Misure Tecniche e Organizzative di Sicurezza

AtWorkStudio adotta una Politica per la sicurezza delle informazioni approvata formalmente dalla Direzione, comunicata al personale e ai fornitori e riesaminata a intervalli pianificati e in occasione di cambiamenti significativi del contesto operativo. La politica è coerente con i requisiti della ISO/IEC 27001:2022, della ISO/IEC 27017:2015 e della ISO/IEC 27018:2025 e costituisce l'impegno formale del Fornitore verso i Clienti e le parti interessate in materia di sicurezza delle informazioni.

I ruoli e le responsabilità in materia di sicurezza delle informazioni sono affidati alla Direzione, che gestisce, attua e verifica direttamente tutte le attività del Sistema di Gestione per la Sicurezza delle Informazioni. Nei rapporti con i Clienti, AtWorkStudio agisce come Responsabile del Trattamento ai sensi dell'art. 28 del Regolamento (UE) 2016/679 (GDPR).

La Direzione mantiene i contatti con le autorità competenti per l'erogazione dei servizi, tra cui il Garante per la Protezione dei Dati Personali, l'Agenzia per la Cybersicurezza Nazionale (ACN), la Polizia Postale e l'autorità giudiziaria. Le comunicazioni istituzionali avvengono tramite canali ufficiali (PEC o posta certificata). La notifica di eventuali violazioni di dati personali al Garante avviene entro 72 ore ai sensi dell'art. 33 del GDPR.

Nell'ambito del proprio Sistema di Gestione, AtWorkStudio raccoglie e analizza informazioni sulle minacce alla sicurezza delle informazioni attingendo a fonti ufficiali (CVE, portali dei vendor, threat intelligence center) e aggregatori specialistici. Le informazioni rilevanti sono contestualizzate sull'ambiente operativo del Fornitore e, ove necessario, comportano l'aggiornamento della valutazione dei rischi e delle misure tecniche. Servizi di threat intelligence personalizzata o reportistica dedicata al Cliente sono erogati su base contrattuale separata.

Le informazioni sono classificate in base alla loro riservatezza, integrità e disponibilità e ai requisiti legali, regolamentari e contrattuali applicabili. La protezione tecnica e organizzativa adottata è proporzionata alla classificazione. I livelli di protezione sono riesaminati periodicamente in funzione della rilevanza delle informazioni e della conformità normativa.

L'etichettatura delle informazioni è attuata tramite strumenti cloud di classificazione e protezione dei dati, in coerenza con lo schema di classificazione adottato. Le informazioni ad accesso controllato sono gestite su piattaforme protette e soggette a tracciabilità.

Il controllo degli accessi fisici e logici alle informazioni e agli asset aziendali è stabilito secondo il principio del minimo privilegio. Gli accessi logici sono gestiti tramite una piattaforma cloud di identity management centralizzata, con accessi differenziati per ruolo, autorizzati dalla Direzione e protetti da autenticazione multifattoriale obbligatoria. I profili di accesso sono riesaminati periodicamente e revocati tempestivamente al termine del rapporto.

Il ciclo di vita delle identità è gestito centralmente tramite una piattaforma cloud di identity management. Creazione, modifica e disattivazione degli account avvengono su autorizzazione formale della Direzione. È assicurata l'univocità delle credenziali, gli account condivisi non sono consentiti e alla cessazione del rapporto le identità vengono disattivate immediatamente.

Le credenziali di accesso sono gestite centralmente con autenticazione multifattoriale obbligatoria. Le password non vengono comunicate in chiaro e, ove necessario, sono conservate in vault crittografati. L'assegnazione e la revoca delle credenziali avvengono su autorizzazione formale della Direzione.

I diritti di accesso sono assegnati esclusivamente su autorizzazione della Direzione e in funzione del ruolo operativo, con segregazione dei privilegi e tracciabilità delle attività. Alla cessazione dell'incarico i diritti vengono revocati immediatamente. Non è consentita l'auto-modifica dei livelli di accesso da parte degli utenti.

I fornitori sono classificati, valutati e gestiti secondo una procedura formale che prevede la suddivisione in tre categorie (cloud, sistemistici, occasionali) in base alla rilevanza del servizio, alla criticità per il Sistema di Gestione e alla presenza di certificazioni. I fornitori strategici sono registrati in un elenco dedicato e, per quelli non certificati ISO/IEC 27001, è condotto un audit documentato almeno ogni due anni.

Gli accordi con i fornitori includono clausole di sicurezza specifiche: accordi di riservatezza (NDA), requisiti di logging, accessi tracciati, autenticazione multifattoriale, cifratura, ripristino e riservatezza, in linea con le guide ISO/IEC 27017 e ISO/IEC 27018. L'accesso logico dei fornitori ai sistemi è protetto da MFA e registrato nei log di sistema.

I fornitori critici sono monitorati almeno annualmente attraverso la revisione dell'elenco e la verifica della permanenza dei requisiti di sicurezza, normativi e contrattuali. Cambiamenti nella struttura societaria, nella localizzazione dei datacenter o nella qualificazione GDPR (es. Responsabile / Sub-Responsabile) sono oggetto di valutazione puntuale e, se rilevanti, comportano l'aggiornamento della documentazione contrattuale e tecnica.

AtWorkStudio monitora i cambiamenti nelle pratiche di sicurezza e nei termini di servizio dei fornitori attraverso portali ufficiali, feed tecnici e comunicazioni contrattuali. Le modifiche rilevanti sono valutate dalla Direzione e, se necessario, comportano aggiornamenti nelle configurazioni tecniche, nelle misure di protezione o nelle clausole contrattuali verso i Clienti.

L'acquisizione, l'utilizzo e l'uscita dai servizi cloud erogati o gestiti per conto dei Clienti sono disciplinati contrattualmente. AtWorkStudio applica criteri di sicurezza coerenti con il proprio Sistema di Gestione in tutte le fasi del ciclo di vita del servizio cloud, inclusi controllo degli accessi, cifratura, logging e segregazione delle responsabilità. Le evidenze di conformità dei fornitori cloud (certificazioni ISO/IEC 27017, ISO/IEC 27018, DPA) sono a disposizione dei Clienti su richiesta.

La gestione degli incidenti di sicurezza è disciplinata da una procedura formale che definisce ruoli, fasi operative, strumenti utilizzati e modalità di tracciamento. L'attivazione può avvenire su segnalazione del Cliente o tramite alert dei sistemi di monitoraggio (SIEM, EDR). La classificazione degli eventi include la valutazione dell'impatto su dati personali e gli eventuali obblighi di notifica al Garante Privacy ai sensi del GDPR.

La risposta agli incidenti è tempestiva e proporzionata alla gravità rilevata. Tutte le azioni svolte sono tracciate e, in caso di impatto su servizi erogati o dati personali, viene attivata la comunicazione verso il Cliente secondo le regole contrattuali e normative applicabili. Gli incidenti sono classificati sui seguenti quattro livelli:

Le evidenze relative agli incidenti sono raccolte e conservate tramite i sistemi di sicurezza attivi (SIEM, EDR, MDM). I log e gli eventi sono registrati automaticamente e, in caso di necessità, esportati e archiviati in formato digitale per supportare attività interne, disciplinari o legali nel rispetto delle normative vigenti. Il servizio di raccolta di evidenze forensi su sistemi del Cliente non è incluso nella fornitura base e può essere attivato su richiesta.

La sicurezza delle informazioni è garantita anche durante le interruzioni operative grazie all'adozione di piattaforme cloud resilienti e misure tecniche non dipendenti da infrastrutture locali. Tutti gli asset critici restano protetti da cifratura, autenticazione multifattoriale e segregazione degli accessi. Un Piano di Business Continuity e Disaster Recovery definisce le azioni da intraprendere in fase di emergenza.

La continuità dei servizi ICT è assicurata tramite soluzioni cloud resilienti, distribuite su datacenter certificati e localizzati nell'Unione Europea. I sistemi critici del Fornitore sono configurati per essere accessibili anche durante disservizi locali, grazie a failover automatico e replica geografica. La prontezza ICT del Fornitore è testata periodicamente. Per i Clienti che hanno contrattualizzato il servizio di backup (controllo 8.13), i test di ripristino sui dati del Cliente sono effettuati e documentati secondo le modalità concordate.

I requisiti legali, normativi e contrattuali rilevanti per la sicurezza delle informazioni sono identificati, documentati e integrati nel Sistema di Gestione in conformità con il GDPR, la ISO/IEC 27001:2022 e le clausole sottoscritte con Clienti e fornitori. Il riesame della conformità avviene in sede di revisione del Sistema o in caso di variazione del perimetro tecnico o organizzativo.

Tutte le registrazioni aziendali, incluse procedure, contratti, log e documentazione del Sistema di Gestione, sono conservate in formato digitale su piattaforme cloud protette da autenticazione multifattoriale e gestione granulare dei permessi. Le registrazioni sono accessibili solo a soggetti autorizzati e protette da manomissione, rilascio non autorizzato e perdita accidentale. Non sono utilizzati archivi cartacei.

AtWorkStudio tratta dati personali esclusivamente per l'erogazione dei servizi contrattualizzati, in qualità di Responsabile del Trattamento ai sensi dell'art. 28 del GDPR. La protezione dei dati personali è garantita da cifratura, autenticazione multifattoriale, segregazione degli accessi, tracciabilità e conservazione in ambienti cloud certificati localizzati nell'Unione Europea.

L'approccio e l'efficacia del Sistema di Gestione sono riesaminati tramite audit interni pianificati annualmente, che possono essere attivati in forma straordinaria in caso di incidenti o cambiamenti significativi. Gli audit sono condotti da un Lead Auditor ISO/IEC 27001 certificato ed esterno, indipendente dalla Direzione. Il Fornitore è inoltre soggetto a periodici audit di terza parte svolti dall'ente di certificazione e a verifiche periodiche da parte del proprio DPO ai sensi dell'art. 39.1.b) del GDPR.

I collaboratori e i fornitori che operano per conto di AtWorkStudio sono formati e informati sulle politiche aziendali e sulle responsabilità operative connesse alla sicurezza delle informazioni. Le attività di formazione e aggiornamento sono documentate. Gli aggiornamenti sono comunicati in occasione di revisioni procedurali o modifiche rilevanti nel perimetro del Sistema di Gestione.

È disponibile un canale di segnalazione tempestiva degli eventi di sicurezza aperto a Clienti, collaboratori e personale interno, tramite email, ticket o comunicazione diretta alla Direzione. Tutte le segnalazioni sono registrate, analizzate e gestite secondo la procedura di incident management, senza livelli gerarchici di filtro, per garantire reattività e trasparenza.

L'erogazione dei servizi di AtWorkStudio si basa su un'architettura interamente cloud: l'elaborazione e la conservazione dei dati dei Clienti avvengono presso datacenter di provider certificati ISO/IEC 27001, ISO/IEC 27017 e ISO/IEC 27018, dotati di perimetri di sicurezza fisica multipli, controllo degli accessi a più fattori, monitoraggio continuo H24 e conformità documentata. Il perimetro fisico produttivo è pertanto definito dai datacenter selezionati, secondo le evidenze contrattuali messe a disposizione dei Clienti. Le sedi operative del Fornitore non ospitano infrastrutture di elaborazione né supporti rimovibili contenenti dati dei Clienti; le postazioni di lavoro del personale sono dispositivi gestiti centralmente, cifrati a livello di sistema operativo e protetti da autenticazione multifattoriale.

L'architettura cloud-first adottata garantisce la protezione contro minacce fisiche e ambientali tramite provider selezionati con datacenter georidondati certificati. I dispositivi aziendali sono cifrati e, in caso di danneggiamento, smarrimento o furto, nessun dato aziendale è accessibile in chiaro. La continuità operativa in caso di eventi ambientali è disciplinata dal Piano di Business Continuity e Disaster Recovery.

AtWorkStudio non utilizza supporti di archiviazione fisici rimovibili per il trattamento o la conservazione di dati aziendali o dei Clienti. Tutte le informazioni risiedono su sistemi cloud o dispositivi aziendali protetti da cifratura, MFA e gestione centralizzata. L'uso di supporti esterni non autorizzati è vietato dal disciplinare interno.

La dismissione degli asset prevede il ripristino completo da remoto tramite MDM con rimozione sicura di tutti i dati. Non vengono ceduti dispositivi a terzi senza preventiva cancellazione delle informazioni aziendali. I dati operativi risiedono su piattaforme cloud e non sono presenti copie locali persistenti sui dispositivi.

I diritti di accesso privilegiato sono limitati al personale autorizzato dalla Direzione. Gli account amministrativi sono separati dagli account operativi e protetti da autenticazione multifattoriale. Le attività sugli ambienti amministrativi (piattaforme cloud di produttività, infrastruttura, backup, MDM e gestione di rete) sono tracciate e soggette a logging centralizzato. Non sono previsti account condivisi né privilegi elevati permanenti per utenti ordinari.

L'accesso alle informazioni è limitato secondo il principio del minimo privilegio. I permessi sono assegnati a ruoli operativi specifici e autorizzati dalla Direzione. Gli account sono gestiti tramite la piattaforma cloud di identity management con MFA obbligatoria e tutte le attività sono tracciate nei log delle piattaforme cloud. Non sono consentiti account condivisi o accessi non tracciabili.

L'accesso ai servizi cloud e ai pannelli di controllo è protetto da autenticazione multifattoriale obbligatoria. I dispositivi mobili utilizzano autenticazione biometrica e blocco automatico. Le credenziali sono personali, tracciabili e revocate alla cessazione del rapporto.

La gestione della capacità è garantita dall'architettura cloud scalabile dei provider adottati. Lo storage e il backup sono a consumo secondo le condizioni contrattuali definite con il Cliente. Il monitoraggio attivo delle risorse di infrastruttura può essere offerto come servizio opzionale.

Sui dispositivi e sui sistemi del Fornitore la protezione dal malware adotta un approccio multi-livello: soluzioni Endpoint Detection and Response (EDR) con rilevamento comportamentale, contenimento automatico delle minacce e telemetria centralizzata; meccanismi nativi del sistema operativo che consentono l'installazione esclusivamente di software firmato da sviluppatori certificati; aggiornamenti automatici delle definizioni e delle policy di sicurezza distribuiti tramite MDM; correlazione degli eventi e risposta agli alert tramite SIEM. La consapevolezza del personale è rafforzata da formazione continua e da campagne periodiche di sensibilizzazione.

L'estensione delle stesse misure ai dispositivi, agli endpoint e ai sistemi del Cliente (anti-malware/EDR gestito, MDM, formazione) costituisce un servizio aggiuntivo erogato su base contrattuale separata.

Le vulnerabilità tecniche sui sistemi del Fornitore sono identificate tramite console EDR e fonti ufficiali (CVE, feed dei vendor) e gestite secondo una procedura formale di patch management. L'infrastruttura cloud è soggetta alle policy di sicurezza, aggiornamento e vulnerability management dei vendor certificati ISO/IEC 27001.

Per i Clienti che hanno contrattualizzato un servizio gestito di patch management o vulnerability assessment, le attività sono erogate secondo le modalità concordate e le evidenze di aggiornamento dei sistemi sono archiviate nei portali di gestione dedicati, accessibili al Cliente.

Le configurazioni di sicurezza dei dispositivi e dei sistemi del Fornitore sono gestite secondo baseline documentate (cifratura, blocco automatico, aggiornamenti automatici, MFA, backup, remote wipe). La conformità alle baseline è verificata in sede di riesame della Direzione. Per i Clienti che hanno contrattualizzato un servizio gestito di amministrazione cloud o sistemistica, le configurazioni dei loro sistemi sono amministrate tramite gli strumenti specifici di ciascun ambiente e tracciate attraverso change management.

Le informazioni aziendali o dei Clienti sono cancellate quando non più necessarie, in conformità ai contratti, agli accordi di protezione dati (DPA) e ai principi del Regolamento (UE) 2016/679. I dati sono conservati esclusivamente su piattaforme cloud dotate di retention automatica e cancellazione sicura. In fase di dismissione i dispositivi sono inizializzati secondo procedura, con distruzione della chiave crittografica per i dispositivi dotati di chip di sicurezza dedicato.

Le misure di prevenzione contro la perdita di dati (DLP) sono implementate attraverso configurazioni dei dispositivi, segregazione degli accessi, cifratura e strumenti cloud gestiti. Policy DLP specifiche possono essere attivate tramite strumenti di classificazione e protezione dei dati disponibili sulle piattaforme cloud del Cliente, su richiesta contrattuale. Il comportamento degli utenti è disciplinato dal regolamento interno.

I servizi di backup sono erogati tramite piattaforme di backup cloud enterprise selezionate, secondo modalità contrattualizzate. I backup sono cifrati AES-256 e replicati in datacenter certificati dell'Unione Europea. L'integrità è garantita da monitoraggio centralizzato, policy di retention e possibilità di restore a diversi livelli. Il servizio di backup non è incluso nella fornitura base e può essere attivato su richiesta, definendo con il Cliente oggetto, periodicità, cifratura, retention, modalità di verifica dell'integrità, tempistiche di restore e location dei backup.

I sistemi critici sono ospitati su infrastrutture cloud con alta disponibilità, failover automatico e replica geografica. L'architettura cloud-native elimina single point of failure interni. I requisiti di disponibilità sono dichiarati nei contratti con i Clienti con SLA contrattuale non inferiore al 99,9%.

I log di attività rilevanti sono raccolti e conservati tramite sistemi centralizzati (SIEM, piattaforma di identity management, EDR, backup, console di gestione di rete). Gli eventi tracciati includono accessi, modifiche critiche, errori, operazioni amministrative e anomalie. I log sono protetti da accessi non autorizzati e utilizzati per l'analisi di eventi di sicurezza. Il servizio di raccolta e conservazione dei log di accesso sui sistemi del Cliente (in conformità ai provvedimenti del Garante Privacy sugli Amministratori di Sistema) non è incluso nella fornitura base e può essere attivato su richiesta.

Sui sistemi e sulle reti del Fornitore l'attività di monitoraggio continuo è operata tramite SIEM per il rilevamento di comportamenti anomali e potenziali incidenti, e tramite una console di sicurezza di rete per il monitoraggio della rete locale. Le console native dei servizi cloud forniscono ulteriori segnalazioni su eventi rilevanti.

Servizi gestiti di monitoraggio dei sistemi del Cliente (SIEM-as-a-Service, MDR, alerting personalizzato) sono erogati su base contrattuale separata.

L'uso di programmi di utilità privilegiati è limitato al personale autorizzato e tracciato nei log delle piattaforme. Gli strumenti di sistema a elevato impatto sono accessibili solo con account amministrativi protetti da MFA e utilizzo soggetto a logging e autorizzazione diretta della Direzione. Ove necessario accedere ai sistemi cloud con utility program (antivirus, IDS, IPS, software di vulnerability assessment), il Fornitore si riserva di farlo senza preventiva comunicazione al Cliente.

Le reti interne sono protette da cifratura, segmentazione e autenticazione controllata tramite console di gestione di rete centralizzata. I dispositivi sono autorizzati individualmente e gestiti via MDM. I dati in transito sono protetti da cifratura TLS/HTTPS.

I servizi cloud accessibili garantiscono la protezione del traffico tramite TLS e meccanismi di autenticazione sicura. I livelli di servizio dei provider di connettività e cloud sono monitorati tramite le rispettive console.

La segregazione delle reti è attuata tramite VLAN configurate e SSID separati per gestione, dispositivi aziendali e servizi. Il traffico tra segmenti è limitato tramite firewall e regole centralizzate. L'accesso è consentito solo a dispositivi gestiti e autorizzati. La rete su cui sono collocate le macchine che erogano i servizi è virtualmente e/o fisicamente segregata dalle altre reti del Fornitore.

La crittografia è applicata ai dati a riposo e in transito. I dispositivi aziendali sono cifrati nativamente a livello di sistema operativo e tramite chip di sicurezza dedicato. I dati in transito viaggiano su canali TLS/HTTPS e i backup sono protetti con cifratura AES-256. Su richiesta del Cliente è possibile attivare soluzioni Bring Your Own Key (BYOK). Le email contenenti dati riservati possono essere cifrate tramite strumenti cloud di protezione dei messaggi. La cifratura dei dati a riposo per i servizi del Cliente non è inclusa nella fornitura base e può essere attivata su richiesta. Il Fornitore e i suoi partner custodiscono in luogo sicuro le chiavi di cifratura.

Le modifiche alle configurazioni, ai sistemi cloud, ai dispositivi e ai servizi sono gestite tramite un modello di change management formale. Ogni variazione è documentata, approvata dalla Direzione e collegata a eventuali valutazioni di impatto sulla sicurezza. Le variazioni che possono impattare il Cliente sono comunicate indicando tipo di cambiamento, data e tempi previsti, descrizione tecnica e notifica di inizio e fine intervento. In caso di comprovato problema di emergenza, anche collegato alla sicurezza dei dati, il Fornitore ha il diritto di interrompere totalmente o parzialmente l'erogazione dei servizi al fine di tutelare la struttura, il servizio e i dati del Cliente.

Ruoli, responsabilità e capacità necessarie per l'uso dei servizi cloud sono documentati e comunicati ai Clienti nei contratti di servizio, che definiscono chiaramente quanto è in capo al Fornitore e quanto rimane in capo al Cliente per ciascun modello di servizio erogato (IaaS, PaaS, SaaS).

I contratti di servizio prevedono una exit strategy che definisce tempi e modalità di restituzione dei dati, gli asset oggetto di restituzione e la procedura di comunicazione di cancellazione o restituzione. Le richieste di dismissione sono registrate nel sistema di ticketing e i tempi di esecuzione sono monitorati rispetto alle scadenze contrattuali. Il Cliente può richiedere un servizio a pagamento di exit strategy che definisca componenti inclusi, attività da svolgere, parti coinvolte, date di rilascio e periodo temporale. Nel caso di dismissione, il Fornitore esegue la completa cancellazione di tutti i dati entro 30 giorni dalla richiesta del Cliente, dandone evidenza mediante verbale di dismissione.

Ogni Cliente dispone di un proprio tenant o resource group logicamente separato dagli altri. Il Fornitore garantisce la separazione degli ambienti di amministrazione interna rispetto alle risorse utilizzate per l'erogazione dei servizi al Cliente e implementa controlli di sicurezza che assicurano un appropriato isolamento delle risorse utilizzate dai diversi tenant.

L'hardening delle macchine virtuali è effettuato in base alle specifiche documentate nel contratto del Cliente, utilizzando le impostazioni di sicurezza standard del provider come base di partenza (porte minime, servizi minimi, anti-malware, monitoraggio log). Le configurazioni di sicurezza sono definite e mantenute per ciascun Cliente.

Le procedure per le operazioni amministrative critiche (installazione, modifica o cancellazione di risorse virtuali, procedure di termine contratto, backup e ripristino) sono documentate nei contratti di servizio e nelle procedure operative. Per i Clienti che hanno contrattualizzato la gestione operativa dei propri ambienti cloud, sono attivati ove tecnicamente applicabile meccanismi di protezione (resource lock) per prevenire cancellazioni o modifiche non autorizzate delle risorse critiche.

Le funzionalità di monitoraggio del cloud sono disponibili ai Clienti tramite le console native dei provider, con accesso esclusivo ai propri dati. Il servizio di monitoraggio gestito da AtWorkStudio è offerto come servizio opzionale su base contrattuale. La documentazione sulle funzionalità di monitoraggio disponibili è accessibile direttamente dai pannelli di amministrazione di ciascun servizio.

La configurazione delle reti virtuali è progettata su misura per ciascun Cliente in base ai requisiti concordati e alle specifiche di progetto, quando il servizio è contrattualizzato. La coerenza tra configurazione virtuale e fisica è garantita dal processo di progettazione e mantenuta nel tempo attraverso il change management.

I dati personali presenti nel cloud sono trattati esclusivamente per le finalità definite dal Cliente nella nomina a Responsabile del Trattamento. Il Fornitore non effettua trattamenti ulteriori o diversi da quelli istruiti dal Cliente Titolare.

I dati personali trattati nell'ambito dell'erogazione dei servizi non sono in alcun caso utilizzati dal Fornitore per finalità di marketing o pubblicità. La nomina a Responsabile del Trattamento esclude espressamente qualsiasi utilizzo dei dati al di fuori delle istruzioni del Cliente Titolare.

In caso di violazione di dati personali (data breach), il Fornitore notifica tempestivamente il Cliente Titolare fornendo tutte le informazioni necessarie affinché il Cliente possa adempiere ai propri obblighi di notifica alle Autorità competenti entro i termini previsti dal GDPR. La procedura di gestione degli eventi di sicurezza definisce la classificazione, le tempistiche e le modalità di comunicazione.

I contratti tra AtWorkStudio e i Clienti definiscono le misure tecniche e organizzative minime applicate al trattamento dei dati personali, in coerenza con le istruzioni del Titolare del Trattamento. Le misure non sono soggette a riduzione unilaterale da parte del Fornitore.

L'eventuale ricorso a sub-fornitori che trattano dati personali è disciplinato dalla nomina a Responsabile del Trattamento o dagli accordi contrattuali con i fornitori, che impongono obblighi di sicurezza e protezione dati non inferiori a quelli applicati dal Fornitore al Cliente. I sub-fornitori sono valutati e monitorati all'interno del processo di gestione dei fornitori.

I dati personali trattati per conto dei Clienti sono ospitati in datacenter localizzati nell'Unione Europea. L'esposizione alla giurisdizione extra-UE dei fornitori cloud adottati è oggetto di valutazione specifica e documentata nel Sistema di Gestione. Il Cliente è informato dei paesi in cui i dati possono essere trattati attraverso le evidenze contrattuali e la nomina a Responsabile.