procedures and controls to be implemented in order to ensure the necessary level of continuity and availability of the system/software (in case of incident/data breach). The procedures must include guidelines for the retention of backup copies as well as a disaster recovery plan.
Misure di sicurezza del Data Center
Data deletion
Forecast of measures for the deletion of production data at the end of service provision according to the contractual terms defined with the Client.
Misure di sicurezza del Data Center
Gestione sub-fornitori
Selection and verification of the requirements of the subcontractor who takes over the system management of the servers and the infrastructure necessary for the provision of services, and the signing of a contract that binds the same subcontractor to comply with the obligations concerning security measures.
Connectivity
Internet e banda
Forecast of measures aimed at ensuring adequate connectivity in accordance with the service levels contractually defined with the Customer.
Connectivity
Firewalling
Access protection of systems against the risk of intrusion through appropriate firewalling measures.
Sicurezza della rete
AntiDDoS
Provisioning by the Data Center of a service capable of effectively responding to the issues created by attacks (“DDoS”)
Sicurezza della rete
IDS/IPS
Adoption of an IPS (Intrusion Prevention System) capable of automatically blocking detected attacks and IDS (Intrusion Detection System) capable of intercepting threats, thus providing real-time protection to the services provided by the Data Center.
Governance
Formazione
Periodic delivery of training courses on safety and personal data protection to employees involved in processing activities.
Governance
Geographical location
Statement from SWH regarding the geographic location of the DC and the data to the Customer.
Governance
Violazione dei dati
Adoption of procedures for identifying, containing, and resolving risk situations (e.g., personal data breaches) for the security of data and systems in the post-intrusion phase.
Governance
Logica della sicurezza
Reassessment at least annually of the measures and security procedures applied in order to update them in relation to the vulnerabilities detected, the attacks suffered, and the evolution of technology.
Allegato C-quater – Elenco dei sub-responsabili del trattamento
Sub-responsabile
Nature of treatment
Terms of Service
Amazon Web Services
Cloud e hosting fornendo
Mongo DB Limitato
Database management service
Clickhouse Inc
Database management service
Microsoft Inc
Provisioning of the Azure Service generative AI service
Anthropic PBC
Fornitura del servizio di API Claude per AI generativa
Google Inc
Provision of the Google Gemini API generative AI service through Google Studio