Elaborazione degli ordini

preambolo

Il presente accordo disciplina i diritti e gli obblighi delle parti nell'ambito dell'esecuzione del contratto ai sensi dell'art. 28 GDPR. Il responsabile del trattamento fornisce al titolare del trattamento un servizio che esegue un'analisi esterna delle vulnerabilità dei sistemi IT. A seconda della configurazione del sistema, ciò può comportare anche la raccolta e il trattamento di dati personali (ad esempio, indirizzi IP, indirizzi e-mail o percorsi di accesso visibili al pubblico).

Il trattamento avviene esclusivamente nell'ambito delle prestazioni concordate e sulla base delle seguenti disposizioni

§1 Oggetto del trattamento

Il contraente esegue analisi tecniche automatizzate dei sistemi IT accessibili al pubblico per conto del cliente. Tali analisi si basano su un indirizzo di destinazione (indirizzo IP o dominio) specificato dal titolare del trattamento.

L'appaltatore elabora i dati personali tramite sistemi informatici specificati dal cliente (ad esempio, indirizzi IP, domini). I risultati vengono resi disponibili sotto forma di report. L'accesso è consentito solo previa autenticazione.

§2 Tipo di trattamento

Il trattamento comprende in particolare:

  • Raccolta di informazioni disponibili al pubblico (ad esempio sottodomini, configurazione della posta)
  • Controllo delle vulnerabilità dei servizi accessibili (ad esempio, tramite scansioni delle porte, rilevamento CVE)
  • Archiviazione dei metadati e dei risultati in formato report
  • Fornitura di report nell'area riservata ai clienti
  • Gestione degli account utente (nome, indirizzo email, dettagli di accesso, token 2FA)
  • Invio di notifiche agli indirizzi email memorizzati (facoltativo)

§3 Finalità del trattamento

Il trattamento è effettuato per le seguenti finalità:

  • Identificazione dei rischi tecnici e delle vulnerabilità,
  • Migliorare la situazione di sicurezza della parte responsabile,
  • Conformità ai requisiti legali e normativi (ad esempio ISO 27001, NIS2),
  • Supporto ai processi di sicurezza interna e di gestione del rischio,
  • Fornire un'area clienti sicura per la gestione delle analisi e dei diritti di accesso.

§4 Categorie di interessati

Nell'ambito dei servizi commissionati possono essere interessati i dati dei seguenti gruppi di persone:

  • Dipendenti del titolare del trattamento, ad esempio amministratori IT o utenti dei sistemi analizzati
  • Contatti esternii cui indirizzi email o dettagli di contatto appaiono pubblicamente nelle aree analizzate
  • Utenti con accesso all'area clienti (ad esempio, titolare del conto, persone autorizzate a visualizzare i report)

§5 Diritti e obblighi del cliente

  • Responsabilità del trattamento dei dati
    Il titolare del trattamento è responsabile del trattamento lecito dei dati personali ai sensi del GDPR. È tenuto a garantire che il trattamento da parte del responsabile del trattamento si basi su una valida base giuridica (ad esempio, consenso, contratto, obbligo di legge).
  • Diritto di dare istruzioni
    Il cliente può fornire al contraente i dati per il trattamento solo se tale trattamento è lecito. Il contraente tratta i dati personali secondo le procedure automatizzate di questa piattaforma. Non sono necessarie istruzioni da parte del cliente per il trattamento dei dati.
  • Obblighi di cooperazione
    Il cliente è tenuto ad adempiere autonomamente ai propri obblighi di legge (ad esempio obblighi di informazione, diritti degli interessati).
  • Obblighi di riservatezza nei confronti di terzi
    Il cliente si impegna a trattare con riservatezza i dati di accesso e i contenuti del conto cliente e a non concedere a terzi l'accesso non autorizzato.

§7 Obblighi del responsabile del trattamento

  • riservatezza
    Il contraente si impegna a trattare i dati personali in modo confidenziale. Le persone che hanno accesso ai dati sono tenute a mantenere la riservatezza dei dati ai sensi dell'art. 28 (3) (b) GDPR – ciò vale anche per le imprese individuali (autovincolante).
  • Misure tecniche e organizzative (TOM)
    Il contraente si impegna ad attuare misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR per garantire un livello di protezione adeguato.
    Una panoramica delle misure attualmente in vigore è disponibile al seguente indirizzo:
    https://threatemy.com/transparency/
  • Supporto con i diritti degli interessati
    Il Contraente supporterà il Titolare del trattamento, per quanto possibile, nell'adempimento delle richieste degli interessati (ad esempio informazioni, cancellazione, correzione) in conformità con gli articoli 12–23 del GDPR.
  • Segnalazione di violazioni della protezione dei dati
    Il Contraente è tenuto a informare immediatamente il Titolare del trattamento di eventuali violazioni della protezione dei dati, in particolare in caso di accesso non autorizzato ai dati memorizzati o di compromissione del sistema.

§8 Ricorso a subappaltatori

  • Il Contraente ha il diritto di incaricare subappaltatori del trattamento dei dati personali. In tal caso, il Contraente dovrà garantire che tali subappaltatori siano contrattualmente soggetti agli stessi obblighi di protezione dei dati stabiliti nel presente Contratto.
  • Un elenco aggiornato dei subappaltatori utilizzati è disponibile al seguente URL:
    https://threatemy.com/transparency/
  • L'Appaltatore informerà il Cliente di eventuali modifiche pianificate relative all'impiego o alla sostituzione dei subappaltatori entro un termine ragionevole. Il Cliente può opporsi alla modifica per importanti motivi di protezione dei dati.

§9 Restituzione e cancellazione dei dati

  • Dopo il completamento del trattamento dei dati concordato contrattualmente o su istruzione del cliente, il contraente cancellerà tutti i dati personali in suo possesso, a meno che non vi sia un obbligo legale di conservazione dei dati.
  • I dati personali saranno cancellati in conformità con le normative vigenti in materia di protezione dei dati.

§10 Disposizioni finali

Il contratto è concluso elettronicamente. Non è richiesta la firma autografa se il consenso è documentato elettronicamente.

Il presente contratto è soggetto alle leggi della Repubblica Federale Tedesca.

Qualora una qualsiasi disposizione del presente Contratto dovesse risultare o diventare invalida, la validità delle restanti disposizioni rimarrà inalterata.