Misure Tecniche e Organizzative di Sicurezza

1.1 Il Fornitore adotta una Politica per la sicurezza delle informazioni conforme agli standard ISO/IEC 27001, 27017 e 27018, disponibile sul sito www.atworkstudio.it.

1.2 Il Fornitore potrà accedere agli ambienti per le attività contrattualizzate attraverso propri utenti che potranno effettuare accessi privilegiati e svolgere anche l'attività di amministratori di sistema.

1.3 I servizi cloud possono essere erogati in modalità multi-tenant.

1.4 Esiste un processo di gestione del ciclo di vita degli account dei clienti.

2.1 Il Cliente è l'unico proprietario dei dati inseriti nella fornitura.

2.2 Il Fornitore è responsabile di controllare l'accesso ai dati solo da parte di soggetti autorizzati.

2.3 Il Fornitore ha in carico la manutenzione e l'aggiornamento degli apparati hardware e software che erogano il servizio.

3.1 Le autorità rilevanti per l'erogazione dei servizi sono le Autorità di Pubblica Sicurezza, la Magistratura, l'Amministrazione Finanziaria, l'Agenzia per la Cybersicurezza Nazionale (ACN) e il Garante Privacy.

3.2 I servizi sono erogati da datacenter posizionati in paesi della Comunità Europea.

4.1 Il Fornitore è costantemente impegnato in attività di security awareness volte ad aumentare il livello di consapevolezza aziendale, attraverso la continua formazione del proprio personale.

4.2 Il Fornitore assicura il proprio impegno a fornire standard e procedure per l'utilizzo del servizio ai sensi della ISO/IEC 27001, ISO/IEC 27017 e ISO/IEC 27018.

4.3 Il Fornitore effettua periodiche valutazioni dei rischi per la sicurezza delle informazioni, anche a livello sistemistico e di networking, e provvede alla loro gestione con adeguate misure tecniche ed organizzative, nel rispetto delle normative applicabili.

4.4 Il Fornitore garantisce che l'eventuale accesso ai dati del Cliente e dei terzi i cui dati vengono gestiti dal Cliente è limitato alle sole attività tecniche che lo rendono necessario.

4.5 Il Fornitore si impegna a far effettuare ai propri dipendenti e collaboratori corsi di formazione, attentamente scelti dalla Direzione, volti all'aumento della consapevolezza aziendale.

6.1 Il Cliente è proprietario esclusivamente dei dati inseriti nella fornitura.

6.2 Il resto dell'infrastruttura fisica e software rimane di proprietà del Fornitore o dei suoi partner.

9.1 Il Fornitore ha l'incarico di registrare e deregistrare le utenze che possono accedere al servizio.

9.2 Le modalità con cui si procede alla registrazione e deregistrazione degli utenti vengono definite tra le parti in sede contrattuale.

12.1 Il Fornitore gestisce l'attivazione, il cambiamento e la disattivazione delle credenziali di accesso.

12.2 Il Cliente deve comunicare al Fornitore, in forma scritta anche digitale, l'elenco dei soggetti autorizzati a richiedere tali attività, anche per il tramite del sistema di ticketing del Fornitore.

13.1 Il Fornitore ha l'incarico di gestire i diritti di accesso a determinate funzioni e servizi della fornitura.

13.2 Il Cliente può richiedere la modifica di tali diritti in forma scritta o attraverso il sistema di ticketing.

17.1 Il Fornitore e i suoi partner sono gli unici proprietari dell'hardware.

17.2 Il Fornitore assicura la cancellazione dei dati sull'hardware prima del riuso.

18.1 Salvo circostanze indipendenti dalla volontà del Fornitore, ogni cambiamento nell'erogazione del servizio che possa avere impatto sul Cliente sarà comunicato indicando: tipo di cambiamento, data e tempi previsti, descrizione tecnica, notifica di inizio e fine intervento.

18.2 In caso di comprovato problema di emergenza, anche collegato alla sicurezza dei dati, il Fornitore ha il diritto di interrompere totalmente o parzialmente l'erogazione dei servizi al fine di tutelare la struttura, il servizio e i dati del Cliente.

19.1 La disponibilità delle risorse necessarie all'erogazione dei servizi è monitorata dal Fornitore per evitare problematiche relative all'esaurimento delle stesse.

19.2 In caso di eventi rilevanti che richiedano la cooperazione del Cliente, questi verranno comunicati tramite l'apertura di un ticket informativo.

19.3 Il Cliente non ha accesso a una console di monitoraggio per i parametri relativi all'infrastruttura offerta dal Fornitore.

23.1 Il Fornitore garantisce che l'infrastruttura cloud utilizzata per erogare i servizi è soggetta alle policy di sicurezza, aggiornamento e vulnerability management dei vendor certificati ISO/IEC 27001. Il Fornitore monitora periodicamente l'emersione di nuove vulnerabilità note e adotta le misure correttive necessarie nell'ambito delle proprie responsabilità operative.

23.2 Il Fornitore provvede, con un piano di remediation, a sistemare le vulnerabilità riscontrate nell'ambito delle proprie responsabilità operative.

24.1 La rete su cui sono collocate le macchine che erogano i servizi è virtualmente e/o fisicamente segregata dalle altre reti del Fornitore.

24.2 Il Cliente dichiara di essere informato delle caratteristiche di sicurezza offerte dalla fornitura del Fornitore.

24.3 Il Cliente dichiara di essere a conoscenza che:

25.1 Il Fornitore non sviluppa software per i servizi oggetto del presente documento.

25.2 Il Fornitore verifica di utilizzare fornitori certificati ISO 27001 che adottino procedure di sviluppo sicuro.

26.1 È responsabilità del Cliente definire politiche di sicurezza nella scelta dei propri fornitori cloud.

26.2 È responsabilità del Cliente verificare che le presenti informazioni di sicurezza siano in linea con le proprie politiche per la scelta dei fornitori cloud.

29.1 Il Fornitore agisce come fornitore del Cliente.

29.2 In caso di incidente rilevato dal Fornitore — e di cui il Cliente non sia già a conoscenza — che impatti sul sistema del Cliente in ambito di riservatezza, integrità o disponibilità, il Fornitore si impegna a:

29.2.1 prendere in carico l'incidente come da SLA previsto contrattualmente;

29.2.2 gestire e comunicare l'incidente secondo la seguente classificazione:

29.2.3 tracciare lo stato e l'evolversi dell'incidente nel tempo;

29.2.4 ripristinare i sistemi allo stato precedente all'incidente nel tempo tecnico necessario;

29.2.5 fornire una descrizione dettagliata dell'incidente entro 30 giorni dalla sua chiusura.

34.1 L'erogazione dei servizi implica che il Fornitore raccolga informazioni relative alle attività del Cliente correlate al servizio, tra cui log di connessione e reportistiche generate dall'utilizzo delle risorse.

34.2 Tali informazioni sono conservate in modo sicuro secondo le procedure specifiche di AtWorkStudio per almeno il tempo necessario collegato all'erogazione del servizio richiesto.

35.1 Il Fornitore ha adottato uno specifico sistema di gestione della privacy ed ha cura delle informazioni personali dei propri Clienti.

35.2 Il Cliente accetta che il Fornitore, nell'ambito dell'esecuzione del contratto, venga a conoscenza di informazioni relative all'utilizzo del sistema in cloud da parte del Cliente, quali log delle attività, reportistiche generate dai sistemi e utilizzo delle risorse.

35.3 Per gli aspetti normativi legati alla privacy si veda la sezione "Trattamento dei dati personali" delle Condizioni Generali di Contratto.

36.1 Il Fornitore garantisce il collegamento cifrato alla fornitura (HTTPS).

36.2 La cifratura dei dati a riposo non è inclusa nella fornitura base. Il Cliente può richiedere l'attivazione di uno specifico servizio a pagamento di cifratura dei dati.

37.1 Il Fornitore si impegna a svolgere periodici audit interni con professionisti certificati Lead Auditor ISO/IEC 27001, ISO/IEC 27017 e ISO/IEC 27018.

37.2 Il Fornitore è certificato ISO/IEC 27001, ISO/IEC 27017 e ISO/IEC 27018. Tali certificazioni prevedono una periodica serie di audit di terza parte svolti dall'ente di certificazione.

37.3 Il Fornitore ha formalmente designato un proprio DPO ai sensi dell'art. 37 del GDPR ed è soggetto a periodici audit da parte del DPO ai sensi dell'art. 39.1.b) del GDPR.

38.1 Il Fornitore, ai sensi del GDPR, riveste il ruolo di Data Processor (Responsabile del Trattamento) ex art. 28 del GDPR. Per gli aspetti normativi legati alla privacy si veda la sezione "Trattamento dei dati personali" delle Condizioni Generali di Contratto.

38.2 Il Fornitore detiene e può fornire al Cliente, su richiesta, l'elenco aggiornato degli Amministratori di Sistema che possono operare sui sistemi del Cliente, ai sensi del Cap. 4.3 del Provvedimento del Garante Privacy (G.U. n. 300 del 24 dicembre 2008, modificato con provvedimento del 25 giugno 2009).

39.1 I servizi rimangono attivi per il periodo previsto dal contratto. Al termine, il Cliente dovrà provvedere al ritiro dei dati secondo le politiche del Fornitore in essere al momento del ritiro, pagandone gli eventuali costi.

39.2 Il Cliente può richiedere l'attivazione di uno specifico servizio a pagamento di exit strategy, che può prevedere: la definizione dei componenti inclusi nel piano, l'elenco delle attività da realizzare, le parti coinvolte e le date di rilascio, il periodo temporale di svolgimento. Il piano sarà formalizzato e sottoscritto dalle parti con definizione della parte economica.

39.3 Nel caso in cui l'exit strategy preveda la dismissione di uno o più servizi, il Fornitore si impegna a eseguire la completa cancellazione di tutti i dati entro 30 giorni dalla richiesta del Cliente, dandone evidenza mediante un verbale di dismissione.

40.1 Il Fornitore garantisce la separazione degli ambienti di amministrazione interna rispetto alle risorse utilizzate per l'erogazione dei servizi al Cliente.

40.2 Il Fornitore garantisce la separazione delle risorse utilizzate dai diversi Clienti in ambienti multi-tenant.

40.3 Il Fornitore implementa controlli di sicurezza per assicurare un appropriato isolamento delle risorse utilizzate dai diversi tenant.

40.4 Il Fornitore tiene in considerazione i rischi associati ai servizi dei clienti operanti all'interno dei servizi offerti.

41.1 Durante la configurazione delle macchine virtuali e dei servizi, il Fornitore si impegna a rafforzare gli aspetti di sicurezza, aprendo solo le porte necessarie e fornendo solo i servizi minimi richiesti.

41.2 La protezione anti-malware e il monitoraggio dei log dell'infrastruttura su cui sono erogati i servizi è garantita dai vendor cloud certificati ISO/IEC 27001 adottati dal Fornitore, secondo le rispettive policy di sicurezza.

41.3 Il Fornitore si impegna a non effettuare operazioni critiche sui sistemi senza preventiva comunicazione di interruzione del servizio per manutenzione al Cliente, salvo cause di forza maggiore o quanto indicato nella sezione Change Management del presente documento.