TERMS & CONDITIONS
LICENZE DOMAIN THREAT INTELLIGENCE PLAN
E VULNERABILITY ASSESSMENT PLAN
Il presente Contratto viene stipulato a partire dalla Data di Efficacia tra RAD Srl, società italiana con sede legale in via Achille Papa n. 30, 20149 Milano (MI), P.IVA n. 10282620961, in persona del suo Legale Rappresentante Dott. Luigi Porro (di seguito “RAD”) e il Cliente (di seguito singolarmente “Parte” o collettivamente le “Parti”).
Accedendo o altrimenti utilizzando il software di Rad, come di seguito identificato, il Cliente riconosce e accetta di essere vincolato dal presente Contratto. Ove il Cliente non accetti tutti i termini del suddetto, deve cessare immediatamente l’utilizzo e/o l’accesso al software.
PREMESSO CHE
A. Il Cliente ha sottoscritto con Wind Tre un ordine d’acquisto di una Subscription al fine di ottenere una licenza di utilizzo del Software di proprietà di RAD.
B. RAD intende garantire al Cliente, che intende accettare, i seguenti termini e condizioni di utilizzo del Software.
TUTTO CIÒ PREMESSO, LE PARTI CONVENGONO QUANTO SEGUE
1. DEFINIZIONI
Nel Contratto, se non altrimenti desunto dal contesto, le espressioni che seguono avranno il significato sotto specificato:
“Contratto” designa il presente Contratto di Licensing.
“Informazione confidenziale” ha il significato individuato all’Articolo 10.
“Data Breach” ha il significato individuato all’Articolo 11.
“Parte Divulgatrice” ha il significato individuato all’Articolo 10.
“Data di efficacia” designa la data di accettazione del Contratto da parte del Cliente, corrispondente alla decorrenza della Subscription.
“Cliente” designa l’entità che effettua un ordine d’acquisto e sottoscrive il Contratto, e che, conseguentemente, utilizza o accede al Software.
“Dati del Cliente” designa i dati cui RAD può accedere o che può raccogliere attraverso il Software nel corso dell’esecuzione del Contratto. Essi possono assumere la forma di log, dati di sessione, telemetria, dati utente, dati di utilizzo, dati di threat intelligence, informazioni di threat detection, copie di file potenzialmente malevoli rilevati dal Software, dati relativi alla stabilità del sistema, dati relativi alla user experience, dati di interfaccia utente, metadati relativi al traffico di rete. I dati del Cliente possono includere dati riservati e dati personali, come gli indirizzi IP di origine e destinazione, informazioni relative alla Active Directory, alle applicazioni, agli URL, ai nomi e ai contenuti dei file.
“GDPR” ha il significato individuato all’Articolo 11.
“Diritti di Proprietà Intellettuale” designa tutti i diritti di proprietà intellettuale o industriale, quali (a mero titolo di esempio) brevetti, segreti commerciali, know-how, design, marchi, nomi dei domini Internet, nomi commerciali, copyright e diritti correlati, ovunque registrati (anche solo in fase di domanda) o non registrati, di proprietà esclusiva di RAD.
“Dati personali” designa qualsiasi informazione, ai sensi dell’Art. 4 del GDPR, riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
“Servizio Professionale” designa i servizi professionali offerti da RAD, descritti nell’Allegato A.
“Parte Destinataria” ha il significato individuato all’Articolo 10.
“Software” designa i prodotti software di RAD forniti in modalità SaaS e oggetto di ordine d’acquisto emesso dal Cliente nei confronti di Wind Tre. Il Software consiste in un Portale Web che eroga due tipologie di servizi: 1) Servizio di Cyber Threat Intelligence; 2) Servizio di Vulnerability Assessment attivo, come meglio specificato nell’Allegato A al Contratto.
“Subscription” designa l’abbonamento sottoscritto dal Cliente con Wind Tre, avente ad oggetto la licenza Software.
2. LICENZA SOFTWARE
Previa verifica dell’accettazione da parte del Cliente dei termini e delle condizioni del Contratto, RAD garantisce al Cliente una licenza non esclusiva, non trasferibile di utilizzo del Software limitata all’uso interno del Cliente, avente durata pari al periodo di Subscription acquistato dal Cliente. RAD si riserva espressamente ogni altro diritto sul Software.
3. OBBLIGHI DEL CLIENTE
Il Cliente:
- deve limitarsi all’uso interno del Software e non deve distribuire o rivendere o in qualsiasi modo fornire il Software a terze parti;
- deve usare il Software al fine di ricercare elementi tecnici quali domini Internet o indirizzi IP esclusivamente di sua diretta proprietà. E’ espressamente vietato l’utilizzo del Software per effettuare analisi e ricerche al di fuori dei perimetri di proprietà del Cliente;
- riconosce e accetta che il Software possa includere software di terze parti, soggetti a termini e condizioni diverse dal Contratto (quali open source, o community source, o software di terze parti). Pertanto, il Cliente accetta di rispettare tali termini e condizioni seppure aventi contenuto diverso da quanto stabilito nel Contratto.
- riconosce che l’utilizzo del Software può essere soggetto a restrizioni legali dettate dalla normativa in materia di protezione dei dati, antiterrorismo, controllo dell’export e/o da leggi, statuti o regolamenti correlati. Tali restrizioni possono variare significativamente a seconda del contesto di utilizzo o di altre circostanze. Pertanto, è esclusiva responsabilità del Cliente configurare e utilizzare il Software conformemente alle leggi, statuti o regolamenti applicabili, anche con riferimento alla definizione dei perimetri su cui verranno effettuate le analisi e le ricerche di intelligence. Il Cliente accetta di manlevare ed esonerare RAD da ogni responsabilità, perdita, danno, costo, spesa o penale che discenda dalla propria non conformità a questa clausola.
- riconosce di essere il solo responsabile dei propri dati e che deve provvedere al backup degli stessi prima che RAD attui qualsiasi miglioramento o altro tipo di operazione, compresa la disattivazione della licenza per qualsiasi causa intervenuta. RAD non sarà ritenuta responsabile in caso di perdita di dati del Cliente nella massima misura consentita dalla legge.
Il Cliente prende atto e accetta che RAD non è tenuta a un obbligo generale di sorveglianza, né a un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite. Pertanto, RAD non potrà impedire comportamenti scorretti da parte del Cliente, né controllare i contenuti e i materiali trasmessi e/o immessi nel Software, di cui, pertanto, non garantisce la liceità, veridicità, correttezza e qualità.
RAD (anche per il tramite di suoi auditor indipendenti) ha il diritto di verificare l’uso che il Cliente fa del Software al fine di vagliare la conformità ai termini del Contratto. Il Cliente prende atto ed accetta che, durante il periodo di Subscription, RAD si riserva la facoltà di richiedere, in ogni momento, prova documentale adeguata dell’identità del Cliente stesso, del proprio domicilio o residenza e del proprio ruolo in azienda.
4. MANLEVA DEL CLIENTE
Qualora il Cliente intenda avvalersi del Software di RAD al fine di svolgere un’attività di Vulnerability Assessment in modalità attiva, (di seguito “l’Attività”), resta inteso quanto segue.
L’Attività verrà svolta al mero ed esclusivo fine di rilevare e analizzare eventuali punti di criticità (intendendosi per tali, vulnerabilità che possono compromettere la confidenzialità o l’utilizzo illegittimo dei dati e/o impattare in maniera rilevante sull’attività di business del Cliente, e che dovrebbero essere risolte o mitigate) e indicare, conseguentemente, al Cliente i necessari interventi correttivi e/o eventuali migliorie da apportare dal punto di vista tecnico e tecnologico.
Il Cliente prende atto e accetta che l’Attività potrebbe comportare, nonostante le appropriate cautele adottate, rischi di possibili interruzione dei servizi, o altri inconvenienti, disturbi, rallentamenti o danni ai sistemi oggetto dell’Attività, alla propria rete e/o ad altri eventuali sistemi interconnessi. Il Cliente, pertanto, esonera e manleva RAD e il proprio personale impiegato per l’esecuzione dell’Attività da ogni forma di responsabilità (ivi comprese eventuali richieste di tipo risarcitorio che dovessero pervenire da soggetti terzi in ragione delle attività eseguite) e, in particolare, dalla possibile configurazione delle fattispecie di cui all’art. 24-bis (“Delitti informatici e trattamento illecito di dati”) del decreto legislativo 8 giugno 2001, n. 231 e successive modifiche ed integrazioni e all’art. 615-ter del codice penale (“Accesso abusivo a un sistema informatico o telematico”).
Il Cliente dichiara di avere tutte le necessarie approvazioni, autorizzazioni e/o permessi incluse eventuali approvazioni, autorizzazioni e/o permessi di terze parti, necessarie per eseguire l’Attività, e pertanto terrà indenne e manleverà RAD da qualsiasi pretesa, danno o spesa che dovesse derivare in capo a quest’ultima o essere avanzata nei confronti di RAD, causate dalla mancanza di tali approvazioni, autorizzazioni e/o permessi.
Il Cliente collaborerà con RAD al fine di garantire a quest’ultima la corretta esecuzione dell’Attività, fornendo le informazioni all’uopo necessarie, informando al proprio interno le strutture dedicate alla gestione dei servizi che potrebbero essere impattati dall’Attività, e comunicando tempestivamente a RAD ogni fatto o circostanza a sua conoscenza, che possa ostacolare o ritardare l’esecuzione dell’Attività.
5. LIMITAZIONI
Il Cliente non deve (né deve consentire o assistere terze parti a): i) copiare, modificare, tradurre, praticare reverse engineering, decompilare, scomporre, o altrimenti ridurre a una forma percepibile dall’uomo il Software né tentare di scoprirne codice sorgente, algoritmi o tecniche sottostanti; ii) ricreare o generare il Software di RAD o parti di esso o utilizzare il Software o porzioni dello stesso per sviluppare prodotti simili o prodotti o servizi concorrenti; iii) vendere, rivendere, distribuire, trasferire, pubblicare, divulgare, noleggiare, dare in prestito, cedere in leasing o in sublicenza il Software a terze parti; iv) divulgare benchmarking, analisi concorrenziali o altri risultati ottenuti dal Software; v) provare a disabilitare o aggirare le chiavi di licenza, i sistemi di cifratura o altri sistemi o meccanismi di sicurezza utilizzati in connessione con il Software; (vi) rimuovere o altrimenti interferire con qualsiasi porzione del Software progettata per monitorare l’adempimento da parte del Cliente delle clausole del Contratto; o (vii) utilizzare il Software in violazione del Contratto e di qualsiasi normativa di settore ad esso applicabile.
Il Cliente riconosce che il Software può includere chiavi di licenza e altre caratteristiche che disabilitano l’utilizzo alla scadenza della Subscription applicabile o quando lo scopo del Servizio professionale per cui il Software è stato fornito è stato raggiunto.
Il Cliente non può incaricare parti terze di condurre audit di sicurezza del Software senza il previo consenso di RAD.
6. DIRITTI DI PROPRIETÀ INTELLETTUALE
Tutti i diritti di proprietà intellettuale relativi al Software sono e devono rimanere proprietà di RAD. E’ esclusa qualsiasi licenza implicita. Tutti i diritti non espressamente riconosciuti al Cliente dal Contratto si intendono riservati a RAD.
Il Cliente accetta che RAD possa utilizzare e impiegare senza restrizioni tutti i report degli errori, i suggerimenti, le idee e le altre informazioni fornite dal Cliente con riferimento al Software e che solo RAD detenga i diritti su eventuali correzioni, modifiche, miglioramenti e nuove versioni create sulla base di tali informazioni. Fatto salvo quanto sopra, nella misura in cui ciò sia ulteriormente necessario, il Cliente concede a RAD e ai suoi aventi causa una licenza mondiale, esente da royalty, perpetua e irrevocabile per utilizzare, divulgare e sfruttare in qualsiasi maniera e liberamente tali contributi ricevuti dal Cliente, anche incorporandoli nelle versioni successive del Software.
Il Cliente deve informare immediatamente RAD qualora venga a conoscenza dell’utilizzo illegale o non autorizzato dei Diritti di Proprietà Intellettuale e deve sostenere RAD, a spese di quest’ultima, nell’adottare tutte le misure necessarie a difenderne i diritti.
Il Cliente deve segnalare tempestivamente a RAD qualsiasi reclamo, richiesta o azione giuridica avanzata contro il Cliente in relazione ai Diritti di Proprietà Intellettuale. RAD, a sua discrezione e a proprie spese, condurrà le negoziazioni e le azioni giurisdizionali necessarie alla risoluzione delle controversie. Il Cliente si impegna a concedere a RAD la gestione esclusiva di tali negoziazioni o controversie. Il Cliente dovrà, su richiesta e a spese di RAD, fornire tutta l’assistenza necessaria a contestare qualsiasi reclamo, richiesta o azione giuridica avanzata contro il Cliente e/o RAD in relazione ai Diritti di Proprietà Intellettuale.
Qualora un Giudice stabilisca, o se RAD ritiene, che il Software o una parte di esso violi i diritti di proprietà intellettuale di terzi, o se la vendita o l’uso del Software, o di una parte di esso, è impedita, RAD può, a sua discrezione e a proprie spese: (i) procurare al Cliente il diritto di utilizzare il Software o parte di esso secondo la regolamentazione dei diritti di proprietà intellettuale della terza parte in questione; (ii) sostituire o modificare il Software, o parte di esso, con altro Software idoneo che non violi i diritti di proprietà intellettuale. RAD non è responsabile dei costi o delle spese sostenuti senza la sua previa autorizzazione scritta o di eventuali costi di installazione di qualsiasi Software sostituito.
7. TERMINI E RISOLUZIONE
La licenza oggetto del Contratto decorre dalla data di accettazione dello stesso e ha la durata determinata dalla Subscription sottoscritta dal Cliente.
La licenza per l’uso del Software terminerà di diritto e immediatamente, previa comunicazione scritta da parte di RAD, qualora il Cliente violi:
i. gli obblighi del Cliente stabiliti all’Articolo 3;
ii. le limitazioni previste all’Articolo 4;
iii. gli obblighi di riservatezza di cui all’Articolo10.
In tali casi RAD si riserva ogni ulteriore azione di rivalsa e risarcimento per gli ulteriori danni subiti.
Il Cliente, prima della disattivazione delle licenze intervenuta per qualsiasi causa, dovrà procedere a propria cura e spese al salvataggio dei dati e dei contenuti associati alle licenze. La disattivazione delle licenze comporta la perdita di tutti i dati del Cliente, inclusi tutti i file di testo, audio, video e immagine eventualmente contenuti sul portale RAD.
Il Cliente avrà a disposizione un periodo di non oltre 30 (trenta) giorni successivamente alla disattivazione delle licenze per effettuare la migrazione, prima che siano definitivamente cancellati tutti i dati.
Alla scadenza o alla risoluzione – qualunque ne sia il motivo – del Contratto, il Cliente cesserà ogni utilizzo del Software.
Qualsiasi disposizione che, per sua natura o a seconda del contesto, è destinata a sopravvivere a scadenze o termini, quali – a titolo meramente esemplificativo ma non esaustivo – le disposizioni relative alla riservatezza, alla responsabilità e al risarcimento, dovrà essere rispettata oltre la scadenza o il termine.
8. DICHIARAZIONI E GARANZIE
RAD utilizzerà le migliori tecnologie e risorse a propria disposizione in base allo stato dell’arte per fornire, direttamente o tramite propri fornitori, le licenze e il Software.
RAD non potrà in alcun caso essere ritenuta responsabile di eventuali danni, ritardi o malfunzionamenti relativi alle licenze dipendenti da o comunque connessi a eventi al di fuori del proprio controllo quali, a titolo meramente esemplificativo e non esaustivo: (i) eventi di forza maggiore; (ii) eventi dipendenti da fatto di terzi quali, ad esempio, l’interruzione o il malfunzionamento dei servizi degli operatori di telecomunicazioni e/o delle linee elettriche ovvero atti od omissioni delle competenti Registration Authorities e/o di altre autorità; (iii) malfunzionamento dei terminali o degli altri sistemi di comunicazione utilizzati dal Cliente, (iv) diffusione di virus da parte del Cliente o di terzi e furto di dati, nonché (v) manomissioni o interventi non autorizzati posti in essere dal Cliente o da terzi.
In caso di interruzione della fruibilità delle licenze, RAD si impegna a fare del proprio meglio per ripristinare la fruibilità delle licenze nel minor tempo possibile. Il Cliente, inoltre, conviene e concorda che RAD non potrà in alcun caso essere ritenuta responsabile per atti o omissioni compiuti dal Cliente e in contrasto con le obbligazioni da questi assunte ai sensi del Contratto, così come non potrà essere ritenuta responsabile per malfunzionamenti dovuti a vizi dei mezzi indispensabili all’accesso alle licenze e nella disponibilità del Cliente, a un uso improprio degli stessi e/o delle modalità di accesso alle licenze da parte del Cliente o di terzi.
Ciascuna Parte dichiara e garantisce (per quanto di propria competenza) che: (i) è una società debitamente organizzata, formalmente valida e in regola secondo le leggi della sua giurisdizione; (ii) possiede tutti i poteri societari e l’autorità richiesti per eseguire, consegnare e adempiere ai propri obblighi ai sensi del Contratto; (iii) l’esecuzione, la consegna e le prestazioni effettuate ai sensi del Contratto sono state debitamente autorizzate mediante tutti i necessari adempimenti societari; (iv) l’esecuzione del Contratto non viola, non è in conflitto né causa un inadempimento di contratti, licenze o altri accordi di cui è parte o dai quali la Parte è vincolata; (v) non è tenuta ad ottenere alcuna
approvazione, autorizzazione o consenso di autorità governative o di regolamentazione per poter assumere ed eseguire i propri obblighi secondo il Contratto; (vi) rispetterà tutte le leggi e i regolamenti a sé applicabili compresa, in particolare, la normativa in materia di privacy, e otterrà tutti i permessi e le autorizzazioni richiesti da tale normativa, secondo gli obblighi assunti con il Contratto; (vii) il Contratto è giuridicamente vincolante ed esecutivo secondo quanto dallo stesso statuito.
RAD non garantisce che tutti gli eventuali difetti rilevati dal Cliente nel funzionamento del Software possano essere corretti, o che il Software rispetti tutti i requisiti del Cliente.
Qualora il Cliente dovesse rilevare un malfunzionamento o una non conformità nel Software e necessiti di assistenza, aprirà un ticket a Wind Tre attraverso il canale di contatto 1928, nel rispetto delle modalità e delle istruzioni da quest’ultima fornite al Cliente stesso. Wind Tre si limiterà a trasmettere la notifica della richiesta di assistenza a RAD, che la prenderà in carico e la gestirà interamente fino alla chiusura del ticket.
RAD si impegna a sostenere ogni sforzo commercialmente ragionevole per correggere il malfunzionamento o la non conformità rilevati nel più breve tempo possibile
9. LIMITAZIONE DI RESPONSABILITÀ
In nessun caso RAD potrà essere ritenuta responsabile nei confronti del Cliente per perdite di profitti o ricavi, o per danni indiretti, incidentali, speciali, consequenziali (inclusi, a titolo esemplificativo, perdita di affari o costi di approvvigionamento di beni sostitutivi) derivanti da o relativi al Contratto o al Software, a prescindere dalla causa e a prescindere dalla circostanza che la Parte sia stata informata o meno della possibilità di tali danni. La responsabilità complessiva di RAD con riferimento al Contratto e al Software non potrà in ogni caso eccedere il prezzo pagato dal Cliente a Wind Tre per la Subscription a cui si riferisce la pretesa, indipendentemente dal fatto che i rimedi qui esposti non risultino efficaci.
Fermi restando i limiti e i divieti imposti da disposizioni inderogabili di legge, il Cliente rinuncia a intraprendere qualsiasi azione (di risoluzione, riduzione, risarcimento del danno o inadempimento) per ogni inadempimento che non sia stato tempestivamente comunicato a RAD, impedendole così di intervenire.
Il Cliente riconosce e accetta che RAD fornisce l’accesso al Software “as is” e “as available” senza garanzie di alcun tipo, esplicite o implicite, in relazione all’adeguatezza, esattezza, completezza del Software, e senza garanzie di commerciabilità, titolo, idoneità per uno scopo particolare e non violazione.
RAD non garantisce che il Software funzionerà senza interruzioni o errori.
RAD non è responsabile per danni diretti e/o indiretti di qualsiasi natura derivanti dall’utilizzo del Software e/o dei suoi contenuti o dal mancato utilizzo dello stesso da parte del Cliente.
RAD non è responsabile delle informazioni del Cliente utilizzate da quest’ultimo con il Software.
Ciascuna Parte declina ogni responsabilità e obbligo di risarcimento per eventuali danni causati da servizi di hosting di terzi fornitori.
Qualsiasi software di terze parti fornito con il o nel Software ai sensi del Contratto è garantito dai produttori di tale software in conformità con la garanzia del prodotto in questione (se presente). RAD non si assume alcuna responsabilità al riguardo.
10. DANNO RISARCIBILE
Senza alcun pregiudizio alle limitazioni di responsabilità declinate all’Articolo 8, RAD risarcirà il Cliente dei costi sopportati a causa di decisioni giudiziarie che riguardino: (i) la violazione dei diritti di proprietà intellettuale di terze parti causate dall’utilizzo da parte del Cliente del Software secondo quanto stabilito dal Contratto; (ii) la violazione da parte di RAD, per colpa grave o dolo, dei propri obblighi ai sensi del Contratto.
Il risarcimento non si applica se la responsabilità di RAD è causa de (i) la cattiva condotta o negligenza del Cliente; (ii) la circostanza che il Cliente abbia utilizzato il Software in modo difforme da quanto stabilito nelle specifiche applicabili; (iii) la circostanza che il Cliente abbia utilizzato il Software al di fuori dal campo di applicazione dei diritti garantiti dal Contratto; (iv) la circostanza che RAD si sia conformata alle specifiche del Cliente; (v) modifiche del Software effettuate dal Cliente senza il previo consenso di RAD; (vi) l’utilizzo del Software con o all’interno di software, hardware, processi, firmware, o dati di terze parti se la pretesa si fonda su tale combinazione o utilizzo; (vii) l’utilizzo protratto del Software ritenuto non conforme da parte del Cliente dopo che allo stesso sia stata notificata una violazione; (viii) l’utilizzo protratto del Software ritenuto non conforme da parte del Cliente dopo che sia stata rilasciata da RAD una versione modificata volta a risolvere tale non conformità.
I rimedi specificati all’Articolo 5 e al presente Articolo costituiscono i soli ed esclusivi rimedi del Cliente e definiscono l’intera responsabilità di RAD.
11. RISERVATEZZA
La locuzione “Informazioni confidenziali” indica tutte le informazioni fornite da una Parte (parte “Divulgatrice”) all’altra (parte “Destinataria”), in forma orale, scritta, grafica o leggibile dalla macchina, designate come confidenziali o che – per loro stessa natura o secondo le circostanze della divulgazione – devono essere intese come confidenziali.
In aggiunta a quanto sopra, le Informazioni confidenziali di RAD includono tutte le informazioni relative al Software, comprese, tra le altre, le informazioni relative al contenuto, le performance, l’affidabilità e la stabilità del Software (tra queste: la disponibilità, i tempi di attività e i benchmark delle prestazioni) nonché le informazioni relative alle operazioni del Software, al know-how, alle tecniche, ai processi, alle idee, agli algoritmi, alle architetture e tutta la documentazione relativa al Software, sia essa fornita in forma orale, scritta, grafica o leggibile dalla macchina.
Fermo restando quanto sopra, le Informazioni confidenziali non includono le informazioni che:
(i) erano già legittimamente detenute dalla Destinataria senza obbligo di riservatezza, prima della diffusione da parte della Divulgatrice;
(ii) erano di pubblico dominio prima della stipula del Contratto o sono venute in possesso della Destinataria senza che questa abbia compiuto alcuna azione od omissione;
(iii) sono state trasferite alla Destinataria in forma non confidenziale da una terza parte che ha il diritto di divulgare tale informazione;
(iv) sono state sviluppate in modo indipendente dalla Destinataria senza alcun riferimento o utilizzo delle informazioni confidenziali della Divulgatrice;
(v) la Divulgatrice ha accettato per iscritto che la Destinataria potesse diffondere.
L’obbligo di riservatezza permane finché le informazioni confidenziali rimangono confidenziali secondo quanto sopra statuito.
La Parte Destinataria dovrà salvaguardare le Informazioni riservate della Parte Divulgatrice con almeno lo stesso grado di diligenza che utilizza per salvaguardare le proprie Informazioni riservate dello stesso tipo. La Destinataria si impegna a: (a) non diffondere le Informazioni riservate della Divulgatrice a terzi in violazione del Contratto (per terzi non si intendono: i suoi dipendenti, affiliati, subappaltatori o consulenti professionali, i quali saranno vincolati ad un obbligo di riservatezza non meno restrittivo di quanto previsto dalla presente disposizione e che riceveranno le Informazioni solo sulla base di un’effettiva “necessità di sapere”) e (b) utilizzare le Informazioni riservate esclusivamente allo scopo di svolgere le proprie attività ed esercitare i propri diritti ai sensi del Contratto.
La Destinataria non dovrà rimuovere, alterare od oscurare copyright, trademark, o altre informazioni sui diritti di proprietà allegate o incluse nelle Informazioni confidenziali trasferite dalla Divulgatrice.
Ciascuna Destinataria, a discrezione della Divulgatrice, dovrà distruggere o restituire alla Divulgatrice tutte le Informazioni riservate della stessa che la Ricevente possiede alla scadenza o alla risoluzione del Contratto; tuttavia, nella misura in cui le copie delle Informazioni riservate siano contenute negli archivi di backup off-site della Parte destinataria e non siano facilmente eliminabili, la Parte destinataria non sarà obbligata a eliminarle purché si impegni a non tentare intenzionalmente di accedere a tali Informazioni riservate e continui a rispettare i vincoli di riservatezza qui stabiliti.
Se la Parte destinataria è obbligata dalla legge, da un regolamento o da un Giudice della giurisdizione competente a divulgare un’informazione riservata della Parte Divulgatrice, la Destinataria avviserà tempestivamente la Divulgatrice affinché possa richiedere un provvedimento cautelare o altro rimedio appropriato, se applicabile. La Parte Destinataria si impegna ad offrire ragionevole cooperazione, a spese della Parte Divulgatrice, nel perseguimento di tale provvedimento cautelare o di altro rimedio. Se alla fine è richiesta la divulgazione, la Parte destinataria fornirà solo la porzione di Informazioni confidenziali effettivamente dovuta e si impegnerà a ottenere la garanzia di un trattamento confidenziale. Inoltre, continuerà a trattare le Informazioni riservate in conformità agli obblighi previsti da questa disposizione.
12. TRATTAMENTO DEI DATI DEL CLIENTE
RAD tratterà i dati provenienti dall’uso del Software, inclusi i dati del Cliente e i dati personali, per le seguenti finalità: (i) fornitura del Software al Cliente; (ii) analisi, manutenzione e miglioramento dei prodotti e servizi di RAD; e (iii) rispetto dei termini legali e/o contrattuali.
RAD tratterà i Dati Personali per conto del Cliente in qualità di Sub-Responsabile del Trattamento dei Dati, secondo la definizione a tale qualifica attribuita nella normativa UE in materia di protezione dei dati, agendo in conformità all’articolo 28 del Regolamento (UE) 2016/679 (“GDPR”) e secondo i termini dettati nella presente clausola.
RAD memorizzerà, elaborerà, recupererà e divulgherà i dati del Cliente allo scopo di fornire il Software al Cliente ovvero al fine di adempiere agli obblighi previsti dal Contratto o se altrimenti richiesto dalla legge. RAD può monitorare e accedere a: (i) dati sulla stabilità del sistema, comprese le statistiche sui tempi di attività per vari processi; indicatori di guasti hardware, software e di rete; backtrace e stack di chiamate; (ii) dati dell’interfaccia; e (iii) informazioni sul rilevamento delle minacce, tra cui: (I) il numero, il tipo e il punteggio attribuito a ciascuna istanza di rilevamento delle minacce (basato su metriche di proprietà di RAD o basato su standard di mercato); (II) l’attribuzione di ogni rilevamento di minaccia a un host o account anonimizzato; e (III) il punteggio per ciascun host o account anonimizzato.
I dati del Cliente possono essere archiviati per un periodo più lungo nei manufatti dei servizi forniti, quali i ticket di supporto e i report di consigli di configurazione.
Durante l’esecuzione del Contratto RAD potrebbe ricevere dati anonimi sull’esperienza dell’utente, tra cui: l’ora dell’ultimo accesso, la frequenza degli accessi e dati sul flusso di clic dell’interfaccia utente.
I dati del Cliente saranno conservati per non oltre i tre mesi successivi alla scadenza del contratto.
RAD si impegna a trattare i dati del Cliente solo sulla base di istruzioni documentate fornite da Wind Tre in qualità di Responsabile del Trattamento.
RAD garantisce che il personale autorizzato al trattamento dei dati personali ne mantenga la riservatezza o sia vincolato da un esplicito obbligo di riservatezza.
RAD garantisce di aver implementato pratiche e politiche volte a mantenere misure organizzative, fisiche e tecniche adeguate alla salvaguardia della riservatezza e della sicurezza dei dati personali in conformità alla normativa applicabile e all’Articolo 32 GDPR.
In caso di accesso non autorizzato ai dati del Cliente archiviati sulle apparecchiature RAD o nelle strutture di RAD, o in caso di accesso non autorizzato a tali apparecchiature o strutture con conseguente distruzione, perdita, divulgazione o alterazione dei dati del Cliente che ne comprometta la sicurezza (“violazione dei dati”), RAD senza indebito ritardo: (i) informerà Wind Tre della violazione dei dati e procederà con gli adempimenti richiesti dal GDPR e dalle leggi applicabili in materia di protezione dei dati; (ii) indagherà e fornirà a Wind Tre informazioni dettagliate sulla violazione dei dati; e (iii) adotterà misure appropriate per mitigare gli effetti e ridurre al minimo eventuali danni derivanti dalla violazione dei dati come richiesto dalle leggi applicabili in materia di protezione dei dati.
RAD, in conformità ai propri obblighi in materia di protezione dei dati, fornirà al Cliente opportuna assistenza mediante misure tecniche e organizzative adeguate per rispondere alle richieste degli interessati ai sensi del GDPR e della normativa vigente oltre che, considerata la natura dei dati trattati e delle informazioni a disposizione di RAD, per adempiere agli obblighi ai sensi degli Articoli da 32 a 36 del GDPR.
RAD tratterà e conserverà i dati personali per un periodo non superiore a quello necessario ai fini dell’esecuzione del Contratto e al raggiungimento delle finalità sopra indicate e, in ogni caso, non superiore ai termini previsti in conformità alle leggi applicabili. Alla scadenza del Contratto, RAD, su richiesta di Wind Tre, cancellerà i dati del Cliente che non sono più necessari secondo gli scopi delineati in questo Articolo.
Su richiesta di Wind Tre, RAD fornirà tutte le informazioni necessarie a dimostrare la propria conformità con gli obblighi sanciti dal Contratto e acconsentirà e contribuirà a eventuali audit e verifiche.
I dati personali del Cliente potranno essere trasferiti presso strutture site fuori dal paese nel quale il Cliente ha acquistato o utilizza il Software, ma comunque all’interno dell’Unione Europea. Si specifica che RAD ha stipulato un contratto di fornitura di servizi cloud con Google Cloud Italy Srl, avente sede legale a Milano (Italia). Più specificamente, i dati personali del Cliente potranno essere trasferiti solamente su server localizzati in Italia e/o in Germania, a Google Cloud Platform, fornitore del servizio di cloud computing, che garantisce un adeguato livello di protezione dei dati personali (a titolo esemplificativo e non esaustivo, qualora i dati fossero trasferiti al di fuori dell’Unione Europea, attraverso l’adesione al “Privacy Framework” oppure attraverso la successiva sottoscrizione delle Standard Contractual Clauses (SCCs), come dichiarato da Google e verificabile ai seguenti link:
https://cloud.google.com/terms/cloud-privacy-notice?hl=it https://policies.google.com/privacy/frameworks?hl=it https://cloud.google.com/terms/data-processing-addendum https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en )
In ogni caso, anche laddove i dati personali siano trasferiti fuori dall’Unione Europea, RAD raccoglierà, utilizzerà, trasferirà e conserverà i dati in conformità alla normativa applicabile in materia di protezione dati.
RAD può utilizzare i dati del Cliente per i seguenti scopi: (a) per informare il Cliente in merito a prodotti, seminari e servizi che RAD e Wind Tre considerano di rilievo; (b) per contattare il Cliente se RAD o Wind Tre necessitano di ottenere o fornire informazioni aggiuntive; e (c) per verificare l’accuratezza delle registrazioni di RAD e Wind Tre.
Il Cliente è responsabile dell’utilizzo del Software da parte dei suoi utenti e del rispetto, da parte di costoro, del Contratto. Il Cliente è esclusivo responsabile dell’accuratezza, qualità, legalità, affidabilità e appropriatezza di tutti i propri dati e riconosce e accetta che RAD accederà ai dati del Cliente.
Il Cliente rappresenta e garantisce che l’utilizzo del Software avverrà in conformità a tutte le leggi applicabili, incluse quelle relative alla privacy dei dati, alla sicurezza dei dati, e alle comunicazioni internazionali nonché di avere ottenuto tutte le autorizzazioni necessarie affinché RAD possa trattare i dati secondo il Contratto. La divulgazione e il trasferimento dei dati del Cliente a RAD avverrà a rischio del Cliente stesso e RAD non si assume alcuna responsabilità rispetto alla ricezione di tali dati.
Il Cliente deve avvisare tempestivamente Wind Tre se viene a conoscenza di utilizzi o accessi non autorizzati al Software.
Tutte le informazioni sul trattamento dei dati del Cliente che possono essere richieste a norma degli Articoli 13 e 14 del GDPR vengono fornite al Cliente secondo quanto stabilito dall’Allegato B.
13. COMUNICAZIONI
Le comunicazioni che il Cliente è tenuto o autorizzato a dare direttamente a RAD ai sensi del Contratto si intendono perfezionate quando recapitate a mezzo Raccomandata A/R presso la sede di RAD specificata nell’intestazione del Contratto.
14. FORZA MAGGIORE
RAD non è responsabile della cessazione, interruzione o ritardo nella esecuzione dei propri obblighi quando imputabile al verificarsi di terremoti, inondazioni, incendi, tempeste, disastri naturali, guerre, terrorismo, conflitti armati, scioperi, serrate, boicottaggi, epidemie, pandemie o altri eventi simili che non possano essere ragionevolmente governati.
15. LEGGE APPLICABILE E FORO DI COMPETENZA
Per quanto non espressamente previsto nel Contratto, le Parti fanno espresso rinvio, nei limiti in cui ciò sia compatibile, alle norme di legge vigenti al momento della conclusione del Contratto.
Il Contratto è disciplinato dalla legge italiana. Qualsiasi controversia, azione legale, infrazione o causa di cessazione relativa al Contratto sarà inderogabilmente ed esclusivamente soggetta alla competenza del Foro di Roma.
16. VARIE
Il Contratto costituisce la manifestazione integrale degli accordi raggiunti fra le Parti e supera e sostituisce tutte le precedenti intese fra le stesse.
RAD si riserva il diritto di modificare o integrare in qualunque momento, in tutto od in parte, il Contratto, previa comunicazione mediante invio delle condizioni aggiornate via e-mail al Cliente.
La versione aggiornata del Contratto si intenderà conosciuta da parte del Cliente dal momento della relativa trasmissione all’indirizzo e-mail del Cliente. In caso di modifiche peggiorative, RAD indicherà le nuove condizioni e il Cliente potrà recedere con effetto immediato, con conseguente interruzione della fruizione della licenza, inviando una comunicazione scritta in tal senso entro 30 (trenta) giorni dal ricevimento della comunicazione di RAD con le nuove condizioni. Il Contratto è vincolante per le Parti, i loro successori e aventi causa.
In nessun caso eventuali inadempimenti e/o comportamenti del Cliente difformi dal Contratto potranno essere considerati quali deroghe o tacite accettazioni degli inadempimenti, anche se non contestati da RAD. L’eventuale inerzia di RAD nell’esercitare o far valere un qualsiasi diritto o clausola del Contratto, non costituisce rinuncia a tali diritti o clausole.
Nel caso in cui una previsione del Contratto risulti invalida, le rimanenti previsioni saranno considerate valide ed efficaci.
Il Contratto e i diritti sottesi non possono essere ceduti o altrimenti trasferiti, sia direttamente che indirettamente, dal Cliente senza il previo consenso scritto di RAD.
ALLEGATO A
DESCRIZIONE DEI SERVIZI PROFESSIONALI NELL’AMBITO DELLE ATTIVITA’ DI PHSHING E AWARENESS
RAD eroga dei servizi professionali per abilitare il cliente all’utilizzo della piattaforma di phishing e awareness (Cyber Guru). I servizi professionali consistono nel contattare il cliente, spiegare la piattaforma di phishing e awareness, supportarlo nelle attività tecniche necessarie per permettere ai suoi dipendenti di fruire dei contenuti di awareness ed abilitare la ricezione delle mail di phishing da parte dei dipendenti. I servizi professionali non prevedono interventi sui sistemi dei clienti, ma solo di supporto e configurazione sul tenant di proprietà di RAD per conto del cliente.
DESCRIZIONE DELL’OGGETTO DELLE LICENZE
· Domain Threat Intelligence Light (trial)
Domain Threat Intelligence Plan light permette una identificazione qualitativa di potenziali rischi Cyber rilevati esternamente al perimetro aziendale del Cliente. Le rilevazioni avvengono a partire da parametri forniti dal cliente (1 dominio web, 1 dominio email) ed attraverso diverse sorgenti di Intelligence in modalità puramente passiva o con navigazioni effettuate su risorse pubbliche. Per la realizzazione di questo assessment, quindi, non vengono eseguite ricerche direttamente verso l’infrastruttura del Cliente da parte di Wind Tre. L’obiettivo è sensibilizzare i Clienti circa potenziali rischi Cyber dedotti dalle caratteristiche dei servizi esposti (vulnerabilità/superficie di rischio) e dalla presenza di mail collegate al proprio dominio in breach o leak.
Il cliente potrà richiedere 1 report. La licenza Domain Threat Intelligence Light (trial) avrà la durata di 30 (trenta) giorni, al termine l’account cliente sulla piattaforma di servizio al link https://www.cyberpilot.windtrebusiness.it rimarrà attivo ma non sarà piu’ possibile richiedere ulteriori report e svolgere altre attività
· Domain Threat Intelligence Plan 2
Domain Threat Intelligence Plan 2 permette l’identificazione di potenziali rischi Cyber rilevati esternamente al perimetro aziendale del Cliente. Le rilevazioni avvengono a partire da parametri forniti dal cliente (dominio, dominio email, indirizzi IP pubblici) ed attraverso diverse sorgenti di Intelligence in modalità puramente passiva o con navigazioni effettuate su risorse pubbliche. Per la realizzazione di questo assessment, quindi, non vengono eseguite ricerche direttamente verso l’infrastruttura del Cliente da parte di Wind Tre. L’obiettivo è fornire visibilità ai Clienti circa potenziali rischi Cyber dedotti dalle caratteristiche dei servizi esposti (vulnerabilità/superficie di rischio) e dalla presenza di mail collegate al proprio dominio in breach o leak.
I parametri tecnici (1 dominio web, 1 dominio email, 8 indirizzi IP pubblici) richiesti per la generazione del primo report non potranno essere modificati per le successive richieste di report, ovvero l’assessment agirà sul medesimo set di parametri tecnici iniziali per l’intera durata della licenza
· Domain Threat Intelligence Plan 4
Domain Threat Intelligence Plan 4 permette l’identificazione di potenziali rischi Cyber rilevati esternamente al perimetro aziendale del Cliente. Le rilevazioni avvengono a partire da parametri forniti dal cliente (dominio, dominio email, indirizzi IP pubblici) ed attraverso diverse sorgenti di Intelligence in modalità puramente passiva o con navigazioni effettuate su risorse pubbliche. Per la realizzazione di questo assessment, quindi, non vengono eseguite ricerche direttamente verso l’infrastruttura del Cliente da parte di Wind3. L’obiettivo è fornire visibilità ai Clienti circa potenziali rischi Cyber dedotti dalle caratteristiche dei servizi esposti (vulnerabilità/superficie di rischio) e dalla presenza di mail collegate al proprio dominio in breach o leak.
I parametri tecnici (1 dominio web, 1 dominio email, 8 indirizzi IP pubblici) richiesti per la generazione del primo report non potranno essere modificati per le successive richieste di report, ovvero l’assessment agirà sul medesimo set di parametri tecnici iniziali per l’intera durata della licenza.
· Vulnerability Assessment Plan Small
Vulnerability Assessment Plan Small è la licenza che consente di identificare e quantificare le vulnerabilità della sicurezza informatica in un dato sistema IT.
La licenza Vulnerability Assessment Plan Small consentirà di eseguire una scansione attiva su IP pubblici (1-10 IP) e 4 Vulnerability Assessment disponibili all’anno. L’attività prevede l’esecuzione di una scansione attiva per le analisi delle vulnerabilità verso i target IP indicati dal cliente.
I parametri tecnici (indirizzi IP pubblici) richiesti per la generazione del primo report non potranno essere modificati per le successive richieste di report, ovvero l’assessment agirà sul medesimo set di parametri tecnici iniziali per l’intera durata della licenza
· Vulnerability Assessment Plan Medium
Vulnerability Assessment Plan Medium è la licenza che consente di identificare e quantificare le vulnerabilità della sicurezza informatica in un dato sistema IT.
La licenza Vulnerability Assessment Plan Medium consentirà di eseguire una scansione attiva su IP pubblici (11-20 IP) e 4 Vulnerability Assessment disponibili all’anno. L’attività prevede l’esecuzione di una scansione attiva per le analisi delle vulnerabilità verso i target IP indicati dal cliente.
I parametri tecnici (indirizzi IP pubblici) richiesti per la generazione del primo report non potranno essere modificati per le successive richieste di report, ovvero l’assessment agirà sul medesimo set di parametri tecnici iniziali per l’intera durata della licenza
· Vulnerability Assessment Plan Large
Vulnerability Assessment Plan Large è la licenza che consente di identificare e quantificare le vulnerabilità della sicurezza informatica in un dato sistema IT.
La licenza Vulnerability Assessment Plan Large consentirà di eseguire una scansione attiva sugli IP pubblici (21-100 IP) e 4 Vulnerability Assessment disponibili all’anno. L’attività prevede l’esecuzione di una scansione attiva per le analisi delle vulnerabilità verso i target IP indicati dal cliente.
I parametri tecnici (indirizzi IP pubblici) richiesti per la generazione del primo report non potranno essere modificati per le successive richieste di report, ovvero l’assessment agirà sul medesimo set di parametri tecnici iniziali per l’intera durata della licenza
ALLEGATO B
(PRIVACY POLICY)
RAD Srl, con sede in via Achille Papa n. 30, 20149 Milano (MI), si impegna a proteggere la privacy dei dati personali dei propri utenti. La presente informativa sulla privacy descrive le modalità con cui RAD raccoglie, utilizza e divulga i dati personali dei propri utenti.
Raccolta dei dati personali
RAD raccoglie i dati personali degli utenti in vari modi, a titolo esemplificativo:
– quando gli utenti sottoscrivono un servizio RAD attraverso il marketplace CloudBlue di Wind Tre;
– quando gli utenti si iscrivono a un account RAD o utilizzano i prodotti o i servizi di RAD;
– quando gli utenti interagiscono con RAD attraverso i suoi siti web, le applicazioni mobili o altri canali digitali;
– quando gli utenti partecipano a promozioni o eventi di RAD.
I dati personali raccolti da RAD possono includere: indirizzo e-mail, dati di utilizzo del prodotto o del servizio (es. indirizzo IP, data e ora di accesso, funzionalità utilizzate, etc.), parametri necessari per la configurazione dei prodotto (es. indirizzi IP, domini web, domini email, ecc.).
Utilizzo dei dati personali
RAD utilizza i dati personali degli utenti per una serie di scopi, tra cui:
– fornire i prodotti e i servizi di RAD e Wind Tre;
– gestire gli account degli utenti;
– migliorare i prodotti e i servizi di RAD e Wind Tre.
RAD può condividere i dati personali degli utenti con terze parti, tra cui:
– fornitori di servizi che forniscono servizi a RAD, quali hosting, manutenzione e analisi dei dati;
– partner commerciali che offrono prodotti o servizi che possono essere di interesse per gli utenti.
Cookie e Web Analytics
RAD utilizza cookie e altre tecnologie di tracciamento per raccogliere dati sull’utilizzo dei propri prodotti e servizi. Questi dati possono essere utilizzati per migliorare i prodotti e i servizi di RAD.
Sicurezza dei dati
RAD adotta misure di sicurezza ragionevoli per proteggere i dati personali degli utenti da accessi non autorizzati, uso improprio, divulgazione, alterazione o distruzione.
Diritti degli utenti
Gli utenti hanno il diritto di accedere ai propri dati personali, di correggerli se inesatti o di cancellarli. Gli utenti possono inoltre opporsi al trattamento dei propri dati personali per finalità di marketing. Per le finalità di cui alla presente clausola, il Cliente può contattare RAD all’indirizzo privacy@radsec.it
Modifiche alla politica sulla privacy
RAD può modificare periodicamente la presente informativa sulla privacy in conformità alle leggi e alle normative vigenti. Gli utenti saranno informati di eventuali modifiche all’informativa sulla privacy tramite e-mail o pubblicando una notifica sul sito web https://www.cyberpilot.windtrebusiness.it .
Contatti
In caso di domande sulla politica sulla privacy di RAD, è possibile contattarci all’indirizzo e-mail del Responsabile della protezione dei dati privacy@radsec.it