Accordo di elaborazione degli ordini (DPA)

Versione; aprile 2023.
Soggetto a modifiche in qualsiasi momento.

Preambolo
Il presente Accordo sul trattamento dei dati (di seguito "DPA") specifica gli obblighi in materia di protezione dei dati derivanti dal rapporto contrattuale tra ASMIQ I/O AG (di seguito "Fornitore") e i suoi clienti (di seguito "Cliente"). Il rapporto contrattuale tra le parti si basa sulle Condizioni generali di contratto (di seguito "CG") e sull'Informativa sulla privacy (di seguito "DPA"), che costituiscono pertanto parte integrante della DPA. La DPA si applica a tutte le attività derivanti dal rapporto contrattuale tra le Parti in cui i dipendenti dell'Offerente o i terzi incaricati dall'Offerente trattano i dati personali (di seguito "Dati") del Cliente. Il Cliente può contattare il responsabile della protezione dei dati del Provider all'indirizzo datenschutz@old.asmiq.io per tutte le questioni relative alla protezione dei dati che potrebbero sorgere.

  1. Oggetto, durata e specifiche dell'elaborazione dell'ordine
    1.1 L'oggetto e la durata dell'ordine, nonché il tipo e lo scopo dell'elaborazione sono generalmente stabiliti nelle CGC, a meno che le seguenti disposizioni non contengano obblighi aggiuntivi.
    1.2 L'allegato A della LPD specifica l'oggetto, la natura e lo scopo del trattamento commissionato.
  2. Ambito di applicazione e responsabilità
    2.1 Il Provider tratta i dati personali per conto del Cliente. Ciò include le attività specificate nelle CG, nel DSE, nell'Allegato A delle CGU e nell'attuale descrizione del servizio sul sito web del Provider.
    2.2 Nell'ambito del rapporto contrattuale, il cliente è l'unico responsabile del rispetto delle disposizioni di legge in materia di protezione dei dati, in particolare della legittimità della trasmissione dei dati al fornitore e della legittimità del trattamento dei dati.
  3. Obblighi del fornitore
    3.1 Il Fornitore tratta i dati degli interessati solo nell'ambito del rapporto contrattuale, in conformità con le CG, il DSE e il presente DPA, a meno che non vi sia un'eccezione legalmente regolamentata.
    3.2 Il Fornitore progetterà l'organizzazione interna nella sua area di responsabilità in modo tale da soddisfare i requisiti speciali della protezione dei dati. Adotterà misure tecniche e organizzative per un'adeguata protezione dei dati del Cliente che soddisfino i requisiti legali pertinenti. In particolare, queste garantiscono la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi connessi al trattamento a lungo termine. Il Cliente è a conoscenza di tali misure tecniche e organizzative ed è responsabile di garantire che esse offrano un livello di protezione adeguato ai rischi dei dati da trattare.
    3.3 Le misure adottate dal Fornitore sono specificate nell'Allegato B. Le misure tecniche e organizzative sono soggette al progresso tecnico e all'ulteriore sviluppo. A questo proposito, il contraente è autorizzato a implementare in qualsiasi momento misure alternative adeguate. In tal modo, il livello di sicurezza concordato contrattualmente con la presente CGU non può essere compromesso.
    3.4 Se concordato, il Provider supporterà il Cliente, nell'ambito delle sue possibilità, nell'adempimento delle richieste e dei reclami degli interessati in materia di protezione dei dati e nel rispetto degli obblighi di protezione dei dati. In conformità alle CGC, il Fornitore è autorizzato a richiedere un risarcimento per le spese sostenute a tale riguardo.
    3.5 I dipendenti coinvolti nel trattamento dei dati del Cliente e altri terzi che lavorano per il Fornitore tratteranno i dati esclusivamente nell'ambito del rapporto contrattuale in conformità alle CG, al DSE e alla presente DPA e sono tenuti a mantenere la riservatezza.
    3.6 Se il Provider viene a conoscenza di una violazione della protezione dei dati personali, deve adottare misure ragionevoli per proteggere i dati e ridurre al minimo le possibili conseguenze negative per le persone interessate. Inoltre, il Provider dovrà rispettare pienamente le disposizioni di legge applicabili in materia di segnalazione delle violazioni dei dati.
    3.7 Il Fornitore rispetta pienamente le disposizioni applicabili in materia di protezione dei dati e verifica regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento.
    3.8 L'Offerente elaborerà e memorizzerà i dati personali per tutta la durata del rapporto contrattuale tra l'Offerente e il Cliente. L'Offerente dovrà rettificare o cancellare i dati contrattuali se il Cliente lo richiede e se ciò rientra nell'ambito delle istruzioni. Ciò non vale per i dati che sono necessari per un ulteriore trattamento a causa di norme legali o per scopi interni obbligatori. Il rilascio dei dati e il relativo compenso sono regolati nelle CGC.
  4. Obblighi del cliente
    4.1 Il Cliente è tenuto a informare immediatamente e integralmente il Fornitore per iscritto o tramite il centro di assistenza web (ticket system) qualora riscontri errori o irregolarità nei risultati dell'ordine in relazione alle norme sulla protezione dei dati.
    4.2 Il Cliente dovrà indicare al Fornitore la persona di contatto per le questioni relative alla protezione dei dati che si verificano nell'ambito del rapporto contrattuale, se questa persona è diversa da quella nominata.
    4.3 Il cliente dichiara di essere l'unico responsabile dell'informazione delle persone interessate dal trattamento dei dati in merito all'eventuale archiviazione e utilizzo dei dati,
    -Il Provider elaborerà e trasmetterà i dati in conformità con le disposizioni delle CG, del DSE e del presente DPA. Se i singoli interessati non sono d'accordo con il trattamento dei dati previsto, il cliente è tenuto a richiedere la cancellazione dei rispettivi dati tramite il centro di assistenza web (ticket system).
    4.4 Con l'accettazione delle CG e del DSE, il Cliente dichiara espressamente il proprio consenso alla trasmissione dei propri dati alla società madre e alle società affiliate del Provider. Il Cliente solleva il Provider da ogni possibile rivendicazione. L'ottenimento del consenso delle persone interessate è responsabilità del Cliente.
  5. Richieste da parte delle persone interessate
    5.1 Se un interessato contatta il Provider con richieste di rettifica, cancellazione o informazione, il Provider indirizzerà l'interessato al Cliente, a condizione che l'interessato possa essere assegnato al Cliente in base alle informazioni fornite dall'interessato. Il Provider inoltrerà la richiesta dell'interessato al Cliente entro un periodo di tempo ragionevole. Il Provider può sostenere il Cliente in caso di richieste di protezione dei dati da parte di un soggetto interessato nell'ambito delle sue possibilità. In questo caso, il Provider ha il diritto di chiedere un risarcimento per le spese. Il Provider non è responsabile se la richiesta dell'interessato non viene soddisfatta dal Cliente, non viene soddisfatta correttamente o non viene soddisfatta in modo tempestivo.
  6. Opzioni di verifica
    6.1 Il Fornitore dovrà fornire al Cliente la prova della conformità agli obblighi stabiliti nel presente Allegato con mezzi adeguati. Ciò avverrà sotto forma di un'autoverifica e/o di una certificazione ISO.
    6.2 Qualora in singoli casi si rendano necessarie ispezioni da parte del Cliente o di un revisore incaricato dal Cliente (ad esempio, a causa del GDPR), queste saranno effettuate durante il normale orario di lavoro senza interrompere le operazioni dopo la notifica, tenendo conto di un tempo di preavviso ragionevole. Il Fornitore può far dipendere tale operazione da una notifica preventiva con un ragionevole anticipo e dalla sottoscrizione di un accordo di riservatezza relativo ai dati di altri clienti e alle misure tecniche e organizzative in vigore. Se il revisore incaricato dal Cliente è in rapporto di concorrenza con il Provider, quest'ultimo può rifiutare il revisore e proporre una persona neutrale. Il Gestore può addebitare al Cliente i costi associati all'audit, in particolare se non vengono riscontrate irregolarità.
    6.3 Nel caso in cui un'autorità di vigilanza sulla protezione dei dati o un'altra autorità di vigilanza sovrana del cliente effettui un'ispezione, si applica di conseguenza il punto 6.2. Non è necessario firmare un accordo di riservatezza se tale autorità di vigilanza è soggetta a un obbligo di riservatezza professionale o legale la cui violazione è punibile ai sensi del Codice penale tedesco.
  7. Subappaltatori (altri trasformatori)
    7.1 Il Provider può incaricare dei subappaltatori per l'esecuzione del servizio contrattuale. L'incarico a subappaltatori come responsabili del trattamento da parte del Provider è consentito, a condizione che essi soddisfino i requisiti del presente DPA nell'ambito del contratto di subappalto. Il Provider stipulerà accordi con i subappaltatori nella misura necessaria a garantire adeguate misure di protezione dei dati e di sicurezza delle informazioni. I subappaltatori che non hanno accesso ai dati dei clienti o che non trattano i dati personali in qualità di incaricati del trattamento sono esclusi da questa sezione.
  8. Obbligo di informazione
    8.1 Qualora i dati del Cliente presso il Provider siano messi in pericolo da sequestri o confische, da procedure di insolvenza o di concordato o da altri eventi o misure di terzi, il Provider ne informerà immediatamente il Cliente. Il Provider informerà immediatamente tutte le persone responsabili in questo contesto che la sovranità e la proprietà dei dati spetta esclusivamente al Cliente.
  9. Responsabilità
    9.1 La responsabilità è disciplinata dalle corrispondenti disposizioni delle CGC.
  10. Varie
    10.1 Per tutti gli altri aspetti si applicano le disposizioni delle CG e del DSE. In caso di contraddizioni tra il DPA e le CG, prevalgono le disposizioni delle CG. L'eventuale invalidità di singole parti del DPA non pregiudica la validità delle CG e delle restanti disposizioni del DPA. Le appendici A e B sono parte integrante delle CGU.

ASMIQ I/O AG
Baslerstrasse 60
8048 Zurigo

Appendice A Oggetto, natura e finalità
Appendice B Misure tecniche e organizzative (TOM)

  1. Appendice A - Oggetto, natura e finalità
Oggetto dell'ordine:Trattamento dei dati personali del cliente nell'ambito dell'utilizzo dei servizi del fornitore come Software as a Service.
Natura e finalità del trattamento dei dati previsto:I dati personali elaborati dal cliente vengono trasferiti al fornitore nell'ambito dei servizi Software as a Service. Il fornitore elabora questi dati esclusivamente in conformità alle CG e alla descrizione del servizio corrispondente sul sito web del fornitore (gestione degli ordini, gestione dei contatti (CRM), contabilità, e-banking, contabilità dei salari, gestione del magazzino, gestione dei progetti, ecc.)
Tipo di dati personali:I tipi di dati dipendono dai dati trasmessi dal cliente. Si tratta in particolare di (a seconda dell'ordine):
Dati anagrafici (nome, data di nascita, indirizzo, datore di lavoro), compresi i dati di contatto (ad es. telefono, e-mail).
Dati del contratto, compresi i dati di fatturazione e di pagamento.
Storia dei dati del contratto
Categorie di soggetti interessati:Le categorie di interessati dipendono dai dati trasmessi dal cliente. Si tratta in particolare (a seconda dell'ordine) di:
● Dipendenti (compresi candidati ed ex dipendenti) del cliente
Clienti del cliente
Parti interessate del cliente
Fornitore di servizi del cliente
● Dati di contatto per le persone di riferimento
Cancellazione, blocco e correzione dei dati:Le richieste di cancellazione, blocco e correzione devono essere indirizzate al cliente; in caso contrario, si applicano le disposizioni delle CGC, del DSE e delle presenti CGU.


Appendice B - Misure tecniche e organizzative (TOM)

  1. Riservatezza
    1.1. Controllo degli accessi
    1.1.1 Misure fisiche
    - Pianificazione della costruzione secondo lo standard SIA

1.1.2 Misure tecniche
- Sistema di allarme antintrusione (se presente)
- Sistema di allarme antincendio
- Videosorveglianza spot
- Sistema di controllo degli accessi (elettronico)

1.1.3 Misure organizzative
- Ricezione
- Registrazione dei visitatori
- Selezione accurata del personale

1.2 Controllo degli accessi
1.2.1 Misure tecniche
- Utilizzo di firewall
- Software anti-malware
- Accesso con ID utente e password
- Accesso remoto tramite VPN e/o MFA (token hardware, app o SMS (mTAN))
- Cambio forzato della password secondo le specifiche IT
- Stampante con funzione di autenticazione (se del caso)

1.2.2 Misure organizzative
- Selezione della password predefinita

1.3 Controllo degli accessi / controllo degli ingressi
1.3.1 Misure tecniche
- Assegnazione di ogni conto a un'identità unica
- Distruzione fisica dei supporti di dati
- Cancellazione non reversibile dei supporti di dati

1.3.2 Misure organizzative
- Specifica della politica Clean Desk (se del caso)
- Specifiche per la distruzione di file e supporti di dati (se del caso)

1.4 Controllo della separazione
1.4.1 Misure tecniche
- Utilizzo di firewall
- Separazione degli ambienti di produzione, integrazione e test
- Separazione logica dei client (capacità multi-client)

1.4.2 Misure organizzative
- Concetti di autorizzazione (utenti/ amministratori/ superutenti)

  1. Integrità
    2.1 Controllo del trasferimento
    2.1.1 Misure tecniche
  • Utilizzo di VPN
  • Trasporto sicuro dei dati (SSL/TLS, SFTP (FTP su SSH))
  • Autenticazione WLAN

2.1.2 Misure organizzative

  • Documentazione dei destinatari dei dati e della durata del trasferimento previsto o dei periodi di cancellazione (web transfer "rumplet")
  • Selezione accurata del personale e dei veicoli
  • Accesso remoto predefinito/manutenzione remota
  1. Disponibilità (e resilienza)
    3.1 Controllo della disponibilità
    3.1.1 Misure tecniche
  • Centri dati ridondanti
  • Sistema UPS / gruppo elettrogeno diesel
  • Backup regolari completi e incrementali
  • Backup offline (archiviazione dei dati separata a livello locale)
  • Test di recupero regolari
  • Controlli di sicurezza regolari a livello di infrastruttura e di applicazione
  • Automazione degli edifici: monitoraggio delle sale server (temperatura, umidità, fumo)
  • Protezione contro le sovratensioni
  • Sala server protetta da allarme (allarme in caso di accesso non autorizzato/porta aperta)

3.1.2 Misure organizzative

  • Processo di sicurezza per software e applicazioni IT
  • Processo completo di backup e ripristino (online/offline; on-site/off-site)
  • Piano di emergenza (tecnico, organizzativo)
  • Processi standard per i cambiamenti e le partenze dei dipendenti
  1. Procedure per la revisione, la valutazione e l'analisi periodica
    4.1 Gestione della protezione dei dati
    Nel fornire servizi ai propri clienti, ASMIQ attribuisce grande importanza al trattamento responsabile e legalmente conforme dei dati personali. ASMIQ garantisce che i dati siano trattati con grande attenzione e in conformità alle disposizioni legali in materia di protezione dei dati.

4.1.1 Misure tecniche

  • Documentazione sulla protezione dei dati per i dipendenti (intranet)
  • Revisione periodica dell'efficacia delle misure tecniche di protezione
  • Gestione della protezione dei dati con soluzioni di strumenti di supporto (gestione delle interfacce, directory di elaborazione, ecc.)

4.1.2 Misure organizzative

  • Nomina del/i responsabile/i della protezione dei dati
  • Obbligo di riservatezza dei dipendenti
  • Garanzia degli obblighi di informazione
  • Processo di gestione delle richieste di informazioni e degli altri diritti degli interessati

4.2 Gestione della risposta agli incidenti
4.2.1 Misure tecniche Prerequisito:

  • Toolkit di risposta agli incidenti
  • Servizi anti-phishing
  • Protezione DDoS

4.2.2 Misure organizzative

  • Processo di segnalazione delle violazioni dei dati
  • Coinvolgimento dei responsabili della protezione dei dati negli incidenti di sicurezza e nelle violazioni dei dati.
  • Coinvolgimento dei responsabili della sicurezza delle informazioni negli incidenti di sicurezza e nelle violazioni di dati
  • Definizione del ruolo delle operazioni nella gestione delle crisi

4.3 Privacy e sicurezza nella progettazione
4.3.1 Misure tecniche

  • Applicazione di diversi strumenti di sicurezza nel contesto dello sviluppo del software
  • Controlli di sicurezza per il software sviluppato internamente

4.3.2 Misure organizzative

  • Raccomandazioni di misure tecniche per lo sviluppo sicuro del software
  • Impiego di campioni di sicurezza (dipendenti esperti di sicurezza con una conoscenza approfondita della sicurezza delle informazioni e/o della protezione dei dati)
  • Opportunità di formazione continua nello sviluppo di software
  1. Programma di gestione della sicurezza dei fornitori
    ASMIQ attribuisce grande importanza alla collaborazione sicura con i suoi fornitori di servizi, perché vuole contribuire alla fiducia digitale e rafforzare la fiducia dei clienti nei suoi prodotti. ASMIQ considera il contatto fiduciario e personale con i fornitori di servizi altamente critici come la chiave per una collaborazione sicura e resiliente in un ecosistema digitale sempre più carico di rischi. ASMIQ considera le relazioni, le valutazioni e gli scambi professionali con i fornitori di servizi come un valore aggiunto a favore dei suoi fornitori di servizi. ASMIQ ritiene che ciò contribuisca a ottimizzare la sicurezza digitale nell'interesse di tutti i clienti.
  2. Sviluppo di software
    ASMIQ basa il proprio sviluppo software sulle best practice internazionali e ha stabilito una configurazione minima di sicurezza per ogni progetto. A seconda della criticità dei servizi o dei prodotti gestiti, vengono effettuati ulteriori test di sicurezza completi in base al rischio.

ASMIQ utilizza i seguenti metodi per lo sviluppo sicuro del software:

  • Revisione sicura del codice con l'obiettivo di identificare errori, difetti e incompatibilità con i requisiti o le vulnerabilità di sicurezza, nonché di migliorare la gestione delle conoscenze.
  • Static Application Security Testing (SAST) per il controllo del codice sorgente, dei file binari e del bytecode con copertura della maggior parte dei linguaggi di programmazione (strumento white box).
  • Dynamic Application Security Testing Tool (DAST) per il riconoscimento delle condizioni che indicano vulnerabilità di sicurezza in un'applicazione in esecuzione con test approfonditi per le vulnerabilità di input e output (strumento black box)
  • Interactive Application Security Testing Tool (IAST) come agente per testare il flusso di dati per l'accesso al codice statico.
  • Software Composition Analysis (SCA) per l'analisi della composizione del software open source, comprese le dipendenze transitive e la gestione delle licenze (FOSS)

Per lo sviluppo del software ASMIQ utilizza, tra gli altri, i seguenti strumenti:

  • Git/Bitbucket (revisione del codice)
  • Sonar (SAST)
  • Fortificare (SAST)
  • Cercatore (IAST)
  • XRay (SCA)
Scorri in alto