1. “Titolare” si riferisce alla persona fisica o giuridica, all’autorità pubblica, all’agenzia o ad altro ente che, da solo o con altri, determini le finalità e le modalità di trattamento dei Dati Personali;
2. “Responsabile” si riferisce alla persona fisica o giuridica, all’autorità pubblica, agente o ad altro ente che tratta i dati personali per conto del titolare, sia direttamente quale responsabile di un titolare o indirettamente quale Sub-responsabile di un titolare che tratti dati personali per conto del titolare.
3. “Sub-responsabile” si riferisce alle società affiliate a Filippetti spa e a terzi incaricati dalla stessa in relazione alle attività svolte in funzione del contratto stipulato con il cliente.
4. “Data Center” si riferisce al luogo dove i dati personali del cliente vengono ospitati così come concordato con lo stesso nel progetto o nel modulo d’ordine sottoscritto.
5. “Normativa sulla Protezione dei Dati” si riferisce alla normativa vigente posta a tutela dei diritti e delle libertà fondamentali delle persone fisiche.
6. “Soggetto Interessato” si riferisce ad una persona fisica identificata o identificabile quale definita dalla Normativa sulla Protezione dei Dati a cui si riferiscono i dati personali trattati.
7. “SEE” si riferisce allo Spazio Economico Europeo, in particolare agli Stati Membri dell’Unione Europea unitamente all’Islanda, al Liechtenstein e alla Norvegia.
8. “Dati Personali” si riferisce a qualunque informazione relativa ad un Soggetto determinato o determinabile che goda di protezione ai sensi della Normativa sulla Protezione dei Dati. Ai fini della presente DPA, essi comprendono solamente i dati personali che siano:
   1. inseriti dal Cliente o dai suoi Utenti Autorizzati o derivati dal loro utilizzo dei sistemi forniti da Filippetti spa;
   2. forniti a o a cui accede Filippetti spa o i suoi Sub-responsabili per fornire supporto così come stabilito dal contratto con il cliente.
9. “Violazione dei Dati Personali” la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
10. “Clausole Contrattuali Standard”, denominate anche “Clausole Standard UE”, si riferiscono alle Clausole Contrattuali Standard o altra versione successiva delle stesse pubblicate dalla Commissione Europea (che troveranno applicazione automatica).
11. “Servizi cloud”, servizi informatici e risorse computazionali erogati su richiesta tramite internet da un fornitore, differenziati, sulla base del modello computazionale offerto, in tre categorie di servizi:
    • sistemistici infrastrutturali, c.d. Infrastructure-as-a-Service (IaaS), per l’erogazione, ad esempio, di server virtualizzati e spazio di salvataggio dati;
    • piattaforme computazionali, c.d. Platform-as-a-Service (PaaS), per l’erogazione di ambienti, preconfigurati e amministrati per lo sviluppo di specifiche applicazioni, ad esempio per lo sviluppo software, la gestione di dati o di applicazioni;
    • applicativi, c.d. Software-as-a-Service (SaaS), per l’erogazione di un’applicazione agli utenti finali, ad esempio la posta elettronica o altri sistemi di collaborazione remota.

Finalità e ambito di applicazione.

Il presente documento (“DPA”) è parte integrante del Contratto e costituisce un accordo scritto (anche in formato elettronico) tra Filippetti spa e il Cliente. Il presente DPA si applica ai Dati Personali trattati da Filippetti spa e dai suoi Sub-responsabili nell’ambito dei servizi forniti al cliente così come stabilito nel contratto con lo stesso.

Struttura.

L’Appendice 1 forma parte integrante del presente DPA.

CONFORMITA’ ALLA DISCIPLINA SULLA PROTEZIONE DEI DATI PERSONALI

Filippetti spa e il Cliente concordano che ciascuna parte è tenuta a esaminare e adottare gli obblighi imposti ai Titolari e ai Responsabili dal Regolamento Generale sulla Protezione dei Dati 2016/679 (“GDPR”), dal D.lgs. 196/2003 così come integrato dal D.lgs. 101/20218 nonché dai provvedimenti dell’Autorità di Controllo.

Ruoli.

Filippetti spa agisce in qualità di Responsabile del trattamento mentre il Cliente e i soggetti che sono autorizzati ad usare i servizi che Filippetti spa mette a disposizione del cliente agiscono in qualità di Titolari ai sensi della presente DPA.

Il Cliente è il punto di contatto univoco ed è il solo responsabile per l’ottenimento di tutte le eventuali autorizzazioni, consensi e permessi necessari per il trattamento dei Dati Personali ai sensi del presente DPA, inclusa l’approvazione dei Titolari ad usare i servizi di Filippetti spa quale Responsabile ove necessario. Le autorizzazioni, consensi o permessi forniti dal Cliente, si intendono rilasciati non solo per conto del Cliente ma anche per conto di eventuali altri Titolari che utilizzano i servizi di Filippetti spa. Nel caso in cui Filippetti spa informi o notifichi il Cliente, tale informazione o notifica verrà considerata ricevuta dai Titolari a cui il Cliente ha concesso l’utilizzo dei servizi di Filippetti spa ed è responsabilità del Cliente inoltrare tali informazioni e notifiche ai relativi Titolari.

Misure Tecniche e organizzative idonee.

Filippetti spa ha implementato e applicherà le misure tecniche ed organizzative descritte nell’Appendice 1, nel progetto e/o Modulo d’ordine.

Il Cliente ha esaminato tali misure e ritiene che le stesse sono appropriate per i servizi forniti da Filippetti spa, tenendo conto dello stato dell’arte, dei costi di implementazione, della natura, ambito, contesto e finalità del trattamento dei Dati Personali.

Modifiche.

Filippetti spa potrà modificare le misure nel progetto e/o Modulo d’ordine e all’Appendice 1 in qualsiasi momento e senza preavviso purché il livello di sicurezza adottato sia comparabile o migliore. Singole misure possono essere sostituite da nuove misure che sono finalizzate al medesimo scopo senza diminuire il livello di sicurezza posto a protezione dei Dati Personali.

Istruzioni del Cliente.

Filippetti spa tratterà i Dati Personali solo in conformità alle istruzioni documentate del Cliente. Il Contratto (incluso il presente DPA) e/o il modulo d’ordine rappresentano tali istruzioni. Filippetti spa farà quanto ragionevolmente possibile per implementare le eventuali ulteriori istruzioni del Cliente, sempre che siano richieste dalla Normativa sulla Protezione dei Dati, tecnicamente fattibili e non richiedano modifiche ai servizi forniti da Filippetti spa. Ove Filippetti spa non possa altrimenti attenersi ad una istruzione o ritenga che un’istruzione comporti una violazione della Normativa sulla Protezione dei Dati personali, provvederà a darne comunicazione immediata al Cliente. 

Trattamento imposto dalla legge.

Filippetti spa potrà trattare i Dati Personali anche nel caso sia richiesto dalla normativa applicabile. In tal caso, Filippetti spa informerà il Cliente di tale necessità prima del trattamento fatto, salvo il caso in cui la legge vieti la condivisione di tali informazioni per ragioni di interesse pubblico. 

Personale.

Per il trattamento dei Dati Personali, Filippetti spa e i Sub-responsabili concederanno l’accesso solo a persone autorizzate soggette all’obbligo di riservatezza. Filippetti spa e i Sub-responsabili formeranno regolarmente il personale che ha accesso ai Dati Personali sulle misure di sicurezza e di riservatezza dei dati applicabili.

Cooperazione.

Filippetti collaborerà ragionevolmente con il Cliente e i Titolari nella gestione delle richieste provenienti da Soggetti Interessati per eventuali violazioni dei dati personali riguardo al trattamento dei Dati Personali svolto da Filippetti spa a favore del cliente.

Filippetti spa comunicherà al Cliente, non appena sia ragionevolmente possibile, eventuali richieste ricevute da un Soggetto Interessato in relazione al trattamento dei Dati Personali senza rispondere essa stessa a tale richiesta in mancanza di eventuali ulteriori istruzioni del Cliente. Il Cliente sarà responsabile della gestione di tali richieste. Filippetti spa assisterà ragionevolmente il Cliente nella gestione di tali richieste, ovvero fornirà le funzionalità che aiutano la correzione o rimozione da parte del Cliente dei Dati Personali dai servizi dalla stessa forniti, oppure limiterà il trattamento ai sensi della Normativa sulla Protezione dei Dati. Laddove tali funzionalità non vengano fornite, Filippetti spa provvederà a correggere o rimuovere eventuali Dati Personali, o a limitare il loro trattamento, secondo le istruzioni del Cliente e la Normativa sulla Protezione dei Dati.

Se un Soggetto Interessato presenta un reclamo direttamente nei confronti di Filippetti spa per una violazione dei propri diritti, il Cliente rimborserà Filippetti Spa per qualsiasi costo, addebito, danno, spesa o perdita derivanti da tale richiesta, a condizione che Filippetti spa abbia provveduto a notificare il reclamo al Cliente e abbia fornito al Cliente medesimo l’opportunità di collaborare con Filippetti spa nell’azione difensiva e nella composizione della vertenza stessa. Nei limiti di quanto previsto dal Contratto il Cliente può richiedere a Filippetti spa i danni derivanti da reclami degli Interessati per violazione dei propri diritti, qualora tale violazione sia stata causata da fatti imputabili esclusivamente a Filippetti spa in virtù di una violazione dei propri obblighi in base al presente documento.

Richieste di terze parti

Filippetti SpA non divulgherà i Dati Personali del Cliente ad alcuna terza parte, salvo che non venga autorizzata dal Cliente o sia richiesto dalla normativa vigente. Qualora una pubblica amministrazione o Autorità di Vigilanza richiedano l’accesso ai Dati Personali del Cliente, Filippetti SpA informerà il Cliente prima di renderli disponibili, salvo che tale notifica non sia proibita dalla normativa vigente.

Filippetti spa traccerà le eventuali richieste di trasferimento di dati personali a terze parti comprese le autorità di controllo competenti all’interno del sistema dei propri sistemi di trouble ticketing.

Notifica della Violazione dei Dati Personali.

Dopo esserne venuta a conoscenza, Filippetti spa informerà il Cliente, ai recapiti dallo stesso forniti, senza ingiustificato ritardo di qualsiasi Violazione dei Dati Personali fornendo le ragionevoli informazioni in suo possesso (ivi comprese: data, natura, descrizione, conseguenze, azioni volte al contenimento) al fine di supportare il Cliente nell’adempimento dei suoi obblighi di segnalazione di una Violazione dei Dati Personali come richiesto dalla Normativa sulla Protezione dei Dati. Filippetti spa potrà fornire tali informazioni a fasi successive man mano che divengano disponibili. Tale comunicazione non potrà essere interpretata o intesa come un’ammissione di colpa o responsabilità da parte di Filippetti spa.

Valutazione d’impatto sulla Protezione dei Dati.

Qualora, ai sensi della Normativa sulla Protezione dei Dati, il Cliente (o i suoi Titolari) sia tenuto a effettuare una valutazione d’impatto della protezione dei dati oppure una preventiva consultazione con un’Autorità, su richiesta del Cliente, Filippetti spa fornirà la documentazione che è generalmente disponibile per i servizi forniti da Filippetti spa. L’eventuale ulteriore supporto andrà concordato dalle Parti.

Esportazione e recupero da parte del Cliente.

Nel corso dell’esecuzione del Contratto, il Cliente può accedere ai propri Dati Personali in ogni momento. Il Cliente potrà esportare e acquisire i propri Dati Personali in un formato standard. L’esportazione e l’acquisizione possono essere soggette a limitazioni tecniche, nel qual caso Filippetti spa e il Cliente faranno quanto ragionevolmente possibile per consentire al Cliente di accedere ai Dati Personali.

Cancellazione.

Il Cliente potrà richiedere la restituzione dei dati personali gestiti nel corso dell’esecuzione del contratto diversamente Filippetti spa provvederà alla loro cancellazione in conformità al contratto stipulato con il cliente o entro un ragionevole periodo di tempo in linea con la Normativa sulla Protezione dei Dati, fatto salvo che la normativa applicabile richieda la loro conservazione.

Riutilizzo dei supporti fisici.

Filippetti spa bonificherà in modo sicuro i supporti fisici destinati al riutilizzo prima di tale riutilizzo e distruggerà i supporti fisici che non saranno riutilizzati.

1. Filippetti spa non abbia fornito sufficiente evidenza della sua conformità con le misure tecniche ed organizzative che proteggono i sistemi utilizzati dalla stessa per fornire il servizio a mezzo di una certificazione di conformità alla norma ISO 27001 o ad altri standard internazionali;
2. Si sia verificata una Violazione dei Dati personali;
3. L’autorità di protezione dei dati del Titolare del Trattamento abbia presentato richiesta formale di verifica; oppure
4. La Normativa obbligatoria sulla Protezione dei Dati Personali riconosca al Cliente il diritto per una verifica diretta, fatto salvo che il Cliente potrà effettuare la verifica una sola volta ogni dodici mesi a meno che la Normativa di legge sulla Protezione dei Dati richieda verifiche più frequenti.

1. nominerà i Sub-responsabili ai sensi di un contratto scritto (anche in formato elettronico) che sia conforme con le disposizioni del presente DPA in relazione con il trattamento dei Dati Personali da parte del Sub-responsabile;
2. Filippetti spa valuterà le procedure di sicurezza, privacy e riservatezza del Sub-responsabile prima della sua nomina per stabilire se esso sia in grado di garantire il livello di protezione dei Dati Personali imposto dal presente DPA; e
3. La lista dei Sub-responsabili di Filippetti spa in vigore alla data di decorrenza del Contratto è messa a disposizione del Cliente a richiesta, ivi compreso il nominativo, l’indirizzo e la qualifica di ciascun Sub-responsabile utilizzato da Filippetti spa per fornire i servizi oggetto del contratto a cui il presente DPA fa riferimento.

1. Informi il Cliente (a mezzo di e-mail) l’intenzione di aggiungere o sostituire dei Sub-responsabili indicando il nominativo, l’indirizzo e la qualifica del nuovo Sub-responsabile.

Condizioni per il Trattamento Internazionale.

Filippetti spa potrà trattare i Dati Personali, anche con l’utilizzo di Sub-responsabili, ai sensi del presente DPA al di fuori del paese in cui abbia sede il Cliente nei limiti consentiti dalla Normativa sulla Protezione dei Dati.

Ciascuna parte è tenuta ad osservare gli obblighi di documentazione posti a suo carico, in particolare con riferimento al mantenimento dei registri del trattamento quando sono richiesti dalla Normativa sul Trattamento dei Dati. Ciascuna parte fornirà la ragionevole assistenza all’altra con riguardo agli obblighi di documentazione, ivi compreso il rilascio delle informazioni che l’altra parte necessiti con la ragionevole modalità richiesta dall’altra parte (come, ad esempio, utilizzando un sistema elettronico) al fine di mettere l’altra parte nella condizione di rispettare tutti gli obblighi relativi al mantenimento dei registri del trattamento.

1.     MISURE TECNICO-ORGANIZZATIVE

Il presente documento definisce le attuali misure tecnico-organizzative di Filippetti spa. Filippetti spa si riserva il diritto di poterle modificare in un qualsiasi momento senza obbligo di preavviso e purché sia mantenuto un pari o superiore livello di sicurezza. Le misure individuali possono essere sostituite da nuove misure che siano finalizzate al medesimo scopo senza ridurre il livello di sicurezza posto a protezione dei Dati Personali.

2.     POLITICHE DI SICUREZZA

Filippetti spa si è dotata di un Sistema di Gestione per la Sicurezza delle Informazioni (SGQS) ed ha ottenuto la certificazione ISO/IEC 27001: 2013 con applicazione dei controlli previsti dalle linee guida ISO/IEC 27017:2015 e ISO/IEC 2018:2019.

Filippetti spa manterrà e seguirà le politiche e le procedure di sicurezza del SGQS che sono parte integrante delle attività di Filippetti spa e obbligatorie per tutti i dipendenti Filippetti spa. Il Responsabile del SGQS di Filippetti spa manterrà la responsabilità e la supervisione esecutiva di tali policy, incluse la governance formale e la gestione della revisione, la formazione dei dipendenti e l’applicazione della conformità.

Filippetti spa riesaminerà le sue politiche di sicurezza IT almeno una volta all’anno e modificherà tali politiche quando Filippetti spa lo riterrà ragionevole per preservare la protezione dei Servizi Cloud e del Contenuto ivi trattato.

3.     CONTROLLO DELL’ACCESSO FISICO

Ai soggetti non autorizzati è negato l’accesso fisico ai luoghi, edifici o stanze di ubicazione dei sistemi di trattamento dei dati che trattano e/o fanno uso di Dati Personali. 

Misure:

• Filippetti spa protegge i propri beni e strutture utilizzando i mezzi idonei basati sulle policy di sicurezza della stessa, anche in conformità alla disciplina non cogente a cui aderisce;
• Gli edifici in cui viene svolta l’attività di trattamento sono messi in sicurezza tramite sistemi di accesso controllato (ad es. sistema di accesso con carte magnetiche).
• A seconda della classificazione di sicurezza, gli edifici, le singole aree e gli edifici limitrofi possono essere ulteriormente protetti con misure addizionali. Queste includono specifici profili di accesso, sorveglianza video, sistemi con dispositivi di sicurezza.
• I diritti di accesso sono conferiti ai soggetti autorizzati su base individuale in conformità delle misure di controllo dell’accesso al sistema e ai dati. Ciò vale anche per l’accesso dei visitatori. Ospiti e visitatori agli edifici di Filippetti spa devono essere identificati dalla reception ed essere accompagnati da personale autorizzato di Filippetti spa.

4.     CONTROLLO DELL’ACCESSO AI SISTEMI

È necessario impedire che i sistemi di trattamento dei dati utilizzati per erogare i servizi di Filippetti spa siano utilizzati senza le debite autorizzazioni.

Misure:

• Per concedere l’accesso ai sistemi sensibili, inclusi quelli di archiviazione e trattamento dei Dati Personali, vengono utilizzati livelli multipli di autorizzazione. Le autorizzazioni sono gestite mediante processi definiti ai sensi delle Policy di sicurezza di Filippetti spa.
• Tutto il personale accede ai sistemi di Filippetti spa con un identificativo unico (ID utente).
• Filippetti spa possiede delle procedure atte a garantire che le modifiche di autorizzazione richieste siano implementate esclusivamente in osservanza delle proprie Policy di sicurezza (ad esempio, nessuna concessione di diritti senza autorizzazione). Nel caso in cui il personale lasci l’azienda, i loro diritti di accesso sono revocati.
• Le policy di Filippetti spa in materia di password proibiscono la condivisione delle password, stabiliscono il blocco dell’azione qualora una password venga svelata e impongono il cambiamento periodico della password e la modifica delle password iniziali. Ai fini dell’autenticazione vengono assegnati ID utente personalizzati. Tutte le password devono soddisfare i requisiti minimi previsti ed essere memorizzate in forma criptata. Nel caso di password di dominio, il sistema ne impone una modifica conforme ai requisiti per le password complesse ogni sei mesi. Tutti i computer sono dotati di screensaver protetto da password.
• La rete aziendale è protetta dalla rete pubblica tramite firewall.
• Filippetti spa utilizza software antivirus aggiornati in tutti i punti di accesso alla rete aziendale sui file server così come sulle postazioni di lavoro.

È stata implementata una gestione delle patch di sicurezza, in modo da assicurare la disponibilità regolare e periodica degli aggiornamenti di sicurezza pertinenti. È garantito il completo accesso da remoto alla rete aziendale di Filippetti spa e l’infrastruttura critica è protetta da un rigoroso sistema di autenticazione.

5.     CONTROLLO DELL’ACCESSO AI DATI.

I soggetti autorizzati all’uso dei sistemi di trattamento dei dati avranno accesso ai soli Dati Personali di pertinenza e non potranno leggere, copiare, modificare o eliminare i Dati Personali se non debitamente autorizzati durante il trattamento, uso e archiviazione.

Misure:

• Gli orientamenti in materia di sicurezza dei dati di Filippetti spa prevedono che ai Dati Personali sia applicato almeno lo stesso livello di protezione previsto per i dati “riservati” secondo lo standard di classificazione dei dati di Filippetti spa.
• L’accesso ai Dati Personali viene concesso solo a fronte di necessità. Il Personale ha accesso alle informazioni che necessitano per adempiere ai propri compiti. Filippetti spa impiega modelli autorizzativi che documentano i processi di concessione e i ruoli assegnati a ciascun account. Tutti i Dati Cliente sono protetti ai sensi delle policy di sicurezza di Filippetti spa.
• Tutti i server di produzione operano nei Data Center o in stanze server sicure. Le misure di sicurezza a protezione delle applicazioni di trattamento dei Dati Personali sono sottoposte a regolari controlli. A tal fine Filippetti spa conduce controlli di sicurezza interni ed esterni e test di penetrazione sui sistemi informatici.
• Filippetti spa non permette l’installazione di software diverso da quello approvato dalla stessa.
• Le norme di sicurezza di Filippetti spa disciplinano le modalità di cancellazione o distruzione dei dati o dei supporti dati una volta che essi non sono più necessari.

6.     CONTROLLO DELLA TRASMISSIONE DEI DATI.

Fatto salvo quanto sia necessario alla fornitura dei servizi forniti da Filippetti spa, si fa divieto di leggere, copiare, modificare o eliminare i Dati Personali durante il loro trasferimento, in assenza di una debita autorizzazione.

Misure:

• I Dati Personali in trasferimento sulla rete interna di Filippetti spa sono protetti ai sensi delle policy di sicurezza di Filippetti spa.
• Al trasferimento dei dati tra Filippetti spa e i suoi clienti, le misure di sicurezza adottate per la protezione dei Dati Personali trasferiti sono quelle vicendevolmente concordate e facenti parte integrante del relativo Contratto. Ciò vale per i trasferimenti dati fisici e per quelli su rete. In ogni caso, il Cliente si assume la responsabilità relativa ad eventuali trasferimenti di dati una volta che essi siano al di fuori dei sistemi sotto il controllo di Filippetti spa.

7.     CONTROLLO DELL’INSERIMENTO DEI DATI

Si ammette l’esame retrospettivo ai fini di stabilire se e chi abbia, presso Filippetti spa, inserito, modificato o eliminato i Dati Personali dal sistema di trattamento dati 

Misure:

• Filippetti spa limita l’accesso ai Dati Personali al solo personale autorizzato e solo nella misura necessaria all’espletamento delle loro mansioni.
• Filippetti spa ha implementato un sistema di registrazione delle operazioni di inserimento, modifica eliminazione o blocco dei Dati Personali nella misura tecnicamente possibile.

8.     CONTROLLO JOB

I Dati Personali trattati su mandato (es. Dati Personali trattati per conto del cliente) vengono trattati unicamente in conformità del Contratto, nonché delle istruzioni impartite dal Cliente.

Misure:

• Filippetti spa utilizza controlli e procedure per monitorare l’osservanza dei contratti stipulati tra Filippetti spa e i suoi clienti, Sub-responsabili o altri prestatori di servizi.
• Gli orientamenti in materia di sicurezza dei dati di Filippetti spa prevedono che ai Dati Personali sia applicato almeno lo stesso livello di protezione previsto per i dati “riservati” secondo lo standard di classificazione dei dati di Filippetti spa.
• Tutti i dipendenti e i Sub-responsabili o altri fornitori di servizi a Filippetti spa sono vincolati per contratto al rispetto della riservatezza di tutte le informazioni sensibili, che comprendono i segreti commerciali dei clienti e dei partner di Filippetti spa.

9.     CONTROLLO DI DISPONIBILITÀ

I Dati Personali saranno protetti contro distruzione o perdita accidentale o non autorizzata. 

Misure:

• Filippetti spa impiega regolari processi di backup per assicurare il ripristino dei sistemi fondamentali quando si renda necessario.
• Filippetti spa o i suoi fornitori utilizzano un’alimentazione elettrica ininterrotta (UPS, batterie, generatori, ecc.) per assicurare un approvvigionamento elettrico ininterrotto ai Data Center.
• Filippetti spa ha definito piani di emergenza per i processi fondamentali e può offrire strategie di disaster recovery per i Servizi fondamentali, come ulteriormente stabilito nella Documentazione o incorporato nel progetto o nel Modulo d’Ordine.
• Le procedure e i sistemi di emergenza sono sottoposti a regolari test.

10.  CONTROLLO DI COMPARTIMENTAZIONE DEI DATI

I Dati Personali raccolti per scopi diversi possono essere trattati separatamente.

Misure:

• Filippetti spa utilizza le funzionalità tecniche del software acquistato (quali la multi-tenancy o le infrastrutture distinte di sistema) per realizzare la compartimentazione tra Dati Personali provenienti da più clienti.
• Il Cliente può accedere solo ai suoi dati.
• Qualora i Dati Personali siano necessari per la gestione di una richiesta di assistenza proveniente dal Cliente i dati vengono assegnati a tale messaggio specifico e vengono utilizzati unicamente per elaborare tale messaggio; non si accede ai dati per elaborare alcun altro messaggio. Tali dati sono custoditi in sistemi di supporto dedicati.

11.  CONTROLLO DI INTEGRITÀ DEI DATI

I Dati Personali resteranno intatti, completi e aggiornati durante le attività di trattamento: 

Misure:

• Filippetti spa ha messo in pratica una strategia di difesa multi-livello come protezione contro modifiche non autorizzate.
• In particolare, Filippetti spa utilizza le seguenti misure per dare attuazione alle disposizioni relative ai controlli e alle misure di cui sopra. Nello specifico:
• Firewall;
• Centro di Monitoraggio di Sicurezza;
• Software Antivirus;
• Backup e ripristino;
• Test di penetrazione interno o esterno;
• regolari ispezioni esterne per confermare le misure di sicurezza.

12.  MISURE SUPPLEMENTARI PER I SERVIZI CLOUD

• Filippetti spa assicurerà un adeguato controllo degli ingressi, quali barriere, punti di ingresso controllati da badge, telecamere di sorveglianza e punti di accoglienza presidiati, per proteggere da ingressi non autorizzati all’interno delle strutture Filippetti spa usate per ospitare il Servizio Cloud (data center). I punti di ingresso ausiliari nei data center come, ad esempio, che le aree di consegna e le banchine di carico siano controllati e isolati dalle risorse informatiche.
• Filippetti spa assicurerà che l’accesso ai data center e alle aree controllate all’interno dei data center sarà limitato in base al ruolo professionale e soggetto ad autorizzazione. L’uso di un badge di ingresso per accedere al data center e alle aree controllate e che tali accesi siano registrati e che le registrazioni saranno conservate per almeno un anno. Filippetti spa revocherà l’accesso alle aree controllate dei data center in base alla separazione di un dipendente autorizzato. Filippetti spa si atterrà alle procedure formali di separazione documentate che includono, a titolo esemplificativo ma non esaustivo, la rimozione tempestiva dalle liste di controllo accessi e la restituzione dei badge di accesso.
• Qualsiasi soggetto cui sia stata debitamente fornita l’autorizzazione temporanea ad accedere ad una struttura di data center o ad un’area controllata all’interno di un data center sarà registrato nel momento in cui entra nella sede, dovrà fornire prova dell’identità al momento della registrazione e sarà accompagnato da personale autorizzato. Tutte le autorizzazioni temporanee per l’ingresso, incluse le consegne, saranno pianificate in anticipo e dovranno essere approvate dal personale autorizzato.
• Filippetti spa adotterà precauzioni per proteggere l’infrastruttura fisica del Servizio Cloud da minacce ambientali, sia in caso di eventi naturali che causati dall’uomo quali, ad esempio, eccessiva temperatura dell’ambiente, incendi, inondazioni, umidità, furti e vandalismo.
• Filippetti spa documenterà l’architettura della sicurezza delle reti da essa gestite da per il funzionamento del Servizio Cloud. Filippetti spa riesaminerà separatamente la propria architettura di rete, incluse le misure progettate per impedire le connessioni di rete non autorizzate a sistemi, applicazioni e dispositivi di rete, in conformità con i propri standard avanzati di segmentazione protetta, di isolamento e di difesa prima dell’implementazione. Filippetti spa potrà utilizzare la tecnologia di rete wireless durante la manutenzione e il supporto del Servizio Cloud e dei componenti associati. Tali reti wireless, se presenti, saranno crittografate e richiederanno l’autenticazione protetta e non forniranno l’accesso diretto alle reti del Servizio Cloud. Le reti del Servizio Cloud non utilizzano la tecnologia di rete wireless.
• Per il Servizio Cloud, Filippetti spa manterrà le misure progettate per separare logicamente e impedire di accedere o esporre il Contenuto a persone non autorizzate. Filippetti spa manterrà il necessario isolamento tra i propri ambienti di produzione e non di produzione, e, se il Contenuto viene trasferito in un ambiente non di produzione, ad esempio per poter riprodurre un errore al momento della richiesta del Cliente, la sicurezza e la protezione della privacy, nell’ambiente non di produzione, saranno equivalenti a quelle nell’ambiente di produzione.
• Fatto salvo quanto stabilito nel relativo Documento d’Ordine, Filippetti spa eseguirà la crittografia del Contenuto non destinato alla visualizzazione pubblica o non autenticato durante il trasferimento del Contenuto su reti pubbliche e attiverà l’uso di un protocollo di crittografia come, ad esempio, HTTPS, SFTP e FTPS, ai fini di un trasferimento sicuro del Contenuto del Cliente verso e dal Servizio Cloud su reti pubbliche.
• Filippetti spa eseguirà la crittografia del Contenuto ‘dormiente’ quando specificato nel Documento d’Ordine. Se il Servizio Cloud include la gestione delle chiavi crittografiche, Filippetti spa documenterà le procedure per attivare la crittografia da parte del cliente, nonché la generazione, emissione, distribuzione, archiviazione, rotazione, revoca, ripristino, backup, distruzione, accesso e utilizzo di chiavi protette.
• Se Filippetti spa richiede l’accesso del Contenuto, tale accesso verrà limitato al livello minimo richiesto. Tale accesso, incluso l’accesso di amministratore a tutti i componenti sottostanti (accesso con privilegi), sarà personale, giustificato dalla funzione, e soggetto ad approvazione e convalida periodica da parte del personale Filippetti spa autorizzato in base al principio della separazione dei compiti. Filippetti spa manterrà le misure per identificare e rimuovere account ridondanti e dormienti dotati di accesso con privilegi e revocherà tempestivamente tale accesso all’atto di separazione del proprietario dell’account o su richiesta di personale Filippetti spa autorizzato come, ad esempio, il responsabile del proprietario dell’account.
• In conformità con le procedure standard di settore e nella misura originariamente supportata da ciascun componente gestito da Filippetti spa all’interno del Servizio Cloud, Filippetti spa manterrà le misure tecniche applicando il timeout di sessioni inattive, il blocco degli account dopo molti tentativi di accesso sequenziali non riusciti, l’autenticazione complessa mediante password o passphrase e misure che richiedano un trasferimento protetto e la memorizzazione di tali password e passphrase.
• Filippetti spa monitorerà l’utilizzo dell’accesso con privilegi e manterrà le informazioni sulla sicurezza e le misure di gestione degli eventi progettate per: a) identificare accessi e attività non autorizzati; b) agevolare una risposta tempestiva e appropriata; e c) consentire audit interne e di terze parti indipendenti per la conformità con la politica Filippetti spa documentata.
• I log in cui l’accesso con privilegi e l’attività sono registrati saranno conservati in conformità con il piano di gestione dei record di Filippetti spa. Filippetti spa manterrà le misure progettate per proteggere da accessi non autorizzati, modifica e distruzione accidentale o deliberata di tali log.
• Fatto salvo il supporto della funzionalità di dispositivi o sistemi operativi nativi, Filippetti spa le protezioni informatiche per i sistemi dei suoi utenti finali che includono, a titolo esemplificativo ma non esaustivo, i firewall di endpoint, la crittografia completa del disco, l’individuazione e la rimozione malware in base alla tipologia (signature-based malware), il blocco a tempo dello schermo e le soluzioni di gestione endpoint che applichino i requisiti di configurazione della sicurezza e delle patch.
• Filippetti spa:
  • Effettuerà almeno una volta l’anno la valutazione della sicurezza e dei rischi per la privacy dei propri Servizi Cloud,
  • Eseguirà i test di penetrazione e le valutazioni della vulnerabilità, inclusa la scansione automatica della sicurezza dei sistemi e delle applicazioni e l’hacking etico manuale prima del rilascio in produzione e da quel momento una volta l’anno,
  • Si affiderà a terze parti indipendenti qualificate per eseguire i test di penetrazione almeno una volta all’anno;
  • Eseguirà la verifica automatizzata della gestione e delle routine della conformità dei componenti sottostanti con i requisiti di configurazione della sicurezza,
  • Correggerà le vulnerabilità o le mancate conformità identificate con i relativi requisiti di configurazione della sicurezza in base al rischio, all’utilizzabilità e all’impatto associati. Filippetti spa adotterà ragionevoli misure per evitare l’interruzione del Servizio Cloud quando esegue i relativi test, valutazioni, scansioni ed esecuzione delle azioni correttive.
• Filippetti spa manterrà le politiche e le procedure progettate per gestire i rischi associati all’applicazione di modifiche ai suoi Servizi Cloud. Prima di eseguire l’implementazione, le modifiche del Servizio Cloud, inclusi i relativi sistemi, reti e componenti sottostanti, saranno documentate in una richiesta di variazione registrata contenente la descrizione e il motivo della modifica, i dettagli e la tempistica dell’implementazione, una dichiarazione del rischio che indichi l’impatto sul Servizio Cloud e i relativi client, i risultati previsti, il piano di ripristino (rollback) e l’approvazione documentata del personale autorizzato.
• Filippetti spa manterrà un inventario di tutti gli asset IT (Information Technology) usati per il funzionamento del Servizio Cloud. Filippetti spa monitorerà e gestirà continuamente lo stato, compresa la capacità, e la disponibilità del Servizio Cloud e dei componenti sottostanti.
• Ciascun Servizio Cloud sarà valutato separatamente per i requisiti di continuità operativa e di disaster recovery in base alle linee guida documentate per la gestione del rischio. Ciascun Servizio Cloud Filippetti spa sarà dotato, nella misura garantita da tale valutazione del rischio, di piani di continuità operativa e di disaster recovery definiti separatamente, documentati, manutenuti e convalidati ogni anno in conformità con le procedure standard di settore. Gli RPO (Recovery Point Objective) e gli RTO (Recovery Time Objective) per il Servizio Cloud, se forniti, saranno stabiliti tenendo presente la considerazione data all’architettura e all’uso previsto del Servizio Cloud e saranno descritti nel relativo Documento d’Ordine. I supporti fisici destinati allo storage esterno al sito, se presenti, quali ad esempio supporti che contengono file di backup del Servizio Cloud, saranno criptati prima del trasporto.
• Filippetti spa manterrà le misure progettate per valutare, testare e applicare le patch degli avvisi di sicurezza al Servizio Cloud e relativi sistemi, reti, applicazioni e componenti sottostanti associati inclusi nell’ambito del Servizio Cloud. Dopo aver stabilito che una patch degli avvisi di sicurezza è applicabile e appropriata, Filippetti spa implementerà la patch in base alla severità e alle linee guida documentate sulla valutazione del rischio. L’implementazione delle patch degli avvisi di sicurezza sarà soggetta alla politica di change management Filippetti spa.