Accordo per l’elaborazione dei dati
Accordo sul trattamento dei dati personali per conto di un responsabile del trattamento ai sensi dell’art. 28 GDPR tra il cliente (di seguito “Cliente”) e CA GmbH, Ullsteinstr. 28 GDPR tra il cliente (di seguito denominato “Cliente“) e CA Customer Alliance GmbH, Ullsteinstr. 130, 12109 Berlino, Germania (di seguito “Fornitore“).
Contenuto della pagina:
- 1. Oggetto dell'accordo
- 2. Ambito di applicazione della commissione
- 3. Diritto del Cliente di impartire istruzioni
- 4. Responsabilità legale del Cliente
- 5. Requisiti del personale
- 6. Sicurezza del trattamento
- 7. Coinvolgimento di altri processori
- 8. Diritti degli interessati
- 9. Obblighi di notifica e assistenza del Fornitore
- 10. Cancellazione dei dati del cliente
- 11. Prove e audit
- 12. Durata e risoluzione del contratto
- 13. Responsabilità
- 14. Disposizioni finali
- Allegato 1 - Finalità, tipo e portata del trattamento dei Dati del Cliente, tipologie di dati personali e categorie di soggetti interessati
- Allegato 2 - Misure tecniche e organizzative
- Allegato 3 - Ulteriore processore
1. Oggetto dell’accordo
Nel corso della prestazione dei servizi previsti dall’accordo di servizio (di seguito denominato “Accordo principale”).Contratto principale“), è necessario che il Fornitore tratti i dati personali per i quali il Cliente agisce in qualità di responsabile del trattamento ai sensi della legge sulla protezione dei dati (di seguito “Dati del Cliente”).Dati del Cliente“). Il presente accordo specifica gli obblighi e i diritti delle parti in materia di protezione dei dati in relazione all’utilizzo da parte del Fornitore dei Dati del Cliente per la fornitura dei servizi previsti dal Contratto Principale.
2. Ambito di applicazione della commissione
2.1 Il Fornitore tratterà i Dati del Cliente per conto e secondo le istruzioni del Cliente ai sensi dell’art. 28 GDPR (Trattamento per conto). 28 GDPR (Trattamento per conto). Il Cliente rimane il responsabile del trattamento in termini di legge sulla protezione dei dati.
2.2 Il trattamento dei Dati del Cliente da parte del Fornitore avviene secondo le modalità e l’ambito di applicazione e per le finalità indicate nell’Allegato. Allegato 1 al presente contratto; il trattamento riguarda i tipi di dati personali e le categorie di soggetti ivi specificati. La durata del trattamento corrisponde alla durata del Contratto Principale.
2.3 Il trattamento dei Dati del Cliente da parte del Fornitore avverrà in linea di principio all’interno dell’Unione Europea o di un altro Stato contraente dello Spazio Economico Europeo (SEE). Il Fornitore è tuttavia autorizzato a trattare i Dati del Cliente in conformità alle disposizioni del presente accordo al di fuori del SEE se informa preventivamente il Cliente sul luogo di trattamento dei dati e se sono soddisfatti i requisiti di cui agli Artt. 44-48 GDPR o se si applica un’eccezione ai sensi dell’Art. 49 GDPR.
3. Diritto del Cliente di impartire istruzioni
3.1 Il Fornitore tratta i Dati del Cliente in conformità alle istruzioni del Cliente, a meno che il Fornitore non sia obbligato per legge a fare diversamente. In quest’ultimo caso, il Fornitore informerà il Cliente di tale obbligo legale prima del trattamento, a meno che tale legge non vieti tale informazione per importanti motivi di interesse pubblico.
3.2 Le istruzioni del Cliente sono, in linea di principio, definitivamente stipulate e documentate nelle disposizioni del presente contratto. Le istruzioni individuali che si discostano dalle disposizioni del presente contratto o che impongono requisiti aggiuntivi richiedono un accordo reciproco e devono essere redatte per iscritto.
3.3 Il Fornitore garantirà che i Dati del Cliente siano trattati in conformità alle istruzioni impartite dal Cliente. Se il Fornitore ritiene che un’istruzione impartita dal Cliente violi il presente contratto o la legge applicabile in materia di protezione dei dati, dopo averne informato il Cliente ha il diritto di sospendere l’esecuzione dell’istruzione fino alla sua conferma da parte del Cliente.
4. Responsabilità legale del Cliente
4.1 Il Cliente è l’unico responsabile della liceità del trattamento dei Dati del Cliente e della salvaguardia dei diritti degli interessati nel rapporto tra le parti.
4.2 Il Cliente è tenuto a fornire al Fornitore i Dati del Cliente in tempo utile per la prestazione dei servizi previsti dal Contratto Principale ed è responsabile della qualità dei Dati del Cliente. Il Cliente dovrà informare immediatamente e in modo completo il Fornitore qualora, durante l’esame dei risultati del Fornitore, riscontri errori o irregolarità in relazione alle disposizioni sulla protezione dei dati o alle sue istruzioni.
4.3 Se il Fornitore è tenuto a fornire informazioni a un ente o a una persona governativa sul trattamento dei Dati del Cliente o a collaborare con tali enti in qualsiasi altro modo, il Cliente è tenuto, alla prima richiesta, ad assistere il Fornitore nel fornire tali informazioni e nell’adempiere ad altri obblighi di cooperazione.
5. Requisiti del personale
Il Fornitore si impegna a garantire la riservatezza di tutte le persone impegnate nel trattamento dei Dati del Cliente.
6. Sicurezza del trattamento
6.1 Il Fornitore adotta, ai sensi dell’Art. 32 GDPR le misure tecniche e organizzative necessarie e adeguate, tenendo conto dello stato dell’arte, dei costi di attuazione e della natura, dell’ambito, delle circostanze e delle finalità dei Dati del Cliente, nonché della diversa probabilità e gravità del rischio per i diritti e le libertà degli interessati, al fine di garantire un livello di protezione dei Dati del Cliente adeguato al rischio. Le misure attuali sono riportate nel Allegato 2.
6.2 Il Fornitore avrà il diritto di modificare le misure tecniche e organizzative durante la durata del contratto, purché continuino a essere conformi ai requisiti di legge.
7. Coinvolgimento di altri processori
7.1 Il Cliente concede al Fornitore l’autorizzazione generale ad incaricare ulteriori responsabili del trattamento dei Dati del Cliente. Gli ulteriori responsabili del trattamento consultati al momento della conclusione del contratto risultano da Allegato 3. In generale, non è richiesta alcuna autorizzazione per i rapporti contrattuali con i fornitori di servizi che riguardano l’esame o la manutenzione delle procedure o dei sistemi di elaborazione dei dati da parte di terzi o che comportano altri servizi aggiuntivi, anche se non è possibile escludere l’accesso ai Dati del Cliente, a condizione che il Fornitore adotti misure ragionevoli per proteggere la riservatezza dei Dati del Cliente.
7.2 Il Fornitore comunicherà al Cliente qualsiasi modifica prevista in relazione alla consultazione o alla sostituzione di ulteriori incaricati del trattamento. In singoli casi, il Cliente ha il diritto di opporsi all’assunzione di un potenziale ulteriore incaricato del trattamento. L’obiezione può essere sollevata dal Cliente solo per motivi importanti che devono essere dimostrati al Fornitore. Se il Cliente non si oppone entro 14 giorni dal ricevimento della notifica, il suo diritto di opporsi all’incarico corrispondente decade. Se il Cliente si oppone, il Fornitore ha il diritto di risolvere il Contratto Principale e il presente contratto con un preavviso di tre (3) mesi.
7.3 L’accordo tra il Fornitore e l’ulteriore incaricato del trattamento deve imporre a quest’ultimo gli stessi obblighi che gravano sul Fornitore ai sensi del presente accordo. Le parti convengono che tale requisito è soddisfatto se il contratto ha un livello di protezione corrispondente al presente accordo, rispettivamente se gli obblighi previsti dall’art. 28, comma 1, lettera a), del presente accordo sono soddisfatti. 28 para. 3 del GDPR sono imposti all’ulteriore incaricato del trattamento.
8. Diritti degli interessati
8.1 Il Fornitore supporterà il Cliente, nei limiti del ragionevole, in virtù di misure tecniche e organizzative, nell’adempimento dell’obbligo di quest’ultimo di rispondere alle richieste di esercizio dei diritti degli interessati.
8.2 Qualora l’interessato presenti una richiesta di esercizio dei propri diritti direttamente al Fornitore, quest’ultimo la inoltrerà tempestivamente al Cliente.
8.3 Il Fornitore informerà il Cliente di tutte le informazioni relative ai Dati del Cliente memorizzati, dei destinatari dei Dati del Cliente a cui il Fornitore li divulgherà in conformità alle istruzioni e dello scopo della memorizzazione, nella misura in cui il Cliente non disponga di tali informazioni e non sia in grado di raccoglierle autonomamente.
8.4 Il Fornitore, nei limiti di quanto ragionevole e necessario, consentirà al Cliente di correggere, cancellare o limitare l’ulteriore trattamento dei Dati del Cliente, o su istruzione del Cliente stesso correggere, bloccare o limitare l’ulteriore trattamento, se e nella misura in cui ciò sia impossibile per il Cliente.
9. Obblighi di notifica e assistenza del Fornitore
9.1 Qualora il Cliente sia soggetto a un obbligo di notifica previsto dalla legge a causa di una violazione della sicurezza dei Dati del Cliente (in particolare ai sensi degli artt. 33 e 34 del GDPR), il Fornitore informerà il Cliente in modo tempestivo di qualsiasi evento segnalabile nella sua area di responsabilità. Il Fornitore assisterà il Cliente nell’adempimento degli obblighi di notifica su richiesta di quest’ultimo nella misura ragionevole e necessaria.
9.2 Il Fornitore assisterà il Cliente, nella misura ragionevole e necessaria, nelle valutazioni d’impatto sulla protezione dei dati che il Cliente dovrà effettuare e, se necessario, nelle successive consultazioni con l’autorità di controllo ai sensi degli Artt. 35, 36 GDPR.
10. Cancellazione dei dati del cliente
10.1 Il Fornitore cancellerà i Dati del Cliente al termine del presente contratto, a meno che il Fornitore non sia obbligato per legge a conservare ulteriormente i Dati del Cliente.
10.2 Il Fornitore potrà conservare la documentazione che serve a dimostrare l’ordinato e accurato trattamento dei Dati del Cliente anche dopo la cessazione del contratto.
11. Prove e audit
11.1 Il Fornitore fornirà al Cliente, su richiesta di quest’ultimo, tutte le informazioni necessarie e disponibili al Fornitore per dimostrare l’adempimento degli obblighi previsti dal presente contratto.
11.2 Il Cliente avrà il diritto di controllare il Fornitore per quanto riguarda il rispetto delle disposizioni del presente contratto, in particolare l’attuazione delle misure tecniche e organizzative, comprese le ispezioni.
11.3 Al fine di effettuare ispezioni ai sensi della Sezione 11.2, l’Acquirente ha il diritto di accedere ai locali aziendali del Fornitore in cui vengono elaborati i Dati dell’Acquirente entro il consueto orario di lavoro (dal lunedì al venerdì dalle ore 10.00 alle ore 18.00) previa tempestiva notifica anticipata ai sensi della Sezione 11.5. a proprie spese, senza interrompere il corso degli affari e nel rispetto della stretta segretezza degli affari e dei segreti commerciali del Fornitore.
11.4 Il Fornitore ha il diritto, a propria discrezione e tenendo conto degli obblighi legali del Cliente, di non divulgare informazioni sensibili in relazione all’attività del Fornitore o se il Fornitore violerebbe le disposizioni di legge o altre disposizioni contrattuali a seguito della loro divulgazione. Il Cliente non ha il diritto di accedere a dati o informazioni sugli altri clienti del Fornitore, a informazioni sui costi, a rapporti sul controllo di qualità e sulla gestione dei contratti o a qualsiasi altro dato riservato del Fornitore che non sia direttamente rilevante ai fini della revisione concordata.
11.5 Il Cliente informerà il Fornitore in tempo utile (di solito con almeno due settimane di anticipo) di tutte le circostanze relative all’esecuzione dell’audit. Il Cliente può effettuare un audit per anno solare. Ulteriori audit vengono effettuati dietro rimborso dei costi e previa consultazione con il Fornitore.
11.6 Se il Cliente incarica una terza parte di effettuare l’audit, il Cliente dovrà obbligare la terza parte per iscritto nello stesso modo in cui è obbligato nei confronti del Fornitore ai sensi della presente Sezione 11 del presente contratto. Inoltre, il Cliente obbligherà il terzo a mantenere la segretezza e la riservatezza, a meno che il terzo non sia soggetto a un obbligo professionale di segretezza.
11.7 A discrezione del Fornitore, la prova dell’adempimento degli obblighi previsti dal presente contratto può essere fornita, invece che con un’ispezione, con la presentazione di un parere o di una relazione appropriata e attuale di un’autorità indipendente (ad esempio, revisore dei conti, dipartimento di audit, responsabile della protezione dei dati, dipartimento di sicurezza informatica, revisori della protezione dei dati o revisori della qualità) o di un’adeguata certificazione della sicurezza informatica o della protezione dei dati – ad esempio, secondo la “BSI-Grundschutz” – (“relazione di audit”), se la relazione di audit consente al Cliente di convincersi in modo adeguato dell’adempimento degli obblighi contrattuali.
12. Durata e risoluzione del contratto
La durata e la risoluzione del presente accordo saranno disciplinate dalle disposizioni in materia di durata e risoluzione dell’Accordo principale. La risoluzione del Contratto principale comporta automaticamente la cancellazione del presente contratto. È esclusa la risoluzione isolata del presente contratto.
13. Responsabilità
13.1 La responsabilità del Fornitore ai sensi del presente contratto sarà disciplinata dalle limitazioni di responsabilità previste dal Contratto Principale. Nel caso in cui terzi facciano valere pretese nei confronti del Fornitore causate dalla violazione colposa del presente contratto da parte dell’Acquirente o di uno dei suoi obblighi in qualità di responsabile del trattamento in termini di legge sulla protezione dei dati che lo riguardano, l’Acquirente, a prima richiesta, dovrà indennizzare e tenere indenne il Fornitore da tali pretese.
13.2 Il Cliente si impegna a tenere indenne il Fornitore, a prima richiesta, da tutte le eventuali multe imposte al Fornitore corrispondenti alla parte di responsabilità del Cliente per la violazione sanzionata dalla multa.
14. Disposizioni finali
14.1 Le controversie derivanti dal presente contratto saranno disciplinate dalla legge tedesca. Il luogo di esecuzione e la giurisdizione saranno la sede legale del Contraente. In caso di contraddizioni tra le due versioni linguistiche, prevarrà la versione tedesca.
14.2 Nel caso in cui singole disposizioni del presente contratto siano inefficaci o diventino inefficaci o contengano una lacuna, le restanti disposizioni rimarranno inalterate. Le parti si impegnano a sostituire la disposizione inefficace con una disposizione legalmente consentita che si avvicini maggiormente allo scopo della disposizione inefficace e che quindi soddisfi i requisiti dell’Art. 28 GDPR. 28 GDPR.
14.3 In caso di conflitti tra il presente accordo e altri accordi tra le parti, in particolare l’Accordo principale, prevarranno le disposizioni del presente accordo.
Allegato:
Allegato 1: Finalità, tipo e portata del trattamento dei Dati del Cliente, tipi di dati personali e categorie di soggetti interessati
Allegato 2: Misure tecniche e organizzative
Allegato 3: Ulteriori processori
Allegato 1 – Finalità, tipo e portata del trattamento dei Dati del Cliente, tipologie di dati personali e categorie di soggetti interessati
1. Finalità del trattamento dei dati
Il Fornitore invia messaggi ai clienti finali del Cliente e per conto di quest’ultimo prima e durante la fornitura del servizio per ottenere un feedback, migliorare, standardizzare e automatizzare la comunicazione tra il Cliente e i suoi clienti finali. I risultati vengono elaborati e valutati per conto del Cliente. Inoltre, per rappresentare appieno la voce del cliente finale, vengono utilizzate valutazioni derivanti da feedback indiretti e derivati, come informazioni provenienti da fonti interne e/o pubbliche. Il Fornitore aggrega e quindi anonimizza i dati del Cliente raccolti attraverso la piattaforma al fine di offrire al Cliente servizi aggiuntivi quali funzioni di reporting, benchmarking e monitoraggio dei KPI relativi ai feedback forniti dai clienti finali del Cliente.
2. Tipi di dati personali
a) dati anagrafici (ad esempio, nome, sesso, lingua);
b) dati di contatto (ad esempio, indirizzo e-mail, indirizzo, numero di telefono);
c) dati di comunicazione (ad esempio, corrispondenza e-mail);
d) dati contrattuali (ad esempio, durata del contratto, informazioni sulla fornitura del servizio, come il fatturato o i costi);
e) se applicabile, dati di segmentazione individuale esistenti del Cliente per i suoi clienti finali, come ad esempio le modalità di conclusione del contratto (internet, telefono, ecc.), il paese di origine, la categoria del servizio o la fascia di età; f) valutazione del Cliente da parte del cliente finale (recensione del cliente); g) analisi della soddisfazione (ad esempio, valutazioni di testo, argomento ed espressione).), paese d’origine, categoria di servizio o fascia d’età;
f) valutazione del Cliente da parte del cliente finale (recensione del cliente);
g) analisi del grado di soddisfazione (ad esempio, valutazioni di testi, argomenti ed espressioni).
3. Categorie di soggetti interessati
a) il personale del Cliente;
b) i clienti finali del Cliente;
c) il Fornitore del Cliente.
Allegato 2 – Misure tecniche e organizzative
Per proteggere i dati personali sono state adottate le seguenti misure tecniche e organizzative:
1. Controllo dell’ingresso
Alle persone non autorizzate deve essere negato l’accesso alle apparecchiature di elaborazione dati con cui vengono elaborati e utilizzati i dati personali.
Garantito da:
a) Definizione delle aree di sicurezza e delle persone autorizzate
b) Sicurezza delle stanze (chiavi, tapparelle, ecc.)
c) Registro delle presenze
d) Sicurezza esterna dell’edificio (recinzioni, porte/finestre di sicurezza)
e) Cura nella selezione delle guardie di sicurezza
f) Cura nella selezione dei servizi di pulizia
g) Gestione delle chiavi / documentazione dell’assegnazione delle chiavi i) Sistema di controllo automatico degli accessi j) Chip card / sistemi transponder k) Sistema di chiusura manuale l) Lucchetti di sicurezza Videosorveglianza degli ingressi
h) Gestione delle chiavi / documentazione dell’assegnazione delle chiavi
i) Sistema automatico di controllo degli accessi
j) Chip card / sistemi transponder
k) Sistema di chiusura manuale
l) Serrature di sicurezza
m) Porte con pomello (esterne)
2. Controllo degli accessi (esterno)
Bisogna evitare che i sistemi di elaborazione dati possano essere utilizzati da persone non autorizzate.
Garantito da:
a) Blocco della postazione dati
b) Accesso con nome utente e password e specifiche per cambiarli
c) Crittografia delle password
d) Software antivirus server
e) Software antivirus client
f) Firewall
g) Gestione dei dispositivi mobili h) Utilizzo di tunnel VPN per l’accesso remoto j) Crittografia di notebook e tablet k) Gestione dei permessi per gli utenti. Gestione dei dispositivi mobili
h) Utilizzo di tunnel VPN per l’accesso remoto
i) Blocco delle interfacce esterne (USB)
j) Crittografia di notebook/tablet
k) Gestione dei permessi degli utenti
l) Creazione di profili utente
m) Assegnazione centralizzata delle password
n) Criteri di sicurezza delle password
o) Criteri di cancellazione/distruzione
p) Criteri di protezione e sicurezza dei dati
3. Controllo degli accessi (interno)
Occorre garantire che le persone autorizzate a utilizzare un sistema di elaborazione dati possano accedere solo ai dati soggetti alla loro autorizzazione di accesso e che i dati personali non possano essere letti, copiati, modificati o rimossi senza autorizzazione durante l’elaborazione, l’utilizzo e dopo la conservazione.
Garantito da:
a) Gestione dei diritti graduata specifica per l’utente
b) Gestione dei diritti dell’utente da parte degli amministratori
c) Numero minimo di amministratori
d) Documentazione della gestione dei diritti
e) Oscuramento dello schermo durante l’interruzione del lavoro
f) Aggiornamenti regolari della sicurezza
g) Distruggidocumenti (min. livello 3, taglio trasversale)
h) Registrazione degli accessi alle applicazioni, in particolare durante l’inserimento, la modifica e la cancellazione dei dati
4. Controllo della separazione
Assicurati che i dati raccolti per scopi diversi possano essere trattati separatamente.
Garantito da:
a) Sistemi software separati
b) Database e archivi separati
c) Controllo attraverso il concetto di autorizzazione
d) Separazione attraverso i regolamenti di accesso
e) Impostazione dei diritti dei database
5. Controllo del trasferimento
Deve essere garantito che i dati personali non possano essere letti, copiati, alterati o rimossi senza autorizzazione durante la trasmissione elettronica o durante il trasporto o l’archiviazione su supporti di dati, e che sia possibile controllare e stabilire in quali punti è prevista una trasmissione di dati personali da parte delle apparecchiature di trasmissione dati.
Garantito da:
a) Determinazione dei poteri per il trattamento dei dati
b) Determinazione dei soggetti autorizzati a trasmettere, dei destinatari della trasmissione e dei percorsi di trasmissione
c) Sicurezza del trasporto dei supporti di dati
d) W-LAN protetta
e) Regolamenti sulla distruzione dei supporti di dati
f) Crittografia
6. Controllo degli ingressi
Bisogna assicurarsi che sia possibile controllare e stabilire a posteriori se e da chi i dati personali sono stati inseriti nei sistemi di elaborazione dati, modificati o rimossi.
Garantito da:
a) Gestione degli accessi in lettura/scrittura
b) Registrazione degli accessi in lettura/scrittura e delle chiamate al programma
c) Marcatura dei documenti di inserimento dati con nome e data dopo l’inserimento
d) Disposizioni sulla modifica dei diritti di accesso e sulla responsabilità dei dati
e) Responsabilità rigorose per le cancellazioni
7. Controllo della disponibilità
Si dovrà fare attenzione a garantire che i dati personali siano protetti contro la distruzione o la perdita accidentale.
Garantito da:
a) Creazione di copie di backup periodiche
b) Protezione UPS in caso di interruzione di corrente
c) Protezione da virus/firewall
d) Piano di emergenza
e) Piano di ripristino
f) Protezione DDoS permanentemente attiva
8. Controllo dell’elaborazione degli ordini
È necessario garantire che i dati personali elaborati per conto del cliente possano essere trattati solo in conformità alle istruzioni del cliente stesso.
Garantito da:
a) Determinazione dei diritti e degli obblighi dell’appaltatore
b) Contratto per l’elaborazione dei dati commissionata
c) Formazione di tutti i dipendenti con diritti di accesso
d) Audit periodici sulla protezione dei dati
e) Accordo sui diritti di controllo e revisione
Allegato 3 – Ulteriore processore
| Azienda, indirizzo | Servizio / Tipo di trattamento | Copertura legale | Misure per un livello di protezione comparabile (solo nei paesi terzi) |
|---|---|---|---|
| ALL-INKL.COM - Neue Medien Münnich, Hauptstraße 68, 02742 Friedersdorf Germania | Hosting web | Accordo per l'elaborazione dei dati | / |
| CHARGEBEE INC., 340 S. Lemon Avenue, Suite #1537, Walnut, CA 91789 USA | Fatturazione | Clausola contrattuale standard e valutazione individuale per un livello di protezione paragonabile a quello standard all'interno dell'UE. | Certificazioni e audit di terze parti; certificato ISO 27001; standard SOC 1/SOC 2 e MFA; politiche di sicurezza a livello di rete, applicazioni e operazioni; configurazione della sicurezza AWS - certificazioni multiple per i data center, tra cui la conformità ISO 27001, la certificazione PCI e i rapporti SOC. |
| Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043 USA | Google Workspace Google Analytics | Clausola contrattuale standard e valutazione individuale per un livello di protezione paragonabile a quello standard all'interno dell'UE. | Certificati ISO (ISO 27001, 27017, 27018); Linee guida sulla protezione dei dati; Centro di conformità e rapporti |
| Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen Germania | Hosting | Accordo per l'elaborazione dei dati | / |
| HubSpot, Inc., 25 First Street, Cambridge, MA 02141 USA | Inbound-Marketing e vendite | Clausola contrattuale standard e valutazione individuale per un livello di protezione paragonabile a quello standard all'interno dell'UE. | Regole aziendali vincolanti; centro dati (certificato ISO 27001 / audit SOC 2); crittografia HTTP. |
| Intercom, Inc., 55 2nd Street, 4th Fl., San Francisco, CA 94105 USA | Live-Chat | Clausola contrattuale standard e valutazione individuale per un livello di protezione paragonabile a quello standard all'interno dell'UE. | Audit esterni, pentest e bug bounty; audit SOC 2; certificato ISO 27001; audit HIPAA; configurazione della sicurezza AWS; endpoint di API e applicazioni solo TLS/SSL; policy di sicurezza; formazione sulla sicurezza e sulla consapevolezza. |
| Impala Travel Technology Ltd., 70 White Lion Street, Londra, N1 9PP UK | Estrazione dei dati PMS (API) | Accordo per l'elaborazione dei dati | Adeguata protezione dei dati personali nel Regno Unito - Decisione di esecuzione della Commissione Europea del 28 giugno 2021 - C(2021) 4800. |
| Mailgun Technologies, Inc., 548 Market Street, Suite 43099, San Francisco, CA 94101 USA | Fornitori di e-mail (e-mail-API) | Clausola contrattuale standard e valutazione individuale per un livello di protezione paragonabile a quello standard all'interno dell'UE. | Scansione della rete esterna e test di penetrazione; crittografia dei dati; rilevamento delle intrusioni; procedura di gestione dei fornitori - controllo e audit frequente di tutti i sub-processori. |
| Microsoft Corporation One Microsoft Way Redmond, WA 98052-6399 USA | Office 365 | Clausola contrattuale standard e valutazione individuale per un livello di protezione paragonabile a quello standard all'interno dell'UE. | Rapporti di fiducia e audit esterni; certificati ISO 27001, 27017, 27018, 22301, 277701; politica di prevenzione della perdita di dati; conformità SSAE 18 SOC 1 Type II e SSAE 18 SOC 2 Type II. |
| OVH GmbH, St. Johanner Str. 41-43, 66111 Saarbrücken Germania | Hosting | Accordo per l'elaborazione dei dati | / |
| Scaling Technologies GmbH, Pfarrer-Hillmann-Weg 1, 51069 Köln Germania | Operazioni web | Accordo per l'elaborazione dei dati | / |
| Stripe, Inc. 510 Townsend Street San Francisco, CA 94103 USA | Soluzione di pagamento | Clausola contrattuale standard e valutazione individuale per un livello di protezione paragonabile a quello standard all'interno dell'UE. | Crittografia dei dati a riposo e dei dati in transito - HTTPS per tutti i servizi che utilizzano TLS (SSL); tutti i numeri di carta sono crittografati a riposo con AES-256; registri di audit; politica di gestione degli accessi; certificato PCI Service Provider Level 1. |
| SugarCRM, Inc., 10050 N Wolfe Road, SW2-130 Cupertino, CA 95014 USA | Gestione delle relazioni con i clienti | Clausola contrattuale standard e valutazione individuale per un livello di protezione paragonabile a quello standard all'interno dell'UE. | Certificato SOC II; crittografia per tutte le password, i dati chiave e i backup; tutti i dati di produzione e dei clienti sono crittografati in transito e a riposo; autenticazione multifattoriale; strumenti di prevenzione della perdita di dati; ospitato in Irlanda (UE); configurazione di sicurezza AWS - certificazioni multiple per i centri dati, tra cui la conformità ISO 27001, la certificazione PCI e i rapporti SOC. |
| Twilio, Inc., 375 Beale Street, Suite 300, San Francisco, CA 94105 USA | Fornitore di messaggi brevi (SMS) | Clausola contrattuale standard e valutazione individuale per un livello di protezione paragonabile a quello standard all'interno dell'UE. | Regole aziendali vincolanti; struttura di sicurezza basata su ISO 27001; certificati ISO/IEC 27001, ISO/IEC 27017 e 27018, SOC 2 Tipo II, PCI DSS Livello 1; configurazione della sicurezza AWS - certificazioni multiple per i data center, tra cui la conformità ISO 27001, la certificazione PCI e il rapporto SOC; i database (dati dei clienti) sono crittografati utilizzando l'Advanced Encryption Standard e i dati dei clienti sono crittografati durante il transito tra l'applicazione software del cliente e i servizi utilizzando TLS v1.2; test di penetrazione; politiche e procedure di gestione degli incidenti di sicurezza in conformità con NIST SP 800-61. |
