Accordo sul trattamento dei dati

Feste

Il presente Accordo sul trattamento dei dati (“DPA” o “Accordo”) è stipulato tra:

Titolare del trattamento dei dati (“Titolare del trattamento” o “Cliente”)

Responsabile del trattamento dei dati (“Responsabile del trattamento” o “Xygeni”):

Il Titolare del trattamento e il Responsabile del trattamento sono di seguito indicati individualmente come "Parte" e collettivamente come "Parti".

Il presente DPA fa parte del Contratto quadro di servizi o dei Termini di servizio ("Accordo principale") tra le Parti che disciplinano la fornitura da parte di Xygeni della sicurezza delle sue applicazioni e software supply chain security servizi (i "Servizi"). In caso di conflitto tra il presente Accordo sul trattamento dei dati e l'Accordo principale, il presente Accordo sul trattamento dei dati prevarrà per quanto riguarda le questioni relative alla protezione dei dati.

1. Definizioni

Ai fini del presente DPA:

• "PIL è" si intende il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla tutela delle persone fisiche con riguardo al trattamento dei dati personali.
• “LOPDGDD” significa Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
• “Dati personali”, “Trattamento”, “Titolare del trattamento”, “Responsabile del trattamento”, “Sub-responsabile del trattamento”, “Interessato”, “Autorità di controllo”, “Violazione dei dati personali” avranno il significato loro attribuito dal GDPR.
• "Dati dei clienti" con tale termine si intendono tutti i Dati Personali inviati dal Titolare del trattamento o per suo conto ai Servizi, o trattati dal Responsabile del trattamento per conto del Titolare del trattamento in relazione ai Servizi.
• "Sub-responsabile" indica qualsiasi terza parte incaricata dal Responsabile del trattamento, previa autorizzazione del Titolare del trattamento (come descritto nella Clausola 7), di trattare i Dati del Cliente per conto del Titolare del trattamento.
• “SCC” significa che Standard Clausole contrattuali per il trasferimento di dati personali verso paesi terzi ai sensi del GDPR, come approvate dalla Commissione europea in fase di attuazionecisRegolamento (UE) 2021/914 del 4 giugno 2021.
• "Servizi" significa che application security posture management, software supply chain security, rilevamento delle vulnerabilità e servizi correlati forniti da Xygeni al Titolare del trattamento ai sensi del Contratto principale.
• “Legge applicabile sulla protezione dei dati” con il termine si intendono il GDPR, la LOPDGDD e qualsiasi altra legislazione nazionale applicabile in materia di protezione dei dati, come di volta in volta modificata.

2. Ruoli delle parti

Le Parti riconoscono e concordano quanto segue:

• Il Titolare del trattamento agisce in qualità di responsabile del trattamento dei Dati del Cliente ed è responsabile della determinazione delle finalità e delle modalità di trattamento dei Dati del Cliente forniti ai Servizi.
• Il Responsabile del trattamento agisce in qualità di responsabile dell'elaborazione dei dati relativi ai Dati del Cliente e tratta tali dati esclusivamente per conto del Titolare del trattamento e secondo le sue istruzioni documentate.
• Ciascuna Parte si impegna a rispettare i propri obblighi ai sensi della normativa applicabile in materia di protezione dei dati, nel suo ruolo di Titolare o Responsabile del trattamento.

Laddove Xygeni tratti dati personali per proprie finalità (ad esempio, gestione dell'account, fatturazione, analisi per il miglioramento del servizio), agisce in qualità di Titolare del trattamento indipendente. Tale trattamento è disciplinato dall'Informativa sulla privacy di Xygeni ed esula dall'ambito di applicazione del presente Accordo sul trattamento dei dati.

3. Oggetto, natura e finalità del trattamento

L'oggetto, la natura, la durata e lo scopo del trattamento, nonché le tipologie di dati personali trattati e le categorie di interessati, sono indicati nell'Allegato 1 (Dettagli del trattamento) del presente Accordo sul trattamento dei dati.

Il Responsabile del trattamento tratterà i Dati del Cliente solo nella misura necessaria a fornire i Servizi descritti nel Contratto Principale e in conformità con le istruzioni documentate del Titolare del trattamento, salvo che ciò sia richiesto dalla legge applicabile. In tal caso, il Responsabile del trattamento informerà il Titolare del trattamento di tale obbligo legale prima del trattamento, a meno che non sia vietato dalla legge per importanti motivi di interesse pubblico.

4. Istruzioni del controllore

Il Titolare del trattamento incarica il Responsabile del trattamento di elaborare i Dati del Cliente nella misura necessaria a: (a) fornire i Servizi in conformità con l'Accordo Principale; (b) rispettare le istruzioni del Titolare del trattamento comunicate per iscritto di volta in volta; e (c) adempiere agli obblighi del Responsabile del trattamento ai sensi del presente Accordo sul trattamento dei dati.

Il Responsabile del trattamento informerà tempestivamente il Titolare del trattamento qualora, a suo ragionevole giudizio, un'istruzione del Titolare del trattamento violi la Legge applicabile in materia di protezione dei dati. In tal caso, il Responsabile del trattamento avrà il diritto di interrompere il trattamento dei dati in conformità a tale istruzione fino a quando il Titolare del trattamento non l'abbia chiarita o modificata.

Il Titolare del trattamento garantisce e dichiara che: (a) ha una base giuridica valida ai sensi dell'art. 6 del GDPR (e, ove applicabile, dell'art. 9) per il trattamento dei Dati Personali pertinenti; (b) ha fornito tutte le comunicazioni richieste e ottenuto tutti i consensi necessari; e (c) il trasferimento dei Dati del Cliente al Responsabile del trattamento non viola alcuna legge applicabile.

5. Obblighi del responsabile del trattamento

5.1 Restrizioni al trattamento

Il Responsabile del trattamento tratterà i Dati del Cliente esclusivamente secondo le istruzioni documentate del Titolare del trattamento, salvo che ciò sia richiesto dalla legislazione applicabile dell'UE o degli Stati membri. Il Responsabile del trattamento non tratterà i Dati del Cliente per propri scopi né li divulgherà a terzi, salvo quanto necessario per la fornitura dei Servizi o come richiesto dalla legge.

5.2 Riservatezza

Il responsabile del trattamento deve garantire che le persone autorizzate al trattamento dei Dati del Cliente abbiano commitsi sono impegnati alla riservatezza o sono soggetti a un adeguato obbligo legale di riservatezza. L'accesso ai Dati del Cliente sarà limitato ai dipendenti, ai collaboratori e ai subappaltatori che necessitano di accedervi per la fornitura dei Servizi.

5.3 Misure di sicurezza

Il Responsabile del trattamento deve attuare e mantenere misure tecniche e organizzative adeguate per proteggere i Dati del Cliente da trattamenti non autorizzati o illeciti e da perdita, distruzione, danneggiamento, alterazione o divulgazione accidentali, tenendo conto di:

• lo stato dell'arte e i costi di implementazione;
• la natura, la portata, il contesto e le finalità del trattamento;
• i rischi per i diritti e le libertà delle persone fisiche, in particolare derivanti dalla distruzione, perdita, alterazione, divulgazione non autorizzata o accesso non autorizzato ai Dati del Cliente trasmessi, memorizzati o altrimenti trattati, in modo accidentale o illecito.

Tali misure dovranno includere, come minimo, quelle indicate nell'Allegato 2 (Misure di sicurezza tecniche e organizzative) del presente Accordo sul trattamento dei dati. La certificazione ISO 27001 del Responsabile del trattamento fornisce la prova di un sistema di gestione della sicurezza delle informazioni di base. Il Responsabile del trattamento dovrà mantenere la certificazione ISO 27001 o equivalente per tutta la durata del presente Accordo sul trattamento dei dati.

5.4 Diritti dell'interessato

Il responsabile del trattamento, tenendo conto della natura del trattamento, assiste il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, per adempiere all'obbligo del titolare del trattamento di rispondere alle richieste di eserciziocistutelando i diritti degli interessati ai sensi della normativa applicabile in materia di protezione dei dati (inclusi i diritti di accesso, rettifica, cancellazione, limitazione, portabilità e opposizione previsti dagli articoli 15-22 del GDPR).

Il Responsabile del trattamento deve: (a) notificare tempestivamente al Titolare del trattamento se riceve una richiesta da un Interessato in relazione ai Dati del Cliente; (b) non rispondere a tali richieste se non su istruzioni documentate del Titolare del trattamento o come richiesto dalla legge applicabile; e (c) fornire al Titolare del trattamento un'assistenza ragionevole per rispondere a tali richieste entro i termini di legge applicabili (30 giorni ai sensi dell'art. 12 del GDPR).

5.5 Assistenza nell'adempimento degli obblighi del Titolare del trattamento

Il Responsabile del trattamento assisterà il Titolare del trattamento nell'assicurare il rispetto degli obblighi previsti dagli articoli 32-36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile del trattamento, anche in relazione a:

• sicurezza del trattamento (art. 32);
• notifica delle violazioni dei dati personali all'autorità di controllo e comunicazione agli interessati (artt. 33-34);
• valutazioni d'impatto sulla protezione dei dati e consultazione preventiva (artt. 35-36).

5.6 Cancellazione o restituzione dei dati

Alla cessazione o alla scadenza del Contratto Principale, o su richiesta del Titolare del trattamento, il Responsabile del trattamento, a discrezione del Titolare del trattamento, cancellerà o restituirà al Titolare del trattamento tutti i Dati del Cliente in suo possesso e cancellerà le copie esistenti, a meno che la legge applicabile dell'UE o dello Stato membro non richieda la conservazione dei Dati Personali. Il Responsabile del trattamento confermerà per iscritto l'avvenuta cancellazione entro 30 giorni dal relativo evento scatenante.

Processore standard Il piano di conservazione dei dati (indicato nell'Allegato 1) si applica a meno che il Titolare del trattamento non richieda la cancellazione in precedenza.

5.7 Verifica e dimostrazione della conformità

Il responsabile del trattamento dovrà mettere a disposizione del titolare del trattamento tutte le informazioni necessarie a dimostrare la conformità agli obblighi stabiliti nel presente accordo sul trattamento dei dati e dovrà consentire e contribuire alle verifiche, comprese le ispezioni, condotte dal titolare del trattamento o da un revisore da questi incaricato.

Il responsabile del trattamento può adempiere a tale obbligo fornendo:

• una copia del suo attuale certificato ISO 27001 o del rapporto SOC 2 Tipo II (una volta ottenuto);
• compilazione del questionario di sicurezza del Controller (entro 10 giorni lavorativi dal ricevimento);
• Audit in loco ragionevoli, previo preavviso scritto di 30 giorni, a spese del Controller, non più di una volta all'anno solare (a meno che non vi sia un ragionevole sospetto di non conformità).

6. Notifica di violazione dei dati personali

Il Responsabile del trattamento deve notificare al Titolare del trattamento senza indebito ritardo e comunque entro 48 ore dal momento in cui viene a conoscenza di una violazione dei dati personali che riguarda i Dati del Cliente. Tale notifica deve includere, nella misura in cui siano disponibili al momento:

• una descrizione della natura della violazione dei dati personali, comprese le categorie e il numero approssimativo degli interessati coinvolti e le categorie e il numero approssimativo dei record di dati personali interessati;
• il nome e i recapiti del responsabile della protezione dei dati o di altro punto di contatto presso il quale è possibile ottenere maggiori informazioni;
• una descrizione delle probabili conseguenze della violazione dei dati personali;
• una descrizione delle misure adottate o che si intendono adottare per far fronte alla violazione dei dati personali, comprese, ove opportuno, le misure per mitigarne i possibili effetti negativi.

Qualora non sia possibile fornire tutte le informazioni di cui sopra simultaneamente, le informazioni possono essere fornite in fasi senza indebito ritardo. Il Responsabile del trattamento collaborerà con il Titolare del trattamento e adotterà tutte le misure ragionevoli che il Titolare del trattamento potrà richiedere per assistere nell'indagine, nella mitigazione e nella risoluzione della violazione.

Le Parti riconoscono che l'obbligo, ai sensi dell'articolo 33 del GDPR, di notificare all'autorità di controllo competente (Agencia Española de Protección de Datos - AEPD, o altra autorità competente) entro 72 ore dalla conoscenza di una violazione dei dati personali, incombe sul Titolare del trattamento in quanto titolare del trattamento. La notifica da parte del Responsabile del trattamento al Titolare del trattamento ai sensi della presente clausola ha lo scopo di consentire al Titolare del trattamento di adempiere a tale obbligo normativo. La notifica da parte del Responsabile del trattamento non costituisce ammissione di colpa o responsabilità.

7. Sottoprocessori

7.1 Autorizzazione generale

Il Titolare del trattamento concede al Responsabile del trattamento l'autorizzazione generale ad avvalersi di Sub-responsabili del trattamento, come indicato nell'Allegato 3 (Sub-responsabili del trattamento approvati) del presente Accordo sul trattamento dei dati. Il Responsabile del trattamento impone a ciascun Sub-responsabile del trattamento obblighi di protezione dei dati equivalenti a quelli stabiliti nel presente Accordo, in particolare fornendo garanzie sufficienti per l'attuazione di adeguate misure tecniche e organizzative.

7.2 Modifiche ai sottoprocessori

Il Responsabile del trattamento dovrà notificare al Titolare del trattamento qualsiasi modifica prevista relativa all'aggiunta o alla sostituzione dei Sub-responsabili del trattamento mediante: (a) l'aggiornamento dell'elenco dei Sub-responsabili del trattamento pubblicato all'indirizzo https://xygeni.io/legal/subprocessors con la data di "Ultimo aggiornamento" rivista; e (b) la comunicazione scritta al Titolare del trattamento almeno dieci (10) giorni prima che la modifica abbia effetto. Il Titolare del trattamento potrà opporsi alla modifica per motivi di protezione dei dati ragionevoli entro sette (7) giorni da tale notifica. Qualora il Titolare del trattamento si opponga e le Parti non riescano a risolvere l'obiezione, il Titolare del trattamento potrà risolvere il Contratto principale con un preavviso ragionevole senza penali.

Qualora il Responsabile del trattamento si avvalga di un Sub-responsabile del trattamento, il Responsabile del trattamento rimarrà pienamente responsabile nei confronti del Titolare del trattamento per l'adempimento degli obblighi di tale Sub-responsabile del trattamento nella misura in cui quest'ultimo non adempia ai propri obblighi in materia di protezione dei dati.

7.3 Requisiti di derivazione del sottoprocessore

Per ogni sottoprocessore, il processore deve:

• Effettuare un'adeguata due diligence prima di affidare l'incarico al subappaltatore;
• stipulare un accordo scritto sul trattamento dei dati che imponga obblighi di protezione dei dati non meno restrittivi di quelli previsti nel presente DPA;
• garantire che le misure di sicurezza del sub-responsabile del trattamento siano almeno equivalenti a quelle richieste ai sensi della clausola 5.3 e dell'allegato 2;
• includono obblighi di notifica delle violazioni che impongono al sub-responsabile del trattamento di notificare al responsabile del trattamento entro 24 ore dalla conoscenza di una violazione dei dati personali, per consentire al responsabile del trattamento di adempiere al proprio obbligo di notifica entro 48 ore al titolare del trattamento.

8. Trasferimenti internazionali

Il responsabile del trattamento non trasferirà i Dati del Cliente in un paese al di fuori dello Spazio economico europeo (SEE) a meno che:

• La Commissione europea ha adottato una politica di adeguatezzacisione per quel paese ai sensi dell'articolo 45 del GDPR; o
• sono state implementate garanzie adeguate in conformità all'articolo 46 del GDPR, tra cui, a titolo esemplificativo ma non esaustivo, le seguenti: Standard Clausole contrattuali adottate dalla Commissione europea in attuazione del DecisRegolamento (UE) 2021/914 del 4 giugno 2021 (“CPA”).

Laddove siano richiesti i SCC (Contratti Quadro di Riferimento), il Processore, su richiesta del Titolare del trattamento, dovrà sottoscrivere i SCC applicabili con il Titolare del trattamento e/o con il Sub-processore pertinente. Il modulo applicabile dei SCC sarà il Modulo Due (dal Titolare del trattamento al Processore) per i trasferimenti dal Titolare del trattamento al Processore e il Modulo Tre (dal Processore al Sub-processore) per i trasferimenti successivi dal Processore ai Sub-processori.

L'autorità di controllo competente ai fini delle Clausole Contrattuali Standard è l'Agenzia spagnola per la protezione dei dati (Agencia Española de Protección de Datos - AEPD), salvo diverso accordo scritto.

Il Responsabile del trattamento si impegna a conservare e a mettere a disposizione del Titolare del trattamento, su richiesta, un registro aggiornato di tutti i trasferimenti internazionali di Dati del Cliente e del relativo meccanismo di trasferimento.

9. Valutazioni di impatto sulla protezione dei dati

Qualora un'attività di trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche e il Titolare del trattamento sia tenuto a effettuare una Valutazione d'impatto sulla protezione dei dati (DPIA) ai sensi dell'articolo 35 del GDPR, il Responsabile del trattamento deve fornire al Titolare del trattamento l'assistenza e le informazioni ragionevoli necessarie per consentirgli di effettuare la DPIA. Il Responsabile del trattamento deve rispondere alle richieste ragionevoli del Titolare del trattamento relative alla DPIA entro 15 giorni lavorativi.

10. Registri delle attività di elaborazione

Il responsabile del trattamento deve tenere, su richiesta del titolare del trattamento, un registro delle attività di trattamento svolte per conto del titolare del trattamento conformemente all'articolo 30, paragrafo 2, del GDPR, che includa: il nome e i dati di contatto del responsabile del trattamento e di eventuali sub-responsabili del trattamento; le categorie di trattamento effettuate per conto del titolare del trattamento; i trasferimenti di dati personali verso un paese terzo; e una descrizione generale delle misure di sicurezza tecniche e organizzative.

11. Responsabilità

La responsabilità di ciascuna Parte nei confronti dell'altra ai sensi o in relazione al presente Accordo sul trattamento dei dati sarà soggetta alle limitazioni e alle esclusioni stabilite nell'Accordo principale. Qualora un Interessato abbia subito un danno a seguito di un trattamento che viola la Legge applicabile in materia di protezione dei dati, ciascuna Parte sarà responsabile per il danno causato dal proprio trattamento che viola il GDPR in conformità agli articoli 82-83 del GDPR. Nulla nella presente Clausola limita la responsabilità di ciascuna Parte nei confronti degli Interessati ai sensi della legge applicabile.

12. Termine e risoluzione

Il presente Accordo sulla protezione dei dati (DPA) entrerà in vigore alla data del Contratto principale (o alla data di sottoscrizione del presente DPA, se successiva) e rimarrà in vigore per tutta la durata del Contratto principale. La risoluzione del Contratto principale per qualsiasi motivo comporterà la risoluzione automatica del presente DPA.

A seguito della cessazione del contratto, gli obblighi del Responsabile del trattamento ai sensi della Clausola 5.6 (cancellazione o restituzione dei dati) rimarranno in vigore e il Responsabile del trattamento dovrà completare la cancellazione o la restituzione dei Dati del Cliente entro 30 giorni dalla cessazione. Anche le clausole relative alla riservatezza, alla responsabilità, alla legge applicabile e alla verifica contabile rimarranno in vigore anche dopo la cessazione del contratto.

13. Legge applicabile e foro competente

Il presente Accordo sul trattamento dei dati personali (DPA) sarà regolato e interpretato in conformità alle leggi della Spagna. Le Parti si sottopongono alla giurisdizione non esclusiva dei tribunali di Madrid per la risoluzione di qualsiasi controversia derivante da o connessa al presente DPA. Qualora una qualsiasi disposizione del presente DPA sia in conflitto con le Condizioni Generali di Contratto (SCC), prevarranno queste ultime.

14. Varie

Intero accordo: Il presente Accordo sul trattamento dei dati, unitamente ai relativi allegati e all'Accordo principale, costituisce l'intero accordo tra le Parti in relazione all'oggetto del presente documento e sostituisce tutti i precedenti accordi, intese o dichiarazioni relativi al trattamento dei dati.

Modifiche: Il presente Accordo sul trattamento dei dati personali può essere modificato solo mediante accordo scritto firmato da rappresentanti autorizzati di entrambe le Parti.

Separabilità: Qualora una qualsiasi disposizione del presente Accordo sul trattamento dei dati personali venga ritenuta invalida o inapplicabile, le restanti disposizioni rimarranno pienamente valide ed efficaci.

Precedenza: In caso di conflitto tra il presente Accordo sul trattamento dei dati (DPA) e gli Allegati, prevarrà il contenuto del DPA, salvo diversa indicazione esplicita negli Allegati stessi. In caso di conflitto tra il presente DPA e le Condizioni Generali di Contratto (SCC) (ove applicabili), prevarranno le SCC.

PROGRAMMA 1 — Dettagli di elaborazione

1. Argomento

L'oggetto del trattamento è la fornitura da parte di Xygeni di application security posture management, software supply chain security analisi, rilevamento delle vulnerabilità, CI/CD Servizi di monitoraggio della sicurezza e servizi correlati, come descritto nell'Accordo principale.

2. Natura del trattamento

Raccolta, organizzazione, strutturazione, conservazione, analisi, recupero, utilizzo, divulgazione mediante trasmissione, allineamento o combinazione, limitazione, cancellazione o distruzione dei Dati del Cliente.

3. Finalità del trattamento

Il trattamento dei dati del cliente viene effettuato al solo scopo di fornire i servizi al Titolare del trattamento, tra cui: rilevamento e segnalazione delle vulnerabilità di sicurezza; analisi del rischio della catena di fornitura del software; CI/CD pipeline security monitoraggio; rilevamento delle anomalie; e assistenza clienti.

4. Durata dell'elaborazione

Il Responsabile del trattamento elaborerà i Dati del Cliente per tutta la durata del Contratto principale. Alla cessazione del Contratto, il Responsabile del trattamento conserverà i Dati del Cliente per 3 mesi dalla data di fine dell'abbonamento prima di eliminarli, a meno che il Titolare del trattamento non richieda una cancellazione anticipata. I dati dell'account di prova vengono conservati per 1 mese dopo la scadenza del periodo di prova.

5. Tipi di dati personali

6. Categorie di Interessati

I soggetti interessati includono: dipendenti, appaltatori e altri utenti autorizzati del Titolare che accedono ai Servizi; contributori (sviluppatori, account bot, agenti di build) ai repository e pipelines monitorato dai Servizi; e rappresentanti e persone di contatto del Titolare del trattamento.

7. Dati di categoria speciale

I Servizi non sono progettati per trattare dati personali di categoria particolare come definiti dall'articolo 9 del GDPR. Il Titolare del trattamento garantisce che non invierà dati personali di categoria particolare ai Servizi senza previo accordo scritto con Xygeni e senza l'implementazione di adeguate garanzie aggiuntive.

ALLEGATO 2 — Misure di sicurezza tecniche e organizzative

Xygeni implementa le seguenti misure tecniche e organizzative per proteggere i Dati dei Clienti, in conformità con il sistema di gestione della sicurezza delle informazioni certificato ISO 27001 di Xygeni:

Controllo Accessi

• Controllo degli accessi basato sui ruoli (RBAC) applicato a tutti i sistemi che elaborano i dati dei clienti.
• L'autenticazione a più fattori (MFA) è obbligatoria per tutto il personale Xygeni che accede ai sistemi di produzione.
• Il principio del minimo privilegio si applica a tutti gli account utente; i diritti di accesso vengono rivisti trimestralmente.
• Autenticazione basata su chiave SSH per l'accesso al server di produzione; autenticazione tramite password disabilitata.

Crittografia dei dati

• I dati dei clienti vengono crittografati durante la trasmissione utilizzando TLS 1.2 o versioni successive.
• I dati dei clienti sono crittografati a riposo utilizzando AES-256 o equivalente.
• Chiavi di crittografia gestite tramite AWS Key Management Service (KMS).

Sicurezza di rete

• Sistemi di produzione ospitati all'interno di AWS Virtual Private Cloud (VPC) con segmentazione di rete.
• Firewall per applicazioni web (WAF) implementato per gli endpoint accessibili pubblicamente.
• Sono presenti sistemi di rilevamento e prevenzione delle intrusioni.
• Esecuzione regolare di scansioni di vulnerabilità e test di penetrazione a livello di infrastruttura e applicazioni.

Sicurezza fisica

• I dati dei clienti sono ospitati nei data center AWS con certificazioni SOC 2 Type II e ISO 27001.
• L'accesso fisico alle strutture del data center è limitato al personale AWS autorizzato e controllato tramite sistemi biometrici.

Disponibilità e resilienza

• Backup automatici giornalieri di tutti i dati dei clienti, conservati per un minimo di 7 giorni.
• L'integrità del backup viene verificata periodicamente.
• DisastProcedure di recupero post-emergenza documentate e testate annualmente.

Gestione degli incidenti

• Il piano di risposta agli incidenti di sicurezza viene aggiornato e testato annualmente.
• Gli eventi di sicurezza vengono monitorati e registrati; gli avvisi vengono esaminati dalla funzione operativa di sicurezza.
• Sono in vigore procedure di notifica delle violazioni dei dati personali per ottemperare all'obbligo di notifica entro 48 ore al Titolare del trattamento.

Personale

• Tutto il personale di Xygeni che ha accesso ai Dati dei Clienti è vincolato da obblighi di riservatezza.
• Ogni anno viene condotto un corso di formazione sulla sicurezza per tutto il personale.
• Vengono effettuati controlli sui precedenti del personale con accesso ai sistemi di produzione, nei limiti consentiti dalla legge applicabile.

Gestione conto terzi

• I subappaltatori vengono valutati in termini di conformità alla sicurezza prima di essere incaricati.
• Sono in vigore accordi sul trattamento dei dati con tutti i subappaltatori.

Certificazione

• Xygeni possiede la certificazione ISO 27001 (sistema di gestione della sicurezza delle informazioni).
• Xygeni sta perseguendo la certificazione SOC 2 Tipo II; il certificato verrà fornito al Controller al termine del processo.