Italiano
Italiano

ALLEGATO C – CONTRATTO DI TRATTAMENTO DATI

Between

Client, as defined in the Commercial Agreement (hereinafter referred to as “Owner”);

and

Buyer, as defined in the Commercial Agreement (hereinafter referred to as “Manager”);

(Owner and Manager are hereinafter also referred to individually as “Party” and collectively as “Parties”). 

Premesso che:


  1. tra il Titolare e il Responsabile è stato stipulato un Accordo Commerciale (di seguito “Accordo”) cui il presente Contratto sul Trattamento dei Dati (di seguito “DPA”) è allegato e del quale forma parte integrante e sostanziale; 

  2. oggetto dell’Accordo è la fornitura, secondo le modalità e i termini definiti nell’Accordo stesso, del SaaS Compri (di seguito “SaaS”), volto alla gestione e all’efficientamento della catena di approvvigionamento del Cliente;

  3. l’utilizzo del SaaS comporta il trattamento di dati personali, come definiti ai sensi dell’art. 4(1)(1) del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito “GDPR”);

  4. rispetto a detti trattamenti, il Cliente opera in qualità di titolare del trattamento dei dati, così come definito ai sensi dell’articolo 4(1)(7) del GDPR e Compri operata in qualità di responsabile del trattamento, ai sensi dell’art. 28 del GDPR;

  5. il Responsabile attesta e garantisce di essere in possesso dei requisiti di esperienza, capacità e affidabilità necessari per adottare idonee misure di sicurezza tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio affinché il trattamento posto in essere in esecuzione dell’incarico di cui all’Accordo soddisfi i requisiti richiesti dal GDPR e, in generale, dalla normativa in materia di protezione dei dati personali e garantisca la tutela dei diritti dei soggetti interessati;

  6. le Parti intendono concordare ai sensi e per gli effetti dell’art. 28(2) del GDPR, la natura, la finalità, la durata, il tipo di dati personali, le categorie di interessati, nonché i propri diritti e obblighi derivanti dal trattamento di dati personali effettuato mediante il SaaS.

Everything said, the Parties agree as follows:



  1. Definizioni 

    1. Nel presente DPA, i termini infra indicati hanno il significato attribuito loro a seguire. Per tutto quanto non espressamente definito ai sensi del presente articolo si rimanda alle definizioni di cui all’art. 4 del GDPR.

    2. Con il termine “Normativa applicabile” si intende il GDPR, il d. lgs. 196/2003 e qualsiasi altra legge in materia di protezione dei dati di volta in volta applicabile al trattamento dei dati personali;

    3. Con il termine “Incaricati del Trattamento” si intendono i dipendenti, gli incaricati o qualsiasi altra persona fisica autorizzata dalle Parti a svolgere operazioni di trattamento dei dati personali ai sensi dell’art. 29 del GDPR e dell’art. 2-quaterdecies del d. lgs. 196/2003;

    4. Con il termine “Sub-Responsabile” si intende qualsiasi entità cui il responsabile del trattamento ricorre per l’esecuzione di specifiche attività svolte per conto del Titolare o da un altro soggetto da questi incaricato;

    5. con il termine “SEE” si intende lo Spazio Economico Europeo.

  2. Scopo e ambito di applicazione

    1. Lo scopo del presente DPA è garantire il rispetto dell'articolo 28, paragrafi 3 e 4, del regolamento GDPR.

    2. Il presente DPA si applica ai trattamenti elencati e descritti nell’Allegato “Descrizione del trattamento e istruzioni” (Allegato C-bis)]. Le Parti riconoscono che il SaaS ha natura modulare e che, pertanto, il trattamento dei dati personali effettuato dal Responsabile è quello indicato:

      1. nella Parte 1 dell’Allegato “Descrizione del trattamento e istruzioni”;

      2. nella Parte 2 dell’Allegato “Descrizione del trattamento e istruzioni”, relativamente ai moduli oggetto dell’Offerta Commerciale. 

  1. Obblighi del Titolare

    1. Il Titolare si impegna a rispettare la Normativa applicabile, nonché a trattare i dati in conformità a qualsiasi altra disposizione di legge applicabile che abbia o possa avere effetti di natura obbligatoria circa le modalità e le garanzie da applicare al trattamento di dati personali. 

    2. Il titolare impartisce al Responsabile istruzioni circa la modalità di trattamento dei dati personali (le “Istruzioni”) inseriti all’interno del SaaS, verificando che queste siano conformi alla Normativa in materia di Protezione dei Dati. Le Istruzioni del Titolare alla data di sottoscrizione del presente DPA sono descritte nell’Allegato C-bis.

    3. Il Titolare del trattamento può impartire nuove istruzioni per tutta la durata del trattamento, dandone notizia al Responsabile per iscritto almeno 15 giorni prima della data di effettiva applicazione delle stesse. Tali nuove istruzioni sono documentate per iscritto. Il Responsabile ha diritto di risolvere l’Accordo ai sensi dell’art. 1456 c.c. nel caso in cui tali nuove Istruzioni comportino un onere eccessivo o siano ritenute dal Responsabile in contrasto con la Normativa Applicabile.

    4. Il Responsabile può, per quanto attiene alle caratteristiche del trattamento dei dati personali intrinsecamente legate al funzionamento di Compri, apportare modifiche all’Allegato C-bis, dandone comunicazione al Titolare con un preavviso di almeno 5 giorni. 

    5. In nessun caso, è imputabile al Responsabile la violazione della Normativa Applicabile derivante da un comportamento del Titolare, nonché dall’applicazione delle Istruzioni da esso impartite.

    6. Il Titolare si impegna a verificare e dimostrare che i dati inseriti all’interno del SaaS siano raccolti e trattati sulla base di un’idonea base giuridica, nonché nel rispetto di ogni altro obbligo imposto dalla Normativa Applicabile in termini di trasparenza. 

    7. Il Titolare si impegna a identificare, per ogni categoria di dati personali trattata all’interno del SaaS, i relativi periodi di conservazione e a rimuovere dal SaaS le informazioni al decorrere di tale termine.

    8. In ogni caso non rientra tra gli obblighi a carico del Responsabile la determinazione dei presupposti di liceità delle attività di trattamento dei dati svolte per conto del Titolare, nonché qualsivoglia verifica circa la conformità dei trattamenti svolti tramite il SaaS alla Normativa applicabile.

  2. Obblighi del Responsabile

    1. Il Responsabile tratta i dati personali in conformità alle Istruzioni del Titolare, salvo che lo richieda il diritto dell'Unione o nazionale cui è soggetto il Responsabile. Il Responsabile tratta i dati personali unicamente per le finalità specifiche di cui all’Allegato C-bis, nonché per il periodo di tempo ivi indicato.

    2. Senza pregiudizio delle disposizioni di cui all’art. 3.7. del presente DPA, il Responsabile informa immediatamente il Titolare del trattamento qualora, a suo parere, le Istruzioni violino la Normativa Applicabile 

    3. Il Responsabile tiene e aggiorna il Registro delle Attività di trattamento di cui all’art. 30(2) GDPR, con speciale riferimento alle attività svolte per conto del Titolare. Il Responsabile, su richiesta del Titolare, mette a disposizione una copia delle sezioni del suddetto registro riguardanti il trattamento svolto per conto del Titolare. 

    4. Il Responsabile informa il Titolare senza ingiustificato ritardo circa l’obbligo di consultazione e/o acquisizione dei dati personali del Titolare imposto da un’Autorità pubblica, salvo vincoli diversi da parte della suddetta Autorità dovuti a segreto investigativo. 

  3. Assistenza al Titolare

    1. Il Responsabile del trattamento risponde prontamente e adeguatamente alle richieste di informazioni del titolare del trattamento relative al trattamento dei dati oggetto del presente DPA e mette a disposizione del Titolare la documentazione idonea a comprovare il rispetto del presente DPA e della Normativa applicabile. 

    2. Il Responsabile può adempiere all’obbligo di cui al precedente articolo 5.1. mettendo a disposizione materiale informativo e documentazione utile all’interno di pagine web dedicate e/o dell’area personale disponibile nell’interfaccia del SaaS. 

    3. Il Responsabile offre ragionevole assistenza al Titolare nell’esecuzione delle valutazioni d’impatto sulla protezione dei dati e nelle consultazioni preventive con le Autorità di controllo o altre autorità competenti in materia di protezione dei dati personali, che si rendano necessarie affinché il Titolare sia conforme agli articoli 35 e 36 del GDPR. 

    4. Il Responsabile acconsente a che il Titolare o un auditor incaricato dal Titolare svolga degli audit, incluse ispezioni, in relazione al Trattamento dei dati personali effettuato dal Responsabile, a condizione che al Responsabile venga dato un preavviso ragionevole di almeno 2 mesi. 

    5. La richiesta di audit deve contenere l’indicazione delle attività di trattamento e degli obblighi oggetto di verifica, nonché indicare le ragioni per cui l’attività di verifica non possa essere svolta su base documentale.

  4. Istanze dei Soggetti Interessati

    1. Nel caso in cui il Responsabile sia destinatario di richieste sui diritti dei Soggetti Interessati, lo stesso ha l’obbligo di comunicare tali richieste al Titolare, allegando copia alla comunicazione.

    2. Il Responsabile si impegna ad assistere il Titolare attuando misure tecniche e organizzative adeguate al fine di dare seguito alle richieste dei Soggetti Interessati.

    3. Il Responsabile da seguito alle richieste di esercizio dei diritti attenendosi alle istruzioni specificatamente impartite dal Titolare per iscritto.

  5. Sicurezza dei dati

    1. Il Responsabile mette in atto almeno le misure tecniche e organizzative specificate all’Allegato “Elenco delle misure di sicurezza” (“Allegato C-ter”) per garantire la sicurezza dei dati personali. Ciò include la protezione da ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati, che possa costituire una violazione dei dati personali ai sensi dell’art. 33 del GDPR

    2. Il Responsabile ha facoltà di apportare modifiche all’Allegato C-ter, dandone comunicazione al Titolare con un anticipo di almeno 5 giorni. Resta fermo l’obbligo del Titolare di mantenere un adeguato livello di sicurezza e protezione dei dati personali.

    3. Nel valutare l'adeguato livello di sicurezza, le Parti tengono debitamente conto dello stato dell'arte, dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi per gli Interessati. 

  6. Soggetti incaricati del trattamento

    1. Il Responsabile concede l'accesso ai dati personali oggetto di trattamento ai membri del suo personale soltanto nella misura strettamente necessaria per l'attuazione, la gestione e il controllo dei trattamenti oggetto del presente DPA. 

    2. Il Responsabile garantisce che le persone autorizzate al trattamento dei dati personali ricevuti:

      1. si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

      2. abbiano ricevuto idonea autorizzazione al trattamento dei dati personali. 

  1. Sub-responsabili

    1. Il Responsabile ha l’autorizzazione generale del Titolare a ricorrere ai Sub-responsabili di cui all’Allegato “Elenco dei sub-responsabili del trattamento” (“Allegato C-quater”). 

    2. Il Responsabile ha diritto di modificare all’Allegato C-quater in modo unilaterale. In tal caso, il Responsabile informa il Titolare delle modifiche con un anticipo di almeno 5 giorni, dando così al Titolare tempo sufficiente per poter opporsi a tali modifiche prima del ricorso al o ai Sub-Responsabili del trattamento in questione.

    3. In ogni caso, il Responsabile si impegna a ingaggiare Sub-Responsabili che presentino garanzie sufficienti a garantire un adeguato livello di protezione dei dati personali e a sottoscrivere con ciascun Sub-Responsabile un accordo scritto che imponga al Sub-Responsabile, in sostanza, gli stessi obblighi cui il Responsabile è tenuto nei confronti del Titolare.

  2. Violazione dei dati personali

    1. In caso di una violazione della sicurezza che possa avere impatti sui dati personali, trattati dal Responsabile per conto del Titolare, il Responsabile si impegna a notificare l’episodio entro 48h dalla sua scoperta. 

    2. La notifica contiene le informazioni sommarie, utili al Titolare per adempiere agli obblighi di cui agli articoli 33 e 34 del GDPR, tra cui almeno una descrizione della violazione che comprenda l’indicazione della natura dei dati violati e della loro entità.

    3. Nella pendenza degli accertamenti tecnici necessari per determinare le caratteristiche e l’entità della violazione, il Responsabile ha diritto di effettuare una notifica parziale dell’incidente. Al termine di tali accertamenti tecnici, il Responsabile dovrà rendere al Titolare una notifica integrativa.

    4. Il Titolare notifica al Responsabile eventuali violazioni della sicurezza, anche non riguardanti dati personali, che possano compromettere la sicurezza dell’infrastruttura del SaaS, quali, a titolo meramente esemplificativo, la perdita di controllo sulle credenziali assegnate agli utenti.

  3. Trasferimento di dati oltre lo Spazio Economico Europeo

    1. Qualunque trasferimento di dati verso un paese terzo o un'organizzazione internazionale da parte del Responsabile è effettuato nel rispetto del capo V del GDPR.

  4. Durata e cessazione

    1. La durata del DPA ha efficacia dalla data di sottoscrizione dell’Accordo e si applica fin tanto che sono in essere trattamenti di dati personali svolti dal Responsabile per conto del Titolare.

    2. All’atto della cessazione, per qualsiasi causa, del presente DPA, il Responsabile sarà tenuto, salvo diverse istruzioni scritte da parte del Titolare, alternativamente a:

      1. cessare ogni attività di trattamento aventi ad oggetto i dati personali; 

      2. anonimizzare i dati personali in suo possesso tramite cancellazione non reversibile delle righe di database associate ai Soggetti Interessati.

    3. Le Parti riconoscono e accettano che oltre il termine di cessazione dell’Accordo avranno comunque luogo i trattamenti di dati personali necessari per finalità strettamente tecniche quali, a titolo meramente esemplificativo, l’espletamento delle operazioni di cancellazione dei dati personali, la gestione delle copie di back-up o l’adempimento di obblighi di legge o regolamento. 


  1. Disposizioni Finali

    1. L’esecuzione delle attività di cui al presente DPA non originano alcun diritto in capo al Responsabile, ovvero all’eventuale Sub-Responsabile, a percepire compensi ulteriori rispetto a quanto contrattualmente convenuto tra le Parti nell’Accordo. 

    2. In caso di conflitto tra il presente DPA e l’Accordo, il primo prevale per le questioni attinenti al trattamento dei dati personali. 

    3. Per tutto quanto non espressamente previsto nel presente DPA, si rinvia alla Normativa in materia di Protezione applicabile.

    4. L’eventuale invalidità o inapplicabilità di una disposizione del presente DPA non incide sulle disposizioni restanti, che rimangono pienamente valide e vigenti. La disposizione invalida o inapplicabile viene (i) modificata nella misura necessaria ad assicurarne la validità e applicabilità, preservando per quanto possibile le intenzioni originarie delle Parti o, se ciò non fosse possibile, (ii) interpretata come se non fosse mai stata inserita nel corpo contrattuale.

    5. Il Responsabile ha facoltà di espungere dalla documentazione e dalle informazioni fornite a seguito di richieste rivolte dal Titolare ai sensi degli articoli di questo 5, 6, 7, 8, 9, 10 del presente DPA, quelle informazioni la cui rivelazione potrebbe comportare, anche astrattamente, una violazione degli obblighi in materia di protezione dei dati personali cui è sottoposto il Responsabile o la divulgazione di informazioni sottoposte segreto industriale o comunque suscettibili di ledere in know-how aziendale del Responsabile.

  2. Legge Regolatrice e Foro Competente

    1. Le Parti assoggettano il presente Contratto di Nomina alla legge e alla giurisdizione scelte nell’Accordo. Pertanto, eventuali controversie o pretese che dovessero sorgere ai termini del presente Contratto di Nomina, incluse controversie relative alla sua esistenza, validità o cessazione o alle conseguenze della sua nullità, sono soggette al foro scelto nell’Accordo

Allegato C-bis – Descrizione del trattamento e istruzioni

Parte 1 - Caratteristiche generali del trattamento dei dati personali

Le seguenti informazioni si riferiscono a tutti i trattamenti di dati effettuati tramite il SaaS, indipendentemente dal modulo acquistato

Nature of treatment

Fornitura del SaaS Acquista

Finalità del trattamento

Provision of the functions associated with the modules purchased by the Holder

User account management

Security management

Duration of treatment

Until the subscription of the SaaS by the Holder, in addition to any treatments necessary for technical purposes.

Categories of interested parties

Employees of the Holder

Categories of personal data

Dati identificativi (nome, cognome, posizione lavorativa)

Dati di contatto (indirizzi di posta elettronica)

Sensitive data

n/a

Part 2 - Features of the treatments specific to the individual modules of the SaaS

The following information refers to the data treatments carried out through specific modules of the SaaS, to be verified based on those actually purchased by the Controller.

Gestione e Visibilità degli Ordini

Nature of treatment

Order analysis and activities related to individual suppliers, through access to the ERP and the email box of the employee connected to the Compri account.

Categories of interested parties

Dipendenti del Titolare

Dipendenti dei fornitori del Titolare

Fornitori liberi professionisti o ditte individuali

Categories of personal data

Dati identificativi (nome, cognome, posizione lavorativa, inquadramento e dipartimento aziendale)

Dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale)

Dati bancari e fiscali (P.IVA, IBAN)

Contenuto delle comunicazioni email

Sensitive data

n/a

Richiesta per X

Nature of treatment

Sending requests for quotes to multiple suppliers

Categories of interested parties

Dipendenti dei fornitori del Titolare

Fornitori liberi professionisti o ditte individuali

Categories of personal data

Dati identificativi (nome, cognome)

Dati di contatto (indirizzi di posta elettronica)

Sensitive data

n/a

Qualifica fornitori

Nature of treatment

Centralized management of the onboarding and accreditation process for suppliers

Categories of interested parties

Employees of the data controller

Freelance suppliers or sole proprietorships

Administrators and auditors of the supplying companies

Relatives of administrators and auditors of the supplying companies

Categories of personal data

Dati identificativi (nome, cognome, posizione lavorativa)

Dati di contatto (indirizzi di posta elettronica)

Presenza o assenza di cause di incompatibilità, dichiarazioni ai fini della normativa antiriciclaggio

Sensitive data

n/a

Documenti

Nature of treatment

Access and management of documents related to the supplier relationship

Categories of interested parties

Dipendenti dei fornitori del Titolare

Fornitori liberi professionisti o ditte individuali

Amministratori dei fornitori del Titolare

Categories of personal data

Dati identificativi (nome, cognome, data di nascita, posizione lavorativa, inquadramento e dipartimento aziendale)

Dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale)

Dati bancari e fiscali (P.IVA, IBAN)

Contenuto delle comunicazioni mail Firme autografe

Sensitive data

n/a

Analytics

Nature of treatment

Aggregate analysis of information related to supplier management

Categories of interested parties

Freelance o ditte individuali

Categories of personal data

Dati identificativi (nome, cognome)

Dati di contatto (indirizzi di posta elettronica)

Sensitive data

n/a

Gestione dei fornitori

Nature of treatment

Management in detail of activities

Categories of interested parties

Freelance o ditte individuali

Categories of personal data

Dati identificativi (nome, cognome)

Dati di contatto (indirizzi di posta elettronica)

Merito creditizio

Sensitive data

n/a

Articoli

Nature of treatment

n/a

Categories of interested parties

n/a

Categories of personal data

n/a

Sensitive data

n/a

Approfondimenti

Nature of treatment

Analysis of managed expenses and supplier positions to identify potential savings or margins

Categories of interested parties

Dipendenti dei fornitori del Titolare

Fornitori liberi professionisti o ditte individuali

Categories of personal data

Identifying data (name, surname, date of birth, job position, classification and company department)

Contact data (email addresses, company mobile number)

Sensitive data

n/a

Bilancio

Nature of treatment

n/a

Categories of interested parties

n/a

Categories of personal data

n/a

Sensitive data

n/a

Contratti

Nature of treatment

Gestione e analisi dei contratti

Categories of interested parties

Dipendenti dei fornitori del Titolare

Fornitori liberi professionisti o ditte individuali

Amministratori dei fornitori del Titolare

Categories of personal data

Identifying data (name, surname, date of birth, job position, classification, and company department)

Contact data (email addresses, company mobile number)

Bank and tax data (VAT number, IBAN) Autograph signatures

Sensitive data

n/a

DDT

Nature of treatment

Management and analysis of transport documents

Categories of interested parties

Dipendenti dei fornitori del Titolare

Fornitori liberi professionisti o ditte individuali

Amministratori dei fornitori del Titolare

Categories of personal data

Dati identificativi (nome, cognome, data di nascita, posizione lavorativa, inquadramento e dipartimento aziendale)

Dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale, indirizzo dell’attività imprenditoriale)

Firme autografe

Sensitive data

n/a

Assistente AI per gli Acquisti

Nature of treatment

Management and analysis of transport documents

Categories of interested parties

Dipendenti dei fornitori del Titolare

Fornitori liberi professionisti o ditte individuali

Amministratori dei fornitori del Titolare

Categories of personal data

Dati identificativi (nome, cognome, data di nascita, posizione lavorativa, inquadramento e dipartimento aziendale)

Dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale, indirizzo dell’attività imprenditoriale)

Sensitive data

n/a

Allegato C-ter – Elenco delle misure di sicurezza

Parte 1 - Caratteristiche generali del trattamento dei dati personali

Le seguenti informazioni si riferiscono a tutti i trattamenti di dati effettuati tramite il SaaS, indipendentemente dal modulo acquistato

Assistente AI per gli Acquisti

Ambito

Catalogazione

Requisito di dettaglio

Misure di sicurezza del Data Center

Accesso al sistema o SW (autenticazione)

Adoption of measures aimed at ensuring that:
- administrative accesses by the Responsible person are limited to personnel attributed with the qualification ("role") of system administrator, due to high technical skills and proven reliability and morality;
- administrative access to the systems by Client personnel will occur through multi-factor authentication (MFA) procedures.

Misure di sicurezza del Data Center

Accesso al Sistema o SW (politica di gestione)

For services that require an administrative management mode of the infrastructural components, the following policies must be provided:
- accounts that allow the identification of the administrator performing the intervention;
- activation of a log management process that identifies log ins, log outs, and log in failures;
- preservation of logs in a format that ensures their integrity and readability over time;
- retention of logs for at least six (6) months;
- annual verification of the actions of system administrators;
- access to systems via VPN and MFA.

Misure di sicurezza del Data Center

Gestione dei log

Features for tracking or logging User access and activities. The logs related to the activities performed must be appropriately protected to ensure their integrity and confidentiality. Such features must be enabled by the system administrator of the Client or the Software House at the Client's request.

Misure di sicurezza del Data Center

Audit

Use of the log management and analysis system also for monitoring the activities of system administrators. Access to the log management system is reserved for personnel with the role of auditor and is not permitted for personnel responsible for system administration.

Misure di sicurezza del Data Center

Encryption of communication protocols

Application of standard secure communication cryptographic protocols that are not obsolete, in cases where access to the system is done via the Internet.

Misure di sicurezza del Data Center

Minacce e Vulnerabilità

Adopting a threat and risk management program to continuously monitor the vulnerabilities of the SaaS platforms as indicated by international best practices through the planning and execution of internal and external vulnerability scans and penetration testing. The identified vulnerabilities must be assessed to determine the associated risks and the appropriate corrective actions established based on the assigned priority and observed severity.

Misure di sicurezza del Data Center

Firewalling

Adoption of firewall systems aimed at filtering and containing traffic by identifying any anomalous traffic indicating possible cyberattacks.

Misure di sicurezza del Data Center

Prevenzione delle intrusioni

Environmental protection through which the service of the Responsible is provided via Intrusion Prevention System (IPS) that allows for the analysis of all incoming traffic, immediately identifying ongoing attack attempts. Network traffic, on significant segments of the platform, passes through systems that inspect every packet of the traffic in transit.

Misure di sicurezza del Data Center

Protezione da malware

Adoption of protective measures against malware infections, defense against unauthorized actions, from suspicious applications, and protection against attempts to steal personal data (e.g., through antivirus, antispamming, antiphishing systems, etc., kept constantly updated).

Misure di sicurezza del Data Center

Antivirus del filesystem

Adoption of antivirus software on the filesystem on all servers used for service delivery, with the possibility of configuring specific centrally-managed antivirus products project-wise in terms of updates, policy distribution, on-demand scanning initiation, notifications, and quarantine area management.

Misure di sicurezza del Data Center

Incident management and monitoring

Adoption of policies and procedures for the identification, intervention, remedies, and reporting of incidents that pose a risk to the integrity or confidentiality of personal data or other security violations.

Misure di sicurezza del Data Center

Gestione delle patch di sicurezza

Submission of the platform to a periodic process of verification of available patches or fixes relating to the components of the supply system and those deemed critical for the provision of the service or for safety.

Misure di sicurezza del Data Center

Sicurezza fisica

Application of appropriate physical security measures to the designed hardware/software platform (e.g., use of hosting providers/data center services equipped with adequate intrusion, fire, flooding risk prevention systems, etc.).

Misure di sicurezza del Data Center

Anti allagamento

Adoption in the Data Center of all necessary measures to prevent flooding (such as the presence of probes, alarm systems, etc.).

Misure di sicurezza del Data Center

Antintrusione

Setting up in the Data Center a control access system that identifies those who access and prevents access to unauthorized individuals. The procedure must also include change management with the activation and deactivation of access authorization based on role changes.

Misure di sicurezza del Data Center

Closed-circuit cameras

Installation of cameras (CCTV) for perimeter control of the building, entrances, interlocked doors, and any other critical areas.

Misure di sicurezza del Data Center

Condizionamento

Adoption of appropriate air conditioning and cooling systems for environments and equipment.

Misure di sicurezza del Data Center

Continuity and emergency

Adoption of procedures and controls to be implemented in order to ensure the necessary level of continuity and availability of the system/software (in case of incident/data breach). The procedures must include guidelines for the retention of backup copies as well as a disaster recovery plan.

Misure di sicurezza del Data Center

Data deletion

Forecast of measures for the deletion of production data at the end of service provision according to the contractual terms defined with the Client.

Misure di sicurezza del Data Center

Gestione sub-fornitori

Selection and verification of the requirements of the subcontractor who takes over the system management of the servers and the infrastructure necessary for the provision of services, and the signing of a contract that binds the same subcontractor to comply with the obligations concerning security measures.

Connectivity

Internet e banda

Forecast of measures aimed at ensuring adequate connectivity in accordance with the service levels contractually defined with the Customer.

Connectivity

Firewalling

Access protection of systems against the risk of intrusion through appropriate firewalling measures.

Sicurezza della rete

AntiDDoS

Provisioning by the Data Center of a service capable of effectively responding to the issues created by attacks (“DDoS”)

Sicurezza della rete

IDS/IPS

Adoption of an IPS (Intrusion Prevention System) capable of automatically blocking detected attacks and IDS (Intrusion Detection System) capable of intercepting threats, thus providing real-time protection to the services provided by the Data Center.

Governance

Formazione

Periodic delivery of training courses on safety and personal data protection to employees involved in processing activities.

Governance

Geographical location

Statement from SWH regarding the geographic location of the DC and the data to the Customer.

Governance

Violazione dei dati

Adoption of procedures for identifying, containing, and resolving risk situations (e.g., personal data breaches) for the security of data and systems in the post-intrusion phase.

Governance

Logica della sicurezza

Reassessment at least annually of the measures and security procedures applied in order to update them in relation to the vulnerabilities detected, the attacks suffered, and the evolution of technology.

Allegato C-quater – Elenco dei sub-responsabili del trattamento

Sub-responsabile

Nature of treatment

Terms of Service

Amazon Web Services

Cloud e hosting fornendo

Mongo DB Limitato

Database management service

Clickhouse Inc

Database management service

Microsoft Inc

Provisioning of the Azure Service generative AI service

Anthropic PBC

Fornitura del servizio di API Claude per AI generativa

Google Inc

Provision of the Google Gemini API generative AI service through Google Studio

compri ti aiuta a gestire le tue attività di procurement quotidiane tutto in un unico posto e dieci volte più velocemente.

La newsletter di Compri

© compri S.r.l 2024

Viale Tunisia 42, 20124, Milan, Italy

P.IVA : 13568830965

© 2025 Compri UI. All rights reserved.

compri ti aiuta a gestire le tue attività di procurement quotidiane tutto in un unico posto e dieci volte più velocemente.

La newsletter di Compri

© compri S.r.l 2024

Viale Tunisia 42, 20124, Milan, Italy

P.IVA : 13568830965

© 2025 Compri UI. All rights reserved.

compri ti aiuta a gestire le tue attività di procurement quotidiane tutto in un unico posto e dieci volte più velocemente.

La newsletter di Compri

© compri S.r.l 2024

Viale Tunisia 42, 20124, Milan, Italy

P.IVA : 13568830965

© 2025 Compri UI. All rights reserved.