Condizioni generali del Contratto

1. Ambito di applicazione

I seguenti termini e condizioni generali (di seguito “contratto” o “termini e condizioni”) di SESAME LABS, S.L. (di seguito, “SESAME” o “il Titolare”) si applicano all’ ordine nella versione in vigore al momento della realizzazione dell’ordine.

I termini e le condizioni si applicano esclusivamente agli ordini effettuati tramite il portale Internet e sono conformi alle disposizioni della legislazione vigente e, in particolare, alla Legge 7/1998, del 13 aprile, sulle condizioni generali delle contrattazioni, la Legge 34/2002, dell’11 luglio, sui servizi della società dell’informazione e il commercio elettronico, e altre leggi complementari.

Nel caso in cui sia stato stipulato un contratto/accordo tra SESAME per gli stessi servizi dell’ordine effettuato, il contenuto di tale contratto/accordo prevarrà sulle disposizioni delle presenti condizioni generali.

2. Identificazione del titolare

L’entità con cui si sta stipulando il contratto è SESAME LABS, S.L. con sede legale in Calle de la Travesia, s/n, Base nº1, 46024 Valencia (Spagna) CIF B98719818 e iscritta nel Registro Mercantile di Valencia Volume: 9938, Libro 7220, Folio 87, pagina V.164478, 1a voce. SESAME LABS offre il suo servizio di gestione del personale (di seguito, il “Servizio”) attraverso il suo sito web www.sesametime.com (di seguito, il “ Pagina Web”), nonché attraverso le sue applicazioni per iOS e Android (di seguito, le “App”) per le organizzazioni datoriali (di seguito, il “CLIENTE“).

L’indirizzo ai fini dei reclami corrisponderà all’indirizzo indicato come sede legale della società.

I presenti termini e condizioni generali (di seguito “Condizioni“) regolano la contrattazione dei servizi offerti da SESAME attraverso la sua Pagina Web, nonché i diritti e gli obblighi delle parti, derivanti dalle transazioni di fornitura di servizi stipulate tra di esse.

SESAME ha sviluppato ed è il legittimo proprietario di un software per la gestione degli orari di lavoro “SESAME TIME” o il “SAAS” che viene offerto come servizio accessibile da Internet (URL: https://app.sesametime.com o attraverso le sue applicazioni per iOS e Android) o come “Software as a Service (SaaS) per le organizazioni datoriali (di seguito “CLIENTE“).

Con l’accettazione delle presenti condizioni, SESAME concede all’utente una licenza di accesso e di utilizzo di SESAME TIME e della fornitura di altri servizi complementari, in conformità con i termini e le condizioni.

3. Definizioni

Oltre a qualsiasi altro termine definito nelle presenti condizioni, i seguenti termini avranno il seguente significato:

Database“: insieme integrato di dati di proprietà del CLIENTE inclusi nel SAAS per la durata del Contratto. In caso di trattamento di dati personali inclusi nel Database, ad essi si applicherà l’Accordo con l’ Incaricato del Trattamento dei Dati qui incluso.

Utente(i) autorizzato(i)“: utenti che hanno un rapporto contrattuale con il CLIENTE e che utilizzano il SAAS per registrare e gestire il proprio orario di lavoro.

Documentazione“: la documentazione relativa ai Servizi predisposta da SESAME e fornita al Cliente, che può includere manuali di istruzioni, documentazione tecnica, ecc. in formato elettronico.

4. Oggetto delle Condizioni

Le presenti Condizioni Generali disciplinano la licenza d’uso del SAAS che SESAME concede al Cliente. La licenza non è sublicenziabile, non è esclusiva, è valida in tutto il mondo ed è limitata alla durata dei termini e delle condizioni concordate, che saranno in ogni caso subordinate al pagamento integrale del prezzo concordato.

Le presenti condizioni regolano anche la fornitura di servizi aggiuntivi nel corso della durata del contratto, consistenti in un’assistenza tecnica nei termini indicati (di seguito, l’utilizzo di SESAME TIME e l’insieme dei servizi aggiuntivi sono indicati congiuntamente come i “Servizi“). 

SESAME si riserva il diritto di modificare qualsiasi termine dei presenti termini e condizioni, che sarà notificato al Cliente tramite il SAAS per la sua accettazione. Ciò non pregiudica l’aggiornamento dei termini e delle condizioni sul sito web di SESAME.

CONDIZIONI FINANZIARIE, PIANI E RINNOVI CONTRATTUALI

Canone di abbonamento. Il prezzo dei Servizi si basa sul pagamento di un canone di abbonamento (il “Canone“), che può essere annuale o mensile, a seconda del piano scelto dal CLIENTE. Tale canone è pubblicato sia sul sito web che nel SAAS. 

Condizioni dei Servizi di Prova Gratuita

I clienti che utilizzano il Servizio in modalità gratuita non saranno obbligati a fornire informazioni per l’addebito. La durata della prova gratuita sarà di 14 giorni di calendario a partire dall’accettazione delle condizioni e dell’informativa sulla privacy. Una volta terminato il periodo di prova, il CLIENTE dovrà scegliere uno dei piani offerti, che sarà regolato dalle disposizioni relative a ciascuno di essi. Se la prova gratuita scade e il CLIENTE non ha scelto nessuno dei piani, SESAME procederà al blocco e alla cancellazione dell’account.

I clienti che intendono utilizzare il servizio gratuito autorizzano un agente incaricato da SESAME ad accedere al loro account per aiutarli nella configurazione e nell’avvio del servizio.

Piano annuale Condizioni del Servizio

Il CLIENTE può scegliere il piano annuale con i diversi servizi inclusi in ciascuna tariffa dopo la fine della prova gratuita di 14 giorni o prima della fine della prova. 

Selezione del Canone Annuale. Con la selezione iniziale o il cambio di piano, inizierà l’anno solare del servizio, con le condizioni e i termini pubblicati al momento della selezione, compreso il prezzo, che rimarrà invariato durante il periodo di validità.

Nel caso in cui il CLIENTE desideri, durante la durata del contratto, apportare modifiche al piano contrattuale, si applicheranno i termini e le condizioni pubblicati da Sesame sul sito web al momento della modifica.

RINNOVO DEL CONTRATTO. Alla data di scadenza del piano annuale, ossia dopo che sia trascorso un anno solare dalla scelta del piano, il contratto si rinnoverà automaticamente per periodi annuali, applicando i termini e le condizioni in vigore al momento del rinnovo sul sito web di Sesame, a meno che il CLIENTE non comunichi espressamente la sua intenzione di non rinnovare il PIANO CONTRATTUALE almeno trenta (30) giorni prima della data di scadenza del periodo iniziale o di una qualsiasi delle sue estensioni.

Il CLIENTE può cancellare il proprio account attraverso il pannello della piattaforma.

Il passaggio a una versione inferiore può comportare la perdita di contenuti, caratteristiche e funzionalità dell’account del CLIENTE. SESAME non si assume alcuna responsabilità per tali perdite.

Cancellazione del servizio. Il CLIENTE può, durante la durata del contratto, rescindere il contratto, ma tale rescissione non darà diritto al CLIENTE ad alcun rimborso degli importi già pagati a SESAME. Il CLIENTE può cancellare il proprio account attraverso il pannello della piattaforma.

Piano Mensile Condizioni di Servizio

Il CLIENTE può scegliere un piano mensile con i diversi servizi inclusi in ciascuna tariffa al termine dei 14 giorni di prova gratuita o prima della fine del periodo di prova.

Selezione del Canone Mensile. Con la selezione iniziale o il cambio di piano a un piano mensile, il canone mensile per il piano selezionato verrà addebitato immediatamente. 

Aggiornamento della Tariffa Mensile.

SESAME può modificare il canone mensile e/o i termini e le condizioni dei piani mensili a sua discrezione, notificando le modifiche da apportare 60 giorni di calendario prima della loro effettiva applicazione, dando al cliente il diritto di cancellare il servizio se i nuovi termini e condizioni non sono accettati, a condizione che il preavviso sia dato almeno 30 giorni prima della data di cancellazione.

In caso di mancata comunicazione della disdetta, SESAME procederà all’applicazione delle nuove condizioni, comprese le nuove tariffe, dopo 60 giorni dalla notifica. Se l’ultimo giorno di questo periodo non coincide con il primo giorno di calendario del mese, ai fini del calcolo dei mesi interi, tale periodo si intenderà esteso fino al primo giorno di calendario del mese successivo.

Il passaggio a una versione inferiore può comportare la perdita di contenuti, caratteristiche e funzionalità dell’account del CLIENTE. SESAME non si assume alcuna responsabilità per tali perdite.

Cancellazione del Servizio: Il CLIENTE ha il diritto di risolvere il contratto, ma la cancellazione del contratto non darà diritto ad alcun rimborso delle somme già versate a SESAME. La risoluzione del contratto deve essere notificata almeno trenta (30) giorni prima della data della fattura successiva.

Il CLIENTE può cancellare il proprio account attraverso il pannello della piattaforma.

CONDIZIONI DI USO DEL SERVIZIO 

Diritti di Uso. SESAME concede al Cliente e agli Utenti Autorizzati il diritto personale, non esclusivo, non trasferibile e non sublicenziabile di utilizzare il SAAS e gli altri Servizi, in tutto il mondo, per la durata dei presenti termini e condizioni e dei loro rinnovi esclusivamente ai fini della loro attività professionale, in cambio del prezzo.

Restrizioni all’uso. Il Cliente non può: (a) decodificare, decompilare, disassemblare o tentare in altro modo di derivare o ricavare il codice sorgente, le idee sottostanti, gli algoritmi, i formati di file o le API non pubbliche dei Servizi, o tradurre, modificare o creare opere derivate del SAAS, dei Servizi o di qualsiasi loro parte, salvo nella misura consentita dalla legge applicabile; (b) copiare/riprodurre, prestare, vendere, affittare, concedere in sublicenza, trasmettere, distribuire, modificare, trasferire a terzi o fornire l’accesso al SAAS, o adattare i Servizi o qualsiasi parte di essi in qualsiasi modo; (c) utilizzare i Servizi a beneficio di terzi; (d) utilizzare il Servizio per qualsiasi scopo commerciale o in un prodotto o servizio che il Cliente fornisce a terzi; (e) aggirare, modificare, rimuovere, cancellare, alterare o manomettere in altro modo qualsiasi tecnologia o software di sicurezza, di crittografia o di altro tipo che faccia parte dei Servizi; (f) accedere o utilizzare il SAAS o i Servizi a scopo di analisi della concorrenza o per creare un prodotto o un servizio simile o concorrenziale; (g) utilizzare il SAAS per qualsiasi scopo illegale o non autorizzato da SESAME, compresi pubblicità non richiesta e spamming; (h) creare, raccogliere, trasmettere, archiviare, utilizzare o elaborare dati attraverso il SAAS che violino qualsiasi legge applicabile o infrangano i diritti di proprietà intellettuale o altri diritti di terzi; (i) introdurre o diffondere contenuti o software (virus e malware) che possano causare danni ai sistemi informatici di SESAME, dei suoi fornitori di servizi tecnologici o di utenti terzi; o (j) incoraggiare, consentire o assistere terzi a fare quanto sopra.

Aggiornamenti e nuove versioni. Gli aggiornamenti e le versioni successive del SAAS forniti al Cliente durante il periodo di validità delle Condizioni saranno soggette agli stessi termini.

SERVIZI DI ASSISTENZA TECNICA E DISPONIBILITÀ

Servizi di Assistenza Tecnica. SESAME fornirà al Cliente un supporto telefonico o elettronico durante l’orario di lavoro di SESAME per aiutarlo a risolvere dubbi, individuare e correggere problemi relativi al SAAS tramite l’indirizzo e-mail soporte@sesametime.com o la chat inclusa nel SAAS stesso. Durante la fornitura del servizio, il Cliente autorizza SESAME, attraverso il suo personale e previa richiesta del Cliente, ad accedere agli account dell’Utente Autorizzato al fine di effettuare le azioni appropriate per risolvere eventuali dubbi o incidenti con il SAAS.

Disponibilità. SESAME si impegnerà in modo commercialmente ragionevole per garantire la disponibilità del SAAS al 99% e si impegnerà in modo commercialmente ragionevole per fornire al Cliente un preavviso di almeno 48 ore in caso di manutenzione programmata durante il normale orario di lavoro.

UTILIZZO DELL’ACCOUNT 

Accesso all’account. Il Cliente e gli Utenti Autorizzati dovranno mantenere la sicurezza delle password di accesso agli account degli Utenti Autorizzati nel SAAS (“Account“). SESAME non sarà in alcun caso responsabile di eventuali perdite di dati o danni derivanti dal mancato rispetto di questo obbligo di sicurezza.

Restrizioni. Non è consentito: (i) condividere un (1) account tra più Utenti autorizzati; e (ii) creare account tramite “bot” o altri metodi automatizzati. Il Cliente sarà responsabile di tutte le azioni intraprese e dei dati caricati dagli Utenti Autorizzati sul SAAS.

Gestione degli Account. Il Cliente si impegna a bloccare o disattivare immediatamente l’account di un Utente autorizzato nel caso in cui: (i) il rapporto di lavoro tra il Cliente e l’Utente autorizzato venga sospeso o interrotto; o (ii) il Cliente ritenga che un Utente abbia utilizzato in modo improprio le proprie password per accedere al SAAS. Se SESAME viene a conoscenza del fatto che un Utente Autorizzato si trova in una delle situazioni di cui sopra, SESAME può sospendere l’accesso all’Account incriminato temporaneamente o a tempo indeterminato e, in tal caso, SESAME comunicherà al CLIENTE la violazione rilevata e le azioni intraprese in relazione a tale Account.

PROPRIETÀ INTELLETTUALE E INDUSTRIALE

Proprietà intellettuale e industriale in relazione ai Servizi. SESAME manterrà la sua posizione di titolare di tutti i diritti di proprietà intellettuale e industriale relativi a tutti i componenti dei Servizi, compreso il SAAS, e a qualsiasi altro sviluppo, miglioramento, aggiornamento o opera derivata dal presente Contratto. I diritti di proprietà intellettuale e industriale comprendono tutti i dati, il codice sorgente e il codice oggetto, gli script, i disegni, i concetti, le applicazioni, i testi, le immagini, qualsiasi documentazione correlata, le copie, le modifiche e i documenti o la documentazione derivata da quanto sopra (in tutto o in parte) e tutti i relativi diritti d’autore, brevetti, marchi, segreti commerciali e altri diritti di proprietà, sono e rimarranno di proprietà esclusiva di SESAME e/o dei suoi licenziatari.

Proprietà intellettuale e industriale del Cliente. Tutti i diritti, i titoli e gli interessi relativi al Database, ai marchi, ai nomi commerciali e ai loghi del Cliente, nonché quelli eventualmente presenti nel suo sistema informatico, rimarranno di proprietà del Cliente.

Il Cliente autorizza espressamente SESAME a utilizzare il marchio e il nome commerciale del Cliente per l’inserimento nei siti web di SESAME a fini puramente pubblicitari.

CONFIDENZIALITÀ

Definizione di Informazioni Confidenziali. Per “Informazioni Confidenziali” si intende qualsiasi materiale o informazione divulgata oralmente o per iscritto etichettata o contrassegnata come confidenziale o che per sua natura è ragionevolmente intesa come confidenziale, consegnata o fornita da una delle Parti all’altra in relazione con le presenti condizioni generali, comprese le informazioni relative ai sistemi informatici e all’architettura dei sistemi pianificati o esistenti delle Parti, inclusi l’hardware, il software, il SAAS stesso, la Documentazione, il Database, i metodi di elaborazione e i metodi operativi.

Eccezioni. Le informazioni riservate non comprendono le informazioni che (i) erano di dominio pubblico nel momento in cui sono state divulgate alla Parte ricevente; (ii) sono diventate di dominio pubblico attraverso l’uso, la pubblicazione o simili, successivamente alla divulgazione alla Parte ricevente, senza colpa o atto della Parte ricevente; (iii) erano in possesso della Parte ricevente legittimamente e senza alcun obbligo di riservatezza al momento in cui sono state divulgate alla Parte ricevente; (iv) sono legittimamente comunicate alla Parte ricevente da una terza parte autorizzata a divulgare tali informazioni riservate, successivamente al momento in cui sono state divulgate alla Parte ricevente.

  1.  Obbligo di confidenzialità. Le Parti si impegnano a non utilizzare, divulgare, copiare, pubblicare, utilizzare, sfruttare, diffondere o distribuire le Informazioni Confidenziali dell’altra Parte, o permettere che le Informazioni Confidenziali ricevute vengano sfruttate o distribuite da terzi, senza il preventivo consenso scritto della Parte che le ha divulgate, se non nella misura necessaria per adempiere ai propri obblighi o esercitare i propri diritti ai sensi del contratto. Le Parti si impegnano a trattare le Informazioni Confidenziali con lo stesso grado di cura con cui proteggono le proprie Informazioni Confidenziali, e in nessun caso con un grado di cura inferiore a quello ragionevole. L’obbligo di confidenzialità rimarrà in vigore a tempo indeterminato e si estenderà anche ai dipendenti e ai rappresentanti delle Parti, nonché a qualsiasi consulente esterno assunto da una delle Parti in relazione al presente contratto.

Divulgazione di informazioni confidenziali. Le Parti possono divulgare le Informazioni Confidenziali solo nelle seguenti circostanze: (i) in risposta a un’ordinanza di un tribunale o di un’altra agenzia governativa, o come altrimenti richiesto dalla legge, (nel qual caso la Parte divulgatrice sarà informata in anticipo per iscritto di tale potenziale divulgazione e dovrà limitare il più possibile tale divulgazione); (ii) nel caso in cui la Parte che riceve tali Informazioni Riservate sia tenuta a divulgarle ai propri dipendenti, rappresentanti o consulenti esterni (se presenti) che ha incaricato allo scopo di adempiere ai propri obblighi ai sensi del presente documento e solo consentendo loro di accedervi nella misura necessaria; (iii) nel caso in cui una Parte abbia ricevuto espressa autorizzazione scritta dall’altra Parte a divulgare le proprie Informazioni Confidenziali (o parte di esse).

Violazione del dovere di confidenzialità. Qualsiasi violazione degli obblighi di confidenzialità previsti dal presente contratto, o qualsiasi azione dolosa o colposa compiuta da una delle Parti, dai loro dipendenti o amministratori, darà diritto alla Parte non inadempiente di rivendicare per vie legali le responsabilità, dirette o indirette, nei confronti di terzi, compresi i costi giudiziari, extragiudiziari e di difesa che la Parte inadempiente dovrà sostenere, nonché di risarcire la Parte non inadempiente per i danni che tale violazione può aver causato alla Parte non inadempiente.

PROTEZIONE DEI DATI

Dati delle Parti Contraenti. Le Parti si informano reciprocamente che i dati personali dei firmatari, nonché delle persone che lavorano per le rispettive Parti, e i dati di contatto indicati a scopo di notifica, saranno trattati dall’altra Parte al solo scopo di gestire ed eseguire il rapporto contrattuale. I dati saranno conservati per tutta la durata del rapporto e, una volta terminato, saranno conservati solo per il tempo necessario ad adempiere agli obblighi fiscali, legali e amministrativi a cui le Parti sono tenute.

La base che legittima questo trattamento è la necessità di eseguire il presente contratto. I dati non saranno comunicati o trasferiti a terzi ad eccezione di quelli indispensabili per l’esecuzione del contratto stesso (fornitori di servizi necessari) e per l’adempimento di obblighi di legge (Pubbliche Amministrazioni, Revisori dei Conti, Enti Finanziari, Compagnie di Assicurazione quando applicabili, tra gli altri). 

Nel caso di fornitori di servizi necessari, è possibile che questi abbiano sede al di fuori dell’UE e che si verifichi un trasferimento internazionale dei dati. In tal caso, le Parti si impegnano a garantire che i loro fornitori internazionali dispongano di adeguate garanzie in conformità alla legge applicabile. 

Le Parti possono richiedere l’esercizio dei diritti di accesso, rettifica, cancellazione, opposizione, limitazione e portabilità all’indirizzo indicato nel presente contratto o all’indirizzo e-mail legal@sesametime.com, indicando chiaramente il diritto che desiderano esercitare. Allo stesso modo, le Parti sono reciprocamente informate che hanno il diritto di presentare un reclamo all’Agenzia Spagnola per la Protezione dei Dati (www.aepd.es). Ciononostante, le Parti faranno del loro meglio e cercheranno di risolvere qualsiasi questione relativa ai dati personali in modo amichevole.

Database inserito dal CLIENTE. Il trattamento dei dati personali contenuti nel Database che SESAME effettuerà in seguito alla fornitura dei Servizi sarà disciplinato dal Contratto di Trattamento contenuto nelle presenti condizioni generali.

GARANZIE

Garanzia di titolarità. SESAME garantisce al CLIENTE di essere il proprietario o il legittimo titolare di tutti i diritti di proprietà intellettuale necessari per fornire i Servizi e il SAAS. 

Esclusioni. Ad eccezione di quanto espressamente indicato nel paragrafo precedente, SESAME TIME viene fornito “COSÌ COM’È” e “COME DISPONIBILE” e SESAME esclude qualsiasi altra garanzia, incluse, a titolo esemplificativo, le garanzie implicite di disponibilità, prestazioni, non violazione, commerciabilità o idoneità per uno scopo particolare, fatte salve, ove applicabili, le garanzie richieste dalla legge. Il CLIENTE accetta di essere l’unico responsabile dei risultati ottenuti dall’uso dei Servizi e delle loro funzionalità. Non saranno accettati reclami per presunte specifiche che, a parere del CLIENTE, il SAAS o i Servizi devono rispettare.

RESPONSABILITÀ

Limitazione di responsabilità. Il Cliente accetta di indennizzare e mantenere SESAME indenne da qualsiasi rivendicazione, azione o richiesta diretta, indiretta, incidentale o consequenziale di terzi, nonché da qualsiasi spesa, responsabilità, danno, accordo o compenso derivante dall’uso improprio del SAAS o dei Servizi da parte del Cliente, o dalla violazione di uno qualsiasi dei termini del presente contratto. SESAME non sarà inoltre responsabile per eventuali reclami, perdite o danni derivanti dall’utilizzo da parte del Cliente o di qualsiasi Utente di prodotti, servizi, software o siti web di terzi a cui si accede tramite link dal SAAS o dal sito web di SESAME.

Danni indiretti. SESAME non sarà responsabile (salvo quanto diversamente previsto dalla legge) nei confronti del Cliente per eventuali danni, risarcimenti o indennizzi basati su danni indiretti (inclusi, a titolo esemplificativo ma non esaustivo, danni consequenziali, perdita di utilizzo, perdita o inesattezza di dati, perdita di profitti, malfunzionamento dei meccanismi di sicurezza, interruzione dell’attività, costi di ritardo) o qualsiasi danno speciale, incidentale o consequenziale di qualsiasi tipo, anche se avvisato in anticipo della possibilità di tali danni.

Responsabilità massima: la responsabilità massima di SESAME per qualsiasi reclamo derivante dal presente Contratto, sia per violazione del contratto, violazione della garanzia, negligenza o altro, e l’unico rimedio del CLIENTE, è limitata ai danni diretti per un importo non superiore alla quota proporzionale della somma degli importi e dei Canoni annuali o mensili pagati o pagabili dal CLIENTE a SESAME ai sensi del presente Contratto negli ultimi ventiquattro (24) mesi prima del reclamo. 

Nessuna disposizione del presente contratto limiterà o escluderà la responsabilità di una Parte che non può essere esclusa o limitata ai sensi della legge applicabile.

Forza maggiore. Nessuna delle Parti sarà responsabile nei confronti dell’altra per l’inadempimento dei propri obblighi ai sensi delle Condizioni nella misura in cui tale inadempimento o ritardo sia il risultato di cause o circostanze al di fuori del ragionevole controllo della Parte interessata che non avrebbero potuto essere evitate o superate agendo in modo ragionevole e prudente (quali, a titolo esemplificativo e non esaustivo, incendi, inondazioni, scioperi, controversie di lavoro o atri disordini industriali, guerre – dichiarate o di altro tipo -, embarghi, blocchi, restrizioni legali, sommosse, insurrezioni, regolamenti governativi). 

Rispetto delle Normative. Il CLIENTE sarà l’unico responsabile del pieno rispetto di tutte le leggi applicabili alla sua attività nella propria giurisdizione. La semplice contrattazione dei Servizi non equivale in alcun modo a garantire il rispetto delle norme applicabili alla gestione dell’orario di lavoro. SESAME TIME è uno strumento soggetto all’utilizzo da parte del CLIENTE, che è responsabile del compimento delle sue obbligazioni.

CESSAZIONE

SESAME si riserva il diritto di rescindere il Contratto in pieno diritto, senza alcun preavviso o indennizzo, nel caso in cui il Cliente o un Utente Autorizzato comprometta in qualsiasi modo l’integrità del SAAS, i diritti di proprietà intellettuale e industriale di SESAME sui Servizi o la reputazione dei marchi o dei prodotti di SESAME o intraprenda una qualsiasi delle azioni previste dalla Clausola 

Effetti della cessazione. Alla scadenza del contratto o alla sua cessazione per qualsiasi motivo: (i) al CLIENTE non verrà rimborsato alcun importo pagato a SESAME in base al presente contratto e SESAME fatturerà tutti i canoni dovuti per il periodo residuo dell’anno in corso; (ii) su richiesta del CLIENTE, SESAME si impegna a fornire al CLIENTE una copia del Database in un formato tecnico standard. Tale richiesta dovrà essere presentata entro un (1) mese dalla risoluzione del contratto; (iii) tutte le disposizioni del contratto cesseranno di avere effetto, ad eccezione di quelle disposizioni del presente contratto che, per loro natura, devono rimanere in vigore anche in caso di cessazione del contratto, comprese le disposizioni in materia di confidenzialità, proprietà intellettuale e protezione dei dati.

VARIE 

Titoli. I titoli delle clausole hanno scopo puramente illustrativo e non hanno alcun effetto legale.

Avvisi. Le Parti designano gli indirizzi di posta elettronica designati; nel caso di SESAME l’indirizzo di posta elettronica designato è legal@sesametime.com.

Cessione. Il CLIENTE non potrà cedere o trasferire il presente contratto senza il previo consenso scritto di SESAME. Tuttavia, il contratto può essere ceduto o trasferito da SESAME senza il consenso del CLIENTE, essendo sufficiente una notifica scritta preventiva della cessione al CLIENTE perché la cessione sia efficace. Una volta formalizzata la cessione, qualsiasi riferimento alla Parte cedente contenuto nel presente contratto dovrà essere inteso come un riferimento all’entità o alle entità cessionarie. 

Rinuncia. Nessun ritardo nell’esercizio di un diritto sarà considerato una rinuncia allo stesso, né la rinuncia a un diritto o a un rimedio in un caso particolare costituirà una rinuncia a tale diritto o rimedio in generale.

Invalidità parziale. Se una qualsiasi disposizione del presente contratto è ritenuta inapplicabile o non valida, le restanti disposizioni del contratto non saranno influenzate e rimarranno in vigore a tutti gli effetti.

Indipendenza. Il presente contratto è di natura commerciale e in nessun caso vi sarà un rapporto di lavoro tra le Parti, che saranno indipendenti a tutti gli effetti.

LEGGE APPLICABILE E GIURISDIZIONE

Legislazione applicabile. I termini del presente contratto saranno disciplinati e interpretati in tutti i loro aspetti in conformità alla legge spagnola.

Diritto applicabile. Le Parti dichiarano congiuntamente che, nei limiti del ragionevole, qualsiasi controversia che si verifichi in relazione al presente contratto o che derivi da esso dovrà essere risolta mediante negoziazione e consultazione reciproca. Nel caso in cui non si raggiunga una soluzione soddisfacente, la controversia sarà sottoposta ai tribunali della città di Valencia.

CONTRATTO PER LA PRESTAZIONE DI SERVIZI PROFESSIONALI DI ELABORAZIONE DATI

Il presente Contratto per la Prestazione di Servizi Professionali di Elaborazione Dati fa parte dei termini e delle condizioni generali, di seguito denominati “Contratto”, tra Sesame Labs S.L. e il Cliente, che stabilisce i termini e le condizioni applicabili ai servizi forniti da Sesame Labs S.L. (i “Servizi”). Il presente DPA e le altre clausole del Contratto sono integrative. Tuttavia, in caso di conflitto, prevarrà il Contratto per la Prestazione di Servizi Professionali di Elaborazione Dati .

DICHIARANO

(i) Che le Parti hanno stipulato un contratto di licenza d’uso del software SaaS di Sesame Time e di servizi (il “Contratto“) in base al quale l’Incaricato del Trattamento fornirà alcuni servizi (di seguito, i “Servizi“) che comportano l’accesso ai dati personali sotto la responsabilità del Titolare del trattamento

(ii) Il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito il “GDPR“) impone la regolamentazione degli obblighi di protezione dei dati assunti dalle Parti del Contratto.

(iii) Che, in conformità a quanto sopra, le Parti convengono di stipulare e sottoscrivere il presente Contratto per la Prestazione di Servizi Professionali di Elaborazione Dati, che sarà disciplinato dalle disposizioni dell’articolo 28 del GDPR, e da quanto segue:

CLAUSOLE

        1. Oggetto.

Al fine di eseguire i servizi derivanti dal Contratto e di fornire efficacemente i Servizi, l’Incaricato del Trattamento può avere accesso ai dati personali sotto la responsabilità del Titolare del trattamento.

         2. Identificazione delle informazioni interessate

Per l’esecuzione dei Servizi derivanti dall’adempimento dell’oggetto del presente Contratto per la Prestazione di Servizi Professionali di Elaborazione Dati, il Titolare del trattamento mette a disposizione dell’Incaricato del Trattamento le informazioni descritte di seguito:

Dati personali:

– Nome e cognome

– Nome e cognome: 

– CODICE FISCALE

– Immagine del profilo

– Registro di entrata e uscita

– Ferie, permessi, altre informazioni relative alla giornata lavorativa.

– Progetti.

– Geolocalizzazione (se applicabile).

– Dati biometrici (se applicabile).

Modulo di recruitment:

– Nome e cognome

– Indirizzo e-mail

– CODICE FISCALE

– Immagine (se applicabile)

– Curriculum Vitae (informazioni accademiche ed esperienze professionali, caratteristiche personali, permessi e licenze)

– Stato della domanda.

Categorie delle parti interessate: Dipendenti; Candidati

Specifica del trattamento de idati che si effettua:

X Raccolta        

X Strutturazione

X Conservazione

X Registrazione

X Anonimizzazione

Il trattamento dei dati relativi al “Modulo recruitment” si applica quando il Responsabile del Trattamento ha stipulato un contratto con l’Incaricato del Trattamento per i Servizi di recruitment al momento del rapporto iniziale tra le parti o ha ampliato l’oggetto del Contratto durante la durata del Contratto stesso.  

        3. Durata.

Il presente Contratto per la Prestazione di Servizi Professionali di Elaborazione Dati entrerà in vigore alla data di accettazione dei termini del Contratto. Il presente Contratto per la Prestazione di Servizi Professionali di Elaborazione Dati è accessorio al contratto principale di fornitura di servizi e la sua durata è pertanto legata alla durata di quest’ultimo.

       4. Obblighi del Responsabile del trattamento.

Il Responsabile del Trattamento è responsabile dell’esecuzione dei seguenti incarichi, oltre che dell’adempimento di qualsiasi altro obbligo a lui attribuito ai sensi del presente Contratto per la Prestazione di Servizi Professionali di Elaborazione Dati:

a) Rispettare tutte le misure tecniche e organizzative necessarie a garantire la sicurezza del trattamento, dei locali, delle attrezzature, dei sistemi, dei programmi e delle persone coinvolte nell’attività di trattamento dei dati personali di cui sopra, previste dalla normativa vigente e applicabile in qualsiasi momento.

b) consegnare all’Incaricato del Trattamento i dati di cui alla clausola 2 del presente documento, nonché le istruzioni necessarie per effettuare il trattamento dei dati nei termini stabiliti dal Responsabile.

c) Rispondere ai diritti delle persone interessate dal trattamento dei dati, come i diritti di accesso, rettifica, cancellazione e opposizione, limitazione del trattamento dei dati, portabilità dei dati e diritto a non essere oggetto di decisioni individuali automatizzate, in collaborazione con l’Incaricato.

d) Effettuare, in caso, una valutazione dell’impatto sulla protezione dei dati personali delle operazioni di trattamento che l’Incaricato del Trattamento deve effettuare.

e) Garantire, prima e durante il trattamento, il rispetto da parte dell’Incaricato del Trattamento delle norme applicabili in materia di protezione dei dati.

f) Supervisionare il trattamento dei dati, compresa l’esecuzione di ispezioni e verifiche.

g) Comunicare all’Incaricato del Trattamento qualsiasi variazione dei dati personali forniti, in modo che possano essere aggiornati.

       5. Obbligo di informazione e base legittima

Il Responsabilegarantisce di aver adempiuto all’obbligo di fornire tutte le informazioni agli interessati al momento della raccolta dei dati oggetto di trattamento, in conformità alle disposizioni degli artt. 12, 13 e 14 del GDPR, a seconda dei casi. 

Il Responsavile del Trattamento garantisce di avere un’adeguata base legittima per il trattamento dei dati personali che rispetta i principi di efficacia, necessità e proporzionalità, tenendo conto dell’esistenza di altre misure di protezione che possono essere meno invasive, evitando effetti discriminatori e stabilendo garanzie adeguate.

L’Incaricato del Trattamento non sarà in alcun caso responsabile per il mancato o difettoso adempimento dell’obbligo di informazione o per l’applicazione di una base di legittimazione adeguata.

     6. Obblighi dell’Incaricato del Trattamento

L’Incaricato del Trattamento ti dichiara e garantisce al Responsabile del Trattamento quanto segue:

  1. Che utilizzerà i dati personali oggetto del procedimento, o quelli raccolti per la loro inclusione, solo ai fini del presente incarico. In nessun caso può utilizzare i dati per scopi propri;
  1. Che tratterà e utilizzerà i dati personali a cui ha accesso solo secondo le istruzioni del’Responsabile del Trattamento e in conformità con le finalità disciplinate nel Contratto. 

Le istruzioni relative al trattamento dei dati e alle azioni affidate all’Incaricato del Trattamento devono essere comunicate all’Incaricato del Trattamento per iscritto.

Qualora l’Incaricato del Trattamento ti ritenga che l’osservanza di una particolare istruzione del Responsabile del Trattamento possa comportare una violazione della normativa in materia di protezione dei dati, dovrà darne immediata comunicazione al Responsabile del Trattamento. In questa comunicazione l’Incaricato del Trattamento dovrà chiedere al Responsabile del Trattamento di modificare, ritirare o confermare l’istruzione impartita e potrà sospendere l’adempimento in attesa di una decisione da parte del Responsabile. 

  1. Che, se previsto, terrà un registro scritto di tutte le categorie di attività di trattamento svolte per conto del responsabile, contenente tutte le informazioni previste dall’art. 30 GDPR.
  1. Che manterrà la riservatezza e la segretezza dei dati personali a cui ha accesso in relazione alla fornitura dei Servizi.
  1. Che non comunicherà a terzi se non dietro espressa autorizzazione del responsabile e nei casi legalmente ammissibili. 

L’Incaricato del Trattamento potrà comunicare i dati ad altri incaricati del trattamento dello stesso responsabile , secondo le istruzioni di quest’ultimo. In questo caso, il responsable del trattamento dovrà identificare, in anticipo e per iscritto, il soggetto a cui i dati devono essere comunicati, i dati da comunicare e le misure di sicurezza da applicare per procedere alla comunicazione. 

  1. Che fornirà al Responsabile del Trattamento le informazioni necessarie a dimostrare il rispetto degli obblighi stabiliti nel Contratto. 
  2. Fornire l’assistenza richiesta dal Responsabile per l’esecuzione di verifiche o ispezioni, effettuate dal Responsabile o da un altro revisore autorizzato dal Responsabile. Gli audit possono essere effettuati periodicamente, su base pianificata o ad hoc, con un ragionevole preavviso all’ incaricato del trattamento dei dati, durante il suo normale orario di lavoro. 
  1. Assicurerà che le persone autorizzate al trattamento dei dati personali si siano impegnate, espressamente e per iscritto, a rispettare le misure di sicurezza stabilite e a rispettare la riservatezza dei dati. Il rispetto di questo obbligo deve essere documentato dall’ Incaricato e reso disponibile al Responsabile del Trattamento.
  1. Che ha nominato un delegato della protezione dei dati (“DPO”) i cui dati di contatto sono i seguenti: legal@sesametime.com. 
  1. Che collaborerà all’adempimento degli obblighi del Responsabile e fornirà supporto al responsabile, ove opportuno e su richiesta sua richiesta, nell’esecuzione di (i) valutazioni d’impatto relative ai dati personali a cui ha accesso; (ii) consultazioni preventive con l’autorità di controllo.

 7. Destinazione dei dati. 

Al termine della fornitura dei Servizi, l’Incaricato del Trattamento restituirà i dati personali a cui ha accesso e tutte le copie esistenti, come richiesto dal Responsabile del Trattamento ai sensi della Sezione 13.2 del Contratto. 

L’Incaricato del Trattamento potrà conservarne una copia con i dati debitamente bloccati, per tutto il tempo in cui potranno sorgere responsabilità derivanti dall’esecuzione della fornitura dei Servizi.

     8. Notifica di violazioni della sicurezza dei dati. 

L’Incaricato del Trattamento notificherà al Responsabile, senza indebito ritardo e in ogni caso non oltre le 24 ore, qualsiasi incidente sospetto o confermato relativo alla protezione dei dati nell’ambito della sua area di responsabilità. Tra le altre cose, dovrà notificare al Responsabile qualsiasi trattamento che possa essere considerato illegale o non autorizzato, qualsiasi perdita, distruzione o danneggiamento dei dati e qualsiasi incidente considerato una violazione della sicurezza dei dati. La notifica deve essere accompagnata da tutte le informazioni pertinenti per la documentazione e la comunicazione dell’incidente alle autorità competenti o ai soggetti interessati.

L’Incaricato del Trattamento dei dati dovrà, inoltre, assistere il Responsabile in relazione agli obblighi di notifica previsti dal GDPR (in particolare dagli articoli 33 e 34 del GDPR) e da qualsiasi altra normativa attuale o futura applicabile che modifichi o integri tali obblighi.

    9. Esercizio dei diritti da parte degli interessati

L’Incaricato del Trattamento fornirà le informazioni e/o la documentazione richiesta dal Responsabile per rispondere alle richieste di esercizio dei diritti che il Responsabile potrebbe ricevere dagli interessati i cui dati sono trattati. Il L’Incaricato del Trattamento fornirà tali informazioni entro termini ragionevoli e, in ogni caso, con sufficiente anticipo per consentire al Responsabile di rispettare i termini legalmente applicabili per rispondere all’esercizio di tali diritti.

Quando gli interessati esercitano i diritti di accesso, rettifica, cancellazione e opposizione, limitazione del trattamento dei dati, portabilità dei dati e il diritto di non essere sottoposti a decisioni individuali automatizzate, dall’Incaricato del Trattamento lo comunica via e-mail all’indirizzo legal@sesametime.com

La comunicazione deve essere effettuata immediatamente per poter essere evasa entro i termini di legge stabiliti, e in ogni caso non oltre due giorni lavorativi dal ricevimento della richiesta, e deve essere presentata Responsabile insieme a qualsiasi informazione che possa essere rilevante per la sua risoluzione. 

   10. Sicurezza

In relazione alle misure di sicurezza tecniche e organizzative, l’Incaricato del Trattamento dei dati implementerà meccanismi per: 

     a) Garantire la riservatezza, l’integrità, la disponibilità e la resilienza permanenti dei sistemi e dei servizi di elaborazione. 

     b) Ripristinare tempestivamente la disponibilità e l’accesso ai dati personali in caso di incidente fisico o tecnico. 

     c) Verificare, valutare e valutare regolarmente l’efficacia delle misure tecniche e organizzative implementate per garantire la sicurezza del trattamento. 

     (d) Pseudonimizzare e criptare i dati personali, ove opportuno. 

In particolare, le Parti hanno concordato un elenco di misure l’Incaricato del Trattamento deve adottare, come indicato nell’Appendice A del presente Contratto per la Prestazione di Servizi Professionali di Elaborazione Dati.

Qualora il Responsabile, successivamente all’esecuzione del Contratto, richieda l’Incaricato l’adozione o il mantenimento di misure di sicurezza diverse da quelle concordate nella presente Appendice I, o qualora queste siano richieste da qualsiasi normativa futura, e ciò possa incidere significativamente sui costi di fornitura dei Servizi, il l’Incaricato e il Responsabile del Trattamento concorderanno misure contrattuali adeguate per affrontare l’effetto che tali modifiche possono avere sul prezzo dei Servizi.

   11. Subappalto

Il Responsabile del Trattamento concede all’Incaricato del Trattamento un’autorizzazione generale a subappaltare parte dei Servizi a soggetti terzi o a subappaltatori (il “Sub-Responsabile“). L’Incaricato del Trattamento dei dati informerà il Responsabile del Trattamento in merito ai dati che si vogliono subappaltare e identificherà in modo chiaro e inequivocabile la società subappaltatrice e i suoi dati di contatto. Il subappalto può essere effettuato se il Responsabile non si oppone entro 15 giorni.

L’Incaricato del Trattamento applicherà la dovuta diligenza per scegliere solo i sub-responsabili che forniscano garanzie sufficienti per implementare misure tecniche e organizzative adeguate, in modo che il trattamento dei dati esternalizzato sia conforme ai requisiti del GDPR e sia assicurata la protezione dei diritti degli interessati oggetto del trattamento.

Il Sub-Responsabile, che avrà anche lo status di incaricato del trattamento dei dati, sarà inoltre tenuto a rispettare gli obblighi imposti all’Incaricato del Trattamento e le istruzioni impartite dal Responsabile, come previsto dal presente Contratto di cessione del trattamento dei dati. Spetta all’Incaricato del Trattamento regolare il nuovo rapporto in un contratto firmato dall’Incaricato e dal Sub-Responsabile, in modo che il Sub-Responsabile sia soggetto alle stesse condizioni (istruzioni, obblighi, misure di sicurezza…) e agli stessi requisiti formali dell’Incaricato iniziale, per quanto riguarda il corretto trattamento dei dati personali e la garanzia dei diritti degli interessati. In caso di inadempienza da parte del Sub-Responsabile, quest’ultimo rimarrà pienamente responsabile nei confronti del Responsabile del Trattamento per il rispetto degli obblighi contenuti nel presente Contratto per la Prestazione di Servizi Professionali di Elaborazione Dati.

L’elenco dei sub-responsabili autorizzati dal Responsabile del Trattamento è allegato al presente Contratto per la Prestazione di Servizi Professionali di Elaborazione Dati come Appendice B.

   12. Trasferimenti internazionali dei dati

L’Incaricato del Trattamento non effettuerà trasferimenti internazionali di dati personali a cui ha accesso e che sono di competenza del Responsabile del Trattamento, a meno che non abbia l’autorizzazione preventiva del Responsabile del Trattamento o che non siano debitamente regolarizzati ai sensi degli articoli 45, 46 o 47 del GDPR. Fatti salvi i sub-responsabili autorizzati di cui all’Appendice B che effettuano determinate operazioni di trattamento dei dati  per conto dell’incaricato del Trattamento in territori al di fuori dello Spazio Economico Europeo, che hanno sottoscritto con l’incaricato del Trattamento le corrispondenti clausole contrattuali standard approvate dalla Commissione Europea (“STC”), un accordo firmato tra le due entità con il quale l’azienda extra-UE garantisce di applicare gli standard europei di protezione dei dati.

   13. Responsabilità.

L’Incaricato del Trattamento sarà ritenuto responsabile del trattamento nel caso in cui utilizzi i dati oggetto del presente Contratto per la Prestazione di Servizi Professionali di Elaborazione Dati per altri scopi, li comunichi o li utilizzi in violazione di quanto stabilito dal presente Contratto per la Prestazione di Servizi Professionali di Elaborazione Dati, e sarà responsabile di eventuali violazioni in cui sia incorso personalmente.

Il Responsabile informerà immediatamente l’Incaricato di eventuali procedimenti sanzionatori avviati nei confronti del Titolare del trattamento dall’AEPD o da qualsiasi altra autorità competente per tali violazioni o difetti di conformità, in modo che l’Incaricato possa assumere la difesa legale a proprie spese, agendo sempre in coordinamento con il Responsabile preservando la propria immagine e reputazione pubblica.

Ciascuna Parte manterrà l’altra Parte indenne da richieste di risarcimento, indennizzi, azioni e spese derivanti da richieste di risarcimento che la Parte è tenuta a pagare in base a sentenze o lodi definitive emesse da un tribunale competente, o in virtù di un accordo raggiunto tra una Parte e terzi ricorrenti, che sono la conseguenza di una mancata o carente osservanza dei regolamenti applicabili.

APPENDICE A.- MISURE DI SICUREZZA

La nostra infrastruttura è principalmente basata su Cloud, utilizziamo diversi provider, per una maggiore tolleranza ai guasti, e viene costantemente migliorata.

La nostra applicazione ha un’architettura distribuita, che ci consente di avere servizi separati di front, api e altri servizi necessari per il funzionamento dell’applicazione. Inoltre, ci consente una migliore scalabilità del servizio, in quanto possiamo controllare separatamente quale parte dell’infrastruttura deve supportare un carico maggiore.

D’altra parte, abbiamo un ambiente di sviluppo virtualizzato che consente al nostro team di apportare tutte le modifiche in parallelo e controllate dal sistema di controllo delle versioni GIT, che ci permette di garantire l’integrità del sistema. E anche un flusso di integrazione continua con Gitlab.

Metodologie di sviluppo

SOLIDO
DDD (Domain Driven Design)
Test unitari
Architettura esagonale.
Autenticazione multipla
CI/CD con Gitlab.

Linguaggi di programmazione

Backend
Symfony 4
PHP 7.x.x
MySQL / MariaDB.
Redis. o SQS (o Beanstalk)
S3
SQS

Frontend
VueJS
Tailwind
Libreria di componenti logici proprietari.


Applicazioni

VueJS
Capacitor
Typescript

Sockets
NodeJS
Express
Dattiloscritto
SocketIO.

Infrastrutture

Per elaborare tutte le informazioni sono disponibili le seguenti tecnologie infrastrutturali.

  • Debian 10
  • Docker
  • K8S
  • AWS
  • Google Cloud
  • OVH Cloud
  • Proxmox
  • HAProxy
  • Cloudflare

Il nostro reparto sistemi sarà responsabile di garantire che i server abbiano il software necessario per il corretto funzionamento dell’applicazione.

Fornitori

Server di database

  • Relazionale (sql): per i database relazionali utilizzeremo MariaDB.
  • Il database deve essere codificato in utf8.
  • Avremo un utente con i seguenti permessi:
    – Schema (creazione di oggetti): Sì (creazione, modifica e cancellazione di tabelle).
    – Scrittura (SUDI Select, Update, Delete and Insert): Sì
    – Lettura (SELECT): Sì

I backup vengono eseguiti settimanalmente con backup completi e incrementali giornalieri. Dal nostro server di database conserviamo una copia delle copie su base mensile, settimanale e giornaliera, archiviata sul nostro server slave. Inoltre, ogni ora vengono effettuate copie del database del nostro server principale.

Conserviamo copie di tutti i contenuti del server Web e copie dei file di configurazione dei servizi critici.

Utilizziamo un server di backup in Francia, ridondante in Polonia, per garantire la disponibilità dei backup in caso di disastro.

L’amministratore dei sistemi informativi o del dipartimento IT, o chi ne fa le veci, è il responsabile designato che redige una procedura per testare i backup e verificare il ripristino dei backup su base mensile.

In caso di recupero di una copia, si seguirà la seguente procedura:

Misure di sicurezza dell’infrastruttura
Centro dati

I nostri server sono appaltati a OVH, numero uno in Europa e terzo al mondo nel settore del web hosting, che dispone di oltre 150.000 server fisici. Il successo di OVH risiede nel controllo totale che esercita sulla catena di hosting, compresa la produzione dei suoi server. OVH è nota per la particolare attenzione che dedica alla selezione dei componenti delle sue macchine, esigendo la massima qualità.

Ogni server viene sistematicamente sottoposto a una serie di test per verificarne la conformità tecnica e il buon comportamento in ogni circostanza. Non appena la macchina lascia la produzione, viene installata e collegata nei datacenter OVH. Un robot controlla quindi che l’hardware sia quello ordinato dal cliente e che le sue prestazioni siano conformi alle specifiche.

I punti di controllo sono i seguenti:

  • processori: conformità, prova di carico, temperatura;
  • Memoria RAM: dimensione, memtest;
  • BIOS: versione del BIOS, virtualizzazione;
  • dischi: velocità, test SMART, versione del firmware, ecc.

Abbiamo anche servizi a contratto su AWS. AWS è stata pioniera del cloud computing dal 2006, creando un’infrastruttura cloud che consente di creare in modo sicuro e innovare più rapidamente. I loro centri dati sono progettati per proteggersi dai rischi naturali e antropici. Implementano controlli, sviluppano sistemi automatizzati e si sottopongono a verifiche di terzi per confermare la sicurezza e la conformità.

I data center sono progettati per anticipare e tollerare gli errori mantenendo i livelli di servizio. In caso di errore, i processi automatici deviano il traffico dall’area interessata. Le applicazioni core sono distribuite con uno standard N+1, in modo che in caso di guasto in un data center, la capacità sia sufficiente per bilanciare il traffico tra gli altri siti.

AWS controlla ed esegue la manutenzione preventiva delle apparecchiature elettriche e meccaniche per mantenere il costante funzionamento dei sistemi installati nei data center AWS. Le procedure di manutenzione dell’apparecchiatura sono eseguite da personale qualificato e in conformità a un programma di manutenzione documentato.

Protezione dagli attacchi
I nostri server utilizzano l’infrastruttura anti-DDoS distribuita da OVH per proteggere i server 24 ore su 24 da qualsiasi tipo di attacco DDoS, indipendentemente dalla durata e dalla portata.
L’obiettivo di un attacco DDoS è quello di distruggere un server, un servizio o un’infrastruttura inviando più richieste simultanee da più punti della rete.


L’intensità di questo “fuoco incrociato” destabilizza il servizio, o peggio, lo mette fuori uso. Questa infrastruttura consente:
– analizzare tutti i pacchetti in tempo reale e ad alta velocità,
– aspirare il traffico in entrata dal server,
– mitigare, cioè identificare tutti i pacchetti IP illegittimi, ma lasciare passare i pacchetti IP legittimi.

Sicurezza

Sesame è molto attenta alla sicurezza, al trattamento dei dati e alla loro dispersione. Per questo motivo lavoriamo ogni giorno per migliorare la sicurezza, mantenendo chiari gli obiettivi in questo settore. Per questo motivo, ora approfondiremo i diversi aspetti che trattiamo in termini di sicurezza, sia nell’applicazione che nell’infrastruttura:

Fornitori di cloud: Sesame utilizza diversi fornitori di cloud per fornire la massima disponibilità e scalabilità all’applicazione. Tutti i nostri fornitori dispongono almeno delle seguenti certificazioni di sicurezza:

  • ISO/IEC 27001, 27017 e 27018
  • PCI DSS Livello 1
  • GDPR Conformità al Regolamento UE 2016/679 sulla protezione generale dei dati.
  • SSAE 18 di tipo 2: SOC 1, SOC 2 e SOC 3

L’accesso a questi provider è consentito solo ai dipendenti con un livello di accreditamento molto alto nell’azienda, quasi sempre da un responsabile di area o di sistema.

Server: l’accesso ai server è limitato ai dipendenti con un alto livello di accreditamento. L’accesso ai server utilizzerà una coppia di chiavi crittografate RSA a 2048 bit e includerà una password utente nominale che consentirà di registrare l’accesso dell’utente e un registro dettagliato delle modifiche o alterazioni apportate alle macchine per eventuali verifiche successive.

Strumenti di terze parti: Sesame utilizza strumenti di sicurezza di terze parti, come Tenable.io, che inventaria tutte le nostre macchine e i domini che utilizziamo e lancia periodicamente verifiche di vulnerabilità e intrusioni. Pertanto, ogni settimana i nostri esperti ricevono nuovi rapporti che indicano possibili violazioni della sicurezza che, in base all’algoritmo AI di Tenable, saranno riparate con l’ordine di priorità consigliato.

Accesso all’applicazione: L’accesso alla piattaforma avverrà sempre attraverso il nostro provider CDN e DNS CloudFlare, che dispone di un WAF integrato all’avanguardia in grado di rilevare e mitigare gli attacchi che colpiscono direttamente l’applicazione.

Politica di patching

Tutti i servizi, e le infrastrutture che li supportano, accessibili da Internet, sia per uso interno all’azienda che per i nostri clienti, seguono una politica di aggiornamenti di sicurezza agili. Questi servizi vengono patchati non appena veniamo a conoscenza di un bug o di una vulnerabilità importante. Nel caso di aggiornamenti non critici, il patching è programmato mensilmente o trimestralmente, a seconda delle nostre esigenze e dell’applicazione.


I servizi interni (stampanti, apparecchiature della rete locale, centralini telefonici, ecc.) hanno una politica di aggiornamenti periodici programmati (ogni sei mesi, ogni anno, ecc.) a seconda delle esigenze e realizzati dal reparto informatico dell’azienda.

Abbiamo anche un sistema di allarme virus, ClamAV.

APPENDICE B – ELENCO DEI SUB-RESPONSABILE

NOME DEL SUB-RESPONSABILEINDIRIZZO DELLA AZIENDA REGISTRATALUOGO ATTUALE DEL TRATTAMENTOLINK ALLA POLITICA DELLA PRIVACY DEL SUB-RESPONSABILE
OVH SAS2 rue Kellermann 59100 Roubaix, (Francia)Francia (OVH Cloud Gravelines (GRA3)
Rte de la Frm Masson
59820 Gravelinas)
https://www.ovh.es/proteccion-datos-personales/seguridad.xml
Amazon Web Services410 Terry Avenue North, Seattle, WA 98109-5210, ATTNFrancia (Amazon Brétigny-sur-Orge
91220 Brétigny-sur-Orge)
https://aws.amazon.com/es/compliance/
The Rocket Science Group (Mailchimp)675 Ponce De Leon Ave NE, Atlanta, Georgia 30308, USStati Uniti d’Americahttps://mailchimp.com/about/security/