Allegato 1

OpenMethods

Condizioni del servizio

 

I presenti Termini di servizio (il “Contratto”) sono un contratto vincolante e regolano l’uso e l’accesso ai Servizi da parte dell’Utente (l’“Abbonato” identificato nel SOW Zendesk a cui è allegato il presente Accordo), degli agenti e degli utenti finali in connessione con un Abbonamento ai Servizi.

 

Al momento dell’esecuzione del SOW Zendesk a cui è allegato il presente Accordo, l’Utente accetta di essere vincolato dal presente Accordo a partire dalla data di tale accesso o utilizzo del Servizio (la “Data di entrata in vigore”). Se stai stipulando il presente Accordo per conto di un’azienda, un’organizzazione o un’altra persona giuridica (una “Entità”), accetti il presente Accordo per tale Entità e dichiari a OpenMethods di avere l’autorità di vincolare tale Entità e le sue affiliate al presente Accordo, nel qual caso i termini “Abbonato”, “Tu”, “Tuo” o “Cliente” nel presente documento si riferiscono a tale Entità e alle sue Affiliate. Se non disponi di tale autorità, o se non sei d’accordo con il presente Accordo, non devi usare o autorizzare alcun uso dei Servizi.  Abbonato e OpenMethods sono indicati come “Parti” e collettivamente denominati “Parti” ai fini del presente Accordo.

 

In caso di incoerenza o conflitto tra i termini del presente Accordo e i termini di qualsiasi SOW Zendesk, prevarranno i termini del SOW Zendesk.

OpenMethods e l’utente concordano quanto segue:

 

SERVIZI.

 

1.  Uso dei Servizi.  OpenMethods concede al Cliente il diritto di accedere ai Servizi.

1.1.       Abbonamento. Dopo l’accettazione da parte di OpenMethods di un SOW Zendesk e in base ai termini del presente Accordo, OpenMethods concede al Cliente un abbonamento non esclusivo, non cedibile, esente da royalty e limitato a livello mondiale per l’uso dei Servizi esclusivamente per le operazioni aziendali del Cliente.  OpenMethods fornirà questi Servizi tramite il Web dal suo ambiente Software-as-a-Service ("SaaS") basato sul cloud o dall'ambiente SaaS basato sul cloud dei suoi partner terzi autorizzati ("Partner").

1.2.       Il presente Accordo prevede uno o più SOW Zendesk per i Servizi e ciascun SOW Zendesk descriverà in modo più dettagliato i Servizi ordinati e le tariffe associate.

1.3.       Gli abbonamenti scadono al termine della Durata dell’ordine applicabile (definita di seguito) stabilita nel SOW Zendesk, a meno che non vengano rinnovati.

1.4.       I dipendenti, gli agenti e i collaboratori del Cliente (ciascuno un “Utente finale autorizzato”) e gli utenti finali del Cliente (ciascuno un “Utente finale”) possono usare i Servizi.  Ogni Utente finale autorizzato deve essere registrato con un nome utente e una password univoci; due Utenti finali autorizzati non possono registrarsi o usare i Servizi come lo stesso Utente finale autorizzato registrato, né gli Utenti finali autorizzati possono condividere lo stesso nome utente e password. Il Cliente è responsabile del rispetto del Contratto da parte di ciascun Utente finale autorizzato e di ciascun Utente finale.

1.5.       Il Cliente può ordinare Servizi per l’uso da parte delle proprie Affiliate e, in tal caso, l’Abbonamento concesso al Cliente ai sensi del presente Accordo si applicherà a tali Affiliate, a condizione che solo il Cliente abbia il diritto di far valere il presente Accordo nei confronti di OpenMethods.  Il Cliente rimane responsabile di tutti gli obblighi previsti dal presente Accordo e del rispetto da parte delle sue Affiliate del presente Accordo e di qualsiasi SOW Zendesk applicabile.

1.6.       OpenMethods si riserva tutti i diritti non espressamente concessi nel presente Accordo.  Nessun diritto sarà concesso o implicito per rinuncia o preclusione.

1.7.       Obblighi Support i servizi.

Support. OpenMethods fornirà, senza costi aggiuntivi, assistenza clienti standard agli Abbonati per i Servizi, come indicato nel sito e nella documentazione applicabili. Se acquistato dall’abbonato, OpenMethods fornirà assistenza aggiornata o assistenza che include accordi sul livello di servizio.

1.8.   OpenMethods dichiara e garantisce che i Servizi raggiungeranno una percentuale di disponibilità mensile di almeno il 99,9% in qualsiasi mese di calendario (ovvero un massimo di quarantatre (43) minuti di inattività al mese) durante la Durata dell'ordine. I tempi di manutenzione/inattività pianificati devono essere limitati a meno di quattro (4) ore in un dato mese e OpenMethods fornirà al Cliente un preavviso scritto di almeno sette (7) giorni (email accettabile) in merito a tale indisponibilità.

1.9.   OpenMethods fornirà al Cliente un preavviso di almeno sei (6) mesi in caso di fine vita o ritiro delle funzionalità.

 

2.  Responsabilità del cliente. 

2.1.       Gestione accessi.  Assente una scritta Abbonamento da OpenMethods che afferma espressamente il contrario, l’Utente accetta e riconosce di non poter usare i Servizi, inclusa, a titolo esemplificativo, l’API, per eludere il requisito di un accesso agente individuale per ogni individuo che (a) sfrutta i Servizi per interagire con End- Utenti; (b) usare i dati relativi alle interazioni con gli Utenti finali nei Servizi; o (c) usare i dati relativi alle interazioni provenienti da un Servizio non OpenMethods che fornisce funzionalità simili a quelle fornite dai Servizi e che, ai sensi del presente Accordo, richiedono un accesso agente individuale, se si utilizzano i Servizi per tale interazione. Inoltre, il Cliente non dovrà usare l’API o qualsiasi Servizio in modo tale da aggirare le limitazioni applicabili del Piano di servizio o le limitazioni alle licenze degli Agenti che sono applicate nell’interfaccia utente del Servizio. OpenMethods si riserva il diritto di addebitare all’Utente, e l’Utente accetta di pagare, qualsiasi utilizzo eccedente del Servizio in violazione delle Zendesk SOW.

2.2.       Conformità Per quanto riguarda l’utente e OpenMethods, l’utente è responsabile del rispetto delle disposizioni del presente Accordo da parte degli agenti e degli utenti finali e di tutte le attività che si verificano nell’ambito dell’account, che OpenMethods può verificare di volta in volta. Senza limitare quanto sopra, l’Utente garantisce che l’uso dei Servizi sia conforme a tutte le leggi e normative applicabili, nonché a tutte le informative sulla privacy, gli accordi o altri obblighi che l’Utente può mantenere o stipulare con agenti o utenti finali.

2.3.       Contenuti e condottaNell’uso dei Servizi, l’utente accetta di non (a) modificare, adattare o violare i Servizi o tentare in altro modo di ottenere l’accesso non autorizzato ai Servizi o ai relativi sistemi o reti; (b) tentare di aggirare o violare qualsiasi meccanismo di sicurezza o limitazione della velocità di uno qualsiasi dei Servizi o usare i Servizi in qualsiasi modo che interferisca con o interrompa l'integrità, la sicurezza o le prestazioni dei Servizi e dei suoi componenti; (c) tentare di decifrare, decompilare, decodificare o altrimenti scoprire il codice sorgente di qualsiasi software che compone i Servizi; o (d) nella misura in cui l’Utente è soggetto all’Health Insurance Portability and Accountability Act degli Stati Uniti del 1996 e alle relative normative di attuazione (HIPAA), usa i Servizi per memorizzare o trasmettere qualsiasi “informazione sanitaria protetta” come definita da HIPAA, a meno che non sia espressamente ha concordato diversamente per iscritto da OpenMethods.

2.4.       Requisiti di sistema Per un uso corretto dei Servizi è necessaria una connessione Internet ad alta velocità. L’utente è responsabile dell’approvvigionamento e della gestione delle connessioni di rete che collegano la rete ai Servizi, inclusi, a titolo esemplificativo, browser software che supportano i protocolli usati da OpenMethods e indicati nella Documentazione, incluso il protocollo Transport Layer Security (TLS) o altro accettati da OpenMethods e di seguire le procedure per accedere ai servizi che assistenza tali protocolli.  OpenMethods non è responsabile della notifica all’utente, agli agenti o agli utenti finali di eventuali aggiornamenti, correzioni o miglioramenti di tali software o di qualsiasi compromissione di dati, inclusi i dati di servizio, trasmessi attraverso reti di computer o strutture di telecomunicazioni (incluso, a titolo esemplificativo, Internet ) che non sono di proprietà, gestiti o controllati da OpenMethods. OpenMethods non si assume alcuna responsabilità per l'affidabilità o le prestazioni delle connessioni descritte in questa sezione.

2.5.       Solo per scopi aziendali interni Salvo diversa autorizzazione da parte di OpenMethods nel presente Accordo o espressamente concordato diversamente per iscritto da OpenMethods, l’Utente non può usare i Servizi in alcun modo quando agisce come un’agenzia di servizi o per fornire servizi di processi aziendali in outsourcing per conto di più di un utente (1 ) di terzi (diversi dagli affiliati) tramite un singolo Account. Questa disposizione non ha lo scopo di impedire o limitare l'uso dei Servizi per fornire assistenza aziendale a più Utenti finali; tuttavia, l’Utente accetta di non concedere in licenza, concedere in sublicenza, vendere, esternalizzare, affittare, concedere in locazione, trasferire, assegnare, distribuire, condividere in multiproprietà o altrimenti sfruttare commercialmente o rivendere i Servizi a terzi, ad eccezione degli Agenti e degli Utenti finali autorizzati. delle finalità aziendali interne dell’Utente, come espressamente consentito dal presente Accordo. Senza limitare quanto sopra, il diritto dell’Utente di accedere e usare l’API OpenMethods è soggetto anche alle limitazioni e alle politiche implementate di volta in volta da OpenMethods in relazione all’API, come indicato nella Documentazione o altrimenti comunicato all’Utente in conformità al presente Accordo.

2.6.       Accesso vietato alla concorrenza L’utente non può (i) decodificare i Servizi, (ii) rimuovere o modificare qualsiasi contrassegno di proprietà o legenda restrittiva nei Servizi, o (iii) accedere ai Servizi per creare un prodotto o servizio competitivo o copiare qualsiasi funzione, funzione, interfaccia utente o grafica dei Servizi. Non puoi accedere ai Servizi se sei un concorrente di OpenMethods.

 

3.  Dati dei clienti e privacy.

3.1.       Il Cliente deve fornire tutti i dati (“Dati del cliente”) per l’uso dei Servizi e OpenMethods non è obbligata a modificare o aggiungere i Dati del cliente.  Il Cliente è l’unico responsabile della liceità dei Dati del Cliente.  OpenMethods non memorizzerà né archivierà i Dati dei clienti provenienti dai Servizi, pertanto è responsabilità del Cliente archiviare e archiviare i Dati dei clienti.

3.2.       I dati del cliente appartengono al cliente e OpenMethods non rivendica alcun diritto di proprietà su di essi.

3.3.       Sub-responsabili del trattamento. OpenMethods utilizzerà sub-responsabili del trattamento che avranno accesso o elaboreranno i Dati dei clienti per assisterti nella fornitura dei Servizi. Con la presente confermi e fornisci l’autorizzazione generale all’uso da parte di OpenMethods dei sub-responsabili del trattamento elencati nella nostra Policy per i sub-responsabili del trattamento all’indirizzo: https://www.openmethods.com/privacy. OpenMethods sarà responsabile degli atti e delle omissioni dei membri del personale e dei sub-responsabili di OpenMethods nella stessa misura in cui sarebbe responsabile se OpenMethods prestasse i servizi di ciascun personale o sub-responsabile di OpenMethods direttamente ai sensi del presente Accordo. Puoi iscriverti per ricevere notifiche di eventuali modifiche alla nostra Policy per i sub-responsabili del trattamento nella pagina web della policy.

3.4.       Fornitori di servizi di terzi. OpenMethods può usare fornitori di servizi di terzi che vengono utilizzati da OpenMethods per assisterti nella fornitura dei Servizi, ma che non hanno accesso ai Dati del servizio. Qualsiasi fornitore di servizi di terzi utilizzato da OpenMethods sarà soggetto a obblighi di riservatezza sostanzialmente simili ai termini di riservatezza qui indicati.

3.5.       Protezioni. OpenMethods manterrà adeguate salvaguardie amministrative, fisiche e tecniche per la protezione della sicurezza, della riservatezza e dell’integrità dei Servizi in conformità con la nostra politica sulla privacy all’indirizzo: https://www.openmethods.com/privacy e i requisiti di sicurezza delle informazioni di cui all’Allegato A, allegato al presente documento.

3.6.       Informazioni di contatto agente. OpenMethods è responsabile del trattamento dei dati delle informazioni di contatto degli agenti ed elaborerà tali informazioni di contatto degli agenti in conformità con la nostra Informativa sulla privacy all’indirizzo: https://www.openmethods.com/privacy. L’utente ha la responsabilità di informare gli agenti dei loro diritti stabiliti nella nostra Informativa sulla privacy. Dichiari e garantisci di aver ottenuto tutti i consensi, le autorizzazioni e i diritti pertinenti e di aver fornito tutte le notifiche pertinenti necessarie ai sensi delle leggi sulla protezione dei dati applicabili a OpenMethods per elaborare legalmente le informazioni di contatto degli agenti.

3.7.       Accordo sul trattamento dei dati. L’Accordo sul trattamento dei dati di cui all’Allegato B, allegato al presente documento, e/o qualsiasi altra condizione sulla privacy fornita da OpenMethods disponibile all’indirizzo: https://www.OpenMethods.com/privacy deve essere incorporato come riferimento nel presente Accordo.

 

4.  Garanzie sui servizi.  OpenMethods garantisce che: (i) i Servizi funzioneranno sostanzialmente come descritto nella Documentazione; e (ii) OpenMethods possiede o ha il diritto di fornire i Servizi al Cliente ai sensi del presente Accordo.  I rimedi indicati nella presente Sezione 4 sono rimedi esclusivi del Cliente in caso di violazione di una delle due garanzie.

4.1.       Se i Servizi non funzionano sostanzialmente in conformità con la Documentazione, OpenMethods deve, a sua discrezione, (i) modificare i Servizi per renderli conformi alla propria Documentazione; oppure (ii) fornire una soluzione alternativa che soddisfi ragionevolmente i requisiti del Cliente.  Se nessuna di queste opzioni è commercialmente fattibile, una delle parti può risolvere il SOW Zendesk pertinente ai sensi del presente Accordo.

4.2.       Se il normale funzionamento, il possesso o l’uso dei Servizi da parte del Cliente risulta in violazione di qualsiasi diritto di proprietà intellettuale statunitense di terzi o se OpenMethods ritiene che ciò sia probabile, OpenMethods deve, a sua discrezione, (i) ottenere una licenza o un abbonamento da tale terzi a vantaggio del Cliente; (ii) modificare i Servizi in modo che non violi più; oppure (iii) se nessuna di queste opzioni è fattibile dal punto di vista commerciale, rescindere il SOW Zendesk pertinente ai sensi del presente Accordo.

4.3.       Tuttavia, OpenMethods non ha obblighi di garanzia per:

4.3.1. la misura in cui i Servizi sono stati modificati dal Cliente o da terzi;

4.3.2. problemi nei Servizi causati da software o hardware di terzi, da danni accidentali o da altri motivi al di fuori del ragionevole controllo di OpenMethods.

4.4.       Su base regolare, OpenMethods esegue scansioni delle vulnerabilità di rete interne ed esterne.  Le vulnerabilità identificate saranno risolte in modo commercialmente ragionevole e con tempistiche basate sulla gravità.

 

SERVIZI PROFESSIONALI.

 

5.  Servizi professionali. 

5.1 SOW.  I risultati finali, le tariffe, il personale, l’ambito e altri termini di ciascun incarico di Servizi professionali saranno indicati nel SOW di Zendesk.  Gli incarichi del servizio Professional sono fatturati in base al tempo e ai materiali o a una tariffa fissa in conformità con il SOW di Zendesk.

5.2 Garanzie. OpenMethods garantisce che (i) i Servizi professionali saranno sostanzialmente conformi al SOW; e (ii) i Servizi professionali saranno prestati con ragionevole competenza, cura e diligenza. I rimedi indicati nella presente Sezione 5 sono rimedi esclusivi del Cliente in caso di violazione di una delle due garanzie.

5.2.1 Se i Servizi professionali non sono conformi al SOW o non vengono eseguiti con ragionevole competenza, cura e diligenza, OpenMethods eseguirà nuovamente i Servizi professionali nella misura necessaria per correggere le prestazioni difettose.

5.3 Responsabilità del cliente.  Il Cliente deve fornire a OpenMethods tutte le informazioni, l’accesso e la piena collaborazione in buona fede ragionevolmente necessari per consentire a OpenMethods di fornire i Servizi professionali e deve fare tutto ciò che è identificato nel SOW come responsabilità del Cliente.  In caso contrario, OpenMethods sarà esonerato dai suoi obblighi nella misura in cui gli obblighi dipendono dalle prestazioni del Cliente.

 

PROPRIETÀ INTELLETTUALE.

 

6.  Proprietà intellettuale.  OpenMethods possiede o ha concesso in licenza i diritti su tutti i diritti di proprietà intellettuale relativi ai Servizi e a qualsiasi cosa fornita come parte dei Servizi professionali. OpenMethods detiene tutti i diritti su feedback, miglioramenti, miglioramenti o modifiche ai Servizi.

 

GENERALI

 

7.  Pagamenti. 

7.1 Fatture. Zendesk elabora la fatturazione delle tariffe per l’acquisto da parte del Cliente dei Servizi OpenMethods ai sensi del presente Accordo. Il cliente deve pagare le tariffe elencate nel SOW Zendesk pertinente e tutte le informazioni di fatturazione saranno riportate nel SOW Zendesk. 

 

 

8.  Durata, risoluzione e sospensione.

8.1 Il presente Accordo continua per la durata del SOW Zendesk, fino alla risoluzione da parte di una delle parti, come descritto di seguito ("Durata").  La durata di ciascun ordine ("Durata dell'ordine") sarà indicata nel SOW di Zendesk. Alla data di fine della Durata dell’ordine, i diritti del Cliente di accedere o usare i Servizi cesseranno.

8.2 Ciascuna delle parti può risolvere immediatamente il presente Accordo se il Cliente viola qualsiasi termine sostanziale del presente Accordo e la violazione non viene sanata entro 30 giorni dalla notifica scritta. 

8.3 Le sezioni 2, 6, 7, 8, 9, 10, 11, 12 e 15.3 continuano dopo la scadenza del presente Accordo.

8.4 Se OpenMethods risolve il presente Accordo a causa del mancato pagamento da parte del Cliente, tutte le commissioni non pagate per il resto della Durata dell'ordine sono immediatamente dovute.

 

9.  Esclusione di garanzia.  SALVO QUANTO ESPRESSAMENTE PREVISTO NEL PRESENTE CONTRATTO, I SERVIZI E I SERVIZI PROFESSIONALI NON SONO FORNITI ALCUNA GARANZIA DI ALCUN TIPO E OPENMETHODS DECLINA OGNI ALTRA GARANZIA, ESPRESSA O IMPLICITA, INCLUSE, A TITOLO ESEMPLIFICATIVO, QUALSIASI GARANZIA DI COMMERCIABILITÀ O IDONEITÀ A SCOPI PARTICOLARI. OPENMETHODS NON GARANTISCE CHE L’UTILIZZO DEI SERVIZI O DEI SERVIZI PROFESSIONALI SIA ININTERROTTO O ESENTE DA ERRORI.

 

10. Limitazione di responsabilità.  NESSUNA PARTE SARÀ RESPONSABILE IN BASE AL PRESENTE ACCORDO NEI CONFRONTI DELL’ALTRA PARTE PER EVENTUALI DANNI INDIRETTI, SPECIALI, ACCIDENTALI, PUNITIVI O CONSEQUENZIALI (INCLUSI, A TITOLO ESEMPLIFICATIVO, DANNI PER PERDITA DI AVVIAMENTO, ARRESTO DEL LAVORO, GUASTO O MALFUNZIONAMENTO DEL COMPUTER, PERDITA O DANNEGGIAMENTO DI DATI, PERDITA DI PROFITTI, PERDITA DI AFFARI O PERDITA DI OPPORTUNITÀ) O QUALSIASI ALTRO DANNO SIMILE IN BASE A QUALSIASI TEORIA DI RESPONSABILITÀ (CONTRATTUALE, ILLECITO, RESPONSABILITÀ CORRETTA O QUALSIASI ALTRA TEORIA), ANCHE SE L’ALTRA PARTE È STATA INFORMATA DI QUESTA POSSIBILITÀ. LA RESPONSABILITÀ COMPLESSIVA DI CIASCUNA PARTE PER EVENTUALI PERDITE DIRETTE, COSTI, RECLAMI O DANNI DI QUALSIASI TIPO RELATIVI AL RILEVANTE SOW ZENDESK NON POTRÀ SUPERARE L’IMPORTO DELLE COMMISSIONI PAGATE O PAGABILI DAL CLIENTE IN BASE A TALE SOW ZENDESK RILEVANTE DURANTE I DODICI (12) MESI PRIMA L’EVENTO CHE HA DATO ORIGINE A TALI PERDITE, COSTI, RECLAMO O DANNI.  TUTTAVIA, NON VI È ALCUNA LIMITAZIONE DI RESPONSABILITÀ PER LA VIOLAZIONE DEI DIRITTI DI PROPRIETÀ INTELLETTUALE DA PARTE DEL CLIENTE, PER IMPORTI DOVUTI DAL CLIENTE A OPENMETHODS AI SENSI DEL PRESENTE ACCORDO O IN RELAZIONE A OBBLIGHI DI INDENNIZZO DI UNA PARTE.  QUESTA LIMITAZIONE DI RESPONSABILITÀ ERA ED È PARTE ESPRESSA DELLA CONTRATTAZIONE TRA L’AZIENDA E IL CLIENTE ED È STATA UN FATTORE CONTROLLANTE NELLA DETERMINAZIONE DELLE COMMISSIONI PAGABILI A OPENMETHODS.

 

11. Riservatezza.

11.1 Il presente Accordo e i Servizi, la Documentazione e il Prodotto di lavoro contengono preziosi segreti commerciali che sono di proprietà esclusiva di OpenMethods e il Cliente accetta di usare la ragionevole cura per impedire ad altre parti di venire a conoscenza di tali segreti commerciali.  Il Cliente deve adottare ogni ragionevole cura per prevenire l’accesso non autorizzato o la duplicazione dei Servizi, della Documentazione e del Prodotto di lavoro, ma in nessun caso minore cura di quella che il Cliente usa per proteggere le proprie informazioni riservate e i segreti commerciali.

11.2 I Dati del cliente e altri materiali contrassegnati come “Riservati” dal Cliente o che dovrebbero essere ragionevolmente riconosciuti come informazioni riservate e divulgati a OpenMethods possono includere preziosi segreti commerciali che sono di proprietà esclusiva del Cliente.  OpenMethods deve prestare la massima attenzione per evitare che altre parti vengano a conoscenza di questi segreti commerciali, ma in nessun caso meno attenzione di quella che OpenMethods usa per proteggere le proprie informazioni riservate e i segreti commerciali.

11.3 Le sezioni 12.1 e 12.2 non si applicano alle informazioni che (i) sono attualmente, o divengono successivamente, a causa dell’assenza o dell’omissione di agire da parte della parte ricevente (il “Destinatario”), generalmente note o disponibili; (ii) è noto al Destinatario al momento della ricezione di tali informazioni, come risulta dai registri del Destinatario; (iii) viene successivamente fornito al Destinatario da terzi, per diritto e senza limitazioni di divulgazione; o (iv) devono essere divulgate per legge, a condizione che la parte a cui appartengono le informazioni sia informata preventivamente per iscritto di tale proposta di divulgazione.

11.4 In caso di risoluzione per qualsiasi motivo, su richiesta della parte divulgante, la parte ricevente restituirà tempestivamente tutte le Informazioni riservate della parte divulgante, a condizione che nessuna delle parti sia obbligata a restituire le Informazioni riservate ricevute dalla parte divulgante che sono memorizzate nella parte ricevente sistema di backup di routine e, in tal caso, gli obblighi di riservatezza della parte ricevente in relazione a tali Informazioni riservate dureranno a tempo indeterminato.

 

12. Indennizzo di OpenMethods. 

12.1 OpenMethods deve indennizzare e tenere indenne il Cliente, le sue affiliate e i suoi amministratori, funzionari e dipendenti da qualsiasi danno definitivamente riconosciuto o concordato nei confronti del Cliente (inclusi, a titolo esemplificativo, i costi ragionevoli e le spese legali sostenute dal Cliente) derivanti da qualsiasi causa di terzi, pretesa di terzi o altra azione legale di terzi secondo cui l’uso dei Servizi, della Documentazione o del Prodotto del lavoro da parte del Cliente viola qualsiasi copyright, segreto commerciale o brevetto statunitense (“Azione legale”).  OpenMethods deve anche assumere la difesa dell’azione legale.

12.2 Tuttavia, OpenMethods non avrà alcun obbligo di indennizzo per azioni legali derivanti da: (i) una combinazione dei Servizi o del Prodotto Work con software o prodotti non forniti da OpenMethods; (ii) qualsiasi riparazione, regolazione, modifica o alterazione dei Servizi da parte del Cliente o di terzi; o (iii) qualsiasi rifiuto da parte del Cliente di installare e usare una versione non contraffatta dei Servizi o del Prodotto di lavoro offerto da OpenMethods.  La Sezione 4.2(ii) e la presente Sezione 12 stabiliscono l’intera responsabilità di OpenMethods in relazione a qualsiasi violazione della proprietà intellettuale da parte dei Servizi o del Prodotto del lavoro.

12.3 Il Cliente deve notificare per iscritto a OpenMethods qualsiasi azione legale entro 30 giorni dalla prima notifica di un'azione legale e deve fornire copia a OpenMethods di tutte le comunicazioni, avvisi e/o altre azioni relative all'azione legale.  Il Cliente deve concedere a OpenMethods il controllo esclusivo della difesa da qualsiasi azione legale, deve agire in conformità con le ragionevoli istruzioni di OpenMethods e deve fornire a OpenMethods l’assistenza che OpenMethods ragionevolmente richiede per difendere o risolvere tale reclamo. OpenMethods deve condurre la propria difesa in ogni momento in modo che non sia contrario agli interessi del Cliente. Il Cliente può avvalersi di un proprio consulente legale per assisterlo in merito a tali reclami.  Il cliente deve sostenere tutti i costi per l’assunzione del proprio legale, a meno che non sia necessario il coinvolgimento di un legale a causa di un conflitto di interessi con OpenMethods o il suo legale o perché OpenMethods non si assume il controllo della difesa.  Il Cliente non deve risolvere o compromettere alcuna azione legale senza il consenso scritto di OpenMethods. OpenMethods sarà esonerato dall’obbligo di indennizzo ai sensi della Sezione 12 se il Cliente non rispetta materialmente la Sezione 12.2.

 

13. Indennizzo per cliente. 

13.1 Il Cliente deve indennizzare e tenere indenne OpenMethods, le sue affiliate e i suoi amministratori, funzionari e dipendenti da qualsiasi danno finalmente riconosciuto o concordato in una transazione contro OpenMethods (inclusi, a titolo esemplificativo, i costi ragionevoli e le spese legali sostenute dal Cliente) derivanti da qualsiasi causa, reclamo di terzi o altra azione legale di terzi (inclusi, a titolo esemplificativo, indagini, reclami e azioni governative) in relazione all’uso dei Servizi o del Prodotto del lavoro da parte del Cliente (collettivamente il “Reclamo legale”) .  Il cliente deve anche assumersi la difesa del reclamo legale.

13.2 OpenMethods deve notificare per iscritto al Cliente qualsiasi reclamo legale entro e non oltre 30 giorni dalla prima notifica di un reclamo legale e deve fornire copia al Cliente di tutte le comunicazioni, avvisi e/o altre azioni relative al reclamo legale.  OpenMethods deve dare al Cliente il controllo esclusivo della difesa di qualsiasi reclamo legale, deve agire in conformità con le ragionevoli istruzioni del Cliente e deve fornire al Cliente l’assistenza ragionevolmente richiesta dal Cliente per difendere o risolvere tale reclamo. Il Cliente deve sempre condurre la propria difesa in modo che non sia contrario agli interessi di OpenMethods. OpenMethods può avvalersi del proprio consulente legale per assisterla in merito a tali reclami.  OpenMethods deve sostenere tutti i costi di assunzione del proprio legale, a meno che non sia necessario il coinvolgimento di un legale a causa di un conflitto di interessi con il Cliente o il suo legale o perché il Cliente non assume il controllo della difesa.  OpenMethods non può risolvere o compromettere alcun reclamo legale senza l’espresso consenso scritto del Cliente. Il Cliente sarà esonerato dall’obbligo di indennizzo ai sensi della Sezione 13 se OpenMethods non rispetta sostanzialmente la Sezione 13.2.

 

14.         Pubblicità.  OpenMethods può elencare il Cliente come cliente e usare il logo del Cliente sul sito web di OpenMethods, negli elenchi di clienti disponibili al pubblico e nei comunicati stampa.

 

15.         Varie.

15.1 Il presente Accordo, insieme al SOW Zendesk, rappresenta l’intero accordo tra le parti e sostituisce qualsiasi intesa precedente o attuale, sia scritta che orale. 

15.2 Il presente Accordo non può essere modificato o revocato in parte se non per iscritto dalle parti.

15.3 Il presente Accordo sarà regolato dalle leggi della California. Le parti acconsentono all’esercizio della giurisdizione esclusiva da parte dei tribunali statali o federali dello Stato della California per qualsiasi reclamo relativo al presente Accordo.

15.4 Il Cliente non può cedere o altrimenti trasferire alcuno dei suoi diritti o obblighi ai sensi del presente Accordo senza il previo consenso scritto di OpenMethods.  OpenMethods non può negare tale consenso in caso di cessione da parte del Cliente dei propri diritti e obblighi a un’entità che ha acquisito tutti o sostanzialmente tutti i beni del Cliente, o in caso di cessione che fa parte di una vera e propria ristrutturazione aziendale.  Qualsiasi assegnazione in violazione di questa Sezione è nulla.

15.5 Qualsiasi notifica fornita ai sensi del presente Accordo deve essere effettuata per iscritto e deve essere inviata tramite servizio personale o posta certificata negli Stati Uniti, con ricevuta di ritorno, affrancatura prepagata o tramite corriere espresso riconosciuto all’indirizzo che appare all’inizio del presente Accordo o come modificato mediante comunicazione scritta all’altra parte. 

15.6 Il Cliente non può esportare o riesportare, direttamente o indirettamente, Servizi, Documentazione, Prodotto di lavoro o informazioni riservate in paesi al di fuori degli Stati Uniti, salvo quanto consentito dagli Stati Uniti Regolamenti per l’amministrazione delle esportazioni del dipartimento del commercio.

15.7 I servizi, il prodotto di lavoro e la documentazione forniti negli Stati Uniti Le amministrazioni pubbliche sono “articoli commerciali”, come definito in 48 CFR 2.101, consistente in “Software per computer commerciale” e “Documentazione per software per computer commerciale”, ai sensi dell’articolo 48 CFR 12.212 o 48 CFR227.7202, a seconda dei casi. Coerente con 48 CFR 12.212 o 48 CFR da 227.7202-1 a 227.7202-4, a seconda dei casi, la documentazione relativa al software per computer commerciale e alla documentazione relativa al software per computer commerciale vengono concessi in licenza negli Stati Uniti Utenti finali governativi (a) solo come articoli commerciali e (b) con solo i diritti concessi a tutti gli altri utenti finali in base ai termini e alle condizioni qui riportati, come previsto in FAR 12.212 e DFARS 227.7202-1(a), 227.7202 -3(a), 227.7202-4, a seconda dei casi.

15.8 OpenMethods, a proprie spese, procurerà e manterrà in vigore e in vigore per tutta la durata del presente Accordo, polizze assicurative, dei tipi e degli importi minimi seguenti, con compagnie assicurative responsabili debitamente qualificate in tali stati (sedi) dove devono essere forniti i Servizi, che coprono le operazioni di OpenMethods, ai sensi del presente Accordo: responsabilità commerciale generale ($ 2.000.000 per occorrenza, $ 5.000.000 in totale); responsabilità professionale ($ 1.000.000 per evento, $ 2.000.000 in totale); indennità dei lavoratori (limiti di legge) e responsabilità dei datori di lavoro ($ 500.000 per infortunio); responsabilità per errori e omissioni (e copertura per responsabilità informatica ($ 2.000.000 in totale).  Tali politiche richiedono che il Cliente riceva un preavviso scritto di almeno trenta (30) giorni di calendario in caso di annullamento o modifica sostanziale delle stesse.  OpenMethods fornirà al Cliente, su richiesta, certificati assicurativi che attestino tutta la copertura di cui sopra.

 

DEFINIZIONI.

 

16.         Glossario.

“Dati dei clienti” indica i nomi utente e le estensioni degli agenti memorizzati nel database dei servizi.

“Documentazione” indica la documentazione per l’utente fornita da OpenMethods per l’uso con i Servizi, aggiornata periodicamente.

“Servizi” indica il software in hosting le cui funzionalità sono descritte nel SOW Zendesk e nella Documentazione, qualsiasi modifica apportata da OpenMethods al software in hosting e qualsiasi feedback, miglioramento o miglioramento apportato o suggerito per il software in hosting, ma non include il Servizi professionali.

“Servizi professionali” indica i servizi di formazione, consulenza, sviluppo e altri servizi professionali identificati in un SOW, ma non includono i Servizi.

“Zendesk” indica Zendesk, Inc., una società del Delaware e qualsiasi sua affiliata applicabile, che fungerà da agente di fatturazione per gli abbonamenti degli abbonati al Servizio OpenMethods ordinati dall’Abbonato a OpenMethods ai sensi del presente Accordo ai sensi di un SOW Zendesk eseguito tra il cliente e Zendesk.

“SOW Zendesk” indica il resoconto del lavoro o un documento di ordinazione simile rilasciato da Zendesk all’Abbonato che definisce, a titolo esemplificativo, il piano di abbonamento del Cliente, le tariffe di abbonamento, la fatturazione e la durata dell’abbonamento ai sensi del presente Accordo.

 

Allegato A

Misure di sicurezza delle informazioni di OpenMethods

 

1. Misure di sicurezza delle informazioni

OpenMethods garantisce e dichiara che farà ogni sforzo commercialmente ragionevole per implementare e mantenere le misure di sicurezza descritte di seguito per mantenere tutti i contenuti, i materiali, i dati (inclusi i dati personali) e le informazioni non pubbliche fornite o rese disponibili dall’Abbonato (collettivamente, “Dati” ) proteggere e proteggere i Dati da elaborazioni non autorizzate o illecite, perdita accidentale, distruzione o danni, come indicato di seguito. In tal modo, OpenMethods agirà in buona fede e diligenza, usando ragionevole cura e competenza.

 

2. Definizioni

“Elaborazione” indica qualsiasi operazione in relazione ai Dati indipendentemente dalle finalità e dai mezzi applicati, inclusi, a titolo esemplificativo, accesso, raccolta, conservazione, memorizzazione, trasferimento, divulgazione, uso, cancellazione, distruzione e qualsiasi altra operazione.

“Violazione” indica qualsiasi (a) Trattamento dei Dati non autorizzato o (b) qualsiasi atto od omissione che comprometta o pregiudichi le salvaguardie fisiche, tecniche o organizzative messe in atto da OpenMethods in merito al Trattamento dei Dati o comunque messe in atto per conformarsi a tali requisiti. A scanso di equivoci, il “trattamento non autorizzato” include, a titolo esemplificativo: uso improprio, perdita, distruzione, compromissione o accesso, raccolta, conservazione, memorizzazione o trasferimento non autorizzati.

“Incidente” indica qualsiasi compromissione della sicurezza dei Dati, incluso qualsiasi (i) atto che viola qualsiasi legge o policy di sicurezza di OpenMethods, (ii) interruzione del servizio non pianificata che impedisce il normale funzionamento dei Servizi o (iii) Violazione.

 

3. Misure: Misure tecniche e organizzative per la memorizzazione, la gestione e l’eliminazione dei Dati.
   • OpenMethods utilizzerà algoritmi di crittografia standard del settore e i principali punti di forza per crittografare quanto segue:
   • Crittografa tutti i dati in formato elettronico durante il transito su tutte le reti cablate pubbliche (ad esempio Internet) e su tutte le reti wireless.
   • Crittografa tutti i dati mentre sono nello spazio di archiviazione. “In Storage” indica le informazioni memorizzate nei database, nei file system e su vari tipi di supporti online e offline (dispositivi mobili, laptop, DASD, nastri, ecc.) ed è anche comunemente indicato come “inattivo”.
   • Salvo ove proibito dalla legge, OpenMethods rimuoverà tempestivamente i Dati al (a) completamento dei Servizi; o (b) la richiesta dell’Abbonato (o Zendesk, ove applicabile) di essere rimosso dall’ambiente OpenMethods e di distruggerlo entro un periodo di tempo ragionevole, ma in ogni caso non oltre ventuno (21) giorni dalla data della richiesta o dalla cessazione del servizi. OpenMethods fornirà all’abbonato (e a Zendesk, ove applicabile) una certificazione scritta in merito a tale rimozione, distruzione e/o pulizia entro trenta (30) giorni da tale evento.

4. Misure: Protezione da codici dannosi.
   • Tutte le workstation e i server (virtuali o fisici) eseguiranno la versione corrente del software antivirus e/o antimalware standard del settore con gli aggiornamenti più recenti disponibili su qualsiasi workstation o server. Le definizioni dei virus devono essere aggiornate tempestivamente al momento del rilascio da parte del fornitore del software antivirus. OpenMethods configurerà le apparecchiature e disporrà di policy di supporto per vietare agli utenti di disabilitare il software antivirus, alterare le configurazioni di sicurezza o disabilitare altre misure di protezione messe in atto per garantire la sicurezza di Data o dell’ambiente informatico di OpenMethods.
   • OpenMethods analizzerà i contenuti in ingresso e in uscita alla ricerca di codice dannoso su tutti i gateway verso le reti pubbliche, inclusi i server email e proxy.
   • OpenMethods metterà in quarantena o rimuoverà i file che sono stati identificati come infetti e registrerà l’evento.

5. Misure: Misure tecniche e organizzative per il controllo degli accessi, in particolare per controllare la legittimità degli utenti autorizzati alle strutture e ai sistemi a cui è possibile accedere ai Dati:
   • OpenMethods garantisce l’adozione di misure per la sicurezza dei locali (ad esempio, la protezione di ingressi e uscite) e delle misure all’interno dell’edificio mediante l’uso delle procedure seguenti:
   • sicurezza e crittografia di tutti i personal computer o altri dispositivi mobili che potrebbero accedere ai Dati;
   • accesso limitato a dipendenti e appaltatori, ad eccezione dei visitatori autorizzati;
   • identificazione delle persone che dispongono dell’autorizzazione all’accesso;
   • limitazione delle chiavi;
   • registri dei visitatori (incluso il cronometraggio); e
   • sistema di allarme di sicurezza o altre misure di sicurezza appropriate.
   • OpenMethods revoca l’accesso alle ubicazioni fisiche, ai sistemi e alle applicazioni che contengono o elaborano Dati entro ventiquattro (24) ore dalla cessazione della necessità dell’agente autorizzato di accedere ai sistemi o alle applicazioni.

 

6. Misure: Misure tecniche (protezione con password/password) e organizzative (record anagrafica utente) relative all’identificazione e all’autenticazione degli utenti:

OpenMethods informa l’Abbonato, su sua ragionevole richiesta, a quali persone autorizzate è affidato l’accesso ai Dati.

Il controllo utente deve includere le misure seguenti:

• profilo VPN limitato;
• implementazione dell’autenticazione a 2 fattori

Il controllo dell’accesso ai dati include le misure seguenti:

• misure disciplinari efficaci e misurate nei confronti delle persone che accedono ai dati senza autorizzazione.

7. Misure: Misure tecniche e organizzative relative alla sicurezza delle reti (incluse le reti wireless) utilizzate da OpenMethods.

Tutti i controlli di rete devono includere le misure seguenti:

• Su base regolare, OpenMethods esegue scansioni delle vulnerabilità di rete interne ed esterne. Le vulnerabilità identificate saranno risolte in modo commercialmente ragionevole e con tempistiche basate sulla gravità.
• OpenMethods distribuirà una tecnologia firewall ragionevolmente appropriata per il funzionamento delle sue reti.
• Come minimo, OpenMethods esaminerà gli insiemi di regole firewall trimestralmente per garantire che le regole legacy vengano rimosse e le regole attive siano configurate correttamente.
• OpenMethods distribuirà sistemi di rilevamento o prevenzione delle intrusioni per monitorare le reti alla ricerca di attività inappropriate.
• OpenMethods implementa una soluzione di gestione dei registri e conserva i registri prodotti da firewall e sistemi di rilevamento delle intrusioni per un periodo minimo di un (1) anno.

I controlli della rete wireless devono includere le seguenti misure aggiuntive:

• L’accesso di rete alle reti wireless deve essere limitato alle sole persone autorizzate.
• I punti di accesso devono essere segmentati da una LAN cablata interna usando un dispositivo gateway.
• L’identificatore del set di servizi (SSID), l’ID utente amministratore, la password e le chiavi di crittografia devono essere modificati rispetto al valore predefinito.
• La crittografia di tutte le connessioni wireless verrà abilitata usando algoritmi di crittografia standard del settore. I protocolli di crittografia saranno basati su “Wireless Protected Access” (WPA2) o superiore.

 

8. Misure: OpenMethods manterrà una funzione di risposta agli incidenti in grado di identificare, mitigare gli effetti e prevenire il ripetersi degli incidenti. Se si verifica un Incidente, OpenMethods (i) prenderà prontamente tutte le misure necessarie per prevenire qualsiasi ulteriore compromissione dei Dati o qualsiasi Incidente futuro; (ii) informare l’Abbonato entro ventiquattro (24) ore dall’identificazione dell’Incidente e fornire una relazione scritta entro tre (3) giorni; e (iii) rispondere prontamente a qualsiasi richiesta ragionevole dell’Abbonato di informazioni dettagliate relative all’Incidente. L’avviso e il report di OpenMethods conterranno una descrizione della natura dell’incidente, del suo impatto e di eventuali azioni investigative, correttive o correttive intraprese o pianificate.

 

9. Misure: Continuità aziendale e ripristino di emergenza. OpenMethods ha fornito all’Abbonato un piano di continuità aziendale commercialmente ragionevole e standard del settore per mantenere la disponibilità del Servizio (il “Piano di continuità”). Il piano di continuità include e include, a titolo esemplificativo, elementi come (a) la gestione delle crisi, l’attivazione del piano e del team, la documentazione relativa a eventi e processi di comunicazione; (b) gestione degli eventi, ripristino dell’azienda, ubicazioni alternative dei siti e test dell’albero delle chiamate; e (c) dettagli su infrastruttura, tecnologia e sistemi, attività di ripristino e identificazione delle persone/team necessari per tale ripristino. OpenMethods manterrà tale piano di continuità per tutta la durata di tutti gli abbonamenti; a condizione che OpenMethods abbia il diritto di modificare o emendare il Piano di continuità, a condizione che tale modifica o emendamento non abbia un effetto negativo sostanziale sulla capacità di OpenMethods di mantenere la disponibilità del Servizio.

 

Su richiesta dell’Abbonato, OpenMethods apporterà modifiche commercialmente ragionevoli al proprio programma di sicurezza delle informazioni o alle procedure e alle pratiche ivi previste per conformarsi ai requisiti di sicurezza di base dell’Abbonato, come indicato in tutti gli allegati applicabili dell’Accordo e come di volta in volta esistenti. L’Abbonato deve fornire a OpenMethods la documentazione di tali linee di base, che farà parte delle informazioni riservate dell’Abbonato ai sensi del presente Accordo. OpenMethods svilupperà un piano scritto per la sicurezza delle informazioni per l’abbonato contenente almeno gli argomenti previsti nel presente accordo.

 

Allegato B

Appendice sull’elaborazione dei dati di OpenMethods

 

La presente Appendice sull’elaborazione dei dati (“DPA”) è stipulata tra OpenMethods, Inc. (“OpenMethods” o “importatore di dati”) e l’entità identificata come Abbonato nel SOW Zendesk (“Cliente” o “esportatore di dati”) ed è in allegato ai Termini di servizio di OpenMethods (il “Contratto”). Le parti concordano che il presente DPA sia incorporato e faccia parte dell’Accordo e soggetto alle disposizioni in esso contenute, comprese le limitazioni di responsabilità.

Il presente DPA stabilisce i termini e le condizioni in base ai quali OpenMethods può ricevere ed elaborare i Dati personali dei clienti dal cliente e incorpora le clausole contrattuali standard. Se il Cliente apporta eliminazioni o revisioni al presente DPA, tali eliminazioni o revisioni sono rifiutate e non valide, salvo accordo con OpenMethods. Il firmatario del cliente dichiara e garantisce di avere l’autorità di vincolare il cliente al presente DPA. Il presente DPA cesserà automaticamente al momento della risoluzione del contratto o in seguito alla risoluzione anticipata ai sensi dei termini del presente DPA.

Condizioni per il trattamento dei dati

1. Definizioni

Per “Legge sulla privacy applicabile” si intendono tutte le leggi e le normative mondiali in materia di protezione dei dati e privacy applicabili ai Dati personali in questione, inclusa, ove applicabile, la legge UE/Regno Unito sulla protezione dei dati.

“Dati personali del cliente” indica qualsiasi Contenuto del cliente che è un dato personale e protetto dalle leggi sulla privacy applicabili.

“Legge UE/Regno Unito sulla protezione dei dati” indica: (i) il regolamento 2016/679 del Parlamento europeo e del Consiglio sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati (Dati generali regolamento sulla protezione) (il “ RGPD UE”); (ii) il RGPD come salvato nella legge del Regno Unito in virtù della sezione 3 dello European Union (Withdrawal) Act 2018 del Regno Unito e del Data Protection Act 2018 del Regno Unito (collettivamente il “ RGPD del Regno Unito”); (iii) la Direttiva UE sulla e-Privacy (Direttiva 2002/58/CE); e​​) o (iv); in ogni caso, come di volta in volta modificato o sostituito;

“Consociata OpenMethods” “Consociata OpenMethods” indica qualsiasi entità direttamente o indirettamente controllata, controllante o sotto il controllo comune di OpenMethods.

“Trasferimento limitato” significa: (i) quando si applica il RGPD dell’UE, un trasferimento di Dati personali dal SEE a un paese al di fuori del SEE che non è soggetto a una determinazione di adeguatezza da parte della Commissione europea; (ii) quando si applica il RGPD del Regno Unito, un trasferimento di Dati personali dal Regno Unito a qualsiasi altro Paese che non sia soggetto a normative di adeguatezza ai sensi della Sezione 17A dello United Kingdom Data Protection Act 2018; e (iii) nei casi in cui si applica il DPA svizzero, un trasferimento di Dati personali dalla Svizzera a qualsiasi altro Paese che non è determinato dalla Commissione federale per la protezione e l’informazione dei dati o dal Consiglio federale (a seconda dei casi) a fornire una protezione adeguata dei Dati personali.

“Clausole contrattuali standard” indica: (i) ove si applichi il RGPD dell’UE o il DPA svizzero, le clausole contrattuali allegate alla Decisione di esecuzione (UE) 2021/914 della Commissione europea, del 4 giugno 2021 (“SCC dell’UE”); e (ii) ove si applichi il RGPD del Regno Unito, le clausole standard di protezione dei dati per i responsabili del trattamento adottate ai sensi dell’articolo 46, paragrafo 2, lettere c) o d), del RGPD del Regno Unito (in particolare, l’addendum sul trasferimento di dati internazionali alle clausole contrattuali standard della Commissione europea ) ("SCC del Regno Unito"), a seconda dei casi in conformità alla Sezione 8 (Trasferimenti di dati).

“Incidente di sicurezza” indica qualsiasi violazione non autorizzata o illegale della sicurezza che porti alla distruzione, alla perdita, all’alterazione, alla divulgazione non autorizzata o all’accesso accidentale o illegale ai Dati personali dei clienti. Un “Incidente di sicurezza” non include i tentativi non riusciti o le attività che non compromettono la sicurezza dei Dati personali dei clienti, inclusi tentativi di accesso non riusciti, ping, scansioni delle porte, attacchi Denial of Service e altri attacchi di rete a firewall o sistemi di rete.

“Subresponsabile del trattamento” indica qualsiasi terza parte (inclusa qualsiasi consociata di OpenMethods) incaricata da OpenMethods di elaborare i Dati personali dei clienti (esclusi i dipendenti o i collaboratori di OpenMethods).

I termini “Titolare del trattamento”, “interessato”, “Dati personali”, “Responsabile del trattamento” e “trattamento” hanno il significato loro attribuito nelle leggi sulla privacy applicabili. Se e nella misura in cui le leggi sulla privacy applicabili non definiscono tali termini, si applicheranno le definizioni fornite nella legge sulla protezione dei dati dell’UE/del Regno Unito.

2. Ruolo e ambito di elaborazione

2.1 Le parti riconoscono che, per quanto riguarda il trattamento dei Dati personali del cliente, il Cliente sarà il Titolare del trattamento e OpenMethods tratterà i Dati personali del cliente in qualità di Responsabile del trattamento per conto del Cliente.

2.2 OpenMethods tratterà i Dati personali dei clienti solo in conformità con le istruzioni documentate del cliente e non tratterà i Dati personali dei clienti per i propri scopi, salvo quanto stabilito nel presente DPA o ove richiesto dalle leggi applicabili. Il Contratto, incluso il presente DPA, insieme alla configurazione da parte del Cliente di qualsiasi impostazione o opzione nei Servizi (che il Cliente potrebbe essere in grado di modificare di volta in volta), costituisce le istruzioni complete e finali del Cliente a OpenMethods in merito al Trattamento dei Dati personali dei clienti, incluse ai fini delle clausole contrattuali standard. Ulteriori istruzioni al di fuori dell’ambito di tali istruzioni di elaborazione (se presenti) richiedono il previo accordo scritto tra le parti.

2.3 Ciascuna parte deve rispettare gli obblighi previsti dalle leggi sulla privacy applicabili in relazione ai Dati personali dei clienti elaborati ai sensi o in connessione con i Servizi o il presente DPA. Fatto salvo quanto sopra, il Cliente è responsabile di determinare se i Servizi sono appropriati per la memorizzazione e l’elaborazione dei Dati personali del Cliente ai sensi delle leggi sulla privacy applicabili e per l’accuratezza, la qualità e la liceità dei Dati personali del Cliente e i mezzi con cui ha acquisito i Dati personali dei clienti. Il Cliente accetta inoltre di aver notificato e ottenuto tutti i consensi, le autorizzazioni e i diritti necessari a OpenMethods e ai suoi sub-responsabili del trattamento per elaborare legalmente i Dati personali dei clienti per gli scopi contemplati dall’Accordo (incluso il presente DPA).

2.4 OpenMethods informerà tempestivamente il Cliente se decide che le istruzioni del Cliente violano le leggi sulla privacy applicabili (ma senza l’obbligo di monitorare attivamente la conformità del Cliente alle leggi sulla privacy applicabili) e, in tal caso, OpenMethods non sarà obbligata a impegnarsi tale Trattamento fino al momento in cui il Cliente non avrà aggiornato le proprie istruzioni di elaborazione e OpenMethods non avrà stabilito che l’incidenza della non conformità è stata risolta.

2.5 Dettagli del trattamento dei dati:

(a) Oggetto: L’oggetto del trattamento dei dati ai sensi del presente DPA sono i Dati personali del cliente.

(b) Durata: Come tra il Cliente e OpenMethods, la durata del trattamento è la durata dell’Accordo più qualsiasi periodo dopo la risoluzione o la scadenza dell’Accordo durante il quale OpenMethods tratterà i Dati personali dei clienti in conformità con l’Accordo.

(c) Scopo: OpenMethods tratterà i Dati personali dei clienti come necessario per fornire i Servizi ai sensi dell’Accordo, come ulteriormente indicato dal Cliente nell’uso dei Servizi.

(d) Natura del trattamento: La fornitura dei Servizi come descritto nell’Accordo e avviata dal Cliente di volta in volta.

(e) Tipi di dati personali dei clienti. Dati personali dei clienti caricati nei Servizi nell’account OpenMethods del cliente.

(f) Categorie di interessati: Gli interessati potrebbero includere dipendenti, consulenti, agenti e terzi del Cliente autorizzati a usare i Servizi come “Utenti” nell’account OpenMethods del Cliente e qualsiasi altro interessato i cui dati personali sono stati inviati a OpenMethods dal Cliente tramite i Servizi.

 

3. Elaborazione secondaria

3.1 Il Cliente concede a OpenMethods un’autorizzazione generale a subappaltare il trattamento dei Dati personali del cliente a un sub-responsabile del trattamento, inclusi i sub-responsabili del trattamento elencati all’indirizzo https://OpenMethods.com/static/legal/OpenMethods-Current-Subprocessors-List.pdf (o un altro sub-responsabile del trattamento). URL) (“Elenco sub-responsabili”).

3.2 Se OpenMethods assume un Subprocessor nuovo o sostitutivo, OpenMethods:

(a) aggiornare l’elenco dei subincaricati;

(b) imporre sostanzialmente le stesse condizioni di protezione dei dati a qualsiasi sub-responsabile del trattamento che assume come indicato nel presente DPA (comprese le disposizioni sul trasferimento dei dati, ove applicabile); e

(c) rimangono responsabili nei confronti del Cliente per qualsiasi violazione del presente DPA causata da un atto, un errore o un’omissione di tale Sub-responsabile del trattamento.

3.3 Se il Cliente sceglie di ricevere una notifica scritta 10 giorni prima che OpenMethods assuma un sub-responsabile nuovo o sostitutivo, il Cliente deve iscriversi a tali notifiche tramite il portale di notifica clienti;

3.4 Il Cliente può opporsi alla nomina da parte di OpenMethods di qualsiasi Sub-responsabile nuovo o sostitutivo tempestivamente per iscritto entro trenta (30) giorni dal ricevimento della notifica in conformità al punto (3.2 (a)) e per ragionevoli motivi correlati alla capacità del Sub-responsabile di rispettare la Legge applicabile sulla privacy ( s). In tal caso, le parti discuteranno in buona fede delle preoccupazioni del Cliente al fine di raggiungere una soluzione commercialmente ragionevole. Se le parti non riescono a raggiungere tale soluzione, OpenMethods avrà il diritto, a sua esclusiva discrezione, di non nominare il sub-responsabile contestato o di consentire al Cliente di sospendere o risolvere l’Ordine applicabile e/o l’Accordo. Queste procedure sono l’esclusivo rimedio del Cliente e l’intera responsabilità di OpenMethods per la soluzione delle obiezioni del Cliente alla nomina da parte di OpenMethods di sub-responsabili del trattamento ai sensi del presente DPA.

 

4. Cooperazione

4.1 OpenMethods collaborerà ragionevolmente con il Cliente per consentire al Cliente di rispondere a qualsiasi richiesta, reclamo o altra comunicazione da parte di interessati e organismi di regolamentazione o giudiziari relativi al trattamento dei Dati personali dei clienti, comprese le richieste di interessati che cercano di esercitare i propri diritti ai sensi della legge applicabile sulla privacy (s). Nel caso in cui una tale richiesta, reclamo o comunicazione venga inoltrata direttamente a OpenMethods, una volta identificato che la richiesta proviene da o è correlata a un interessato di cui il Cliente è responsabile, lo trasmetterà al Cliente e non risponderà a tale comunicazione senza l’espressa autorizzazione del Cliente (a meno che non sia necessario per ottemperare alle leggi applicabili).

4.2 Nella misura in cui OpenMethods è richiesto dalle leggi sulla privacy applicabili, OpenMethods assisterà il Cliente nell’effettuare una valutazione dell’impatto sulla protezione dei dati e, ove richiesto dalla legge, si consulterà con le autorità competenti per la protezione dei dati in relazione a qualsiasi attività di trattamento proposta che presenti un rischio elevato agli interessati.

4.3 Tenendo conto della natura del trattamento, il Cliente concorda sul fatto che è improbabile che OpenMethods venga a conoscenza del fatto che i Dati personali del cliente trasferiti ai sensi delle clausole contrattuali standard sono imprecisi o obsoleti. Tuttavia, se OpenMethods viene a conoscenza del fatto che i Dati personali dei clienti trasferiti in base alle clausole contrattuali standard sono inaccurati o obsoleti, ne informerà il cliente senza indebito ritardo. OpenMethods collaborerà ragionevolmente con il Cliente per cancellare o rettificare i Dati personali dei clienti inesatti o obsoleti trasferiti ai sensi delle clausole contrattuali standard.

 

5. Accesso ai dati e misure di sicurezza

5.1 OpenMethods garantirà che il personale incaricato del trattamento dei Dati personali dei clienti sia soggetto a un obbligo di riservatezza (contrattuale o legale) e che tratti i Dati personali dei clienti solo allo scopo di fornire i Servizi.

5.2 OpenMethods attuerà e manterrà misure di sicurezza tecniche e organizzative ragionevoli e appropriate allo scopo di proteggere i Dati personali dei clienti da incidenti di sicurezza in conformità con le misure elencate nell’Allegato 2 (“Misure di sicurezza”). Il Cliente prende atto che le Misure di sicurezza sono soggette al progresso tecnico e allo sviluppo e che OpenMethods può aggiornare o modificare le Misure di sicurezza di volta in volta, a condizione che tali aggiornamenti e modifiche non riducano o riducano la sicurezza generale dei Servizi.

 

6. Incidenti di sicurezza

In caso di Incidente di sicurezza, OpenMethods informerà il Cliente senza indebito ritardo e fornirà al Cliente i dettagli scritti dell’Incidente di sicurezza, inclusi il tipo di dati interessati e l’identità delle persone interessate, una volta che tali informazioni saranno rese note o disponibili. in OpenMethods. OpenMethods, per quanto possibile, fornirà informazioni tempestive e collaborerà al Cliente per consentire al Cliente di adempiere agli obblighi di segnalazione delle violazioni dei dati ai sensi delle leggi sulla privacy applicabili e adotterà misure ragionevoli per porre rimedio o mitigare gli effetti dell’incidente di sicurezza. Gli obblighi qui previsti non si applicano agli incidenti di sicurezza causati dal cliente o dai suoi utenti.

 

7. Report e ispezioni sulla sicurezza

7.1 Su richiesta, OpenMethods fornisce copie di eventuali certificazioni, riepiloghi dei report di verifica e/o altra documentazione pertinente in suo possesso, ove ragionevolmente richiesto dal Cliente per verificare la conformità di OpenMethods al presente DPA.

7.2 Sebbene sia intenzione delle parti fare affidamento sugli obblighi di OpenMethods stabiliti nella Sezione 7.1 per verificare la conformità di OpenMethods al presente DPA, a seguito di un Incidente di sicurezza confermato o quando un’autorità per la protezione dei dati lo richiede, il Cliente può fornire a OpenMethods trenta ( 30) giorni prima della notifica scritta che richiede che una terza parte esegua una verifica delle operazioni e delle strutture di OpenMethods ("Verifica"); a condizione che (i) qualsiasi Verifica sia condotta a spese del Cliente; (ii) le parti si accordano su ambito, tempistica e durata della verifica; (iii) la verifica non influirà in modo irragionevole sulle normali operazioni di OpenMethods.

7.3 Qualsiasi risposta scritta o verifica descritta nella presente Sezione 7 è soggetta alle disposizioni sulla riservatezza dell’Accordo. Le parti concordano che gli audit descritti nella clausola 8.9 delle SCC UE devono essere effettuati in conformità alla presente sezione 7 (Security Reports & Instructions).

 

8. Trasferimenti di dati

8.1 I dati personali dei clienti che OpenMethods elabora ai sensi dell’Accordo possono essere trattati in qualsiasi Paese in cui OpenMethods, le sue consociate e sub-responsabili del trattamento OpenMethods dispongono di strutture per fornire i Servizi, come dettagliato nell’elenco dei sub-responsabili del trattamento. OpenMethods non elaborerà né trasferirà i Dati personali dei clienti (né consentirà l’elaborazione o il trasferimento di tali dati) al di fuori del SEE, della Svizzera o del Regno Unito, a meno che non adotti prima le misure necessarie per garantire che il trasferimento sia conforme a tali Dati UE/Regno Unito Legge di protezione.

8.2 Le parti concordano che, quando il trasferimento dei Dati personali del cliente dal Cliente a OpenMethods è un Trasferimento limitato, sarà disciplinato da

(a) per i trasferimenti di Dati personali dei clienti soggetti al RGPD o all’APD, alle SCC dell’UE, che le parti concludono e incorporano nel presente DPA, oppure

(b) per i trasferimenti di Dati personali dei clienti soggetti al RGPD del Regno Unito, le SCC del Regno Unito, che le parti stipulano e incorporano nel presente DPA.

8.3 Ai fini delle clausole contrattuali standard, gli allegati, le appendici o le tabelle pertinenti si considerano compilati con le informazioni pertinenti di cui all’allegato I. Nel caso in cui una qualsiasi disposizione del presente DPA sia in contraddizione, direttamente o indirettamente, con le clausole contrattuali standard , prevalgono le clausole contrattuali standard.

8.4 Se OpenMethods adotta un meccanismo alternativo legittimo di esportazione dei dati per il trasferimento di dati personali non descritto nel presente DPA ("Meccanismo di trasferimento alternativo"), il meccanismo di trasferimento alternativo si applica al posto di qualsiasi meccanismo di trasferimento applicabile descritto nel presente DPA (ma solo al nella misura in cui tale meccanismo di trasferimento alternativo è conforme alla legge UE/Regno Unito sulla protezione dei dati e si estende ai territori in cui vengono trasferiti i dati personali dei clienti pertinenti).

 

9. Eliminazione e restituzione

9.1 Su richiesta del Cliente, o al termine o alla scadenza del presente DPA, OpenMethods distruggerà o restituirà al Cliente tutti i Dati personali del cliente in suo possesso in conformità con le tempistiche e le politiche di eliminazione dei dati di OpenMethods in vigore, che possono essere richieste dal Cliente in qualsiasi momento . Questo requisito non si applica nella misura in cui OpenMethods è obbligato da qualsiasi legge applicabile a conservare alcuni o tutti i Dati personali dei clienti o ai Dati personali dei clienti archiviati su sistemi di backup, che OpenMethods isola e protegge da qualsiasi ulteriore elaborazione salvo quanto richiesto da tale legge. Le parti concordano che la certificazione dell’eliminazione dei Dati personali descritta nelle Clausole 8.5 e 16.(d) delle SCC UE deve essere fornita da OpenMethods al Cliente solo su richiesta scritta del Cliente.

 

10. California Consumer Privacy Act (CCPA)

10.1 Nella misura in cui il Cliente ha utenti dei Servizi residenti nello stato della California negli Stati Uniti e si applica il CCPA, i termini stabiliti nella presente Sezione 10 si applicano a questo DPA.

10.2 Devono essere apportate le seguenti modifiche alle definizioni di cui alla Sezione 1 del presente DPA:

(a) “CCPA” indica il California Consumer Privacy Act, Cal. Civ. Codice § 1798.100 e segg..

(b) “Azienda” ha il significato attribuitole nel CCPA.

(c) “Fornitore di servizi” ha il significato attribuito nel CCPA.

10.3 Ai fini dei dati personali dei clienti che costituiscono “informazioni personali” ai sensi del CCPA, il cliente è un’azienda e OpenMethods è un fornitore di servizi. Il trasferimento da parte del Cliente dei Dati personali del cliente a OpenMethods non costituisce una vendita e OpenMethods non fornisce alcun corrispettivo monetario o di altro valore al Cliente in cambio di Dati personali.

10.4 OpenMethods si impegna a rispettare tutti i requisiti applicabili del CCPA, e se e nella misura concordata per iscritto tra il Cliente e OpenMethods, come stabilito nel presente DPA.

10.5 Come applicabile ai Servizi, OpenMethods assisterà ragionevolmente il Cliente nel rispondere (a spese del Cliente) a qualsiasi richiesta da parte di un interessato (incluse le “richieste verificabili del consumatore”, come definito nel CCPA), relativa al trattamento del Cliente Dati personali ai sensi dell’Accordo.

 

11. Generale

11.1 Fatta eccezione per le modifiche apportate dal presente DPA, l’Accordo rimane invariato ed entra in vigore a tutti gli effetti. In caso di conflitto tra qualsiasi disposizione del presente DPA e qualsiasi altra disposizione del Contratto, il presente DPA ha la precedenza e ha la precedenza. A decorrere dalla data di entrata in vigore, il presente DPA è parte integrante dell’Accordo.

11.2 In nessun caso il presente DPA limita o limita i diritti degli interessati o delle autorità di vigilanza competenti.

11.3 Qualsiasi reclamo o rimedio che il Cliente può avere nei confronti di OpenMethods, dei suoi dipendenti, agenti e sub-responsabili del trattamento, derivante da o in connessione con il presente DPA (incluse le clausole contrattuali standard), sia per contratto, illecito civile (inclusa negligenza) o qualsiasi altra teoria di responsabilità, nella misura massima consentita dalla legge, sarà soggetta alle limitazioni ed esclusioni di responsabilità nell’Accordo. Di conseguenza, qualsiasi riferimento nell’Accordo alla responsabilità di una parte indica la responsabilità aggregata di tale parte ai sensi e in connessione con l’Accordo e il presente DPA insieme.

11.4 Il presente DPA non può essere modificato se non mediante un successivo atto scritto firmato da entrambe le parti.

11.5 Il presente DPA è disciplinato e interpretato in conformità con le disposizioni di legge e giurisdizionali applicabili nell’Accordo, se non diversamente richiesto dalle leggi sulla privacy applicabili o dalle clausole contrattuali standard.

11.6 Se una qualsiasi parte di questo DPA è ritenuta inapplicabile, la validità di tutte le parti rimanenti non ne risentirà.

 

ALLEGATO I

A. ELENCO DELLE PARTI

MODULO DUE: Trasferisci il titolare del trattamento al responsabile del trattamento

Esportatori dati:

Nome: L’entità identificata come “Cliente” in questo DPA.

Indirizzo: L’indirizzo del cliente associato al suo account OpenMethods o altrimenti specificato nel DPA o nell’accordo.

Nome, posizione e dettagli di contatto della persona di contatto: I dettagli di contatto associati all’account del cliente o altrimenti specificati nel presente DPA o nell’Accordo.

Attività pertinenti ai dati trasferiti ai sensi delle seguenti clausole: Le attività specificate nell’allegato 1(B) qui sotto.

Ruolo (titolare del trattamento/incaricato del trattamento): Titolare

Importatori di dati:

Nome: OpenMethods, Inc. (“OpenMethods”)

Indirizzo: 1100 Main St., Suite 400, Kansas City, MO 64105

Nome, posizione e dettagli di contatto della persona di contatto: Shannon Lekas, privacy@OpenMethods.com (Dati e conformità)

Attività pertinenti ai dati trasferiti ai sensi delle seguenti clausole: Le attività specificate nell’allegato 1(B) qui sotto.

Ruolo (titolare del trattamento/incaricato del trattamento): Processore

 

B. DESCRIZIONE DEL TRASFERIMENTO

MODULO DUE: Trasferisci il titolare del trattamento al responsabile del trattamento

Categorie di interessati i cui dati personali vengono trasferiti: Dipendenti, consulenti, agenti e terzi autorizzati a usare i Servizi come “utenti” nell’account OpenMethods del Cliente e qualsiasi altro interessato i cui dati personali sono inviati a OpenMethods dal Cliente tramite i Servizi.

Categorie di interessati i cui dati personali vengono trasferiti: Nome, indirizzo email e qualsiasi altro dato personale inviato dal Cliente tramite i Servizi, inclusi i Contenuti del cliente

Dati sensibili trasferiti (se applicabile) e applicazione di limitazioni o salvaguardie che tengano pienamente conto della natura dei dati e dei rischi connessi, come ad esempio limitazioni rigorose delle finalità, limitazioni di accesso (incluso l’accesso solo per il personale che ha seguito una formazione specializzata), un record di accesso ai dati, limitazioni per i trasferimenti successivi o misure di sicurezza aggiuntive: Nessuno; non consentito dalla policy di utilizzo proibito di OpenMethods.

La frequenza del trasferimento (ad es. se i dati vengono trasferiti su base una tantum o continuativa): I Dati personali dei clienti possono essere trasferiti su base continuativa o una tantum, a seconda dell’uso dei Servizi da parte del Cliente e delle istruzioni di elaborazione da parte del Cliente.

Finalità del trasferimento dei dati e ulteriore trattamento: Affinché OpenMethods fornisca, mantenga e migliori i Servizi forniti all’esportatore di dati ai sensi dell’Accordo.

Il periodo di conservazione dei dati personali o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo: OpenMethods conserverà i Dati personali dei clienti per un massimo di 180 giorni dopo la risoluzione o la scadenza del Contratto. Per i trasferimenti a (sub)incaricati del trattamento, specifica anche l’oggetto, la natura e la durata del trattamento.

Durata: La durata del contratto più qualsiasi periodo dopo la risoluzione o la scadenza del contratto durante il quale OpenMethods tratterà i dati personali dei clienti in conformità con il contratto.

Oggetto: L’oggetto del trattamento dei dati ai sensi del presente DPA sono i Dati personali del cliente.

Natura del trattamento: La fornitura dei Servizi come descritto nell’Accordo e avviata dal Cliente di volta in volta.

 

C. AUTORITÀ DI VIGILANZA COMPETENTE

MODULO DUE: Trasferisci il titolare del trattamento al responsabile del trattamento

Identificare le autorità di vigilanza competenti in conformità alla clausola 13: L’autorità di vigilanza competente dell’esportatore di dati sarà determinata in conformità al RGPD.

 

ALLEGATO II

MISURE TECNICHE E ORGANIZZATIVE, COMPRESE MISURE TECNICHE E ORGANIZZATIVE PER GARANTIRE LA SICUREZZA DEI DATI

MODULO DUE: Trasferisci il titolare del trattamento al responsabile del trattamento

OpenMethods usa le seguenti misure tecniche e organizzative per proteggere le informazioni personali:

• Misure di pseudonimizzazione e crittografia dei dati personali
• Misure per garantire la riservatezza, l’integrità, la disponibilità e la resilienza costanti dei sistemi e dei servizi di elaborazione
• Misure per garantire la possibilità di ripristinare la disponibilità e l’accesso ai dati personali in modo tempestivo in caso di incidente fisico o tecnico
• Processi per testare, valutare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento
• Misure per l’identificazione e l’autorizzazione degli utenti Misure per la protezione dei dati durante la trasmissione
• Misure per la protezione dei dati durante la memorizzazione
• Misure per garantire la sicurezza fisica dei luoghi in cui vengono elaborati i dati personali
• Misure per garantire la registrazione degli eventi
• Misure per garantire la configurazione del sistema, inclusa la configurazione predefinita
• Misure per la governance e la gestione della sicurezza IT e interna
• Misure per la certificazione/assicurazione di processi e prodotti
• Misure per garantire la minimizzazione dei dati
• Misure per garantire la qualità dei dati
• Misure per garantire una conservazione limitata dei dati
• Misure per garantire la responsabilità
• Misure per consentire la portabilità dei dati e garantirne la cancellazione

Le misure tecniche e organizzative che l’ importatore di dati imporrà ai sub-responsabili del trattamento sono descritte nel DPA

 

ALLEGATO III

Clausole contrattuali standard

A) Fatta salva la Sezione 8.2 del presente DPA, laddove il trasferimento dei Dati personali dei clienti a OpenMethods sia un trasferimento limitato e il RGPD o l’Accordo di protezione dei dati svizzero richiedano l’adozione di misure di sicurezza adeguate, il trasferimento sarà disciplinato dalle SCC dell’UE come segue:

i. (i) si applica il modulo due (Trasferimento dal titolare al responsabile del trattamento);

ii. (ii) nella Clausola 7 (Clausola di ancoraggio), si applica la clausola di ancoraggio facoltativa;

iii. (iii) nella Clausola 9 (Uso di sub-responsabili), si applicherà l’Opzione 2 e il periodo di tempo per la notifica preventiva delle modifiche dei sub-responsabili sarà indicato nella Clausola 3.2 del presente DPA;

iv. (iv) nella clausola 11 (Ricorso), il linguaggio facoltativo per consentire agli interessati di presentare reclami a un organismo indipendente di risoluzione contestazione non si applica;

v. (v) nella Clausola 17 (Legge applicabile), si applicherà l’Opzione 1 e le SCC dell’UE saranno disciplinate dal diritto olandese;

vi. (vi) nella clausola 18(b) (Scelta del foro e giurisdizione), le controversie devono essere risolte dinanzi ai tribunali di Amsterdam, Paesi Bassi; e

B) laddove il trasferimento dei Dati personali dei clienti a OpenMethods sia un trasferimento con limitazioni e il RGPD del Regno Unito richieda l’adozione di misure di sicurezza adeguate, si applicheranno le SCC del Regno Unito in conformità al paragrafo (a) di cui sopra.

Allegato 2 - Risultati finali di OpenMethods

ALLEGATO C 

NOME PROGETTO CLIENTE

RENDICONTO LAVORO (SOW)

NUMERO SOW: 08102024-000

VERSIONE: 1.0

INTRODUZIONE

OpenMethods è lieta di fornire questo Statement of Work all’abbonato identificato nello Statement of Work Zendesk, o in un accordo simile, a cui è allegato il presente Statement of Work (il “Cliente”) come descrizione e accordo ai servizi per per consentire l’uso della soluzione Experience Cloud nell’ambiente del Cliente come definito nella presente Dichiarazione di lavoro e/o nell’ordine cliente OpenMethods associato, se applicabile. 

La presente Dichiarazione di lavoro è stipulata ai sensi dei Termini di servizio di OpenMethods e di tutti gli allegati, gli allegati, le dichiarazioni di lavoro (inclusa, a titolo esemplificativo, la presente Dichiarazione di lavoro) e le relative modifiche (" Accordo”).  Tutti i termini in maiuscolo usati nella presente Dichiarazione di lavoro che non sono altrimenti definiti nel presente documento sono definiti nell’Accordo.

RIEPILOGO

Il presente Statement of Work (SOW) delinea i requisiti, l’ambito e le attività per configurare Experience Cloud per l’uso nell’ambiente del Cliente. Nell’ambito di questo progetto, OpenMethods:

• Fornitura di una soluzione con licenza.
• Crea, prova e distribuisci PopFlow di Experience Designer.
• Support il cliente nei test di accettazione degli utenti e nelle attività di attivazione.
• Fornisci formazione relativa alle soluzioni.

Panoramica dell’ambiente

Definizioni

I termini seguenti vengono usati per descrivere le soluzioni di OpenMethods o i loro numerosi componenti principali:

1. Experience Cloud : il portale web principale usato per amministrare la soluzione OpenMethods e i suoi vari componenti.
2. Experience Designer : un’interfaccia utente all’interno di Experience Cloud che consente agli amministratori di progettare, testare e pubblicare PopFlow che orchestrano le attività degli agenti, associate a un’interazione, nel CRM.

Attività

Il provisioning della soluzione OpenMethods sarà limitato agli obiettivi elencati di seguito. È responsabilità del titolare identificato di ciascun obiettivo completare ogni passaggio (descritto più avanti nell’Appendice A). 

• Provisioning (OpenMethods): OpenMethods fornirà Experience Cloud per assistenza l'ambiente del Cliente e i requisiti aziendali, come definito nella presente Dichiarazione di lavoro.
• Assegnazione di risorse e ruoli (OpenMethods): OpenMethods collaborerà con il Cliente ai requisiti di base di onboarding e configurazione della soluzione OpenMethods e fornirà informazioni correlate a tali requisiti.
• Prepara (client): Il cliente configurerà e fornirà l’accesso (account utente) al proprio ambiente quando necessario per soddisfare i requisiti di questa dichiarazione di lavoro. Ciò include l’installazione dell’applicazione Experience Cloud, che è immediatamente disponibile in ZenDesk App Marketplace.
• Crea PopFlow (OpenMethods): OpenMethods sarà responsabile della creazione di PopFlow, come documentato nella sezione “Progettazione e creazione di PopFlow” di questo Statement of Work.
• Test di convalida (OpenMethods): Una volta abilitata la soluzione e creati PopFlow, OpenMethods garantirà che la soluzione funzioni in base alle specifiche.
• Test di accettazione utente (client): Il Cliente condurrà la UAT e segnalerà eventuali problemi rilevati. I problemi segnalati saranno classificati in base alla criticità e risolti prima della pubblicazione o dopo la pubblicazione, a seconda della criticità del problema. Il cliente è responsabile della creazione di qualsiasi script di test o procedura richiesta per il processo UAT.
• Formazione (OpenMethods): OpenMethods sarà responsabile della formazione del Cliente sull’uso, la configurazione e l’amministrazione della soluzione OpenMethods. Questa formazione consisterà in quanto segue: 
  • Formazione utente PopFlow: incentrata sull’insegnamento a un agente come interagire e usare correttamente i PopFlow associati. Pertanto, la sessione viene fornita come formazione "addestra il formatore" in modo che l'organizzazione di formazione del cliente possa istruire i propri agenti come consentito dalle tempistiche del progetto. Il completamento di questa sessione di formazione richiede in genere 2 ore.
  • Experience Cloud Administration Training: questo corso di formazione è incentrato sull’amministrazione, la cura e l’alimentazione della soluzione OpenMethods dal punto di vista tecnico. Il completamento di questa sessione di formazione richiede in genere 2 ore.
  • Formazione Experience Designer: questa formazione è incentrata sull’uso di Experience Designer. È destinato a tutti gli utenti che saranno responsabili della creazione, della manutenzione, del test e dell’implementazione di PopFlow. Questa formazione è in genere suddivisa in più sessioni per una durata totale di <16 ore>.
• Go-Live (Client/OpenMethods): OpenMethods assisterà il Cliente nell’abilitazione della soluzione. OpenMethods Project Management Office (PMO) rimarrà attivo per 10 giorni dopo l’attivazione in preparazione al passaggio a Customer Care and Success.
• Care and Success (OpenMethods): OpenMethods terrà una riunione formale per presentare il personale del Cliente appropriato ai team di assistenza clienti e successo di OpenMethods e garantire che abbiano familiarità con il processo e i requisiti relativi all’ottenimento assistenza in futuro.

Progettazione e creazione PopFlow

Le automazioni facilitate dalla soluzione OpenMethods richiedono un evento di attivazione specifico dell’agente per iniziare l’automazione (ad esempio, l’agente fa clic su un pulsante, l’agente risponde a un telefono/e-mail/chat, l’agente inserisce o modifica i dati dei campi in CRM , ecc.). Il cliente fornirà e configurerà tutti i meccanismi di trigger necessari per attivare le automazioni, in base alla documentazione “OpenConnect API” di OpenMethods o come definito durante l’avvio del progetto. Il Cliente fornirà la documentazione API (Application Programming Interface), la connettività e l’accesso necessari per tutti i servizi o le applicazioni inclusi in questo documento. Le funzionalità della soluzione OpenMethods possono essere limitate dalle funzionalità esposte dalle API di terzi fornite.

I seguenti PopFlow verranno creati e distribuiti come parte di questo progetto. Ulteriori casi d’uso e/o lavoro di progettazione, creazione o implementazione PopFlow saranno considerati al di fuori dell’ambito di questo progetto e saranno trattati in uno Statement of Work separato.

<INSERIRE AMBITO QUI>

Vincoli e presupposti del progetto 

1. Il cliente è responsabile di tutti i requisiti di preparazione del sito e di assicurarsi che siano soddisfatti in base al pacchetto "Predisposizione client OpenMethods".
2. Il cliente ha la responsabilità di fornire una risorsa disponibile con accesso a livello di amministratore alle istanze CRM necessarie.
3. Il Cliente è tenuto a fornire gli account “Test” da usare per l’esecuzione dei test di convalida. Tutte le credenziali devono essere fornite tramite metodi sicuri (ad es. Zoom Chat, Slack con eliminazione, E-mail non consentita).
4. Il cliente ha la responsabilità di fornire una connettività sicura ai servizi OpenMethods. 
5. Il cliente accetta di svolgere i ruoli delle parti interessate, come definiti nell’“Appendice A”, e comprende che sono necessari per un’implementazione di successo. 
6. Il Cliente riconosce che alcune o tutte le soluzioni richieste possono essere fornite come configurazione personalizzata (di seguito “Servizi personalizzati”) per soddisfare i requisiti specifici delineati nella presente Dichiarazione di lavoro e che:  

a. qualsiasi servizio personalizzato creato nell’ambito di questo progetto viene fornito “così com’è”. OpenMethods garantisce che l’implementazione è priva di difetti materiali per un periodo di 60 giorni, dopodiché non fornisce alcuna garanzia in merito alla funzionalità a lungo termine, alla compatibilità o alle prestazioni di tale asset di servizi. 

b. sebbene progettati usando le API e le interfacce pubblicate nei servizi integrati, i Servizi personalizzati potrebbero richiedere modifiche o aggiornamenti per rimanere compatibili con futuri aggiornamenti o modifiche al software fornito da OpenMethods o con API o servizi integrati di terzi. OpenMethods non sarà responsabile del supporto o del mantenimento di configurazioni personalizzate che diventano obsolete o incompatibili a causa di tali aggiornamenti. OpenMethods fornirà assistenza continuativa al Cliente per i risultati finali solo nel miglior modo possibile e non sarà obbligata a rimediare a eventuali carenze segnalate dopo la scadenza del Periodo di garanzia. Qualsiasi richiesta di modifica, aggiornamento o assistenza per una configurazione personalizzata obsoleta sarà soggetta a una dichiarazione di lavoro separata e potrebbe comportare costi aggiuntivi.     

7. de sarà soggetto a un rendiconto di lavoro separato e potrebbe comportare costi aggiuntivi.

Commissioni per servizi professionali

Le tariffe per i servizi professionali citate in questo rendiconto di lavoro sono valide per 90 giorni dalla consegna iniziale del SOW al cliente e devono essere corrisposte entro 30 giorni dall’esecuzione del presente rendiconto di lavoro. Questo Service Pack di onboarding scade 6 mesi dalla data di inizio dell’abbonamento.

Il Cliente autorizza OpenMethods a fornire Servizi professionali e a fatturare al Cliente tramite Zendesk, come stabilito nella presente Dichiarazione di lavoro. La presente Dichiarazione di lavoro OpenMethods entrerà in vigore a partire dalla data in cui il Cliente e Zendesk eseguiranno il SOW Zendesk (o documento di ordinazione simile) a cui è allegata la presente Dichiarazione di lavoro OpenMethods.

 

APPENDICE A – REQUISITI PER GLI STAKEHOLDER 

 

Allegato 1 

ACCORDO MASTER SERVIZI 

In considerazione delle promesse reciproche, degli accordi e dei contratti qui contenuti, le parti concordano che il rapporto commerciale sarà regolato da quanto segue:

1.                Oggetto del presente contratto è la fornitura di servizi da parte della società BCR TELECOMUNICAÇÕES LTDA ("Appaltatore") in SOFTWARE AS A SERVICE PLATFORM FOR CX, nei parametri e nella modalità prescelti e presenti nella specifica del contratto.
2.                 I seguenti prodotti e servizi sono offerti dall’Appaltatore, congiuntamente o separatamente, come da contratto: 

1. Conciex Talk: Soluzione CCaaS, con report, pannello di amministrazione e un’interfaccia agente intuitiva, mirata a migliorare le esperienze e ridurre i costi e si integra con i diversi CRM sul mercato. 

2. Conciex Messaging: applicazione che funge da piattaforma di comunicazione che aiuta gli utenti a inviare messaggi singoli o in blocco da diversi canali (whatsapp, SMS ed email) attraverso integrazioni con i CRM di mercato

3. I servizi applicabili dell’Appaltatore che il Cliente ordina dall’Appaltatore ai sensi del presente Accordo saranno indicati nell’Accordo di rivendita Zendesk (come definito di seguito). 
4. Zendesk, Inc., una società del Delaware, e le sue affiliate applicabili ("Zendesk") fungeranno da agente di fatturazione per gli abbonamenti del Cliente ai servizi dell’Appaltatore ordinati dal Cliente all’Appaltatore ai sensi del presente Accordo ai sensi dell’Accordo di rivendita Zendesk . “Contratto di rivendita Zendesk” indica l’ordine di servizio, il contratto o un documento di ordinazione simile emesso da Zendesk al Cliente, a cui è allegato o incorporato il presente Accordo, che definisce, a titolo esemplificativo, il piano di abbonamento del Cliente, la durata dell’abbonamento, le tariffe e la fatturazione per i servizi dell’Appaltatore ai sensi del presente Accordo. Le parti convengono che Zendesk è autorizzata a ricevere informazioni sui prezzi e contrattuali relative ai servizi dell’Appaltatore che il Cliente ordina ai sensi del presente Accordo ai sensi di un Accordo di rivendita Zendesk, se necessario affinché Zendesk agisca in qualità di agente di fatturazione.

1.                 I termini e le condizioni specifici, firmati dalle parti al momento della conclusione, sono incorporati nel presente Accordo per riferimento e si considerano incorporati in tutte le dichiarazioni di lavoro. 
2.                 Entrambi devono essere letti, applicati e compresi insieme, tuttavia, in caso di divergenza tra il presente ("MSA") e il suddetto ("Termini e condizioni specifici"), prevarrà quest'ultimo. 
3.                 Questo termine si applica anche a eventuali modifiche che potrebbero essere firmate tra le parti.

3.1 La durata dell’abbonamento del Cliente ai servizi dell’Appaltatore sarà stabilita nell’Accordo di rivendita Zendesk a cui è allegato il presente Accordo.

3.2 Il presente Accordo può essere risolto immediatamente nei seguenti casi:

3.3.1 Mancato rispetto delle clausole contrattuali, da parte di una delle parti, a condizione che non vi sia posto rimedio entro 10 (dieci) giorni dalla comunicazione scritta; 

3.3.2 In caso di insolvenza, fallimento, scioglimento o richiesta di riorganizzazione giudiziale o extragiudiziale di una qualsiasi delle parti;

3.3.3 Evento fortuito o forza maggiore, che renda impossibile o difficile fornire il servizio;

3.3.4 In caso di commercializzazione o cessione dei servizi appaltati a terzi da parte del contraente senza il previo consenso del contraente, mancato rispetto delle disposizioni di legge o uso dei servizi in modo fraudolento o illegale.

4.1 Il Cliente pagherà a Zendesk tutte le tariffe per i servizi dell’Appaltatore specificati nell’Accordo di rivendita Zendesk. Qualsiasi modifica ai servizi dell’Appaltatore che il Cliente acquista dall’Appaltatore tramite Zendesk sarà soggetta a un ordine di modifica o modifica.

4.2 Dopo la notifica al Contraente, se l’inadempimento persiste per più di 15 (quindici) giorni, i servizi saranno immediatamente sospesi, fatti salvi i pagamenti dovuti, e il contratto potrà essere risolto, a discrezione dell’Appaltatore, dopo 30 (trenta) giorni di interruzione totale senza il dovuto pagamento e nessun tipo di indennità o risarcimento è dovuto, in nessun caso.

4.3 Per l’inizializzazione di eventuali servizi e configurazioni può essere addebitato un importo, se nel termine SETUP è previsto, e l’inizio è condizionato al pagamento, che deve avvenire, anche in caso di annullamento durante la procedura, in quanto corrispondente al tempo dedicato.

5.1 L’Appaltatore è consapevole del fatto che la fornitura di servizi potrebbe richiedere che l’Appaltatore disponga di un’infrastruttura di base, come l’accesso a Internet e lo spazio interno; in questi casi, l’Appaltatore non sarà responsabile degli impatti derivanti dai servizi forniti da terzi.

5.2 Il contratto può considerarsi risolto di diritto se l’impossibilità tecnica o operativa viene riscontrata al momento dell’installazione/avvio dei servizi, senza che le parti abbiano diritto ad alcun indennizzo.

6.1 L’Appaltatore rispetterà le responsabilità e le procedure Support allegate come Allegato A.

6.2 L’Appaltatore dichiara e garantisce che i servizi dell’Appaltatore raggiungeranno una percentuale di disponibilità mensile di almeno il 99,9% in qualsiasi mese di calendario (ovvero un massimo di quarantatre (43) minuti di inattività al mese) durante la Durata. I tempi di manutenzione/inattività pianificati sono limitati a meno di quattro (4) ore in un dato mese e l’Appaltatore fornirà al Cliente un preavviso scritto (email accettabile) con almeno sette (7) giorni di anticipo ("Tempo di inattività pianificato”).

6.3 L’Appaltatore fornirà al Cliente un preavviso di almeno sei (6) mesi in merito alla fine del ciclo di vita o al ritiro di una funzione.

7.1 Le parti concordano che, ai fini della fornitura dei servizi, i termini qui trattati devono essere letti e interpretati in conformità con la Legge generale sulla protezione dei dati (Legge 13.709/2018).

7.2 Le parti si impegnano, da sole e dai loro dipendenti, attraverso il presente contratto, a rispettare, durante tutta la fornitura del servizio, le leggi e le determinazioni legali in vigore in materia di Protezione dei dati personali, in particolare la legge 13.709/2018.

7.3 L’Appaltatore si impegna a seguire i migliori standard di sicurezza utilizzati per garantire la sicurezza dei propri clienti, in modo che tutte le informazioni fornite dall’Appaltatore siano protette da società specializzate e tutte le informazioni raccolte attraverso la Piattaforma siano archiviate in ambienti sicuri con accesso limitato.

7.4 Dichiari e garantisci che ci fornirai solo informazioni veritiere, complete e aggiornate. L’Appaltatore non sarà responsabile delle informazioni fornite dall’Appaltatore, incluso il non essere obbligato a ispezionare o controllare la veridicità delle informazioni fornite durante qualsiasi fase dell’uso della Piattaforma. La parte contraente è responsabile, civilmente e penalmente, della veridicità delle informazioni fornite.

7.5 L’Appaltatore si riserva il diritto di sospendere o terminare la fornitura dei servizi nei casi in cui le informazioni fornite dall’Appaltatore siano false o siano considerate illegali da qualsiasi autorità giudiziaria o amministrativa.

7.6 L’Appaltatore può, in qualsiasi momento, previa notifica all’Appaltatore, sospendere immediatamente i servizi forniti, in caso di ingiunzione del tribunale o risultante da una legislazione che vieti o impedisca la fornitura di servizi.

7.7 Divulgheremo le informazioni da te fornite a terzi solo se richiesto da un’autorità giudiziaria. L’Appaltatore fornirà tutte le informazioni richieste dal governo, da enti pubblici o dall’amministrazione diretta o indiretta, se debitamente giustificate e compatibili con la legge in vigore, previa autorizzazione del giudice e informerà immediatamente l’Appaltatore, che adotterà le disposizioni legali misure che ritiene pertinenti e appropriate.

7.8 Il Contraente ha il diritto di ottenere, in qualsiasi momento, previa richiesta formale con 15 (quindici) giorni di anticipo, informazioni in merito ai propri dati trattati da BCR.CX, o di sospendere l’autorizzazione al trattamento dei dati, come assicurato dal Regolamento generale sulla protezione dei dati Legge (Legge 13.709/2018).

7.9 Le parti si impegnano a segnalare, entro 24 ore, qualsiasi violazione della sicurezza nell’ambito delle proprie attività e responsabilità

7.10 L’Appaltatore rispetterà le misure di sicurezza delle informazioni allegate come Allegato B.

8.1 Il contraente dichiara che il presente contratto, così come tutti i servizi forniti, sono conformi ai criteri ESG, rispettando e implementando le migliori pratiche ambientali, sociali e di governance.

8.2 Nelle sue attività, l’Appaltatore rispetta e attua misure per combattere la pratica del riciclaggio di denaro e della corruzione in tutte le sue forme, comprese l’estorsione e la corruzione, nel rispetto di tutta la legislazione applicabile, in particolare la legge sul “riciclaggio” o l’occultamento di beni, diritti e valori ( L. 9.613/98) e la legge anticorruzione (L. 12.846/2013).

8.3 L’Appaltatore adotta e sostiene impegni sociali volti a combattere le pratiche illegali e i comportamenti discriminatori e disumani nelle relazioni di lavoro.

8.4 L’Appaltatore si impegna a fornire i propri servizi in modo sostenibile e attento al fattore ambientale, mitigando i rischi ambientali e applicando politiche di tutela ambientale nelle proprie attività, evitando pratiche dannose e rispettando la legislazione ambientale vigente, inclusa, a titolo esemplificativo, la legislazione nazionale Legge sulla politica ambientale (Legge 6.938/1981) e Legge sui reati ambientali (Legge 9.605/1998)

8.5 osservare e garantire che i suoi agenti e dipendenti rispettino le politiche, le norme e gli standard stabiliti dall’altra Parte, quando rimangono nei suoi locali, obbligando, di per sé, i suoi dipendenti e eventuali subappaltatori a rispettare gli standard pertinenti alla sicurezza, ambiente, igiene e medicina del lavoro e lavoro dei minori.

9.1 Le parti dichiarano, nell'atto di contrarre, una valida ed effettiva manifestazione di accordo a questo termine.

9.2 Le parti eleggono la giurisdizione di San Paolo - SP, domicilio del Contraente, per risolvere eventuali problemi derivanti dal presente atto.

 

Allegato A – Responsabilità e procedure Support

1. Definizioni

In questo Allegato A:

(a) “ Support di livello 1” indica il primo livello di assistenza fornito al Cliente dall’Appaltatore per raccogliere i contributi del cliente, verificare i sintomi e passare, se necessario, Support di livello 2.

(b) “ Support di livello 2” indica il secondo livello di assistenza fornito dall’Appaltatore al Cliente per risolvere problemi operativi e infrastrutturali dei servizi dell’Appaltatore.

(c) “ Support di livello 3” indica il terzo livello di assistenza fornito dal contraente che copre la soluzione di bug del codice dell’applicazione o del codice dell’infrastruttura.

(d) “Orario Support gli appaltatori” per problemi non critici e non di maggiore impatto aziendale: tra le 09:00 e le 24:00 BRT di un giorno lavorativo (dal lunedì al venerdì, ogni settimana dell’anno). Gli orari Support e gli obblighi di risposta per i problemi di importanza critica e di impatto aziendale sono descritti di seguito.

2. Obblighi Support dell’appaltatore

L’Appaltatore dovrà fornire al Cliente tutta assistenza in relazione ai problemi identificati dal Cliente e segnalati all’Appaltatore. Questi servizi assistenza saranno forniti tramite il sistema di ticket help desk Zendesk.

Il contraente risponde alle richieste di assistenza:

(a) per quanto riguarda i problemi di impatto aziendale critico, entro trenta (30) minuti, ventiquattro (24) ore al giorno, trecentosessantacinque (365) giorni all’anno. Il contraente deve fornire al cliente (e a Zendesk, se tali problemi di impatto aziendale critico si riferiscono a richieste assistenza del cliente inoltrate al contraente da Zendesk) aggiornamenti sui problemi di impatto aziendale critico ogni trenta (30) minuti fino alla risoluzione del problema. Per impatto aziendale critico si intende un problema che interrompe la funzionalità materiale all’interno dell’ambiente di produzione nei servizi dell’appaltatore o compromette la sicurezza/integrità dei dati nei servizi dell’appaltatore. I problemi di impatto aziendale critico rimarranno fino a quando l’interruzione è in corso, la necessità di una soluzione è estremamente sensibile al tempo e non sono disponibili soluzioni alternative ragionevoli;

(b) in relazione ai problemi di maggiore impatto aziendale entro un’ora (1), ventiquattro (24) ore al giorno, trecentosessantacinque (365) giorni all’anno. L’Appaltatore dovrà fornire al Cliente (e a Zendesk, se tali problemi di impatto aziendale critico si riferiscono a richieste assistenza del Cliente inoltrate all’Appaltatore da Zendesk) aggiornamenti sui problemi di maggiore impatto aziendale ogni ora (1) fino alla risoluzione del problema. Per impatto aziendale maggiore si intende un problema che degrada una funzionalità sostanziale o interrompe o peggiora in modo significativo le normali operazioni aziendali del Cliente, si trova nell’ambiente di produzione del Cliente ed è altamente sensibile al tempo e/o è necessario uno sforzo non pianificato significativo per aggirare il problema problema per mantenere le normali operazioni aziendali; 

(c) per altri problemi e richieste, entro sei (6) Ore Support del contraente;

(d) per risolvere i problemi che gli sono stati sollevati entro un lasso di tempo commercialmente ragionevole; e

(e) fornendo aggiornamenti continui sui problemi irrisolti almeno una volta alla settimana fino alla risoluzione del problema.

 

Allegato B – Misure di sicurezza delle informazioni

L’Appaltatore garantisce e dichiara che farà ogni sforzo commercialmente ragionevole per implementare e mantenere le misure di sicurezza descritte di seguito per mantenere tutti i contenuti, i materiali, i dati (inclusi i dati personali) e le informazioni non pubbliche fornite o rese disponibili dal Cliente (collettivamente, “Dati”) protegge e protegge i Dati da elaborazioni non autorizzate o illecite, perdita accidentale, distruzione o danni, come indicato di seguito. In tal modo, l’Appaltatore agirà in buona fede e diligenza, usando ragionevole cura e competenza. 

A. Definizioni:

• “Elaborazione” indica qualsiasi operazione in relazione ai Dati indipendentemente dalle finalità e dai mezzi applicati, inclusi, a titolo esemplificativo, accesso, raccolta, conservazione, memorizzazione, trasferimento, divulgazione, uso, cancellazione, distruzione e qualsiasi altra operazione.
• “Violazione” indica qualsiasi (a) Trattamento dei Dati non autorizzato o (b) qualsiasi atto od omissione che comprometta o pregiudichi le salvaguardie fisiche, tecniche o organizzative messe in atto dal Contraente in relazione al Trattamento dei Dati o comunque messe in atto per soddisfare tali requisiti . A scanso di equivoci, il “trattamento non autorizzato” include, a titolo esemplificativo: uso improprio, perdita, distruzione, compromissione o accesso, raccolta, conservazione, memorizzazione o trasferimento non autorizzati.
• “Incidente” indica qualsiasi compromissione della sicurezza dei Dati, incluso qualsiasi (i) atto che viola qualsiasi legge o policy di sicurezza del Contraente, (ii) interruzione del servizio non pianificata che impedisce il normale funzionamento dei servizi del Contraente o (iii) Violazione.

2. Misure: Misure tecniche e organizzative per la memorizzazione, la gestione e l’eliminazione dei Dati.

• Il contraente utilizzerà algoritmi di crittografia standard del settore e punti di forza chiave per crittografare quanto segue:
• Crittografa tutti i dati in formato elettronico durante il transito su tutte le reti cablate pubbliche (ad esempio Internet) e su tutte le reti wireless. 
• Crittografa tutti i dati mentre sono nello spazio di archiviazione. “In Storage” indica le informazioni memorizzate nei database, nei file system e su vari tipi di supporti online e offline (dispositivi mobili, laptop, DASD, nastri, ecc.) ed è anche comunemente indicato come “inattivo”.
• Salvo ove proibito dalla legge, l’Appaltatore rimuoverà tempestivamente i Dati al (a) completamento dei servizi dell’Appaltatore; o (b) la richiesta del Cliente di essere rimosso dall’ambiente dell’Appaltatore e di distruggerlo entro un periodo di tempo ragionevole, ma in ogni caso non oltre ventuno (21) giorni dalla data della richiesta o dalla cessazione dei servizi. L’Appaltatore fornirà al Cliente una certificazione scritta in merito a tale rimozione, distruzione e/o pulizia entro trenta (30) giorni da tale evento.

3. Misure: Protezione da codici dannosi. 

• Tutte le workstation e i server (virtuali o fisici) eseguiranno la versione corrente del software antivirus e/o antimalware standard del settore con gli aggiornamenti più recenti disponibili su qualsiasi workstation o server. Le definizioni dei virus devono essere aggiornate tempestivamente al momento del rilascio da parte del fornitore del software antivirus. Il contraente configurerà le apparecchiature e disporrà di politiche di supporto per vietare agli utenti di disabilitare il software antivirus, alterare le configurazioni di sicurezza o disabilitare altre misure di protezione messe in atto per garantire la sicurezza dei dati o dell’ambiente informatico del contraente.
• Il contraente eseguirà la scansione del contenuto in ingresso e in uscita alla ricerca di codice dannoso su tutti i gateway verso le reti pubbliche, inclusi i server email e proxy.
• Il contraente metterà in quarantena o rimuoverà i file che sono stati identificati come infetti e registrerà l’evento.

4. Misure: Misure tecniche e organizzative per il controllo degli accessi, in particolare per controllare la legittimità degli utenti autorizzati alle strutture e ai sistemi a cui è possibile accedere ai Dati:

• L’appaltatore garantisce che vengano prese misure per mettere in sicurezza i locali (ad esempio, la sicurezza di ingressi e uscite) e le misure all’interno del suo edificio attraverso l’uso delle procedure seguenti:
• sicurezza e crittografia di tutti i personal computer o altri dispositivi mobili che potrebbero accedere ai Dati;
• accesso limitato a dipendenti e appaltatori, ad eccezione dei visitatori autorizzati; 
• identificazione delle persone che dispongono dell’autorizzazione all’accesso;
• limitazione delle chiavi;
• registri dei visitatori (incluso il cronometraggio); e
• sistema di allarme di sicurezza o altre misure di sicurezza appropriate.

Il Contraente revoca l’accesso alle ubicazioni fisiche, ai sistemi e alle applicazioni che contengono o elaborano Dati entro ventiquattro (24) ore dalla cessazione della necessità dell’agente autorizzato di accedere ai sistemi o alle applicazioni.

5. Misure: Misure tecniche (protezione con password/password) e organizzative (record anagrafica utente) relative all’identificazione e all’autenticazione degli utenti:
   
   

L’Appaltatore deve informare il Cliente, su sua ragionevole richiesta, quali persone autorizzate sono incaricate di accedere ai Dati.

Il controllo utente deve includere le misure seguenti:

• profilo VPN limitato;
• implementazione dell’autenticazione a 2 fattori

Il controllo dell’accesso ai dati include le misure seguenti:

• misure disciplinari efficaci e misurate nei confronti delle persone che accedono ai dati senza autorizzazione.

6. Misure: Misure tecniche e organizzative relative alla sicurezza delle reti (incluse le reti wireless) utilizzate dall’Appaltatore.

Tutti i controlli di rete devono includere le misure seguenti:

• Il contraente eseguirà regolarmente scansioni delle vulnerabilità della rete interne ed esterne. Le vulnerabilità identificate saranno risolte in modo commercialmente ragionevole e con tempistiche basate sulla gravità.
• Il contraente implementerà una tecnologia firewall ragionevolmente appropriata per il funzionamento delle sue reti. 
• Come minimo, il contraente esaminerà gli insiemi di regole firewall con cadenza trimestrale per garantire che le regole legacy vengano rimosse e le regole attive siano configurate correttamente.
• Il contraente implementerà sistemi di rilevamento o prevenzione delle intrusioni per monitorare le reti per individuare attività inappropriate.
• Il contraente deve implementare una soluzione di gestione dei registri e conservare i registri prodotti da firewall e sistemi di rilevamento delle intrusioni per un periodo minimo di un (1) anno.

I controlli della rete wireless devono includere le seguenti misure aggiuntive:

• L’accesso di rete alle reti wireless deve essere limitato alle sole persone autorizzate. 
• I punti di accesso devono essere segmentati da una LAN cablata interna usando un dispositivo gateway.
• L’identificatore del set di servizi (SSID), l’ID utente amministratore, la password e le chiavi di crittografia devono essere modificati rispetto al valore predefinito.
• La crittografia di tutte le connessioni wireless verrà abilitata usando algoritmi di crittografia standard del settore. I protocolli di crittografia saranno basati su “Wireless Protected Access” (WPA2) o superiore. 

7. Misure: Il contraente manterrà una funzione di risposta agli incidenti in grado di identificare, mitigare gli effetti e prevenire il ripetersi degli incidenti. Se si verifica un Incidente, il Contraente (i) prenderà prontamente tutte le misure necessarie per prevenire qualsiasi ulteriore compromissione dei Dati o qualsiasi Incidente futuro; (ii) notificare al Cliente entro ventiquattro (24) ore dall’identificazione dell’Incidente e fornire una relazione scritta entro tre (3) giorni; e (iii) rispondere prontamente a qualsiasi richiesta ragionevole da parte del Cliente di informazioni dettagliate relative all’Incidente. L’avviso e il report dell’Appaltatore conterranno una descrizione della natura dell’incidente, del suo impatto e di eventuali azioni investigative, correttive o correttive intraprese o pianificate.

8. Misure: Continuità aziendale e ripristino di emergenza. L’Appaltatore attuerà un piano di continuità aziendale commercialmente ragionevole e standard del settore per mantenere la disponibilità dei servizi dell’Appaltatore (il “Piano di continuità”). Il piano di continuità include e include, a titolo esemplificativo, elementi come (a) la gestione delle crisi, l’attivazione del piano e del team, la documentazione relativa a eventi e processi di comunicazione; (b) gestione degli eventi, ripristino dell’azienda, ubicazioni alternative dei siti e test dell’albero delle chiamate; e (c) dettagli su infrastruttura, tecnologia e sistemi, attività di ripristino e identificazione delle persone/team necessari per tale ripristino. L’Appaltatore dovrà mantenere tale Piano di continuità per tutta la durata di tutti gli abbonamenti; a condizione che l’Appaltatore abbia il diritto di modificare o emendare il Piano di continuità, a condizione che tale modifica o emendamento non abbia un effetto negativo sostanziale sulla capacità dell’Appaltatore di mantenere la disponibilità dei servizi dell’Appaltatore.

1. Su richiesta del Cliente, l’Appaltatore apporterà modifiche commercialmente ragionevoli al proprio programma di sicurezza delle informazioni o alle procedure e alle pratiche ivi previste per conformarsi ai requisiti di sicurezza di base del Cliente, come indicato in tutti gli allegati applicabili dell’Accordo e come di volta in volta esistenti. Il Cliente dovrà fornire all’Appaltatore la documentazione di tali linee guida, che farà parte delle informazioni riservate del Cliente ai sensi dell’Accordo. L’Appaltatore svilupperà un piano scritto di sicurezza delle informazioni per il Cliente contenente almeno gli argomenti previsti nel presente Accordo.

 

 

Allegato 1 

Accordo con il cliente finale di Aircall

Il presente Accordo con il cliente finale di Aircall ("ECA") disciplina il rapporto tra il Cliente ("tu" o "Cliente") e Aircall ("noi" o "Aircall") nel contesto dei servizi forniti nell'ambito del più ampio accordo contrattuale tra Zendesk e il Cliente (il “Contratto Zendesk”). 

La presente ECA entra in vigore a partire dalla data in cui il Cliente accetta per la prima volta o altrimenti accetta i termini ivi contenuti, o altrimenti usa o accede per la prima volta ai Servizi (la “Data di entrata in vigore”). La presente ECA è un accordo vincolante tra il Cliente e Aircall e non con Zendesk. In caso di conflitto tra l’Accordo Zendesk e la presente ECA, in relazione ai Servizi Aircall che non sono Servizi Zendesk ai sensi dell’Accordo Zendesk, la presente ECA prevarrà. 

La presente ECA incorpora per riferimento i Termini e condizioni di Aircall (“T&C”), disponibili all’indirizzo https://legal.aircall.io/ e successive modifiche, salvo quanto espressamente modificato o integrato nel presente documento. In caso di conflitto o incoerenza tra i termini dell’ECA e i T&C, prevarranno i T&C. L’Allegato A indica la serie di T&C applicabili in base all’ubicazione geografica del Cliente.

Usando i Servizi di Aircall, accetti i termini stabiliti nella presente ECA e i T&C applicabili. L’ECA e i T&C sono definiti insieme “Accordo”. 

1. Definizioni

I termini in maiuscolo usati ma non definiti nel presente Accordo avranno il significato loro assegnato nei T&C.

2. Documenti contrattuali - Ordine di precedenza

L’Accordo tra il Cliente e Aircall in relazione ai servizi Aircall comprende i relativi T&C di Aircall (come dettagliato nell’Allegato A di seguito), inclusa qualsiasi appendice applicabile ai T&C, la presente ECA, inclusi gli Allegati ECA, l’Accordo sul trattamento dei dati di Aircall ( come definito di seguito) e, ove applicabile, qualsiasi Modulo d’ordine o Acquisto (come definiti nella Sezione 1 dei T&C). 

In caso di conflitto o incoerenza tra i documenti che compongono il presente Accordo, si applica il seguente ordine di precedenza (dal più alto al più basso): (i) l’Accordo sul trattamento dei dati di Aircall; e Sezione 11.5; (iii) i T&C di Aircall; (iv) ove applicabile, qualsiasi Modulo d'ordine e/o documento di acquisto.

Salvo quanto esplicitamente descritto sopra, i Termini e condizioni di Aircall come di volta in volta modificati prevarranno sul presente Accordo con il cliente finale.

3. Ambito dei servizi

I Servizi Aircall possono includere la fornitura di numeri di telefono, telefonia in ingresso e in uscita, gestione delle chiamate, funzionalità di AI e altre funzionalità correlate, come aggiornato di volta in volta (collettivamente i “Servizi”). Il Cliente riconosce e accetta che la fornitura di servizi telefonici e numeri di telefono è un’attività regolamentata fornita direttamente ed esclusivamente dall’Entità contraente Aircall pertinente, come descritto nell’Allegato A.

Questi Servizi sono soggetti ai termini indicati nei Termini e condizioni di Aircall, disponibili all’indirizzo https://legal.aircall.io/. I termini e le regole che disciplinano l’accesso e l’uso dei Servizi sono disciplinati dalle Sezioni da 3 a 4 dei T&C. 

4. Livelli di servizio

I livelli di servizio e gli impegni relativi ai tempi di attività sono descritti nell’Allegato C.

5. Commissioni e fatturazione

   1. Commissioni, fatturazione e pagamento

1. Commissioni fisse (addebitate da Zendesk).

Il Cliente pagherà a Zendesk tutte le tariffe di abbonamento ricorrenti per i Servizi, come indicato nel SOW o nella fattura Zendesk applicabile. Le condizioni relative alla fatturazione e al pagamento delle tariffe di abbonamento sono regolate dall’Accordo Zendesk.

2. Commissioni di utilizzo e tariffe aggiuntive (addebitate per Aircall).

Ai fini della presente Sezione: 

1. “Costi aggiuntivi” indica gli addebiti, le tariffe o i costi sostenuti dal Cliente di volta in volta in relazione ai Servizi, diversi dai Costi di utilizzo, inclusi i costi per gli acquisti effettuati tramite Aircall Dashboard (inclusi, a titolo esemplificativo, i numeri di Utente aggiuntivo e definiti nei T&C).

2. “Tariffe di utilizzo” indica i costi di chiamata al minuto o altri costi basati sul consumo associati all’uso effettivo dei Servizi da parte del Cliente, come descritto più dettagliatamente nella Sezione 7 dei T&C. 

Salvo diversa disposizione in un SOW, Aircall fatturerà direttamente al Cliente eventuali Commissioni di utilizzo e/o Commissioni aggiuntive sostenute ai sensi del presente Accordo in relazione all’uso da parte del Cliente dei Servizi e/o di qualsiasi Acquisto effettuato dal Cliente, come indicato da Aircall di volta in volta tempo, anche tramite i dashboard Aircall o tramite avviso separato. La fatturazione può essere effettuata mensilmente in via posticipata o con un’altra frequenza specificata di volta in volta da Aircall.

2. Imposte.

Le tariffe applicabili sono al netto delle tasse e dei supplementi richiesti dalle leggi applicabili, inclusi IVA, costi/esborsi, oneri, valutazioni normative o qualsiasi altro onere, imposta, tassa di registrazione o tassa che deve essere addebitata in aggiunta. Laddove applicabile, l’importo fatturato e/o gli importi addebitati al Cliente possono quindi variare di mese in mese e il Cliente accetta di pagare tutte le commissioni e/o le tasse dovute.

6. Proprietà intellettuale e licenza

Come ulteriormente descritto nella Sezione 5 dei T&C, il Cliente riconosce e accetta che Aircall o, ove pertinente, le sue Affiliate detengano tutti i diritti, i titoli e gli interessi relativi a tutti i diritti di proprietà intellettuale nella Soluzione Aircall e nel Sito, nonché qualsiasi contenuto o in esso. Tutti i diritti non espressamente concessi al Cliente sono riservati a Aircall e ai suoi concessori di licenza. I Servizi possono contenere software o codice open source e il Cliente riconosce che un uso improprio dei Servizi può violare i diritti di proprietà intellettuale di terzi.

Fatta salva la piena e continua osservanza da parte del Cliente di tutti i termini e le condizioni del presente Accordo (inclusi i relativi T&C di Aircall), Aircall concede al Cliente e ai suoi utenti, a seconda dei casi, durante il Periodo di validità, un’indennità revocabile e non trasferibile (salvo diversa disposizione nella Sezione 3.2 dei T&C), licenza non esclusiva e limitata e diritto di accesso e uso del Sito, la Licenza Number, la Licenza utente, il dashboard Aircall e determinati Servizi debitamente acquistati o ordinati dal Cliente nell’ambito del suo Piano (inclusi eventuali o numeri di chiamata ordinati) esclusivamente per scopi aziendali interni e solo come consentito dal presente Accordo.

7. Obblighi del cliente e limitazioni all’uso

   1. Conformità alle leggi. Il Cliente accetta di usare i Servizi in conformità a tutte le leggi e le normative applicabili, comprese quelle che regolano le telecomunicazioni, la privacy e la protezione dei dati.

   2. Politica di utilizzo consentito. Il Cliente è responsabile della conformità, propria e dei suoi Utenti, alla Politica di utilizzo consentito (“PUP”) descritta nella Sezione 6 dei Termini e condizioni (accessibile qui: https://legal.aircall.io/). 

   3. Attività vietate. Il Cliente non può (i) usare i Servizi per scopi illegali o fraudolenti e/o in violazione del PUP, (ii) rivendere i Servizi se non diversamente consentito da Aircall, o (iii) aggirare o violare qualsiasi dispositivo di sicurezza o protezione usato in connessione con i Servizi.

   4. Configurazione account. Il Cliente è tenuto a garantire la riservatezza del proprio Account cliente (come definito nella Sezione 1 dei T&C), incluse le proprie credenziali e quelle di qualsiasi Utente e di tutte le attività che si verificano nell’ambito degli Account.

   5. Cooperazione normativa. Laddove necessario per conformarsi alle normative applicabili, il Cliente deve fornire tempestivamente qualsiasi informazione o documentazione richiesta a Aircall (ad esempio, prova di identità, ubicazione) e collaborare con qualsiasi indagine legale o normativa relativa all’uso dei Servizi.

8. Riservatezza

   1. Come ulteriormente dettagliato nella Sezione 6 dei T&C, entrambe le parti si impegnano a mantenere la riservatezza di qualsiasi informazione non pubblica divulgata ai sensi del presente Accordo.

   2. Il Cliente non deve divulgare le informazioni riservate di Aircall a terzi senza previo consenso scritto, salvo quanto richiesto dalla legge.

9. Protezione dei dati e privacy

   1. Privacy. Aircall prende sul serio la privacy dei propri clienti e utilizzerà le informazioni di identificazione personale fornite dal Cliente in conformità con:

1. i termini e le condizioni contenuti nell’Accordo sul trattamento dei dati https://aircall.io/dpa/ , laddove tali informazioni costituiscano Dati personali (come definiti nell’Accordo sul trattamento dei dati) e laddove Aircall elabora tali informazioni per conto del Cliente; e

2. le condizioni descritte nell’Informativa sulla privacy di Aircall disponibile all’indirizzo: https://aircall.io/privacy/ , dove Aircall tratta tali informazioni per le finalità e con i mezzi determinati congiuntamente o indipendentemente da Aircall (in qualità di titolare del trattamento dei dati).

2. Accordo sul trattamento dei dati. Con la sottoscrizione del presente Accordo, le Parti stipulano anche l’Accordo sul trattamento dei dati, che ne costituisce parte inscindibile.

3. Sicurezza delle informazioni. Aircall si impegna a usare misure di sicurezza tecniche e operative ragionevoli dal punto di vista commerciale volte a proteggere i dati dei clienti e le informazioni riservate dei clienti dall’uso o dalla divulgazione non autorizzati in conformità con i termini dell’allegato B. Laddove i dati dei clienti costituiscano dati personali e il loro trattamento via aerea è soggetto al trattamento dei dati Aircall proteggerà tali Dati personali implementando le misure tecniche e operative descritte nell’Accordo sul trattamento dei dati.

10. Garanzie, esonero di responsabilità, indennizzo e responsabilità

    1. Garanzie: In conformità con la Sezione 10 dei T&C, Aircall fornirà i servizi in modo professionale e a regola d’arte. Tuttavia, Aircall non garantisce il funzionamento ininterrotto o privo di errori dei Servizi.

    2. Disclaimer: In conformità con la Sezione 10.3 dei T&C, nella misura massima consentita dalla legge, Aircall declina ogni garanzia implicita, inclusa la commerciabilità e l’idoneità a uno scopo particolare.

    3. Indennizzo: In conformità con la Sezione 11 dei T&C, il Cliente accetta di indennizzare e tenere indenne Aircall da qualsiasi pretesa, danno o responsabilità derivante dall’uso dei servizi o dalla violazione del presente Accordo.

    4. Responsabilità: NELLA MISURA MASSIMA CONSENTITA DALLA LEGGE APPLICABILE, IN NESSUN CASO LA RESPONSABILITÀ CUMULATIVA DI AIRCALL O DELLE SUE AFFILIATE POTRÀ SUPERARE GLI IMPORTI TOTALI PAGATI O PAGABILI DAL CLIENTE PER I SERVIZI NEI DODICI (12) MESI PRIMA DEL RECLAMO CHE HA DATO ORIGINE A TALI DANNI O CENTO EURO (100€) PER UNA PROVA GRATUITA. NELLA MISURA MASSIMA CONSENTITA DALLA LEGGE APPLICABILE, AIRCALL O LE SUE AFFILIATE NON SARANNO RESPONSABILI PER ALCUN DANNO CONSEQUENZIALE, INDIRETTO, ACCIDENTALE, ESEMPLARE, REPUTATIVO, SPECIALE O PUNTIVO DI QUALSIASI TIPO COME LA PERDITA DI DATI O DI PROFITTI O L’INTERRUZIONE DELL’ATTIVITÀ , PERDITA DI OPPORTUNITÀ COMMERCIALI, DANNO ALL’IMMAGINE O ALLA REPUTAZIONE, DERIVANTI DA CONTRATTO, GARANZIA, ILLECITO ILLECITO (COMPRESO NEGLIGENZA O RESPONSABILITÀ OGGETTIVA) O QUALSIASI ALTRA TEORIA DI RESPONSABILITÀ, ANCHE SE AIRCALL O LE SUE AFFILIATE SONO STATE STATE NOTIFICATE ORALE O PER SCRITTA DELLA POSSIBILITÀ DI TALI DANNI. QUALSIASI RECLAMO O AZIONE DERIVANTE DALL’ACCESSO O DALL’UTILIZZO DEL SITO E DEI SERVIZI DA PARTE DEL CLIENTE DEVE ESSERE FORNITO UFFICIALMENTE PER SCRITTA A AIRCALL TRAMITE POSTA RACCOMANDATA CON RICEVUTA INDIRIZZATA ALLA RELATIVA SEDE ENTRO UN (1) ANNO DOPO IL RECLAMO O LA CAUSA DELL’AZIONE SI È VERIFICATO O DEVE ESSERE RITENUTO RINUNCIATO DAL CLIENTE.

11. Durata, sospensione e risoluzione

    1. Durata. Il presente Accordo decorre dalla Data di entrata in vigore e rimane in vigore fino a quando il Cliente ha una durata di abbonamento attiva ai sensi dell’Accordo Zendesk o utilizza una parte dei Servizi, a meno che non venga risolto anticipatamente in conformità con la presente Sezione.

    2. Sospensione. Aircall può sospendere o limitare immediatamente l’accesso ai Servizi da parte del Cliente e/o degli Utenti se (i) il Cliente viola i propri obblighi di pagamento per le Commissioni di utilizzo o le Commissioni aggiuntive, (ii) il Cliente e/o qualsiasi Utente usa i Servizi in violazione di legge o di questi termini, oppure (iii) la sospensione è necessaria per evitare danni materiali ai Servizi o ad altri clienti. Oltre a qualsiasi altro diritto e rimedio qui previsto, Aircall può sospendere la fornitura, l’accesso e/o l’uso dei Servizi, in tutto o in parte, nei seguenti casi, come stabilito da Aircall a sua esclusiva ma ragionevole discrezione:

1. Il Cliente o qualsiasi Utente viola (i) i termini dell’Accordo (anche in caso di mancato pagamento alla data di scadenza), (ii) le leggi applicabili o (iii) qualsiasi politica fornita o messa a disposizione del Cliente per iscritto , inclusa la Politica sull’uso consentito;

2. nel caso in cui l’accesso e/o l’uso dei Servizi da parte del Cliente o di qualsiasi Utente comporti un degrado dei Servizi o in altro modo danneggi o possa danneggiare i diritti di Aircall o di terzi;

Senza limitare quanto sopra, Aircall può sospendere l’accesso ai Servizi, se il Cliente non ha rispettato il ritardo fornito da Aircall nell’avviso inviato da Aircall al Cliente, Aircall può sospendere l’accesso e la fornitura dei Servizi fino a tale violazione, degrado o il cliente ha posto rimedio al danno. La sospensione non esonera il Cliente dall’obbligo di pagare le Commissioni e gli eventuali costi associati alla riattivazione dei Servizi. Aircall non sarà responsabile per eventuali danni derivanti dalla sospensione dei Servizi.

3. Cessazione. Fatte salve le condizioni della Sezione 12 dei T&C, ciascuna delle parti può risolvere il presente Accordo (a) se l’altra parte viola materialmente e non risolve il problema entro trenta (30) giorni dal ricevimento della notifica scritta, o (b) in caso di insolvenza o fallimento dell’altra parte. La risoluzione dell’Accordo Zendesk può comportare anche la risoluzione del presente Accordo, a meno che Aircall e il Cliente non accettino separatamente di continuare a fornire i Servizi.

4. Effetti della cessazione. Al termine, il Cliente deve cessare immediatamente di usare i Servizi e qualsiasi obbligo di pagamento in sospeso (incluse le Commissioni di utilizzo maturate e le Commissioni aggiuntive) diventeranno esigibili. Aircall fornirà istruzioni ragionevoli per il recupero da parte del Cliente dei dati memorizzati, se applicabile.

5. Avviso di fine vita. Aircall notificherà al Cliente la scadenza o il ritiro della Soluzione Aircall con almeno sei (6) mesi di anticipo, a condizione che tale periodo di preavviso non si applichi nei casi in cui l’interruzione sia necessaria a causa di obblighi legali, normativi o giudiziari. La notifica verrà fornita in conformità con i termini del presente Accordo. 

12. Legge applicabile e risoluzione delle controversie

    1. Legge applicabile. Il presente Accordo è regolato e interpretato in conformità con le leggi specificate nei Termini e condizioni di Aircall applicabili. 

    2. Luogo e giurisdizione. I tribunali o gli organismi di risoluzione contestazione indicati nell’Allegato A (T&C applicabili) hanno giurisdizione esclusiva, salvo diversa disposizione della legge locale.

    3. Risoluzione delle controversie. In caso di qualsiasi contestazione, reclamo, domanda o disaccordo ("Controversia") derivante da o correlata all'Accordo, le Parti faranno del loro meglio per risolvere la controversia mediante normali discussioni commerciali. Se la Controversia rimane irrisolta trenta (30) giorni dopo la notifica della Controversia da parte di una delle Parti all’altra, ciascuna delle Parti può intraprendere ulteriori azioni legali per risolvere la Controversia.

13. Modifiche

Aircall può aggiornare i T&C, incluse le modifiche alle tariffe, alle funzioni dei Servizi Aircall o al contenuto delle offerte selezionate dal Cliente, o a qualsiasi politica, con un preavviso di trenta (30) giorni al Cliente all’indirizzo email associato al Cliente. Account. Tali aggiornamenti entreranno in vigore trenta (30) giorni dopo tale comunicazione al Cliente. Nel caso in cui qualsiasi aggiornamento di questo tipo influisca su una parte sostanziale del Contratto, il Cliente può, entro trenta (30) giorni dalla ricezione dell’aggiornamento, notificare la risoluzione del Contratto o dei Servizi interessati senza costi o penali e senza aver diritto ad alcun compenso. Qualsiasi utilizzo dei Servizi dopo la data di entrata in vigore sarà considerato come accettazione della modifica da parte del Cliente. La versione aggiornata dei T&C sarà considerata incorporata per riferimento nel presente Accordo a partire dalla data di entrata in vigore e regolerà di conseguenza l’uso continuato dei Servizi. La versione attuale dei T&C in vigore è disponibile all’indirizzo: https://legal.aircall.io/ .

A scanso di equivoci, si specifica che la risoluzione non può aver luogo se le modifiche apportate sono imposte da leggi o regolamenti e/o se non influiscono negativamente sugli elementi sostanziali dei Servizi. 

14. Varie

    1. Avvisi. Le notifiche previste dal presente Accordo devono essere fornite per iscritto e consegnate:

1. al Cliente: agli indirizzi specificati nel relativo Modulo d’ordine o tramite posta elettronica al contatto designato dell’account.

2. a Aircall: all’indirizzo indicato nell’Allegato A qui sotto. 

2. Intero accordo. La presente ECA (inclusi i T&C di Aircall e il relativo Allegato) costituisce l’intero accordo tra le parti in merito all’oggetto del presente documento e sostituisce tutti gli accordi o le intese precedenti o contemporanei relativi a tale oggetto

Sottoscrivendo e usando i Servizi Aircall, il Cliente riconosce e accetta di essere vincolato dai termini del presente Accordo, inclusi i Termini e condizioni Aircall applicabili qui incorporati come riferimento.

Allegato A – Condizioni applicabili

 

Allegato B - Misure di sicurezza delle informazioni

Tenendo conto dello stato dell’arte, dei costi di implementazione e della natura, dell’ambito, del contesto e delle finalità del trattamento, nonché del rischio di probabilità e gravità variabili per i clienti, Aircall farà ogni sforzo commercialmente ragionevole per implementare e mantenere le misure appropriate sostanzialmente simili a quelli descritti di seguito, a seconda del livello di rischio per mantenere i contenuti, i materiali, i dati (inclusi i dati personali) e le informazioni non pubbliche fornite o messe a disposizione dal Cliente (collettivamente, “Dati”) al sicuro e proteggere i Dati da o elaborazione illecita, perdita accidentale, distruzione o danno, come indicato di seguito. In tal modo, Aircall agirà in buona fede e diligenza, usando ragionevole cura e competenza in conformità con gli standard del settore. 

A. Definizioni:

● “Elaborazione” indica qualsiasi operazione in relazione ai Dati indipendentemente dalle finalità e dai mezzi applicati, inclusi, a titolo esemplificativo, accesso, raccolta, conservazione, memorizzazione, trasferimento, divulgazione, uso, cancellazione, distruzione e qualsiasi altra operazione.

● “Violazione”: qualsiasi (a) Trattamento dei Dati non autorizzato o (b) qualsiasi atto od omissione che comprometta o pregiudichi le garanzie fisiche, tecniche o organizzative messe in atto da Aircall in merito al Trattamento dei Dati o comunque messe in atto per conformarsi a tali requisiti. A scanso di equivoci, il “trattamento non autorizzato” include, a titolo esemplificativo: uso improprio, perdita, distruzione, compromissione o accesso, raccolta, conservazione, memorizzazione o trasferimento non autorizzati.

● “Incidente” indica qualsiasi compromissione della sicurezza dei Dati, incluso qualsiasi (i) atto che viola qualsiasi legge o policy di sicurezza di Aircall, (ii) interruzione del servizio non pianificata che impedisce il normale funzionamento dei Servizi o (iii) Violazione.

B. Misure: Misure tecniche e organizzative per la memorizzazione, la gestione e l’eliminazione dei Dati.

● Aircall utilizzerà algoritmi di crittografia standard del settore e punti di forza chiave per crittografare quanto segue:

● Crittografa tutti i dati in formato elettronico durante il transito su tutte le reti pubbliche cablate (ad es. Internet) e su tutte le reti wireless. 

● Crittografa tutti i dati mentre sono in memoria. “In Storage” indica le informazioni memorizzate nei database, nei file system e su vari tipi di supporti online e offline (dispositivi mobili, laptop, DASD, nastri, ecc.) ed è anche comunemente indicato come “inattivo”.

● Salvo ove proibito dalla legge, Aircall rimuoverà tempestivamente i Dati su richiesta del Cliente per essere rimossi dall’ambiente di Aircall e li distruggerà entro un periodo di tempo ragionevole, ma in ogni caso non oltre ventuno (21) giorni dalla data della richiesta . Su richiesta del Cliente, Aircall fornirà al Cliente una conferma scritta in merito a tale rimozione, distruzione e/o pulizia entro trenta (30) giorni da tale evento.

C. Misure: Protezione da codici dannosi. 

● Tutte le workstation e i server (virtuali o fisici) eseguiranno la versione corrente del software antivirus e/o antimalware standard del settore con gli aggiornamenti più recenti disponibili su qualsiasi workstation o server. Le definizioni dei virus devono essere aggiornate tempestivamente al momento del rilascio da parte del fornitore del software antivirus. Aircall configurerà le apparecchiature e disporrà di politiche di supporto per vietare agli utenti di disabilitare il software antivirus, alterare le configurazioni di sicurezza o disabilitare altre misure di protezione messe in atto per garantire la sicurezza dei dati o dell’ambiente informatico di Aircall.

● Aircall eseguirà la scansione del contenuto in ingresso e in uscita alla ricerca di codice dannoso su tutti i gateway verso le reti pubbliche, inclusi i server email e proxy.

● Aircall metterà in quarantena o rimuoverà i file che sono stati identificati come infetti e registrerà l'evento.

D. Misure: Misure tecniche e organizzative per il controllo degli accessi, in particolare per controllare la legittimità degli utenti autorizzati alle strutture e ai sistemi a cui è possibile accedere ai Dati:

● Aircall garantisce l'adozione di misure per la sicurezza dei locali (ad esempio, la sicurezza di ingressi e uscite) e l'adozione di misure all'interno dell'edificio mediante l'uso delle procedure seguenti:

● sicurezza e crittografia di tutti i personal computer o altri dispositivi mobili che possono accedere ai Dati;

● accesso limitato a dipendenti e collaboratori, ad eccezione dei visitatori autorizzati; 

● identificazione delle persone che dispongono dell'autorizzazione all'accesso;

● limitazione delle chiavi; e sistema di allarme di sicurezza o altre misure di sicurezza appropriate.

Aircall revoca l’accesso alle ubicazioni fisiche, ai sistemi e alle applicazioni che contengono o elaborano Dati senza indebito ritardo dopo la cessazione della necessità di tale agente autorizzato di accedere ai sistemi o alle applicazioni.

E. Misure: Misure tecniche (protezione con password/password) e organizzative (record anagrafica utente) relative all’identificazione e all’autenticazione degli utenti:

Aircall informerà il Cliente, su sua ragionevole richiesta, a quali Utenti autorizzati è affidato l’accesso ai Dati.

Il controllo utente deve includere le misure seguenti:

● profilo VPN con limitazioni;

● implementazione dell'autenticazione a 2 fattori

Il controllo dell’accesso ai dati include le misure seguenti:

● azioni disciplinari efficaci e misurate nei confronti delle persone che accedono ai dati senza autorizzazione.

F. Misure: Misure tecniche e organizzative relative alla sicurezza delle reti (incluse le reti wireless) utilizzate da Aircall.

Tutti i controlli di rete devono includere le misure seguenti:

● Aircall esegue regolarmente scansioni delle vulnerabilità della rete interne ed esterne. Le vulnerabilità identificate saranno risolte in modo commercialmente ragionevole e con tempistiche basate sulla gravità.

● Aircall implementerà una tecnologia firewall ragionevolmente appropriata per il funzionamento delle sue reti. 

● Come minimo, Aircall esaminerà regolarmente gli insiemi di regole firewall per garantire che le regole legacy vengano rimosse e le regole attive siano configurate correttamente.

● Aircall implementerà sistemi di rilevamento o prevenzione delle intrusioni per monitorare le reti alla ricerca di attività inadeguate.

● Aircall deve implementare una soluzione di gestione dei registri e conservare i registri prodotti da firewall e sistemi di rilevamento delle intrusioni per un periodo minimo di un (1) anno.

I controlli della rete wireless devono includere le seguenti misure aggiuntive:

● L'accesso di rete alle reti wireless deve essere limitato alle sole persone autorizzate. 

● Gli access point devono essere segmentati da una LAN cablata interna mediante un dispositivo gateway.

● L'identificatore del set di servizi (SSID), l'ID utente dell'amministratore, la password e le chiavi di crittografia devono essere modificati rispetto al valore predefinito.

● La crittografia di tutte le connessioni wireless verrà abilitata usando algoritmi di crittografia standard del settore. I protocolli di crittografia saranno basati su “Wireless Protected Access” (WPA2) o superiore. 

G. Misure: Aircall manterrà una funzione di risposta agli incidenti in grado di identificare, mitigare gli effetti e prevenire il ripetersi degli incidenti. Se si verifica un Incidente, Aircall (i) prenderà prontamente tutte le misure necessarie per prevenire qualsiasi ulteriore compromissione dei Dati o qualsiasi Incidente futuro; (ii) ove richiesto dalle leggi applicabili in materia di protezione dei dati, avvisare il Cliente interessato senza indebito ritardo dopo l’identificazione dell’incidente e fornire una segnalazione scritta in seguito; e (iii) rispondere prontamente a qualsiasi richiesta ragionevole da parte del Cliente di informazioni dettagliate relative all’Incidente. L’avviso e il report di Aircall conterranno una descrizione della natura dell’incidente, del suo impatto e di eventuali azioni investigative, correttive o correttive intraprese o pianificate.

H. Misure: Continuità aziendale e ripristino di emergenza. Aircall attuerà un piano di continuità aziendale commercialmente ragionevole e standard del settore per mantenere la disponibilità dei Servizi (il “Piano di continuità”). Aircall manterrà tale piano di continuità per tutta la durata di tutti gli abbonamenti; a condizione che Aircall abbia il diritto di modificare o emendare il Piano di Continuità, a condizione che tale modifica o emendamento non abbia un effetto negativo sostanziale sulla capacità di Aircall di mantenere la disponibilità dei Servizi.

 

Allegato C

Accordo sul livello di servizio di Aircall

1. Definizioni 

Ai fini del presente Allegato, i seguenti termini hanno il significato indicato di seguito. Tutti i termini iniziali in maiuscolo in questo Allegato che non sono definiti in questa Sezione o in questo Allegato avranno il rispettivo significato loro attribuito nel Contratto con il cliente finale (come definito di seguito). 

• “Causa del cliente” indica una delle seguenti cause di un incidente: (a) uso negligente o improprio, applicazione errata, abuso o danno dei Servizi da parte del Cliente o dei suoi Utenti; (b) qualsiasi miglioramento o altra modifica o alterazione dei Servizi da parte del Cliente o dei suoi Utenti; (c) qualsiasi uso dei Servizi da parte del Cliente o dei suoi Utenti in modo non coerente con le Condizioni allora vigenti; (d) qualsiasi utilizzo da parte del Cliente o degli Utenti di prodotti o servizi di terzi che Aircall non ha fornito o non ha fatto fornire al Cliente; o (e) qualsiasi utilizzo da parte del Cliente o degli Utenti di una versione o release non aggiornata dei Servizi. 
• “Tempo di inattività” significa che le funzionalità principali dei Servizi (ricezione ed effettuazione di chiamate telefoniche) non erano disponibili per l’uso, misurata in incrementi continui di cinque (5) minuti. Il termine “Tempo di inattività” non include eventuali indisponibilità dei Servizi in relazione a qualsiasi esclusione (come definita di seguito). 
• “Errore” indica un errore dei Servizi come definito nella tabella dei Livelli di servizio nella Sezione 3.c di seguito. 
• “Richiesta di funzionalità” indica una Richiesta di incorporare una nuova funzionalità o migliorare una funzionalità esistente dei Servizi che al momento non è disponibile. 
•  “Contratto con il cliente finale” indica il contratto con il cliente Aircall tra Aircall e il cliente. 
• “Richiesta” indica una richiesta da parte del Cliente al personale Support Aircall di assistenza tecnica per rispondere a una domanda o un problema relativo ai Servizi Aircall o all’utilizzo. 
• "Support". Aircall fornirà assistenza tecnica al Cliente, escludendo qualsiasi Richiesta assistenza in relazione a un’esclusione come definita nella Sezione 4 di seguito. A scanso di equivoci, le domande e le richieste di fatturazione e le richieste di portabilità non sono considerate parte di Support nel contesto del presente Allegato. 
• “Percentuale di tempo di attività” indica la disponibilità generale del servizio calcolata come differenza tra il 100 percento (100%) e la percentuale di tempo di inattività calcolata su base mensile per il mese applicabile. Il termine “Tempo di attività” non include eventuali indisponibilità dei Servizi in relazione a qualsiasi esclusione (come definita di seguito).

2. Livelli di servizio Aircall 

a) Disponibilità del servizio Aircall 

La percentuale di disponibilità dei servizi Aircall è del 99,95%. La manutenzione pianificata/i tempi di inattività sono limitati in base ai termini del contratto con il cliente finale.

3. Support telefonica 

a) Condizioni per Support 

• Accesso a Aircall Support. Le richieste Support devono essere inviate tramite il portale Support Aircall (assistenza.aircall.io). 
• Conformità al contratto con il cliente finale. Aircall farà ogni sforzo commercialmente ragionevole per fornire assistenza tecnica per garantire che le prestazioni dei Servizi siano sostanzialmente conformi al Contratto con il cliente finale. A scanso di equivoci, Aircall non fornirà assistenza tecnica in caso di esclusioni come definito di seguito. 
• Caratterizzazione delle richieste. Il cliente determina il livello di gravità al momento dell’invio della richiesta. Dopo aver ricevuto una richiesta dal cliente, Aircall confermerà il livello di gravità della richiesta a sua esclusiva discrezione e in base alle definizioni stabilite nella Sezione 3.c di seguito. Aircall può aggiornare la gravità e la designazione del livello di priorità della richiesta, se necessario. 
• Support linguistica. Le parti convengono che tutta Support fornita da Aircall ai sensi delle presenti linee guida può essere fornita in francese, spagnolo o tedesco durante il periodo europeo
  • orario di lavoro, facendo sforzi ragionevoli dal punto di vista commerciale. Nel caso in cui i relatori nelle lingue regionali non siano disponibili, Support rimarrà disponibile in lingua inglese. 
• Procedure per la conferma e la soluzione delle richieste. Quando crea una richiesta, il Cliente fornisce i dettagli completi del problema segnalato e le informazioni diagnostiche richieste, tra cui, a titolo esemplificativo: 

○ Nome account Aircall o nome istanza; 

○ Descrizione del problema, inclusi eventuali messaggi di errore; 

○ Descrizione degli sforzi del Cliente per risolvere il problema prima di contattare Aircall; 

○ Versione software dell'utente; 

○ Le specifiche e la configurazione di macchine, reti e/o hardware del cliente, se pertinenti. 

Prima di creare una Richiesta, il Cliente deve leggere e usare tutta la Knowledge base e la documentazione di Aircall per garantire l’allineamento con i requisiti, l’adozione delle migliori pratiche e le linee guida sui prodotti richieste da Aircall per garantire le prestazioni dei Servizi. 

Il cliente si impegna a comunicare ulteriormente via email o telefono per rispondere alle domande e assistere il personale Support Aircall secondo necessità e al più presto. Il Cliente si impegna a seguire le istruzioni e le linee guida consigliate dal personale Support Aircall per correggere l’errore. In caso di mancanza di disponibilità del Cliente che richiede la sua partecipazione, la Richiesta sarà considerata risolta da Aircall. 

b) Orario Support Aircall 

c) Livelli di gravità 

La tabella seguente descrive i livelli di gravità dell’errore segnalato dal cliente. Al momento dell’invio della richiesta, Aircall esaminerà l’errore e compirà ogni sforzo commercialmente ragionevole per rispondere a tale richiesta in conformità con la tabella seguente:

4. Esclusioni 

Nonostante qualsiasi disposizione contraria nel presente Accordo con il cliente finale, non si considera che si sia verificata alcuna violazione SLA se tale evento: (a) è causato da fattori al di fuori del ragionevole controllo di Aircall, inclusi, a titolo esemplificativo, terzi, provider di hosting o operatore telefonico problemi o problemi correlati, accesso a Internet o problemi correlati che si verificano oltre il punto della rete in cui Aircall mantiene l’accesso e il controllo sui Servizi Aircall; (b) risulta da qualsiasi atto od omissione del Cliente o di terzi; (c) i risultati dell’applicazione del Cliente, delle apparecchiature, del software o di altra tecnologia del Cliente o di apparecchiature, software o altre tecnologie di terzi (ad eccezione delle apparecchiature sotto il diretto controllo di Aircall); (d) si verifica durante la manutenzione programmata o di emergenza di Aircall, cause di forza maggiore o forza maggiore; e/o (e) risulta dalla causa del cliente.

 

Allegato 1

Condizioni Zuper Master

Le presenti Condizioni generali Zuper (il presente “Accordo”) sono stipulate e sottoscritte tra Zuper, Inc. (“ZUPER”) con sede in 24754 NE, 3rd Pl, Sammamish, WA - 98074, e l’abbonato elencato nel SOW Zendesk a cui è allegato il presente Accordo (“Cliente”). Il Cliente e ZUPER saranno indicati individualmente come “Parte” e collettivamente denominati “Parti”.

 

PREAMBOLO

 

PREMESSO CHE ZUPER ha sviluppato una soluzione gestione del personale (WFM) sul campo (la “Piattaforma Zuper”) per migliorare l’efficienza e la produttività della forza lavoro e afferma di disporre dell’esperienza, delle competenze e del personale necessarie per implementare, integrare e fornire servizi di assistenza per il Servizio (come definito di seguito).

 

PREMESSO che il Cliente è interessato a implementare il Servizio fornito da ZUPER.

 

PREMESSO che il Cliente e ZUPER concordano che Zendesk, Inc., una società del Delaware, e le sue affiliate ("Zendesk"), elaboreranno la fatturazione degli abbonamenti del Cliente al Servizio ordinato dal Cliente da ZUPER ai sensi del presente Accordo ai sensi del presente Accordo a un SOW Zendesk eseguito tra il cliente e Zendesk. “SOW Zendesk” indica il resoconto del lavoro o un documento di ordinazione simile rilasciato da Zendesk al Cliente che definisce, a titolo esemplificativo, il piano di servizio del Cliente, le tariffe, la fatturazione e il periodo di abbonamento al Servizio ai sensi del presente Accordo.

 

PERTANTO, in considerazione delle dichiarazioni e delle reciproche alleanze e accordi qui stabiliti, e per una buona e preziosa considerazione, la cui sufficienza le Parti riconoscono, le Parti convengono quanto segue:

 

PRODOTTI E SERVIZI

 

In base ai termini del presente Accordo, ZUPER fornisce e vende abbonamenti per la soluzione gestione del personale (WFM) sul campo (la “Piattaforma Zuper”) tramite zuper.co o qualsiasi altro sito web specificato da ZUPER (il “Servizio”).

 

Fatto salvo il pagamento tempestivo delle tariffe applicabili specificate nel SOW Zendesk e in base ai termini e alle condizioni del presente Accordo, ZUPER concede al Cliente e a qualsiasi persona fisica o giuridica soggetta, direttamente o indirettamente, al Controllo del Cliente un diritto di accesso e utilizzo del Servizio, sublicenziabile, non trasferibile e non esclusivo. Ai fini della presente clausola, per “controllo” si intende il potere di dirigere o determinare la direzione della direzione, delle attività o delle politiche di un’entità, sia attraverso la proprietà di titoli con diritto di voto, per contratto o altro, o il potere di eleggere o nominare almeno un terzo degli amministratori, manager, partner o altri soggetti che esercitano poteri simili nei confronti di tale entità. 

 

Oltre ai diritti espressamente specificati di seguito, nessun altro diritto o interesse sulla Piattaforma Zuper o sul Servizio e/o su qualsiasi componente degli stessi viene trasferito o concesso al Cliente. Fatto salvo quanto sopra, il Cliente non può: (i) usare la Piattaforma Zuper o il Servizio per scopi diversi da quelli esplicitamente indicati di seguito; (ii) copiare o duplicare la Piattaforma Zuper (iii) decompilare o decompilare, modificare o rivedere, tentare di accedere al codice sorgente della Piattaforma Zuper o a qualsiasi sua parte o creare opere derivate da essa; (iv) trasferire in tutto o in parte il diritto di usare il Servizio o parte di esso. 

 

Funzionalità incluse:

 

FORMAZIONE

 

La formazione online con istruttore è inclusa nel pacchetto. 

 

1.          Sessioni interattive personalizzate guidate da istruttori.

2.          Accesso alla documentazione del prodotto e alle istruzioni

3.          Condividi best practice e consigli.

 

L’obiettivo della formazione è garantire che il team possa potenziare e mettere in pratica il prodotto e comprendere le best practice per sfruttare tutte le funzionalità nel modo più ottimizzato. 

 

COMMISSIONI

Zendesk elabora la fatturazione delle tariffe per l’abbonamento del Cliente al Servizio ordinato dal Cliente a ZUPER ai sensi del presente Accordo, come indicato nel SOW di Zendesk. Le fatture saranno inviate a e il pagamento sarà dovuto, in conformità con i termini del SOW Zendesk. Qualsiasi modifica all’ambito dell’abbonamento del Cliente al Servizio ai sensi del presente Accordo sarà emessa tramite un SOW Zendesk separato.

 

AGGIORNAMENTI DI ROUTINE E MIGLIORAMENTI RICHIESTI

ZUPER pianificherà incontri con il Cliente su base bimestrale per informare il Cliente della roadmap e degli aggiornamenti del Servizio. Il prezzo qui indicato è comprensivo di eventuali aggiornamenti regolari rilasciati da ZUPER e il Cliente non avrà diritto a pagamenti aggiuntivi per tali aggiornamenti. Le funzionalità Premium non sono incluse nel prezzo dell’abbonamento. ZUPER condividerà gli aggiornamenti sulle funzionalità premium del Cliente e i prezzi saranno condivisi e concordati indipendentemente dal presente Accordo. 

Il Cliente può di volta in volta richiedere modifiche al Servizio in base all’evoluzione dei requisiti. Indipendentemente dal presente Accordo, le Parti si accordano su termini, quali costi e tempi, qualora il Cliente richieda modifiche sostanziali al Servizio. 

 

Tutte le future integrazioni software di terzi con Zuper sono incluse nel prezzo mensile per gli utenti.

 

AVVISO DI FINE VITA; UPTIME DISPONIBILITÀ

ZUPER fornirà al Cliente un preavviso di almeno sei (6) mesi in caso di fine vita o ritiro delle funzionalità.

ZUPER dichiara e garantisce che il Servizio raggiungerà una percentuale di disponibilità mensile di almeno il 99,9% in qualsiasi mese di calendario (ovvero un massimo di quarantatre (43) minuti di inattività al mese) durante il Periodo di validità. I tempi di manutenzione/inattività pianificati sono limitati a meno di quattro (4) ore in un dato mese e ZUPER fornirà al Cliente un preavviso scritto di almeno sette (7) giorni (email accettabile) in merito a tale indisponibilità ("Tempo di inattività pianificato").

 

SUPPORTO

assistenza telefonica ed email è inclusa nel pacchetto senza costi aggiuntivi. In caso di problemi e domande, gli utenti di Customer possono contattare Support Zuper per assistenza. Lo specialista assistenza telefonica fornirà assistenza immediata con assistenza tecnica per la risoluzione dei problemi e il debug del problema. assistenza via email disponibile per problemi tecnici e non. Zuper fornirà al Cliente gli impegni assistenza indicati nell’Allegato A, allegato al presente documento.  

 

REQUISITI DI SICUREZZA DELLE INFORMAZIONI

ZUPER deve fornire e rispettare i requisiti di sicurezza delle informazioni di cui all’Allegato B, allegato al presente documento.

 

ACCORDO SUL TRATTAMENTO DEI DATI

Le Parti accettano l’Accordo sul trattamento dei dati di cui all’Allegato C, allegato al presente documento.

 

TERMINE

Il presente Accordo entra in vigore alla data di entrata in vigore del SOW Zendesk applicabile e rimane in vigore, a meno che non venga risolto anticipatamente in conformità con i termini del SOW Zendesk, fino alla scadenza di tutti i SOW Zendesk applicabili (la “Durata”).

 

DIRITTI PROPRIETARI

Alcune parti del software disponibili con la piattaforma Zuper (a titolo esemplificativo, JQuery) possono essere soggette a licenze "open source" o "software gratuito" ("Software di terzi"). Tale Software di terzi non è soggetto ai termini e alle condizioni del presente Accordo, ma è reso disponibile in base ai termini e alle condizioni dei termini che accompagnano tale Software di terzi.

Ad eccezione del Software di terzi (come definito sopra), ZUPER possiede e conserva tutti i diritti, inclusi tutti i diritti di proprietà intellettuale, relativi alla Piattaforma Zuper e al Servizio, nonché qualsiasi adattamento, modifica, miglioramento o miglioramento degli stessi. e in e alle Informazioni riservate di ZUPER. Per chiarire qualsiasi dubbio, qualsiasi contenuto sviluppato dal Cliente usando il Servizio sarà di proprietà del Cliente.

 

MARKETING

 Il cliente concede a ZUPER il diritto di

1.          Usa il nome e i marchi di servizio nei materiali di marketing o in altre promozioni orali, elettroniche o scritte, che includono la nomina del Cliente come cliente di ZUPER e una breve descrizione dei servizi forniti. 

2.          Rilascia un comunicato stampa correlato al presente Accordo. 

3.          Pubblica un case study.

4.          Pubblica testimonianze sul sito web e/o altro materiale di marketing.

 

INDENNIZZO E LIMITAZIONE DI RESPONSABILITÀ

ZUPER difenderà, manleverà e manleverà il Cliente , da e contro qualsiasi danno, costo e spesa (incluse ragionevoli spese legali) definitivamente concessi da un tribunale competente, sostenuti a seguito di qualsiasi pretesa, causa o procedimento intentato contro qualsiasi di essi sulla base di un’affermazione secondo cui la Piattaforma Zuper e/o il Servizio violano i diritti di proprietà intellettuale; a condizione che il Cliente abbia notificato tempestivamente per iscritto a ZUPER tale reclamo e abbia fornito a ZUPER l’autorità, le informazioni e l’assistenza (a spese dell’Azienda) per controllare e gestire il reclamo o la difesa di tale causa, procedimento o transazione. L’indennizzo di cui sopra sarà l’unico rimedio a cui il Cliente avrà diritto in relazione a quanto sopra. 

Fatta eccezione per i reclami per dolo, negligenza grave o qualsiasi violazione della riservatezza, in nessun caso una delle parti sarà responsabile nei confronti dell’altra per danni indiretti, incidentali, speciali, consequenziali o punitivi di qualsiasi natura o tipo, inclusi ma non limitati a al mancato profitto, al mancato guadagno o all’avviamento in relazione o derivante dal presente accordo, anche se l’altra parte è stata informata della possibilità di tali danni. In nessun caso la responsabilità complessiva di una delle parti ai sensi del presente accordo potrà superare le commissioni complessive effettivamente pagate a ZUPER ai sensi del presente documento durante il periodo precedente la rispettiva richiesta di risarcimento applicabile.

 

RISERVATEZZA

ZUPER e il Cliente concordano di essere reciprocamente vincolati e di attenersi a tutte le leggi e i regolamenti applicabili che disciplinano la riservatezza delle informazioni scambiate ai sensi del presente accordo.

 

Informativa interna: Ciascuna Parte deve mantenere la riservatezza e la natura sensibile delle Informazioni riservate della Parte divulgante e non divulgare a terzi alcuna Informazione riservata. La Parte ricevente può divulgare le Informazioni riservate della Parte divulgante al proprio personale e ai funzionari che hanno un legittimo bisogno di conoscenza in merito a tali Informazioni riservate ai fini del presente Accordo e che sono vincolati da obblighi di riservatezza almeno altrettanto restrittivi delle Informazioni riservate termini del presente Accordo e la Parte ricevente utilizzerà le Informazioni riservate solo se e come richiesto ai fini del presente Accordo.

Informativa sui prezzi: Il prezzo indicato in Zendesk SOW è un prezzo esclusivo riservato al cliente e non può essere condiviso dal cliente con altri clienti, partner o stampa Zuper. 

Salvaguardia: La Parte Ricevente adotta tutte le ragionevoli precauzioni necessarie e appropriate per salvaguardare la riservatezza delle Informazioni riservate. 

Non in competizione: Zuper non richiederà affari né si rivolgerà direttamente ai clienti dei clienti senza previa approvazione.

 

VIOLAZIONE DEL MATERIALE

In caso di violazione sostanziale del presente Accordo, la Parte interessata (la “Parte notificante”) deve notificare tale violazione all’altra Parte (“Parte notificata”). Se la Parte notificata non risolve la violazione entro un (1) mese dal ricevimento di tale notifica, la Parte notificante può risolvere il presente Accordo senza fornire ulteriore preavviso e intraprendere azioni legali per richiedere il risarcimento di eventuali danni derivanti da tale violazione.

 

FORZA MAGGIORE

Se una delle parti non adempie ai propri obblighi ai sensi del presente documento, quando tale inadempimento è dovuto a causa di forza maggiore o altre circostanze al di fuori del suo ragionevole controllo, inclusi, a titolo esemplificativo, incendi, inondazioni, sommosse civili, sommosse, guerre (dichiarate e non), o embargo, tale inadempimento sarà giustificato per la durata di tale evento e per il periodo successivo ragionevole per consentire alle parti di riprendere l’adempimento ai sensi del presente Accordo, a condizione, tuttavia, che tale periodo non si prolunghi per un periodo superiore a centottanta (180) giorni.

 

RISOLUZIONE DELLE CONTROVERSIE 

Il presente Accordo e qualsiasi controversia derivante da o correlata al presente Accordo sarà disciplinato e interpretato in conformità con le leggi dello Stato di Washington, senza riferimento ai suoi principi di conflitto di leggi. Entrambe le parti convengono di sottoporsi alla giurisdizione personale per qualsiasi procedimento legale e per il presente Accordo, indipendentemente da chi ha avviato il procedimento. 

 

Allegato A – Responsabilità e procedure Support

1. Definizioni

In questo Allegato A:

 

a) “ Support di livello 1” indica il primo livello di assistenza fornito al cliente da ZUPER per raccogliere i dati del cliente, verificare i sintomi e passare, se necessario, al Support 2.

(b) “ Support di Livello 2” indica il secondo livello di assistenza fornito da ZUPER al Cliente per risolvere i problemi operativi e di infrastruttura e le soluzioni dei Prodotti.

(c) “ Support di livello 3” indica il terzo livello di assistenza fornito da ZUPER che copre la risoluzione di bug del codice dell’applicazione o del codice dell’infrastruttura.

(d) “Orario Support fornitori” per problemi non critici e non di maggiore impatto aziendale: si intende tra le 09:00 e le 24:00 di un giorno lavorativo (dal lunedì al venerdì, ogni settimana dell’anno). Gli orari Support e gli obblighi di risposta per i problemi di importanza critica e di impatto aziendale sono descritti di seguito.    

 

2. Obblighi Support Zuper

ZUPER fornirà al Cliente tutta assistenza in relazione ai problemi identificati da Zendesk o dal Cliente e segnalati a ZUPER. Questi servizi assistenza saranno forniti tramite il sistema di ticket help desk Zendesk.

 

ZUPER risponde alle richieste di assistenza:

(a) per quanto riguarda i problemi di impatto aziendale critico, entro trenta (30) minuti, ventiquattro (24) ore al giorno, trecentosessantacinque (365) giorni all’anno. ZUPER fornirà al Cliente (e a Zendesk, se tali problemi di impatto aziendale critico si riferiscono a richieste assistenza del cliente inoltrate a ZUPER da Zendesk) aggiornamenti sui problemi di impatto aziendale critico ogni trenta (30) minuti fino alla risoluzione del problema. Per impatto aziendale critico si intende un problema che interrompe la funzionalità materiale all’interno dell’ambiente di produzione nel Servizio o compromette la sicurezza/integrità dei dati nel Servizio. I problemi di impatto aziendale critico rimarranno fino a quando l’interruzione è in corso, la necessità di una soluzione è estremamente sensibile al tempo e non sono disponibili soluzioni alternative ragionevoli;

(b) in relazione ai problemi di maggiore impatto aziendale entro un’ora (1), ventiquattro (24) ore al giorno, trecentosessantacinque (365) giorni all’anno. ZUPER fornirà al Cliente (e a Zendesk, se tali problemi di impatto aziendale critico si riferiscono a richieste assistenza clienti inoltrate a ZUPER da Zendesk) aggiornamenti sui problemi di impatto aziendale di maggiore rilevanza ogni ora (1) fino alla risoluzione del problema. Per Impatto Principale sull’azienda si intende un problema che degrada una funzionalità sostanziale o interrompe o peggiora in modo significativo le normali operazioni aziendali del Cliente, si trova nell’ambiente di produzione del Cliente ed è altamente sensibile al tempo e/o è necessario uno sforzo non pianificato per aggirare il problema per mantenere le normali operazioni aziendali;

(c) per altri problemi e richieste, entro sei (6) Ore Support del fornitore;

(d) per risolvere i problemi che gli sono stati sollevati entro un lasso di tempo commercialmente ragionevole; e

(e) fornendo aggiornamenti continui sui problemi irrisolti almeno una volta alla settimana fino alla risoluzione del problema.

 

 

Allegato B – Requisiti di sicurezza delle informazioni

ZUPER garantisce e dichiara che farà ogni sforzo commercialmente ragionevole per implementare e mantenere le misure di sicurezza descritte di seguito per mantenere tutti i contenuti, i materiali, i dati (inclusi i dati personali) e le informazioni non pubbliche fornite o rese disponibili dal cliente (collettivamente, “Dati ”) protegge e protegge i Dati da elaborazioni non autorizzate o illecite, perdita accidentale, distruzione o danni, come indicato di seguito. In tal modo, Zuper agirà in buona fede e diligenza, usando ragionevole cura e competenza.

 

1.           Definizioni:

● “Elaborazione” indica qualsiasi operazione in relazione ai Dati indipendentemente dalle finalità e dai mezzi applicati, inclusi, a titolo esemplificativo, accesso, raccolta, conservazione, memorizzazione, trasferimento, divulgazione, uso, cancellazione, distruzione e qualsiasi altra operazione.

● “Violazione”: qualsiasi (a) Trattamento dei Dati non autorizzato o (b) qualsiasi atto od omissione che comprometta o pregiudichi le garanzie fisiche, tecniche o organizzative messe in atto da ZUPER in relazione al Trattamento dei Dati o comunque messe in atto per conformarsi a tali requisiti. A scanso di equivoci, il “trattamento non autorizzato” include, a titolo esemplificativo: uso improprio, perdita, distruzione, compromissione o accesso, raccolta, conservazione, memorizzazione o trasferimento non autorizzati.

● “Incidente” indica qualsiasi compromissione della sicurezza dei Dati, incluso qualsiasi (i) atto che viola qualsiasi legge o policy di sicurezza ZUPER, (ii) interruzione del servizio non pianificata che impedisce il normale funzionamento del Servizio o (iii) Violazione.

 

2.          Misure: Misure tecniche e organizzative per la memorizzazione, la gestione e l’eliminazione dei Dati.

● ZUPER utilizzerà algoritmi di crittografia standard del settore e i principali punti di forza per crittografare quanto segue:

● Crittografa tutti i dati in formato elettronico durante il transito su tutte le reti pubbliche cablate (ad es. Internet) e su tutte le reti wireless. 

● Crittografa tutti i dati mentre sono in memoria. “In Storage” indica le informazioni memorizzate nei database, nei file system e su vari tipi di supporti online e offline (dispositivi mobili, laptop, DASD, nastri, ecc.) ed è anche comunemente indicato come “inattivo”.

● Salvo ove proibito dalla legge, ZUPER rimuoverà tempestivamente i Dati dopo (a) il completamento del Servizio; o (b) la richiesta del Cliente (o di Zendesk, ove applicabile) di essere rimosso dall’ambiente ZUPER e di distruggerlo entro un periodo di tempo ragionevole, ma in ogni caso non oltre ventuno (21) giorni dalla data della richiesta o dalla cessazione servizi. Zuper fornirà al Cliente (e a Zendesk, ove applicabile) una certificazione scritta in merito a tale rimozione, distruzione e/o pulizia entro trenta (30) giorni da tale evento.

 

3.          Misure: Protezione da codici dannosi.

● Tutte le workstation e i server (virtuali o fisici) eseguiranno la versione corrente del software antivirus e/o antimalware standard del settore con gli aggiornamenti più recenti disponibili su qualsiasi workstation o server.   Le definizioni dei virus devono essere aggiornate tempestivamente al momento del rilascio da parte del fornitore del software antivirus.  ZUPER configurerà le apparecchiature e disporrà di politiche di supporto per vietare agli utenti di disabilitare il software antivirus, alterare le configurazioni di sicurezza o disabilitare altre misure di protezione messe in atto per garantire la sicurezza dei dati o dell’ambiente informatico di ZUPER.

● ZUPER analizzerà i contenuti in ingresso e in uscita alla ricerca di codice dannoso su tutti i gateway verso le reti pubbliche, inclusi i server email e proxy.

● ZUPER metterà in quarantena o rimuoverà i file che sono stati identificati come infetti e registrerà l'evento.

 

4.          Misure: Misure tecniche e organizzative per il controllo degli accessi, in particolare per controllare la legittimità degli utenti autorizzati alle strutture e ai sistemi a cui è possibile accedere ai Dati:

● ZUPER garantisce l'adozione di misure per la sicurezza dei locali (ad esempio, la protezione di ingressi e uscite), nonché delle misure all'interno del suo edificio attraverso l'uso delle procedure seguenti:

● sicurezza e crittografia di tutti i personal computer o altri dispositivi mobili che possono accedere ai Dati;

● accesso limitato a dipendenti e collaboratori, ad eccezione dei visitatori autorizzati; 

● identificazione delle persone che dispongono dell'autorizzazione all'accesso;

● limitazione delle chiavi;

● registri dei visitatori (incluso il cronometraggio); e

● sistema di allarme di sicurezza o altre misure di sicurezza appropriate.

 

ZUPER revocherà l’accesso alle ubicazioni fisiche, ai sistemi e alle applicazioni che contengono o elaborano Dati entro ventiquattro (24) ore dalla cessazione della necessità dell’agente autorizzato di accedere ai sistemi o alle applicazioni.

 

5.          Misure: Misure tecniche (protezione con password/password) e organizzative (record anagrafica utente) relative all’identificazione e all’autenticazione degli utenti:

ZUPER comunicherà al Cliente, su sua ragionevole richiesta, quali persone autorizzate sono incaricate di accedere ai Dati.

 

Il controllo utente deve includere le misure seguenti:

● profilo VPN con limitazioni;

● implementazione dell'autenticazione a 2 fattori

 

Il controllo dell’accesso ai dati include le misure seguenti:

● azioni disciplinari efficaci e misurate nei confronti delle persone che accedono ai dati senza autorizzazione.

 

6.          Misure: Misure tecniche e organizzative relative alla sicurezza delle reti (incluse le reti wireless) utilizzate da ZUPER.

 

Tutti i controlli di rete devono includere le misure seguenti:

● ZUPER esegue regolarmente scansioni delle vulnerabilità di rete interne ed esterne.  Le vulnerabilità identificate saranno risolte in modo commercialmente ragionevole e con tempistiche basate sulla gravità.

● ZUPER implementerà una tecnologia firewall ragionevolmente appropriata per il funzionamento delle sue reti.

● ZUPER esaminerà almeno trimestralmente gli insiemi di regole firewall per garantire che le regole legacy vengano rimosse e le regole attive siano configurate correttamente.

● ZUPER implementerà sistemi di rilevamento o prevenzione delle intrusioni per monitorare le reti alla ricerca di attività inadeguate.

● ZUPER distribuirà una soluzione di gestione dei registri e conserverà i registri prodotti da firewall e sistemi di rilevamento delle intrusioni per un periodo minimo di un (1) anno.

 

I controlli della rete wireless devono includere le seguenti misure aggiuntive:

● L'accesso di rete alle reti wireless deve essere limitato alle sole persone autorizzate.

● Gli access point devono essere segmentati da una LAN cablata interna mediante un dispositivo gateway.

● L'identificatore del set di servizi (SSID), l'ID utente dell'amministratore, la password e le chiavi di crittografia devono essere modificati rispetto al valore predefinito.

● La crittografia di tutte le connessioni wireless verrà abilitata usando algoritmi di crittografia standard del settore. I protocolli di crittografia saranno basati su “Wireless Protected Access” (WPA2) o superiore.

 

7.          Misure: ZUPER manterrà una funzione di risposta agli incidenti in grado di identificare, mitigare gli effetti e prevenire il ripetersi degli incidenti. Se si verifica un Incidente, ZUPER (i) prenderà prontamente tutte le misure necessarie per prevenire qualsiasi ulteriore compromissione dei Dati o qualsiasi Incidente futuro; (ii) informare il Cliente entro ventiquattro (24) ore dall’identificazione dell’Incidente e fornire una relazione scritta entro tre (3) giorni; e (iii) rispondere prontamente a qualsiasi richiesta ragionevole del Cliente di informazioni dettagliate relative all’Incidente. L’avviso e il report di ZUPER conterranno una descrizione della natura dell’incidente, del suo impatto e di eventuali azioni investigative, correttive o correttive intraprese o pianificate.

 

8.          Misure: Continuità aziendale e ripristino di emergenza. ZUPER ha fornito al Cliente un piano di continuità aziendale commercialmente ragionevole e standard del settore per mantenere la disponibilità del Servizio (il “Piano di continuità”).  Il piano di continuità include e include, a titolo esemplificativo, elementi come (a) la gestione delle crisi, l’attivazione del piano e del team, la documentazione relativa a eventi e processi di comunicazione; (b) gestione degli eventi, ripristino dell’azienda, ubicazioni alternative dei siti e test dell’albero delle chiamate; e (c) dettagli su infrastruttura, tecnologia e sistemi, attività di ripristino e identificazione delle persone/team necessari per tale ripristino.  ZUPER manterrà tale piano di continuità per tutta la durata di tutti gli abbonamenti; a condizione che ZUPER abbia il diritto di modificare o emendare il Piano di continuità, a condizione che tale modifica o emendamento non abbia un effetto negativo sostanziale sulla capacità di ZUPER di mantenere la disponibilità del Servizio.

 

9.          Su richiesta del Cliente, Zuper apporterà modifiche commercialmente ragionevoli al proprio programma di sicurezza delle informazioni o alle procedure e alle pratiche ivi previste per conformarsi ai requisiti di sicurezza di base del Cliente, come indicato in tutti gli allegati applicabili dell’Accordo e come di volta in volta esistenti.  Il Cliente è tenuto a fornire a ZUPER la documentazione relativa a tali linee guida, che farà parte delle informazioni riservate del Cliente ai sensi dell’Accordo.  ZUPER svilupperà un piano scritto per la sicurezza delle informazioni per il Cliente contenente almeno gli argomenti previsti nel presente accordo.

 

 

 

Allegato C – Accordo sul trattamento dei dati Zuper

Si prega di leggere attentamente l’Accordo sul trattamento dei dati ("DPA") in quanto costituisce un contratto tra il Cliente ("Cliente" o "Titolare del trattamento", la cui espressione indica e include i suoi successori e aventi causa) e Zuper ("Zuper" o "Responsabile del trattamento" che espressione indica e include i suoi successori e aventi causa). Questo DPA si applica quando Zuper è un responsabile del trattamento dei dati personali. Responsabile e Titolare del trattamento sono indicati individualmente come “Parte” e collettivamente come “Parti”.

 

 

1.     Ambito del contratto e ripartizione delle responsabilità

 

1.1 Le parti convengono che, per il trattamento dei dati personali, le parti saranno il titolare del trattamento e il responsabile del trattamento.

1.2 Il Responsabile del trattamento elaborerà i Dati personali solo per conto del Titolare del trattamento e in ogni momento solo in conformità con il presente Accordo sul trattamento dei dati, in particolare i rispettivi documenti.

1.3 Nell’ambito delle Condizioni generali Zuper (il “Contratto”), ciascuna Parte è responsabile del rispetto dei rispettivi obblighi in qualità di Titolare e Responsabile del trattamento ai sensi delle leggi sulla protezione dei dati.

2.     Istruzioni di elaborazione

 

2.1 Il Responsabile del trattamento tratterà i Dati personali in conformità con le istruzioni del Titolare. Il presente Accordo sul trattamento dei dati contiene le istruzioni iniziali del Titolare al Responsabile del trattamento. Le parti convengono che il Titolare del trattamento può comunicare qualsiasi modifica alle sue istruzioni iniziali al Responsabile del trattamento mediante notifica scritta al Responsabile del trattamento e che il Responsabile del trattamento si atterrà a tali istruzioni. Il Responsabile del trattamento deve conservare un registro sicuro, completo, accurato e aggiornato di tutte queste singole istruzioni.

2.2 A scanso di equivoci, qualsiasi istruzione che comporti un trattamento al di fuori dell’ambito del presente Accordo sul trattamento dei dati (ad es. a causa dell’introduzione di una nuova finalità del trattamento) richiederà un accordo preventivo tra le parti e, ove applicabile, sarà soggetta al procedura di modifica del contratto ai sensi del rispettivo accordo.

2.3 Ove indicato dal Titolare, il Responsabile del trattamento deve correggere, eliminare o bloccare i Dati personali.

2.4 Il Responsabile del trattamento informa tempestivamente per iscritto il Titolare del trattamento se, a giudizio del Responsabile, un’istruzione viola le leggi sulla protezione dei dati e fornisce una spiegazione scritta dei motivi del suo parere.

2.5 Il Responsabile del trattamento non sarà responsabile per eventuali Perdite DP derivanti da o in connessione con qualsiasi trattamento effettuato in conformità con le istruzioni del Titolare che risultino non conformi al RGPD, a seguito della ricezione da parte del Titolare di qualsiasi informazione fornita dal Responsabile del trattamento in questa Sezione 2.

3.     Personale incaricato del trattamento

 

Il responsabile del trattamento impedirà al proprio personale di elaborare i dati personali senza autorizzazione. Il responsabile del trattamento imporrà gli obblighi contrattuali appropriati al proprio personale, inclusi gli obblighi pertinenti in materia di riservatezza, protezione dei dati e sicurezza dei dati.

4.     Divulgazione a terzi; Diritti degli interessati

 

4.1 Il Responsabile del trattamento non divulgherà i Dati personali a terzi (inclusi agenzie governative, tribunali o forze dell’ordine) salvo quanto stabilito nel presente accordo o previo consenso scritto del Titolare del trattamento o se necessario per conformarsi alle leggi obbligatorie applicabili. Se il Responsabile del trattamento è obbligato a divulgare i Dati personali a un’autorità preposta all’applicazione della legge o a terzi, il Responsabile del trattamento accetta di fornire al Titolare un ragionevole preavviso in merito alla richiesta di accesso prima di concedere tale accesso, per consentire al Titolare di chiedere un ordine cautelare o altri rimedi appropriati. Se tale notifica è legalmente vietata, il Responsabile del trattamento adotterà misure ragionevoli per proteggere i Dati personali da divulgazione indebita come se si trattasse di informazioni riservate richieste dal Responsabile del trattamento e informerà tempestivamente il Titolare del trattamento se e quando tale divieto legale cesserà di applicarsi.

4.2 Nel caso in cui il Titolare riceva una richiesta o una comunicazione da parte degli Interessati in relazione al Trattamento di Dati personali ("Richiesta"), il Responsabile del trattamento dovrà fornire al Titolare piena collaborazione, informazioni e assistenza ("Assistenza") in relazione a tale richiesta laddove su istruzione del Titolare.

4.3 Quando il Responsabile riceve una richiesta, il Responsabile del trattamento deve (i) non rispondere direttamente a tale richiesta, (ii) inoltrare la richiesta al titolare del trattamento entro 3 (tre) giorni lavorativi dall’identificazione della richiesta come correlata al titolare del trattamento e (iii) fornire assistenza secondo ulteriori istruzioni del Titolare.

5.     Misure tecniche e organizzative (“TOM”)

 

5.1 Il Responsabile del trattamento deve implementare e mantenere adeguate misure di sicurezza tecniche e organizzative per garantire che i Dati personali siano trattati in base al presente Accordo sul trattamento dei dati, per fornire assistenza e per proteggere i Dati personali da una violazione dei dati personali. Tali misure sono descritte nell’Allegato 2, appendice 2.

5.2 Il Responsabile del trattamento deve documentare i TOM implementati e fornire tale documentazione su richiesta, incluse, ove disponibili, eventuali certificazioni come una certificazione ISO 27001.

6.     Assistenza per la valutazione dell’impatto sulla protezione dei dati

 

6.1 Laddove una valutazione dell’impatto sulla protezione dei dati ("DPIA") sia richiesta dalle leggi sulla protezione dei dati applicabili al trattamento dei dati personali, il Responsabile del trattamento deve fornire, su richiesta, la collaborazione e l’assistenza necessarie per adempiere all’obbligo del Cliente di eseguire una DPIA relativa al l’uso dei Servizi, nella misura in cui il Cliente non abbia altrimenti accesso alle informazioni pertinenti e nella misura in cui tali informazioni siano disponibili per Zuper.

6.2 Il Titolare del trattamento dovrà pagare al Responsabile del trattamento un addebito ragionevole concordato tra le parti per aver fornito l’assistenza di cui alla Sezione 7, nella misura in cui tale assistenza non sia ragionevolmente possibile rientrare nella normale fornitura dei Servizi.

7.     Diritti di informazione e verifica

 

7.1 Il responsabile del trattamento, in conformità con le leggi sulla protezione dei dati, mette a disposizione del titolare del trattamento su richiesta in modo tempestivo le informazioni necessarie per dimostrare il rispetto da parte del responsabile del trattamento degli obblighi previsti dalle leggi sulla protezione dei dati.

7.2 Zuper ha ottenuto le certificazioni e gli audit di terzi descritti nella nostra pagina sulla sicurezza. Su richiesta scritta del Titolare e fatti salvi gli obblighi di riservatezza stabiliti nell’Accordo, Zuper metterà a disposizione del Titolare una copia degli audit o delle certificazioni Zuper più recenti, a seconda dei casi.

 

8.     Gestione e notifica degli incidenti con i dati

 

In relazione all’incidente relativo ai dati di servizio, il Responsabile del trattamento deve:

 

8.1 notificare al Titolare del trattamento una violazione dei dati personali che coinvolga il Responsabile o un subappaltatore senza indebito ritardo (ma in ogni caso non oltre 72 ore dopo essere venuto a conoscenza dell’incidente).

8.2 compiere ogni ragionevole sforzo per identificare la causa di tale incidente e adottare le misure ritenute necessarie e ragionevoli dal Responsabile del trattamento al fine di rimediare alla causa dell’incidente nella misura in cui rientri nel ragionevole controllo di Zuper.

8.3 fornire informazioni ragionevoli, cooperazione e assistenza al titolare del trattamento in relazione a qualsiasi azione da intraprendere in risposta a una violazione dei dati personali ai sensi delle leggi sulla protezione dei dati, inclusa qualsiasi comunicazione della violazione dei dati personali agli interessati e alle autorità nazionali per la protezione dei dati.

Gli obblighi contenuti nella Sezione 8 non si applicano agli incidenti di dati causati dal Cliente o dagli utenti del Cliente.

 

 

9.     Elaborazione secondaria

 

9.1 Il Titolare del trattamento acconsente che il Responsabile del trattamento incarichi terzi del trattamento come elencati di seguito per elaborare i Dati personali per adempiere ai propri obblighi ai sensi del presente Accordo, a condizione che il Responsabile del trattamento fornisca almeno quindici (15) giorni un avviso all’interno del prodotto o un avviso via email all’amministratore dell’account prima della nomina o della sostituzione di qualsiasi sub-responsabile del trattamento.

 

Elenco dei sub-responsabili del trattamento

 

 

Informazioni di contatto dei sub-responsabili del trattamento

 

 

Il titolare del trattamento può opporsi alla nomina o alla sostituzione di un subresponsabile da parte del Responsabile del trattamento prima della sua nomina o sostituzione, a condizione che tale obiezione sia basata su ragionevoli motivi relativi alla protezione dei dati. In tal caso, il Responsabile del trattamento non nominerà né sostituirà il subresponsabile del trattamento oppure, se ciò non fosse possibile, il Titolare potrà sospendere o terminare i Servizi (fatte salve le eventuali tariffe sostenute dal Titolare prima di tale sospensione o risoluzione). .

9.2 Laddove il Responsabile del trattamento, con il consenso del titolare del trattamento, subappalti i propri obblighi e diritti ai sensi del presente Accordo sul trattamento dei dati, lo farà solo mediante un contratto scritto vincolante con il subappaltatore che imponga essenzialmente gli stessi obblighi ai sensi dell’art. 28 RGPD , in particolare per quanto riguarda le istruzioni e i TOM per il subappaltatore, come imposti al Responsabile del trattamento ai sensi del presente Accordo sul trattamento dei dati.

9.3 Il responsabile del trattamento deve assicurarsi di aver selezionato attentamente il subappaltatore, con particolare riguardo all'idoneità dei TOM del subappaltatore. Il Responsabile del trattamento ha stipulato un accordo scritto con ciascun Sub-responsabile del trattamento contenente obblighi di protezione dei dati non meno protettivi di quelli nell’Accordo in relazione alla protezione dei Dati del servizio nella misura applicabile alla natura dei Servizi forniti da tale

Sub-responsabile del trattamento.

9.4 Qualora il subappaltatore non adempia ai propri obblighi in materia di protezione dei dati ai sensi dell’accordo di subappalto, il Responsabile del trattamento rimane pienamente responsabile nei confronti del titolare del trattamento per l’adempimento degli obblighi previsti dal presente Accordo sul trattamento dei dati e per l’adempimento degli obblighi del subappaltatore.

 

10.   Durata e risoluzione

 

10.1 Il presente Accordo sul trattamento dei dati entra in vigore al momento della firma. Continuerà a essere pienamente in vigore ed efficace fintanto che il Responsabile del trattamento elaborerà i Dati personali in base all’Allegato 1 e cesserà automaticamente in seguito.

10.2 Il Titolare del trattamento può risolvere l’Accordo sul trattamento dei dati, nonché l’Accordo per giusta causa, in qualsiasi momento con un preavviso ragionevole o senza preavviso, a scelta del Titolare, se il Responsabile del trattamento violi materialmente i termini del presente Accordo sul trattamento dei dati.

10.3 Laddove siano necessarie modifiche per garantire la conformità dei presenti Accordi sul trattamento dei dati o di un’Appendice alle leggi sulla protezione dei dati, le parti concordano tali modifiche su richiesta del Titolare del trattamento e, a scanso di equivoci, senza costi aggiuntivi per il Titolare. Qualora le parti non siano in grado di concordare tali modifiche, ciascuna delle parti può risolvere l’Accordo e il presente Accordo sul trattamento dei dati con un preavviso scritto di 90 giorni all’altra parte.

11.    Eliminazione o restituzione di dati personali

 

Il titolare del trattamento può esportare tutti i dati del servizio prima della chiusura dell’account del cliente. In ogni caso, in seguito alla chiusura dell’Account del Cliente (i) fatti salvi i punti (ii) e (iii) seguenti e l’Accordo , i Dati del servizio saranno conservati per un periodo di 14 giorni da tale chiusura, entro il quale il Titolare può contattare il Responsabile per esportare i dati del servizio; (ii) quando il Titolare non usa la casella di posta personalizzata e la funzione email, se disponibile all’interno dei Servizi, le email che fanno parte dei Dati del servizio vengono archiviate automaticamente per un periodo di 3 mesi; e (iii) i registri vengono archiviati per un periodo di trenta (30) giorni nei sistemi di gestione dei registri, dopodiché i registri vengono ritirati in una conservazione a freddo archiviata con limitazioni per un periodo di undici (11) mesi (ciascuno un “Periodo di conservazione dei dati” ). Al di là di ciascun Periodo di conservazione dei dati, il Responsabile del trattamento si riserva il diritto di eliminare tutti i Dati del servizio nel normale corso delle operazioni, salvo se necessario per adempiere agli obblighi legali del Responsabile, mantenere registri finanziari e di altro tipo accurati, risolvere le controversie e far rispettare i relativi accordi. I dati del servizio non possono essere recuperati una volta eliminati.

12.    Varie

 

12.1 In caso di conflitto, le disposizioni del presente Accordo sul trattamento dei dati hanno la precedenza su quelle di qualsiasi altro accordo con il Responsabile del trattamento.

12.2 La limitazione di responsabilità indicata nell’Accordo si applica alla violazione dell’Accordo sul trattamento dei dati.

12.3 Nessuna Parte riceverà alcun compenso per l’adempimento dei propri obblighi ai sensi del presente Accordo sul trattamento dei dati, salvo quanto esplicitamente stabilito nel presente documento o in un altro accordo.

12.4 Laddove il presente Accordo sul trattamento dei dati richieda un "avviso scritto", tale avviso può essere comunicato anche tramite email all'altra Parte. Le notifiche devono essere inviate alle persone di contatto indicate nell’Allegato 1 VII.

12.5 Qualsiasi accordo supplementare o modifica al presente Accordo sul trattamento dei dati deve essere stipulato per iscritto e firmato da entrambe le parti.

12.6 Qualora singole disposizioni del presente Accordo sul trattamento dei dati dovessero diventare nulle, non valide o non applicabili, ciò non influirà sulla validità delle restanti condizioni del presente accordo.

13.    Definizioni

“Amministratore dell’account” indica la persona autorizzata dal Titolare a ricevere notifiche dal Responsabile del trattamento.

Per “Leggi sulla protezione dei dati” si intendono le leggi sulla protezione dei dati del Paese in cui ha sede il Titolare del trattamento, incluso il RGPD, e qualsiasi legge sulla protezione dei dati applicabile al Titolare in relazione all’Accordo.

“Perdite DP” indica tutte le passività, tra cui:

a) spese (incluse le spese legali)

 

b) reclami, richieste, azioni, transazioni, addebiti, procedure, spese, perdite e danni (materiali o immateriali, incluso per stress emotivo)

c) nella misura consentita dalla legge applicabile:

i) sanzioni amministrative, sanzioni, responsabilità o altri rimedi imposti da un’autorità per la protezione dei dati o da qualsiasi altra autorità di regolamentazione pertinente

ii) compenso a un Interessato ordinato da un’autorità per la protezione dei dati da parte del Responsabile del trattamento

iii) i costi per il rispetto delle indagini da parte di un’autorità per la protezione dei dati o di qualsiasi altra autorità di regolamentazione pertinente.

Per “RGPD” si intende il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali e alla libera circolazione di tali dati.

Per “Dati personali” si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile come definita dal Regolamento generale sulla protezione dei dati dell’Unione Europea (“RGPD“ EC-2016/679) che viene elaborata dal Responsabile del trattamento nell’ambito della fornitura dei servizi a il Titolare del trattamento come descritto nell’Allegato 1.

Per “Clausole contrattuali standard/Clausole contrattuali standard dell’UE” si intendono le clausole contrattuali standard di cui all’Allegato 1 per il trasferimento di Dati personali da un titolare del trattamento nello Spazio economico europeo a Responsabili del trattamento stabiliti in paesi terzi nella forma indicata nell’allegato del Decisione 2010/87/UE della Commissione europea, come modificata incorporando la descrizione dei Dati personali da trasferire e le misure tecniche e organizzative da implementare come indicato nell’Appendice.

“Titolare del trattamento”, “Interessato”, “Violazione dei dati personali”, “Responsabile del trattamento” e “Trattamento” hanno il significato loro attribuito nel RGPD.

 

 

Allegato 1

Dettagli dell’elaborazione

 

Interessati

 

Gli Interessati dei dati sono le persone a cui i dati personali si riferiscono e sono Utenti o Utenti finali che interagiscono usando i Servizi.

Categorie di dati

Per categorie di dati si intendono i dati personali degli Utenti e degli Utenti finali, contenuti in dati elettronici, SMS, messaggi o altro materiale, inviati ai Servizi dal Cliente tramite l’Account del Cliente in relazione all’uso dei Servizi da parte del Cliente. .

Oggetto e natura del trattamento

I dati personali trattati saranno soggetti alle attività di trattamento di base necessarie per la fornitura dei Servizi da parte di Zuper al Cliente che comportano il trattamento dei dati personali. I dati personali saranno soggetti alle attività di trattamento specificate nell’Accordo e nel DPA.

Finalità del trattamento

I dati personali saranno trattati allo scopo di fornire i Servizi indicati in un modulo, come ulteriormente indicato dal Cliente nell’uso dei Servizi e altrimenti concordato nell’Accordo, nel presente DPA e in qualsiasi modulo applicabile.

Durata dell’elaborazione

I Dati Personali saranno trattati per la durata del Contratto.

 

 

Allegato 2

Clausole contrattuali standard dell’UE (responsabili del trattamento)

 

Ai fini dell’articolo 46, paragrafo 3, del regolamento (UE) 2016/679 per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi che non garantiscono un livello adeguato di protezione dei dati

L’entità identificata come “Titolare del trattamento” nell’Accordo sul trattamento dei dati (l’“esportatore di dati”)

E Zuper, Inc.

24754 NE, 3 rd Way, Sammamish, WA - 98074 (l’“importatore di dati”)

ciascuno un “partito”; insieme “le parti”,

 

HANNO CONVENUTO le seguenti clausole contrattuali (le clausole) al fine di fornire garanzie adeguate per quanto riguarda la protezione della privacy e dei diritti e delle libertà fondamentali delle persone per il trasferimento da parte dell’esportatore di dati importatore di dati dei dati personali specificato nell’appendice 1 .

 

Clausola 1

Definizioni

Ai fini delle clausole:

a) “dati personali”, “categorie speciali di dati”, “trattamento/trattamento”, “titolare del trattamento”, “responsabile del trattamento”, “interessato” e “autorità di controllo” hanno lo stesso significato di cui al regolamento (UE) 2016 /679;

(b) “esportatore di dati”: il titolare del trattamento che trasferisce i dati personali;

(c) “l’ importatore di dati”: il responsabile del trattamento che accetta di ricevere dall’esportatore di dati i dati personali da trattare per suo conto dopo il trasferimento in conformità con le sue istruzioni e i termini delle clausole e che non è soggetto alla sistema che garantisca una protezione adeguata ai sensi del Regolamento (UE) 2016/679;

(d) “il sub-responsabile del trattamento”: qualsiasi responsabile del trattamento incaricato dall’importatore importatore di dati o da qualsiasi altro sub-responsabile dell’importatore importatore di dati che accetta di ricevere dall’importatore importatore di dati o da qualsiasi altro subincaricato dell’importatore di importatore di dati dati personali destinati esclusivamente alle attività di trattamento da effettuato per conto dell’esportatore di dati dopo il trasferimento in conformità con le sue istruzioni, i termini delle clausole e i termini del subappalto scritto;

e) "legislazione applicabile in materia di protezione dei dati": la legislazione che tutela i diritti e le libertà fondamentali delle persone fisiche e, in particolare, il loro diritto alla privacy in relazione al trattamento dei dati personali applicabile a un titolare del trattamento nello Stato membro in cui viene stabilito l’esportatore di dati;

f) "misure di sicurezza tecniche e organizzative": le misure volte a proteggere i dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale, dall'alterazione, dalla divulgazione o dall'accesso non autorizzati, in particolare quando il trattamento implica la trasmissione di dati su una rete, e contro ogni altra forma illecita di trattamento.

 

Clausola 2

Dettagli del trasferimento

I dettagli del trasferimento e in particolare le categorie speciali di dati personali, ove applicabili, sono specificati nell'Appendice 1, che costituisce parte integrante delle Clausole.

Clausola 3

Clausola a favore di terzi

1.      L’interessato può far valere nei confronti dell’esportatore di dati la presente clausola, le clausole da 4 (b) a (i), le clausole 5 da (a) a (e) e le clausole da (g) a (j), le clausole 6 (1) e (2) , Clausola 7, Clausola 8(2) e Clausole da 9 a 12 come terzi beneficiari.

2.     L’interessato può far valere nei confronti dell’importatore importatore di dati la presente clausola, le clausole da 5 (a) a (e) e (g), le clausole 6, 7, 8 (2) e le clausole da 9 a 12, nei casi in cui l’esportatore di dati è di fatto scomparso o ha cessato di esistere per legge, a meno che un’entità successore non si sia assunta tutti gli obblighi legali dell’esportatore di dati per contratto o per effetto di legge, a seguito dei quali assume i diritti e gli obblighi dell’esportatore di dati, in in tal caso l’interessato può farli valere nei confronti di tale entità.

3.     L’interessato può far valere nei confronti del sub-responsabile del trattamento questa clausola, le clausole da 5 (a) a (e) e (g), le clausole 6, 7, 8 (2) e le clausole da 9 a 12, nei casi in cui sia l’esportatore di dati e l’ importatore di dati sono di fatto scomparsi o hanno cessato di esistere legalmente o sono diventati insolventi, a meno che un’entità successore non si sia assunta tutti gli obblighi legali dell’esportatore di dati per contratto o per effetto di legge a seguito dei quali si assume i diritti e obblighi dell’esportatore di dati, nel qual caso l’interessato può farli valere nei confronti di tale entità. Tale responsabilità di terzi del sub-responsabile del trattamento è limitata alle proprie operazioni di trattamento ai sensi delle clausole.

4.     Le parti non si oppongono al fatto che un interessato sia rappresentato da un’associazione o altro organismo se l’interessato lo desidera espressamente e se consentito dalla legislazione nazionale.

 

Clausola 4

Obblighi dell’esportatore di dati

 

L’esportatore di dati accetta e garantisce:

 

(a) che il trattamento, incluso il trasferimento stesso, dei dati personali è stato e continuerà a essere effettuato in conformità con le pertinenti disposizioni della legge sulla protezione dei dati applicabile (e, ove applicabile, è stato notificato alle autorità competenti dello Stato membro in cui è stabilito l’esportatore di dati) e non viola le pertinenti disposizioni di tale Stato;

(b) di aver dato istruzioni e per tutta la durata dei servizi di trattamento dei dati personali incaricherà l’ importatore di dati di trattare i dati personali trasferiti solo per conto dell’esportatore di dati e in conformità con la legge sulla protezione dei dati applicabile e le clausole;

(c) che l' importatore di dati fornisca garanzie sufficienti in relazione alle misure di sicurezza tecniche e organizzative specificate nell'appendice 2 del presente contratto;

(d) che, dopo aver valutato i requisiti della normativa applicabile in materia di protezione dei dati, le misure di sicurezza siano appropriate per proteggere i dati personali dalla distruzione accidentale o illecita o dalla perdita accidentale, dall’alterazione, dalla divulgazione o dall’accesso non autorizzati, in particolare quando il trattamento comporta la trasmissione di dati in rete e contro ogni altra forma illecita di trattamento, e che tali misure garantiscono un livello di sicurezza adeguato ai rischi presentati dal trattamento e alla natura dei dati da proteggere, tenendo conto dello stato dell’arte e delle costo della loro implementazione;

(e) che garantirà il rispetto delle misure di sicurezza;

(f) che, se il trasferimento riguarda categorie speciali di dati, l’interessato è stato informato o sarà informato prima o non appena possibile dopo il trasferimento che i suoi dati potrebbero essere trasmessi a un paese terzo che non fornisce una protezione adeguata all’interno il significato del Regolamento (UE) 2016/679;

(g) inoltrare all’autorità di controllo della protezione dei dati qualsiasi notifica ricevuta dall’importatore importatore di dati o da qualsiasi sub-responsabile del trattamento ai sensi della clausola 5, lettera b) e della clausola 8, paragrafo 3, se l’esportatore decide di continuare il trasferimento o revocare la sospensione.

(h) di mettere a disposizione degli interessati, su richiesta, una copia delle clausole, ad eccezione dell’Appendice 2, e una descrizione sintetica delle misure di sicurezza, nonché una copia di qualsiasi contratto per servizi di subelaborazione da stipulare in conformità con le clausole, a meno che le clausole o il contratto non contengano informazioni commerciali, nel qual caso potrebbe rimuovere tali informazioni commerciali;

(i) che, in caso di sottotrattamento, l’attività di trattamento sia svolta in conformità alla clausola 11 da un subincaricato del trattamento che fornisce almeno lo stesso livello di protezione dei dati personali e dei diritti dell’interessato dei dati importati ai sensi delle clausole ; e

(j) che garantirà il rispetto della clausola 4 da (a) a (i).

 

Clausola 5

Obblighi importatore di dati

 

L’ importatore di dati accetta e garantisce:

 

(a) trattare i dati personali solo per conto dell’esportatore di dati e in conformità alle sue istruzioni e alle clausole; se non è in grado di fornire tale conformità per qualsiasi motivo, si impegna a informare tempestivamente l’esportatore di dati della propria impossibilità di adempiere, nel qual caso l’esportatore di dati ha il diritto di sospendere il trasferimento dei dati e/o di risolvere il contratto;

(b) di non avere motivo di ritenere che la legislazione ad essa applicabile gli impedisca di adempiere alle istruzioni ricevute dall’esportatore di dati e ai suoi obblighi ai sensi del contratto e che, in caso di modifica della presente legislazione che potrebbe avere un impatto con effetti negativi sostanziali sulle garanzie e sugli obblighi previsti dalle clausole, comunicherà tempestivamente la modifica all’esportatore di dati non appena ne sia a conoscenza, nel qual caso l’esportatore di dati ha il diritto di sospendere il trasferimento dei dati e/o di risolvere il contratto ;

(c) di aver implementato le misure di sicurezza tecniche e organizzative specificate nell'appendice 2 prima di elaborare i dati personali trasferiti;

(d) di informare tempestivamente l’esportatore di dati in merito a:

(i) qualsiasi richiesta legalmente vincolante di divulgazione dei dati personali da parte di un’autorità di contrasto, se non diversamente proibito, come un divieto ai sensi del diritto penale per preservare la riservatezza di un’indagine delle forze dell’ordine,

(ii) qualsiasi accesso accidentale o non autorizzato, e

(iii) qualsiasi richiesta ricevuta direttamente dagli interessati senza rispondere a tale richiesta, a meno che non sia stato altrimenti autorizzato a farlo;

(e) rispondere tempestivamente e correttamente a tutte le richieste dell’esportatore di dati relative al trattamento dei dati personali oggetto del trasferimento e attenersi al parere dell’autorità di controllo in merito al trattamento dei dati trasferiti.

(f) su richiesta dell’esportatore di dati di sottoporre le proprie strutture di elaborazione dati a un controllo delle attività di trattamento contemplate dalle clausole, che deve essere svolto dall’esportatore di dati o da un organismo di ispezione composto da membri indipendenti e in possesso della professionalità richiesta qualifiche vincolate da un obbligo di riservatezza, selezionate dall’esportatore di dati, ove applicabile, d’intesa con l’autorità di controllo;

(g) di mettere a disposizione dell’interessato, su richiesta, una copia delle clausole o di qualsiasi contratto esistente per il subtrattamento, a meno che le clausole o il contratto non contengano informazioni commerciali, nel qual caso può rimuovere tali informazioni commerciali, ad eccezione dell’Appendice 2 che è sostituita da una descrizione sintetica delle misure di sicurezza nei casi in cui l’interessato non è in grado di ottenerne una copia dall’esportatore dei dati;

(h) di aver preventivamente informato l’esportatore dei dati in caso di sottotrattamento e di averne ottenuto il previo consenso scritto;

(i) che i servizi di elaborazione da parte del sub-responsabile del trattamento saranno svolti in conformità alla clausola 11;

(j) di inviare tempestivamente all’esportatore di dati una copia di qualsiasi accordo di sub-responsabile del trattamento concluso ai sensi delle clausole.

 

Clausola 6

Responsabilità

 

1.      Le parti convengono che qualsiasi interessato che abbia subito un danno a seguito di una violazione degli obblighi di cui alla clausola 3 o alla clausola 11 da parte di qualsiasi parte o sub-responsabile del trattamento ha diritto a ricevere un risarcimento dall’esportatore di dati per il danno subito.

2.     Se un interessato non è in grado di presentare una richiesta di risarcimento ai sensi del paragrafo 1 nei confronti dell’esportatore di dati a causa di una violazione da parte importatore di dati o del suo sub-responsabile del trattamento di uno qualsiasi degli obblighi di cui alla clausola 3 o alla clausola 11, poiché l’esportatore di dati è di fatto scomparso o ha cessato di esistere per legge o è diventato insolvente, l’ importatore di dati accetta che l’interessato possa presentare un reclamo nei confronti importatore di dati come se fosse l’esportatore di dati, a meno che l’entità successiva non abbia assunto l’intera obblighi legali dell’esportatore di dati per contratto o per legge, nel qual caso l’interessato può far valere i propri diritti nei confronti di tale entità. L’ importatore di dati non può fare affidamento sulla violazione dei propri obblighi da parte di un subincaricato del trattamento per evitare le proprie responsabilità.

3.     Se un interessato non è in grado di citare in giudizio l’esportatore di dati o l’ importatore di dati di cui ai paragrafi 1 e 2, a causa di una violazione da parte del sub-responsabile del trattamento di uno qualsiasi degli obblighi di cui alla clausola 3 o alla clausola 11 perché sia l’esportatore di dati che l’ importatore di dati sono di fatto scomparsi o hanno cessato di esistere per legge o sono diventati insolventi, il sub-responsabile del trattamento accetta che l’interessato possa presentare un reclamo contro il sub-responsabile del trattamento in relazione alle proprie operazioni di trattamento ai sensi delle clausole come se era l’esportatore di dati o l’ importatore di dati, a meno che un’entità subentrante non abbia assunto tutti gli obblighi legali dell’esportatore o importatore di dati per contratto o per effetto della legge, nel qual caso l’interessato può far valere i propri diritti nei confronti di tale entità. La responsabilità del sub-responsabile del trattamento è limitata alle proprie operazioni di trattamento ai sensi delle clausole.

 

Clausola 7

Mediazione e giurisdizione

 

1.      L’ importatore di dati accetta che se l’interessato fa valere nei suoi confronti diritti di beneficiario di terzi e/o chiede un risarcimento danni ai sensi delle clausole, l’ importatore di dati accetterà la decisione dell’interessato:

a) deferire la contestazione alla mediazione, da parte di una persona indipendente o, se del caso, dell’autorità di controllo;

(b) di deferire la contestazione ai tribunali dello Stato membro in cui ha sede l’esportatore di dati.

2.     Le parti convengono che la scelta operata dall’interessato non pregiudicherà i suoi diritti sostanziali o procedurali di cercare rimedi in conformità con altre disposizioni del diritto nazionale o internazionale.

 

Clausola 8

Collaborazione con le autorità di vigilanza

 

1.      L’esportatore di dati accetta di depositare una copia del presente contratto presso l’autorità di vigilanza, se questa lo richiede o se tale deposito è richiesto dalla legge applicabile sulla protezione dei dati.

2.     Le parti convengono che l’autorità di vigilanza ha il diritto di condurre una verifica dell’importatore importatore di dati e di qualsiasi sub-responsabile del trattamento, che ha lo stesso scopo ed è soggetta alle stesse condizioni che si applicherebbero a una verifica dell’esportatore di dati ai sensi dei dati applicabili legge di protezione.

3.     L’ importatore di dati informa tempestivamente l’esportatore di dati dell’esistenza di una legislazione applicabile allo stesso o a qualsiasi subincaricato del trattamento che impedisca lo svolgimento di una verifica dell’importatore importatore di dati, o di qualsiasi suo subincaricato, ai sensi del paragrafo 2. In tal caso, l'esportatore di dati ha il diritto di adottare le misure previste nella clausola 5 (b).

 

Clausola 9

Legge applicabile

Le clausole sono disciplinate dalla legge dello Stato membro in cui è stabilito l’esportatore di dati.

 

Clausola 10

Variazione del contratto

Le parti si impegnano a non variare o modificare le Clausole. Ciò non impedisce alle parti di aggiungere clausole su questioni aziendali ove necessario, a condizione che non siano in contraddizione con la clausola.

Clausola 11

Elaborazione secondaria

 

1.      L’ importatore di dati non può subappaltare nessuna delle sue operazioni di trattamento eseguite per conto dell’esportatore di dati ai sensi delle clausole senza il previo consenso scritto dell’esportatore di dati. Se l’ importatore di dati subappalta gli obblighi previsti dalle clausole, con il consenso dell’esportatore di dati, può farlo solo mediante un accordo scritto con il sub-responsabile del trattamento che imponga al sub-responsabile gli stessi obblighi imposti importatore di dati ai sensi del Clausole. Qualora il sub-responsabile del trattamento non adempia ai propri obblighi in materia di protezione dei dati ai sensi di tale accordo scritto, l’ importatore di dati rimane pienamente responsabile nei confronti dell’esportatore dei dati per l’adempimento degli obblighi del sub-responsabile del trattamento ai sensi di tale accordo.

2.     Il previo contratto scritto tra l’ importatore di dati e il sub-responsabile del trattamento prevede anche una clausola beneficiaria di terzi come previsto dalla clausola 3 per i casi in cui l’interessato non è in grado di presentare la domanda di risarcimento di cui al paragrafo 1 della clausola 6 nei confronti dell’esportatore di dati o importatore di dati perché sono di fatto scomparsi o hanno cessato di esistere per legge o sono diventati insolventi e nessuna entità successore ha assunto tutti gli obblighi legali dell’esportatore o importatore di dati per contratto o per effetto della legge. Tale responsabilità di terzi del sub-responsabile del trattamento è limitata alle proprie operazioni di trattamento ai sensi delle clausole.

3.     Le disposizioni relative agli aspetti relativi alla protezione dei dati per il subtrattamento del contratto di cui al paragrafo 1 sono disciplinate dalla legge dello Stato membro in cui è stabilito l’esportatore di dati.

4.     L’esportatore di dati conserva un elenco degli accordi di subelaborazione conclusi ai sensi delle clausole e notificati dall’importatore importatore di dati ai sensi della clausola 5, lettera j), che deve essere aggiornato almeno una volta all’anno. L’elenco è a disposizione dell’autorità di controllo della protezione dei dati dell’esportatore.

 

Clausola 12

Obbligo dopo la cessazione dei servizi di elaborazione dei dati personali

 

1.      Le parti convengono che, al termine della fornitura dei servizi di elaborazione dati, l’ importatore di dati e il sub-responsabile del trattamento, a scelta dell’esportatore di dati, restituiscano tutti i dati personali trasferiti e le loro copie all’esportatore di dati o distruggano tutti i dati dati personali e certifica all’esportatore di dati di averlo fatto, a meno che la legislazione imposta importatore di dati gli impedisca di restituire o distruggere, in tutto o in parte, i dati personali trasferiti. In tal caso, l’ importatore di dati garantisce che garantirà la riservatezza dei dati personali trasferiti e che non elaborerà più attivamente i dati personali trasferiti.

 

2.     L’ importatore di dati e il sub-responsabile del trattamento garantiscono che, su richiesta dell’esportatore di dati e/o dell’autorità di controllo, sottoporranno le proprie strutture di elaborazione dati a una verifica delle misure di cui al paragrafo 1.

 

Appendice 1 alle Clausole contrattuali standard

 

La presente Appendice fa parte delle Clausole e deve essere compilata e firmata dalle parti. Firmando la pagina della firma dell’Accordo sul trattamento dei dati, si riterrà che le parti abbiano firmato la presente Appendice 1.

Esportatore dati : l’esportatore di dati è l’entità identificata come “Titolare del trattamento” nell’Accordo sul trattamento dei dati.

Importatore di dati : l’ importatore di dati è l’entità identificata come “Responsabile del trattamento” nell’Accordo sul trattamento dei dati.

Interessati : gli interessati sono definiti nell’Appendice 1 n. 2 dell’Accordo sul trattamento dei dati.

Categorie di dati : le categorie di dati sono identificate nell’Appendice 1 n. 3 dell’Accordo sul trattamento dei dati.

Operazioni di trattamento - I dati personali trasferiti saranno soggetti alle seguenti attività di trattamento di base, identificate nell’appendice 1 n. 1 dell’Accordo sul trattamento dei dati.

 

Appendice 2 alle Clausole contrattuali standard

 

La presente Appendice fa parte delle Clausole e deve essere compilata e firmata dalle parti. Firmando la pagina della firma dell’Accordo sul trattamento dei dati, si riterrà che le parti abbiano firmato la presente Appendice 2.

Descrizione delle misure di sicurezza tecniche e organizzative implementate dall’importatore importatore di dati in conformità alle clausole 4(d) e 5(c) (o documento/legislazione in allegato):

Il responsabile del trattamento mantiene e applica varie politiche, standard e processi progettati per proteggere i dati personali e altri dati a cui i dipendenti del responsabile del trattamento hanno accesso e aggiorna tali politiche, standard e processi di volta in volta in base agli standard del settore. Di seguito è riportata una descrizione di alcune delle misure tecniche e organizzative implementate dal Responsabile del trattamento alla data della firma:

1.     Procedure generali di sicurezza

 

1.1 Il Responsabile del trattamento è responsabile della definizione e del mantenimento di un programma di sicurezza delle informazioni progettato per: (i) proteggere la sicurezza e la riservatezza dei Dati personali; (ii) proteggere da minacce o pericoli previsti per la sicurezza o l’integrità dei Dati personali; (iii) proteggere dall’accesso o dall’uso non autorizzato dei Dati personali; (iv) garantire il corretto smaltimento dei Dati Personali, come ulteriormente definito nel presente documento; e, (v) garantire che tutti i dipendenti e gli eventuali subappaltatori del Responsabile del trattamento rispettino tutto quanto sopra. Il responsabile del trattamento designa una persona responsabile del programma di sicurezza delle informazioni. Tali soggetti devono rispondere alle richieste del Titolare del trattamento in merito alla sicurezza informatica e hanno la responsabilità di notificare i contatti designati dal Titolare in caso di violazione o incidente, come descritto più avanti nel presente documento.

1.2 Il Responsabile del trattamento condurrà una formazione formale di sensibilizzazione alla privacy e alla sicurezza per tutti i suoi dipendenti non appena ragionevolmente possibile dopo l’assunzione e/o prima di essere nominati a lavorare sui Dati personali e successivamente ricertificati annualmente. La documentazione relativa alla formazione sulla sensibilizzazione alla sicurezza deve essere conservata dal Responsabile del trattamento, a conferma che la formazione e il successivo processo annuale di ricertificazione sono stati completati.

1.3 Il Titolare del trattamento ha il diritto di rivedere una panoramica del programma di sicurezza delle informazioni del Responsabile del trattamento prima dell’inizio del Servizio e successivamente ogni anno su richiesta del Titolare.

1.4 Il Responsabile del trattamento non trasmette Dati personali non crittografati su Internet o reti non sicure e non memorizza i Dati personali su alcun dispositivo informatico mobile, come un computer portatile, un’unità USB o un dispositivo dati portatile, tranne nei casi in cui

esiste una necessità aziendale e solo se il dispositivo di elaborazione mobile è protetto da un software di crittografia standard del settore. Il Responsabile del trattamento crittografa i Dati personali in transito in entrata e in uscita dai Servizi su reti pubbliche usando protocolli standard del settore.

1.5 In caso di furto apparente o effettivo, uso non autorizzato o divulgazione di Dati personali, il Responsabile del trattamento deve iniziare immediatamente ogni ragionevole sforzo per indagare e correggere le cause e rimediare ai risultati, e senza indebito ritardo ed entro 72 ore dalla conferma qualsiasi evento del genere, fornire al Titolare una notifica in merito e qualsiasi ulteriore informazione e assistenza che possa essere ragionevolmente richiesta. Su richiesta del Titolare, al Titolare del trattamento devono essere fornite le azioni correttive e la ragionevole garanzia di soluzione dei problemi rilevati.

2.     Sicurezza delle reti e delle comunicazioni

 

2.1 Tutta la connettività del Processore ai sistemi informatici e/o alle reti del Titolare e tutti i tentativi di connessione devono avvenire solo tramite i gateway/firewall di sicurezza del Titolare e solo attraverso procedure di sicurezza approvate dal Titolare.

2.2 Il Responsabile del trattamento non può accedere e non consentirà a persone o entità non autorizzate di accedere ai sistemi informatici e/o alle reti del Titolare senza l’espressa autorizzazione scritta del Titolare e qualsiasi accesso effettivo o tentato deve essere coerente con tale autorizzazione.

2.3 Il Responsabile del trattamento adotta le misure appropriate per garantire che i sistemi del Responsabile che si collegano ai sistemi del Titolare e qualsiasi cosa fornita al Titolare attraverso tali sistemi non contengano codici informatici, programmi, meccanismi o dispositivi di programmazione progettati o che potrebbero consentire l’interruzione, la modifica o l’eliminazione ,

danneggiamento, disattivazione, disabilitazione, danno o altro impedimento, in qualsiasi modo, al funzionamento dei sistemi del Titolare.

2.4 Il responsabile del trattamento deve mantenere le misure tecniche e organizzative per la protezione dei dati, tra cui: (i) firewall e sistemi di rilevamento delle minacce per identificare i tentativi di connessione dannosa, per bloccare spam, virus e intrusioni non autorizzate; (ii) tecnologia di rete fisica progettata per resistere agli attacchi di utenti malintenzionati o codice dannoso; e (iii) dati crittografati in transito su reti pubbliche usando protocolli standard del settore.

3.     Procedure di trattamento dei dati personali

 

3.1 Cancellazione di informazioni e distruzione di supporti di memorizzazione elettronici. Tutti i supporti di memorizzazione elettronici contenenti Dati personali devono essere cancellati o smagnetizzati per la distruzione fisica o lo smaltimento, in modo conforme agli standard del settore forense come le Linee guida NIST SP800-88 per la sanificazione dei media, prima di lasciare le aree di lavoro del titolare, con l’eccezione di Dati Personali crittografati che risiedono su un supporto portatile allo scopo esplicito di fornire servizi al Titolare. Il responsabile del trattamento deve conservare prove documentate commercialmente ragionevoli della cancellazione e distruzione dei dati per le risorse a livello di infrastruttura.

3.2 Il Responsabile del trattamento deve mantenere le tecnologie e i processi di autorizzazione e autenticazione per garantire che solo le persone autorizzate accedano ai Dati personali, tra cui: (i) la concessione di diritti di accesso sulla base del principio della necessità di conoscere; (ii) esaminare e conservare i registri dei dipendenti che sono stati autorizzati o che possono concedere, modificare o annullare l'accesso autorizzato ai sistemi; (iii) la richiesta di account di accesso individuali personalizzati per l'uso di password che soddisfino i requisiti di complessità, lunghezza e durata; (iv) memorizzare le password in modo da renderle indecifrabili se usate in modo errato o recuperate isolatamente; (v) crittografia, registrazione e verifica di tutte le sessioni di accesso ai sistemi contenenti Dati personali; e (vi) istruire i dipendenti su metodi di amministrazione sicuri quando i computer potrebbero essere incustoditi, come l'uso di salvaschermo protetti da password e limiti di tempo delle sessioni.

3.3 Il Responsabile del trattamento deve mantenere controlli logici per separare i Dati personali dagli altri dati, inclusi i dati di altri clienti.

3.4 Il responsabile del trattamento deve mantenere le misure per fornire un trattamento separato dei dati per scopi diversi, tra cui: (i) fornire il titolare del trattamento all'interno del proprio dominio di sicurezza a livello di applicazione, il che crea separazione logica e isolamento dei principi di sicurezza tra i clienti; e (ii) isolare gli ambienti di test o di sviluppo dagli ambienti attivi o di produzione.

4.     Sicurezza fisica

 

4.1 Il responsabile del trattamento deve garantire che siano soddisfatti almeno i seguenti requisiti di sicurezza fisica:

i) Tutti i supporti di backup e di archiviazione contenenti Dati personali devono essere contenuti in aree di memorizzazione sicure e controllate dall’ambiente di proprietà, gestite o incaricate dal Responsabile del trattamento. Tutti i supporti di backup e di archiviazione contenenti Dati personali devono essere crittografati.

ii) Sono in atto misure tecniche e organizzative per controllare l'accesso ai locali e alle strutture del data center e includono: (i) reception o agenti di sicurezza con personale per limitare l'accesso a persone identificate e autorizzate; (ii) screening dei visitatori all'arrivo per verificarne l'identità; (iii) tutte le porte di accesso, inclusi i contenitori per apparecchiature, sono protette da sistemi di chiusura automatica delle porte con sistemi di controllo degli accessi che registrano e conservano le cronologie degli accessi; (iv) monitoraggio e registrazione di tutte le aree mediante la copertura di telecamere digitali TVCC, sistemi di allarme di rilevamento del movimento e registri dettagliati di sorveglianza e audit; (v) allarmi di intrusione presenti su tutte le porte di emergenza esterne con porte di uscita interne unidirezionali; e

(vi) separazione delle aree di spedizione e ricezione con controlli delle apparecchiature all'arrivo.

iii) Il Responsabile del trattamento deve mantenere le misure di protezione contro la distruzione o la perdita accidentale di Dati personali, tra cui: (i) il rilevamento e la soppressione degli incendi, inclusi un sistema di soppressione incendi pre-azione multizona, con tubazioni a secco, a doppio interblocco e un sistema di soppressione molto precoce Rilevazione e allarme fumo (VESDA); (ii) generatori di elettricità ridondanti in loco con fornitura adeguata di combustibile per generatori e contratti con più fornitori di carburante; (iii) sistemi di riscaldamento, ventilazione e condizionamento dell'aria (HVAC) che forniscono un flusso d'aria, una temperatura e un'umidità stabili, con ridondanza minima N+1 per tutte le apparecchiature principali e ridondanza N+2 per i refrigeratori e lo stoccaggio di energia termica; e (iv) sistemi fisici usati per la memorizzazione e il trasporto dei dati che utilizzano progetti a tolleranza di errore con livelli multipli di ridondanza.

5 Test di sicurezza

 

5.1 Durante l’esecuzione dei Servizi ai sensi dell’Accordo, il Responsabile incaricherà, a proprie spese e almeno una volta all’anno, un fornitore terzo (“Società di test”) per eseguire test di penetrazione e vulnerabilità (“Test di sicurezza”) nel rispetto ai sistemi del Responsabile che contengono e/o memorizzano Dati personali.

5.2 L’obiettivo di tali test di sicurezza è identificare i problemi di progettazione e/o funzionalità nelle applicazioni o nell’infrastruttura dei sistemi del Responsabile del trattamento che contengono e/o memorizzano Dati personali, che potrebbero esporre le risorse del Titolare al rischio di attività dannose. I test di sicurezza esamineranno le debolezze nelle applicazioni, nei perimetri di rete o in altri elementi dell’infrastruttura, nonché le debolezze nei processi o le contromisure tecniche relative ai sistemi del Responsabile del trattamento contenenti e/o memorizzare Dati personali che potrebbero essere sfruttati da una parte malintenzionata.

5.3 I test di sicurezza devono identificare, come minimo, le seguenti vulnerabilità di sicurezza: input invalidato o non sterilizzato; controlli di accesso interrotti o eccessivi; autenticazione non riuscita e gestione delle sessioni; flaw di cross-site scripting (XSS); overflow del buffer; difetti di iniezione; gestione impropria degli errori; archiviazione non sicura; vulnerabilità comuni di tipo Denial of Service; gestione della configurazione non sicura o incoerente; uso improprio di SSL/TLS; uso corretto della crittografia; e test e affidabilità antivirus.

5.4 Entro un periodo di tempo ragionevole dall’esecuzione del test di sicurezza, il Responsabile del trattamento risolverà gli eventuali problemi identificati e successivamente incaricherà, a proprie spese, l’azienda di test di eseguire un test di sicurezza di riconvalida per garantire la soluzione dei problemi di sicurezza identificati. I relativi risultati saranno messi a disposizione del Titolare su richiesta.

6.     Verifica sicurezza

 

6.1 Il Responsabile del trattamento e tutte le entità subappaltate (a seconda dei casi) condurranno almeno una volta all’anno una verifica SSAE 18 (o equivalente) che copra tutti i sistemi e/o le strutture utilizzate per fornire il Servizio al Titolare e forniranno al Titolare i risultati dello richiesta scritta. Se, dopo aver esaminato i risultati della verifica, il Titolare del trattamento determina ragionevolmente che esistono problemi di sicurezza in relazione al Servizio, ne informerà il Responsabile per iscritto e il Responsabile discuterà tempestivamente e, ove possibile dal punto di vista commerciale, risolverà i problemi identificati. Eventuali problemi rimanenti devono essere documentati, tracciati e risolti nel momento concordato sia dal Responsabile del trattamento che dal Titolare del trattamento.