ALLEGATO C – ACCORDO SUL TRATTAMENTO DEI DATI PER LA FORNITURA DEL SERVIZIO SOFTWARE AS A SERVICE DI COMPRI IN PROVA
Tra
Cliente, come definito nel Contratto Commerciale (di seguito “ Proprietario ”);
E
Tu acquisti, come definito nel Contratto Commerciale (di seguito “ Responsabile ”);
(Il Proprietario e il Titolare dei Dati sono di seguito anche indicati singolarmente come la “ Parte ” e congiuntamente come le “ Parti ”).
Considerando che:
è stato stipulato un Contratto Commerciale (di seguito “ Contratto ”) tra il Titolare del Trattamento e il Responsabile del Trattamento a cui è allegato questo Contratto di Trattamento dei Dati (di seguito “ DPA ”) e del quale costituisce una parte integrante e sostanziale;
l'oggetto del Contratto è la fornitura iniziale del SaaS Compri (di seguito “ SaaS ”), finalizzato alla gestione e ottimizzazione della catena di fornitura del Cliente;
l'esecuzione del Contratto implica il trattamento di dati personali;
rispetto a detto trattamento, il Cliente agisce come titolare del trattamento, e Compri agisce come responsabile del trattamento;
Le Parti intendono concordare, ai sensi e per gli effetti dell'art. 28(2) del Regolamento UE 2016/679 (“ GDPR ”), sulla natura, finalità, durata, tipo di dati personali, categorie di interessati, nonché i loro diritti e obblighi derivanti dal trattamento dei dati personali effettuato attraverso il SaaS.
Alla luce di quanto sopra, le Parti concordano come segue:
Scopo e descrizione del trattamento
Lo scopo di questo DPA è garantire il rispetto dell'Articolo 28, paragrafi 3 e 4, del GDPR.
Il trattamento oggetto di questo accordo consiste nella fornitura del SaaS in modalità di prova, da effettuare al fine di fornire il servizio e, specificamente, al fine di:
implementare la versione di prova del SaaS sui sistemi del Cliente,
eseguire attività di test e analisi relative all'attività di testing,
gestire l'infrastruttura IT del SaaS, gli account utente e la sicurezza.
I soggetti interessati sono le persone a cui i dati personali inseriti nel SaaS dal Cliente si riferiscono.
Le categorie di dati personali trattati sono quelle determinate dal Cliente attraverso l'inserimento nel SaaS.
Il trattamento dura per lo stesso periodo dell'Accordo, fatta eccezione per le attività di trattamento tecnicamente necessarie per garantire la corretta cancellazione o restituzione dei dati, nonché la gestione di copie di backup e altre attività relative alla sicurezza e all'amministrazione ordinaria del SaaS. Se l'accordo finale viene firmato, si applicheranno le clausole per il trattamento dei dati personali ivi contenute, e questo DPA cesserà di avere efficacia.
Obblighi del Titolare
Il Titolare del trattamento si impegna a rispettare la legislazione applicabile, e a trattare i dati in conformità con qualsiasi altra disposizione legale applicabile che ha o potrebbe avere effetti vincolanti sui metodi e sulle garanzie da applicare al trattamento dei dati personali.
Il Titolare del trattamento si impegna a verificare i metodi di trattamento dei dati meglio adatti per svolgere le attività di test, avendo cura di garantire il rispetto del principio di minimizzazione dei dati personali, prevedendo, ove possibile, l'utilizzo di dati sintetici, pseudonimi o, in ogni caso, informazioni specificamente identificate per le attività di test.
Il Titolare del trattamento si impegna a verificare e dimostrare che i dati inseriti nel SaaS siano raccolti e trattati su una base legale appropriata, nonché in conformità a qualsiasi altro obbligo di trasparenza imposto dalla Legge Applicabile.
Il Titolare del trattamento si impegna a trattare i dati personali in conformità con il principio di legalità e, in particolare, a garantire che siano rispettate le disposizioni applicabili della legge sul lavoro.
In nessun caso il Titolare del trattamento sarà ritenuto responsabile per qualsiasi violazione delle Normative Applicabili risultante dalla condotta del Titolare del trattamento o dall'applicazione delle Istruzioni fornite dal Titolare del trattamento.
Il Titolare del trattamento è responsabile della dimostrazione del rispetto della legislazione applicabile e degli obblighi di settore correlati.
In ogni caso, gli obblighi del Responsabile del trattamento non comprendono la determinazione della liceità delle attività di trattamento dei dati svolte per conto del Titolare del trattamento, né qualsiasi verifica della conformità del trattamento effettuato tramite il SaaS con la legislazione applicabile.
Obblighi del Titolare del Dato
Il Titolare tratta i dati personali esclusivamente per le finalità e secondo i metodi descritti nell'Articolo 1 di questo DPA, salvo che sia richiesto dalla normativa unionale o nazionale a cui è soggetto il Titolare.
Il Responsabile del trattamento dovrà immediatamente informare il Titolare se i metodi di trattamento determinati dal Titolare violano la Legge Applicabile.
Il Responsabile del trattamento mantiene e aggiorna il Registro delle Attività di Trattamento ai sensi dell'Art. 30(2) GDPR, con particolare riferimento alle attività svolte per conto del Titolare del trattamento.
Assistenza del Titolare
Il Responsabile del trattamento fornisce un'assistenza ragionevole al Titolare nel carry out delle valutazioni di impatto sulla protezione dei dati e nelle consultazioni preliminari con le Autorità di Vigilanza o altre autorità competenti in materia di protezione dei dati, ove necessario per consentire al Titolare di rispettare gli Articoli 35 e 36 del GDPR.
Le Parti concordano che eventuali ispezioni del Titolare verranno effettuate solo in forma cartacea, senza che il Titolare possa accedere ai locali del Titolare.
La richiesta di assistenza deve contenere un'indicazione delle attività di trattamento e degli obblighi in fase di verifica.
Richieste da Parte degli Interessati
Nel caso in cui il Responsabile del trattamento riceva richieste relative ai diritti degli Interessati, è tenuto a comunicare tali richieste al Titolare del trattamento, allegando una copia alla comunicazione.
Il Responsabile del trattamento si impegna ad assistere il Titolare del trattamento attuando misure tecniche e organizzative appropriate per rispondere alle richieste degli Interessati.
Sicurezza dei dati
Il Titolare attua le misure tecniche e organizzative specificate nell'Allegato "Elenco delle Misure di Sicurezza" per garantire la sicurezza dei dati personali.
Nel valutare il livello di sicurezza appropriato, le Parti terranno debito conto dello stato dell'arte, dei costi di attuazione, nonché della natura, dell'ambito, del contesto e delle finalità del trattamento, oltre ai rischi per gli Interessati.
Persone in carico del trattamento
Il Titolare concede accesso ai dati personali in trattamento ai membri del proprio personale solo nella misura strettamente necessaria per l'implementazione, gestione e supervisione delle operazioni di trattamento coperte da questo DPA.
Il Titolare del trattamento garantisce che le persone autorizzate a trattare i dati personali ricevuti abbiano assunto impegni di riservatezza o siano soggette a un obbligo legale di riservatezza e abbiano ricevuto l'autorizzazione appropriata per trattare i dati personali.
Sub-responsabili
Il Responsabile del trattamento ha l'autorizzazione generale del Titolare del trattamento per utilizzare i Sub-responsabili elencati nell'Allegato "Elenco dei Sub-responsabili".
In ogni caso, il Titolare del trattamento si impegna ad impegnare Sub-responsabili che presentano garanzie sufficienti per garantire un livello adeguato di protezione dei dati personali e a firmare un accordo scritto con ciascun Sub-responsabile che impone al Sub-responsabile, sostanzialmente, gli stessi obblighi a cui è soggetto il Titolare del trattamento nei confronti del Titolare del trattamento.
Violazione dei dati personali
In caso di una violazione della sicurezza che possa impattare i dati personali trattati dal Responsabile del trattamento per conto del Titolare del trattamento, il Responsabile del trattamento si impegna a notificare l'incidente entro 48 ore dalla sua scoperta.
La notifica contiene informazioni riassuntive utili per il Titolare del trattamento per adempiere agli obblighi previsti dagli Articoli 33 e 34 del GDPR, includendo almeno una descrizione della violazione, comprese la natura e l'estensione dei dati violati.
In attesa delle indagini tecniche necessarie per determinare le caratteristiche e l'estensione della violazione, il Titolare del trattamento ha il diritto di fornire una notifica parziale dell'incidente. Al termine di queste indagini tecniche, il Titolare del trattamento deve fornire al Titolare del trattamento una notifica supplementare.
Il Titolare del trattamento deve notificare al Responsabile del trattamento eventuali violazioni della sicurezza, incluse quelle non riguardanti dati personali, che possano compromettere la sicurezza dell'infrastruttura SaaS, come, ma non solo, la perdita di controllo delle credenziali assegnate agli utenti.
Trasferimento di dati al di fuori dello Spazio Economico Europeo
Qualsiasi trasferimento di dati a un paese terzo o a un'organizzazione internazionale da parte del Titolare deve essere effettuato in conformità con il Capitolo V del GDPR.
Durata e cessazione
Il termine del DPA è efficace dalla data di firma dell'Accordo e si applica finché i dati personali sono trattati dal Responsabile del trattamento per conto del Titolare.
Alla cessazione, per qualsiasi motivo, di questo DPA, il Responsabile del trattamento sarà tenuto, salvo istruzioni diverse fornite per iscritto dal Titolare del trattamento, a:
a) cessare tutte le attività di trattamento che coinvolgono dati personali;
b) anonimizzare i dati personali in suo possesso mediante la cancellazione non reversibile delle righe del database associate agli Interessati.
Disposizioni finali
L'esecuzione delle attività di cui al presente DPA non dà diritto al Responsabile del trattamento, né a alcun Sub-responsabile, di ricevere compensi diversi da quelli contrattualmente concordati tra le Parti nell'Accordo.
In caso di conflitto tra questo DPA e l'Accordo, il DPA prevale rispetto alle questioni relative al trattamento dei dati personali.
Per tutto ciò che non è espressamente previsto nel presente DPA, si prega di fare riferimento alla normativa sulla protezione dei dati applicabile.
Se una qualsiasi disposizione di questo DPA viene ritenuta invalida o inapplicabile, le restanti disposizioni rimarranno in vigore. La disposizione invalida o inapplicabile sarà (i) modificata nella misura necessaria per garantirne la validità e l'applicabilità, preservando per quanto possibile le intenzioni originali delle Parti, o, se ciò non fosse possibile, (ii) interpretata come se non fosse mai stata inclusa nel corpo dell'Accordo.
Legge applicabile e foro competente
Le Parti sottopongono questo DPA alla legge e alla giurisdizione scelte nell'Accordo. Pertanto, eventuali controversie o rivendicazioni derivanti da questo DPA, comprese le controversie relative alla sua esistenza, validità o cessazione o alle conseguenze della sua invalidità, saranno soggette al forum scelto nell'Accordo.
Elenco delle misure di sicurezza
Assistente AI per gli acquisti
Campo
Catalogazione
Requisito di dettaglio
Misure di Sicurezza del Data Center
Accesso al Sistema o SW (autenticazione)
Adozione di misure volte a garantire che:
- l'accesso amministrativo da parte del Manager sia riservato al personale a cui è assegnata la qualifica (“ruolo”) di amministratore di sistema, in virtù di elevate competenze tecniche e caratteristiche di comprovata affidabilità e moralità;
- l'accesso amministrativo ai sistemi da parte del personale del Cliente avverrà tramite procedure di autenticazione a più fattori (MFA).
Misure per la Sicurezza del Data Center
Accesso al Sistema o SW (politica di gestione)
Per i servizi che prevedono un metodo di gestione amministrativa dei componenti infrastrutturali, devono essere fornite le seguenti politiche:
- utenti che consentono l'identificazione dell'amministratore che esegue l'intervento; - attivazione di un processo di gestione dei log che identifica gli accessi, le disconnessioni e i tentativi di accesso non riusciti ;
- archiviazione dei log in un formato che garantisca la loro integrità e leggibilità nel tempo; - archiviazione dei log per almeno sei (6) mesi; - verifica annuale del lavoro degli amministratori di sistema; - accesso ai sistemi tramite VPN e MFA.
Misure per la Sicurezza del Data Center
Gestione dei log
Caratteristiche per il tracciamento o la registrazione (log) dell'accesso e dell'attività degli utenti. I registri delle attività devono essere adeguatamente protetti per garantire la loro integrità e riservatezza. Queste funzionalità devono essere attivate dall'amministratore di sistema del cliente o dalla casa software su richiesta del cliente.
Misure per la Sicurezza del Data Center
Auditare
Utilizzo del sistema di gestione e analisi dei log per monitorare l'attività degli amministratori di sistema. L'accesso al sistema di gestione dei log è riservato agli auditor e non è consentito al personale di amministrazione di sistema.
Misure per la Sicurezza del Data Center
Crittografia dei protocolli di comunicazione
Applicazione di protocolli di comunicazione crittografica sicuri e non obsoleti, nei casi in cui l'accesso al sistema avviene tramite Internet.
Misure per la Sicurezza del Data Center
Minacce e Vulnerabilità
Implementa un programma di gestione delle minacce e dei rischi per monitorare continuamente le vulnerabilità della piattaforma SaaS, come definito dalle migliori pratiche internazionali, pianificando ed eseguendo scansioni di vulnerabilità interne ed esterne e test di penetrazione. Le vulnerabilità identificate devono essere valutate per determinare i rischi associati e le opportune azioni correttive devono essere stabilite in base alla loro priorità assegnata e alla gravità rilevata.
Misure per la Sicurezza del Data Center
Firewalling
Adozione di sistemi firewall volti a filtrare e contenere il traffico identificando eventuali traffico anomalo che potrebbe indicare potenziali attacchi informatici.
Misure per la Sicurezza del Data Center
Prevenzione delle intrusioni
Protezione dell'ambiente attraverso il quale il servizio del Manager viene fornito tramite Sistemi di Prevenzione delle Intrusioni (IPS) che analizzano tutto il traffico in ingresso e identificano immediatamente eventuali tentativi di attacco in corso. Il traffico di rete su segmenti significativi della piattaforma passa attraverso sistemi che ispezionano ogni pacchetto in transito.
Misure per la Sicurezza del Data Center
Protezione da malware
Adozione di misure per proteggere contro infezioni da malware, azioni non autorizzate, applicazioni sospette e tentativi di rubare dati personali (ad es., tramite antivirus costantemente aggiornati, sistemi anti-spam, anti-phishing, ecc.).
Misure per la Sicurezza del Data Center
Antivirus del file system
Adozione di moduli antivirus per filesystem su tutti i server utilizzati per fornire servizi, con la possibilità di configurare, su base progetto per progetto, specifici prodotti antivirus che sono gestiti centralmente in termini di aggiornamenti, distribuzione delle policy, avvii di scansione on-demand, notifiche e gestione dell'area di quarantena.
Misure per la Sicurezza del Data Center
Monitoraggio e gestione degli incidenti
Adozione di politiche e procedure per identificare, rispondere, rimediare e segnalare incidenti che pongono a rischio l'integrità o la riservatezza dei dati personali o di altre violazioni della sicurezza.
Misure per la Sicurezza del Data Center
Gestione delle patch di sicurezza
Soggettare la piattaforma a un processo di verifica periodica per le patch o le soluzioni disponibili relative ai componenti del sistema di consegna e quelli considerati critici per la fornitura del servizio o per la sicurezza.
Misure per la Sicurezza del Data Center
Sicurezza fisica
Applicazione di adeguate misure di sicurezza fisica alla piattaforma hardware/software progettata (ad esempio, utilizzo di fornitori di hosting/servizi di data center dotati di sistemi adeguati per prevenire il rischio di intrusione, incendio, allagamenti, ecc.).
Misure per la Sicurezza del Data Center
Antiallagamento
Adozione di tutte le misure necessarie all'interno del Data Center per prevenire allagamenti (come la presenza di sonde, sistemi di allerta, ecc.).
Misure per la Sicurezza del Data Center
Antintrusione
Impostare un sistema di controllo degli accessi nel centro dati che identifica chi vi accede e previene l'accesso non autorizzato. La procedura deve includere anche la gestione delle modifiche, attivando e disattivando le autorizzazioni di accesso in base ai cambiamenti di ruolo.
Misure per la Sicurezza del Data Center
Telecamere a circuito chiuso
Installazione di telecamere a circuito chiuso per monitorare il perimetro dell'edificio, gli ingressi, le porte interbloccate e qualsiasi altra area critica.
Misure per la Sicurezza del Data Center
Condizionamento
Adozione di sistemi di condizionamento e refrigerazione adeguati per stanze e attrezzature.
Misure per la Sicurezza del Data Center
Continuità e emergenza
Adozione di procedure e controlli per garantire il necessario livello di continuità e disponibilità del sistema/software (in caso di incidente/violazione dei dati personali). Le procedure devono includere istruzioni per mantenere copie di backup e un piano di recupero in caso di disastro.
Misure per la Sicurezza del Data Center
Cancellazione dei dati
Fornitura di misure per la cancellazione dei dati di produzione al termine della fornitura del servizio secondo i termini contrattuali definiti con il Cliente.
Misure per la Sicurezza del Data Center
Gestione dei subappaltatori
Selezione e verifica dei requisiti del subappaltatore che gestirà i sistemi e le infrastrutture necessarie per svolgere i Servizi, e sottoscrizione di un contratto che vincola il subappaltatore a rispettare gli obblighi relativi alle misure di sicurezza.
Connettività
Linee Internet e larghezza di banda
Attuazione di misure per garantire un'adeguata connettività in conformità con i livelli di servizio definiti contrattualmente con il Cliente.
Connettività
Firewalling
misure di firewall.
Sicurezza della rete
AntiDDoS
Fornitura da parte del Data Center di un servizio in grado di rispondere efficacemente ai problemi creati dagli attacchi (“DDoS”)
Sicurezza della rete
IDS/IPS
Adozione di un sistema IPS (Intrusion Prevention System) in grado di bloccare automaticamente gli attacchi rilevati e un sistema IDS (Intrusion Detection System) in grado di intercettare le minacce, offrendo così protezione in tempo reale ai servizi forniti dal Data Center.
Governance
Formazione
Fornitura di corsi di formazione periodici sulla sicurezza e protezione dei dati personali per i dipendenti coinvolti nelle attività di trattamento dei dati.
Governance
Localizzazione geografica
Dichiarazione da SWH al Cliente della posizione geografica del DC e dei dati.
Governance
Violazione dei dati
Adozione di procedure per identificare, contenere e risolvere situazioni di rischio (ad es., violazioni di dati personali) per la sicurezza dei dati e dei sistemi nella fase post-intrusione.
Governance
Sicurezza logica
Rivalutare le misure di sicurezza e le procedure in atto almeno annualmente per aggiornarlas based su vulnerabilità, attacchi e sviluppi tecnologici rilevati.
Allegato C-quater – Elenco dei sub-processori
Sottomanager
Natura del trattamento
Terms of Service
Amazon Web Services
Cloud e hosting fornendo
Mongo DB Limitato
Servizio di gestione del database
Clickhouse Inc
Servizio di gestione del database
Microsoft Inc.
Servizio di forniture di AI generativa di Azure
Anthropic PBC
Fornire il servizio AI generativa API Claude
Google Inc
Fornire il servizio di intelligenza artificiale generativa API Google Gemini tramite Google Studio