Termini e condizioni di Keeper Security

Addendum sul trattamento dei dati

Il presente Addendum sul trattamento dei dati ("Addendum") integra i Termini di utilizzo ("Termini") e/o altri accordi scritti o elettronici ("Accordo") tra: (i) Keeper, ovvero l'entità Keeper che è la parte contraente ai sensi dell'Accordo, ("Keeper" o "Fornitore") che agisce per conto proprio e in qualità di agente per qualsiasi Affiliata di Keeper; e (ii) il Cliente di Keeper ("Utente" o "Cliente") che agisce per conto proprio e in qualità di agente per qualsiasi Affiliata del Cliente.

I termini utilizzati nel presente Addendum avranno il significato stabilito nello stesso. I termini in maiuscolo non altrimenti definiti nel presente documento avranno il significato loro assegnato nell'Accordo, se non è definito nell'Addendum o nell'Accordo, tali termini avranno il significato secondo il Regolamento generale sulla protezione dei dati europeo (Regolamento (UE) 2016/679 del Parlamento e del Consiglio europeo del 27 aprile 2016) (come modificato di volta in volta) ("GDPR"). Ad eccezione di quanto modificato di seguito, i termini dell'Accordo rimarranno in vigore a tutti gli effetti.

Definizioni

Nel presente Addendum, i seguenti termini avranno il significato indicato di seguito:

1. Per Affiliata si intende qualsiasi entità che direttamente o indirettamente controlla, è controllata da o è sotto il controllo unitamente all'entità soggetta. Per "Controllo", ai fini di questa definizione, si intende la proprietà o il controllo diretto o indiretto di oltre il 50% delle quote con diritto di con voto dell'entità soggetta.
2. Per Legge vigente si intendono tutte le leggi applicabili in merito al Trattamento dei dati del cliente, che possono includere le Leggi sulla protezione dei dati dell'UE, altre leggi dell'Unione europea o di uno Stato membro, le leggi del Regno Unito e le leggi di qualsiasi altro Paese a cui il Cliente o i Dati del Cliente sono soggetti.
3. Per Dati del Cliente si intendono i Dati personali che Keeper raccoglie, riceve e/o tratta per conto e in conformità con le istruzioni del Titolare del trattamento ai sensi dell'Accordo, esclusi i Dati personali che Keeper tratta in qualità di Titolare del trattamento. Esempi di Dati del Cliente includono elenchi di nomi utente autorizzati, indirizzi e-mail, ruoli designati o altre informazioni di contatto.
4. Per Titolare del trattamento si intende l'entità che, da sola o insieme ad altre entità, determina gli scopi e i mezzi del Trattamento dei dati personali. Per chiarezza, nulla nel presente Addendum è inteso a creare un rapporto di contitolarità del trattamento tra le parti. Ciascuna parte rimane individualmente responsabile del rispetto dei propri obblighi ai sensi della Legge vigente.
5. Per Interessato si intende una persona fisica i cui Dati personali vengono trattati nel contesto del presente Addendum.
6. Per Leggi europee sulla protezione dei dati si intendono il GDPR e la Direttiva ePrivacy 2002/58/CE (come modificata dalla Direttiva 2009/136/CE e come modificata e sostituita di volta in volta) e le relative leggi nazionali di attuazione, se presenti.
7. Per GDPR si intende il Regolamento generale sulla protezione dei dati dell'UE 2016/679;
8. Per GDPR del Regno Unito si intende il Regolamento generale sulla protezione dei dati del Regno Unito e il Data Protection Act del 2018.
9. Per Titolare indipendente si intende un soggetto che determina le finalità e i mezzi del trattamento dei Dati personali per i propri scopi indipendenti.
10. Per Dati personali si intendono i Dati del Cliente che comprendono qualsiasi informazione relativa a una persona fisica identificata o identificabile.
11. Per Responsabile del trattamento si intende l'entità che elabora i Dati personali per conto del Titolare del trattamento.
12. Per Trattamento o Elaborazione si intende qualsiasi operazione o insieme di operazioni eseguite sui Dati personali, individualmente o in aggregato, con o senza mezzi automatizzati, come raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o alterazione, recupero, consultazione, uso, divulgazione mediante trasmissione, diffusione o altrimenti messa a disposizione, allineamento o combinazione, restrizione, cancellazione o distruzione
13. Per Servizi si intendono i servizi e le altre attività che Keeper è tenuta a fornire o eseguire per conto del Cliente ai sensi dell'Accordo;
14. Per Clausole contrattuali standard si intendono le clausole contrattuali standard per il trasferimento di dati personali a responsabili del trattamento stabiliti in Paesi terzi che non garantiscono un livello adeguato di protezione dei dati, come stabilito nella decisione 2021/914 della Commissione europea del 4 giugno 2021.
15. Per Sub-responsabile del trattamento si intende qualsiasi Responsabile del trattamento incaricato da Keeper per l'elaborazione dei dati personali in relazione ai Servizi.

TRATTAMENTO DEI DATI PERSONALI

1. Lo scopo del trattamento ai sensi dell'Addendum è la fornitura del Servizio da parte di Keeper come specificato nell'Accordo. Le parti concordano che, per quanto riguarda il trattamento da parte di Keeper per conto del Cliente, il Cliente è il Titolare del trattamento e Keeper è il Responsabile del trattamento, ad eccezione di alcuni dati limitati identificati al punto 2.4, in cui Keeper agisce in qualità di Titolare del trattamento. Le categorie e i tipi di Dati personali trattati da Keeper sono elencati nella Sottoappendice A. La durata del trattamento dei Dati personali ai sensi del presente Addendum sarà pari al Periodo di validità dell'Accordo, salvo diversamente richiesto dalla Legge vigente.
2. Keeper può agire e trattare i Dati personali solo in conformità con le istruzioni documentate fornite dal Cliente (le "Istruzioni"), salvo nei casi in cui la legge richieda di agire senza tali istruzioni. Le Istruzioni al momento della stipula del presente Addendum prevedono che Keeper possa trattare i Dati personali solo allo scopo di fornire i Servizi descritti nell'accordo. Fatti salvi i termini del presente Addendum e previo accordo reciproco delle parti, il Cliente può impartire ulteriori istruzioni scritte in linea con i termini del presente Addendum. Il Cliente ha la responsabilità di assicurare che tutti i soggetti che forniscono istruzioni scritte siano autorizzate a farlo.
3. Keeper informerà il Cliente circa eventuali istruzioni ritenute in violazione della Legge vigente, tra cui le Leggi sulla protezione dei dati dell'UE, e non eseguirà le istruzioni fino a quando non saranno state confermate o modificate.
4. Trattamento dei dati in qualità di Titolare: Keeper tratterà determinati dati personali per proprie finalità legittime, in qualità di Titolare indipendente, esclusivamente quando il trattamento è necessario e proporzionato a uno dei seguenti scopi commerciali legittimi: (i) sicurezza o rilevamento di frodi, (ii) raccolta e utilizzo di analisi per scopi commerciali ragionevoli di Keeper e a vantaggio del Cliente, (iii) fornitura e miglioramento del supporto tecnico e della manutenzione dei Servizi (inclusi la registrazione dell'account e la fatturazione) e (iv) gestione delle relazioni con i clienti, come il trattamento dei dati di contatto dei Clienti per ricevere comunicazioni.

RISERVATEZZA E SICUREZZA

1. Keeper tratterà tutti i Dati personali come informazioni strettamente riservate. I Dati personali non possono essere copiati, trasferiti o altrimenti trattati in contrasto con le Istruzioni, salvo previo consenso scritto del Cliente. I dipendenti di Keeper sono soggetti all'obbligo di riservatezza al fine di assicurare che i dipendenti trattino tutti i Dati personali ai sensi del presente Addendum con la massima riservatezza. I Dati personali saranno resi disponibili solo al personale che necessita di accedervi per la fornitura dei Servizi e del presente Addendum.
2. Keeper implementerà le misure tecniche e organizzative appropriate di cui alla Sottoappendice C del presente Accordo e in conformità con la Legge vigente, oltre che in conformità con il GDPR, articolo 32. Le misure di sicurezza sono soggette ai progressi e agli sviluppi tecnologici. Keeper può aggiornare o modificare le misure di sicurezza di volta in volta, a condizione che tali aggiornamenti e modifiche non comportino una riduzione della sicurezza generale.

DIRITTI DELL'INTERESSATO

1. Se il Cliente riceve una richiesta da un interessato di esercitare i suoi diritti ai sensi della Legge vigente e la risposta corretta e legittima a tale richiesta richiede l'assistenza di Keeper, Keeper assisterà il Cliente fornendo le informazioni e la documentazione necessarie. Keeper avrà a disposizione un tempo ragionevole per assistere il Cliente in tali richieste, in conformità con la Legge vigente.
2. Se Keeper riceve una richiesta da un interessato di esercitare i suoi diritti ai sensi della Legge vigente e tale richiesta è correlata ai Dati personali del Cliente, salvo quanto vietato dalla legge, Keeper inoltrerà tempestivamente la richiesta al Cliente e si asterrà dal rispondere direttamente alla persona fino a quando non sarà diversamente indicato dal Cliente.

VIOLAZIONI DEI DATI PERSONALI

1. Keeper dovrà dare tempestiva comunicazione al Cliente, entro e non oltre 72 ore dalla conferma dell'avvenuta violazione, che potrebbe portare alla distruzione accidentale o illegale, alla perdita, all'alterazione, alla divulgazione o all'accesso non autorizzati ai Dati personali trasmessi, archiviati o altrimenti trattati per conto del Cliente (una "Violazione dei dati personali").
2. Keeper compirà ogni ragionevole sforzo per identificare la causa di tale violazione e intraprendere le misure che riterrà necessarie per stabilire la causa e prevenire il ripetersi di tale violazione.

DOCUMENTAZIONE DELLA CONFORMITÀ E DIRITTI DI AUDIT

1. Su richiesta del Cliente, per motivi giustificati o nella misura prevista dall'Articolo 28 del GDPR, Keeper metterà a disposizione del Cliente tutte le informazioni pertinenti necessarie per dimostrare la conformità al presente Addendum e acconsentirà a e coopererà in misura ragionevole con gli audit, comprese le ispezioni da parte del Cliente o di un revisore incaricato dal Cliente. Il Cliente dovrà dare preavviso di qualsiasi audit o ispezione dei documenti da effettuare e dovrà compiere ogni ragionevole sforzo per evitare di causare danni o interruzioni ai locali, alle attrezzature e all'attività di Keeper nel corso di tale audit o ispezione. Qualsiasi audit o ispezione dei documenti dovrà essere effettuato con un preavviso scritto ragionevole di almeno sessanta (60) giorni di calendario e non sarà condotto più di una volta all'anno.
2. Nonostante le limitazioni di cui sopra, saranno consentiti ulteriori audit in qualsiasi momento qualora vi siano indicazioni di non conformità, un incidente di sicurezza o su richiesta o istruzione di un'autorità di controllo competente.
3. Al Cliente potrebbe essere richiesto di firmare un accordo di non divulgazione ragionevolmente accettabile per Keeper prima di ricevere quanto sopra.

TRASFERIMENTI DI DATI

1. Spazio Economico Europeo e Svizzera
   Per quanto riguarda i Dati personali dei Clienti provenienti dallo Spazio Economico Europeo ("SEE") o dalla Svizzera che vengono trasferiti dal Cliente a Keeper, le Parti convengono di rispettare le Clausole contrattuali standard approvate dalla Decisione di esecuzione (UE) 2021/914 della Commissione (le "Clausole contrattuali standard dell'UE"), che sono incorporate nel presente documento per riferimento.
2. Le Parti concordano che si applicano i termini del Titolare del trattamento al Responsabile del trattamento (Modulo Due). Per i dati provenienti dalla Svizzera, i riferimenti a "Stato membro" includono la Svizzera e i riferimenti al "GDPR" devono essere intesi come riferimenti alla Legge federale svizzera sulla protezione dei dati ("FADP"). Il Commissario federale svizzero per la protezione dei dati e l'informazione (FDPIC) agirà in qualità di autorità di controllo competente.
3. Completamento delle Clausole contrattuali standard dell'UE
   Ai fini delle Clausole contrattuali standard dell'Unione europea:
   il Cliente agisce in qualità di esportatore dei dati e Keeper in qualità di importatore dei dati;
   (b) la clausola 7 (Clausola di "docking") si applica solo previo accordo scritto reciproco delle Parti;
   (c) si applica la clausola 9 (Utilizzo di Sub-responsabili del trattamento) opzione 2, con i Sub-responsabili del trattamento identificati nella Sottoappendice B
   (d) la clausola 11 (Risoluzione indipendente delle controversie) non si applica;
   (e) clausola 17 (Legge applicabile) le leggi dell'Irlanda; Clausola 18 (Giurisdizione) — tribunali irlandesi; e
   (f) Gli allegati I e II sono completati con riferimento al presente DPA e le misure tecniche e organizzative di Keeper sono descritte nella Sottoappendice C.
4. Regno Unito
   Per i Dati personali dei clienti trasferiti dal Regno Unito a Keeper, le Parti concordano che si applica l'Accordo internazionale sul trasferimento dei dati (IDTA) del Regno Unito, l'Addendum del Regno Unito alle Clausole contrattuali standard dell'UE, come emesso dall'Ufficio del Commissario per l'informazione, e che tali documenti sono incorporati per riferimento. Ai fini dell'Addendum del Regno Unito:
   (a) il Cliente agisce in qualità di esportatore di dati e Keeper in qualità di importatore di dati;
   (b) legge applicabile e giurisdizione: Inghilterra e Galles; e
   (c) le misure di sicurezza sono quelle stabilite nella Sottoappendice C e nella Documentazione sulla sicurezza di Keeper.
   La clausola di "docking" si applica solo previo accordo scritto reciproco delle Parti.
5. Brasile (LGPD)
   Per i Dati personali del Cliente soggetti alla Lei Geral de Proteção de Dados Pessoais (Legge federale n. 13.709/2018 - "LGPD"), le Parti convengono che i trasferimenti internazionali devono essere conformi agli articoli 33-36 della LGPD e al Regolamento sui trasferimenti internazionali di dati personali emanato dall'Autoridade Nacional de Proteção de Dados (ANPD), comprese le Clausole Contrattuali Standard (Cláusulas-Padrão Contratuais) approvate nell'Allegato II di tale Regolamento, che sono incorporate nel presente documento per riferimento.

   5.1 Queste clausole si applicano senza modifiche e devono essere completate come segue:
   (a) Esportatore: Cliente (Titolare del trattamento); (b) Importatore: Keeper (Responsabile del trattamento) (c) Finalità: Fornitura dei servizi di Keeper e del relativo supporto ai sensi dell'Accordo; (d) Categorie di interessati: Dati del Cliente ai sensi dell'Accordo; (e) Dati personali: come descritto nella Sottoappendice A (f) Trasferimenti successivi: consentiti ai Sub-responsabili del trattamento autorizzati di Keeper disponibili nella Sottoappendice B con garanzie equivalenti; (g) Parte designata (Clausola 4): Keeper, responsabile della trasparenza, della gestione dei diritti degli interessati e della segnalazione degli incidenti ai sensi delle Clausole 14-16 delle SCC brasiliane; (h) Legge applicabile e giurisdizione: indipendentemente dalla legge applicabile all'Accordo, le Clausole contrattuali standard brasiliane saranno regolate e interpretate in conformità con le leggi del Brasile e soggette alla giurisdizione dei tribunali competenti del Brasile; e (i) Misure di sicurezza: quelle descritte nella Sottoappendice C.

   5.2 La Clausola di "docking" (clausola 9 delle Clausole contrattuali standard brasiliane) si applica solo previo accordo scritto tra le Parti.

6. Per tutte le altre giurisdizioni prive di una decisione di adeguatezza, Keeper attuerà meccanismi di trasferimento adeguati ai sensi dell'articolo 46 del GDPR, del GDPR del Regno Unito e degli articoli 33-36 dell'LGPD; o di altre leggi vigenti per garantire una protezione adeguata.
7. Laddove non si applichino i quadri DPF, le Parti si baseranno sulle clausole contrattuali standard appropriate o su garanzie equivalenti riconosciute dalle leggi applicabili in materia di protezione dei dati.
8. Per tutte le altre giurisdizioni prive di una decisione di adeguatezza, Keeper attuerà meccanismi di trasferimento adeguati ai sensi dell'articolo 46 del GDPR, del GDPR del Regno Unito e degli articoli 33-36 dell'LGPD; o di altre leggi vigenti per garantire una protezione adeguata.
9. Aggiornamenti ai meccanismi di trasferimento
   Se la Commissione europea, l'ICO del Regno Unito, l'FDPIC svizzero o l'ANPD brasiliana adottano meccanismi di trasferimento rivisti o sostitutivi, questi sostituiranno automaticamente le clausole qui citate per mantenere la continua conformità alla Legge vigente in materia di protezione dei dati.
10. Quadro di riferimento UE-USA per la protezione dei dati
    Keeper partecipa attivamente al Quadro di riferimento UE-USA per la protezione dei dati, all'estensione britannica al Quadro di riferimento UE-USA per la protezione dei dati e al Quadro di riferimento Svizzera-USA per la protezione dei dati. È possibile verificare lo stato di certificazione di Keeper qui: https://www.dataprivacyframework.gov/list. Qualora il Quadro di riferimento per la protezione dei dati cessasse di essere applicabile, i trasferimenti di dati continueranno in base alle Clausole contrattuali standard.
11. Se il Cliente ritiene che tali misure siano insufficienti per soddisfare i requisiti legali in una circostanza particolare, il Cliente fornirà una comunicazione scritta dei motivi di tali opinioni a Keeper e le Parti collaboreranno in buona fede per trovare un'alternativa reciprocamente accettabile.
12. Leggi statali statunitensi sulla privacy (incluso il CCPA, come modificato)
    

    Nella misura in cui Keeper tratta i Dati personali dei clienti soggetti al California Consumer Privacy Act del 2018, come modificato e in vigore di volta in volta (incluso il California Privacy Rights Act e qualsiasi successiva modifica, collettivamente il "CCPA") o qualsiasi altra legge statale statunitense sulla privacy che imponga obblighi sostanzialmente simili ai responsabili del trattamento o ai fornitori di servizi (collettivamente, le "Leggi statali sulla privacy"), Keeper agirà in qualità di fornitore di servizi o responsabile del trattamento del Cliente, a seconda dei casi:

    (a) Keeper tratterà tali Dati personali solo per le finalità commerciali descritte nell'Accordo e nel presente Addendum e non per scopi diversi dalla fornitura dei Servizi.
    (b) Keeper non venderà, condividerà o divulgherà in altro modo i Dati personali, né divulgherà tali dati per scopi estranei al rapporto commerciale diretto con il Cliente, salvo quanto consentito dalle Leggi statali sulla privacy.
    (c) Keeper garantirà che qualsiasi accordo con Sub-responsabili del trattamento includa restrizioni e obblighi equivalenti per i fornitori di servizi o i responsabili del trattamento.
    (d) Keeper informerà tempestivamente il Cliente qualora ritenga di non poter più adempiere ai propri obblighi ai sensi delle Leggi statali sulla privacy e il Cliente potrà adottare misure ragionevoli e appropriate per interrompere e porre rimedio a qualsiasi uso non autorizzato dei Dati personali.
    (e) Keeper certifica di comprendere e di adempiere ai propri obblighi ai sensi delle Leggi statali sulla privacy.

SOTTO-RESPONSABILI

1. Keeper è autorizzata in generale a coinvolgere terze parti per il trattamento dei Dati personali ("Sub-responsabili del trattamento") senza ottenere alcuna ulteriore autorizzazione scritta e specifica dal Cliente. Keeper stipulerà un accordo scritto con i Sub-responsabili del trattamento dei dati. Tale accordo fornirà almeno gli stessi obblighi di protezione dei dati applicabili a Keeper, inclusi gli obblighi previsti dal presente Addendum. Keeper monitorerà e controllerà su base continuativa la conformità dei suoi Sub-responsabili del trattamento alla Legge sulla protezione dei dati applicabile e la documentazione di tale monitoraggio e controllo sarà fornita al Cliente previa richiesta scritta.
2. Se il Sub-responsabile del trattamento esegue i servizi concordati al di fuori dell'UE/SEE, Keeper ne garantirà l'ammissibilità ai sensi della legge sulla protezione dei dati adottando le misure appropriate.
3. Al momento della stipula del presente Addendum, Keeper si avvale dei Sub-responsabili del trattamento indicati nella Sottoappendice B . Keeper mette a disposizione del Cliente un meccanismo registrarsi agli aggiornamenti sui nuovi Sub-responsabili del trattamento nel proprio Centro protezione. L'avviso relativo a Sub-responsabili del trattamento nuovi o sostitutivi sarà fornito tramite il Centro protezione di Keeper o altri mezzi elettronici ragionevoli e il periodo di opposizione avrà inizio a partire da tale avviso.
4. Il Cliente può, in buona fede, opporsi ragionevolmente alla modifica o all'utilizzo di un nuovo Sub-responsabile del trattamento da parte di Keeper fornendo una comunicazione scritta via e-mail all'indirizzo privacy@keepersecurity.com entro dieci (10) giorni lavorativi dal ricevimento della notifica da parte di Keeper relativa a un nuovo Sub-responsabile del trattamento. Tale comunicazione scritta deve includere, come minimo, la buona fede del Cliente e i motivi ragionevoli dell'opposizione. Keeper farà ogni sforzo commercialmente ragionevole per raccomandare una modifica all'utilizzo dei Servizi da parte del Cliente. L'assenza di obiezioni da parte del Cliente entro dieci (10) giorni lavorativi sarà considerata come un consenso al Sub-responsabile del trattamento.
5. Nel caso in cui il Cliente si opponga a un nuovo Sub-responsabile del trattamento e le parti non riescano a risolvere di comune accordo l'obiezione del Cliente, quest'ultimo potrà rescindere i Servizi solo per quanto riguarda i Servizi che non possono essere forniti da Keeper senza l'utilizzo dei nuovi Sub-responsabili del trattamento contestati, inviando una comunicazione scritta a Keeper.
6. Keeper è responsabile nei confronti del Cliente di qualsiasi Sotto-responsabile del trattamento nello stesso modo in cui è responsabile delle proprie azioni e omissioni.

CESSAZIONE; RESTITUZIONE O CANCELLAZIONE DEI DATI PERSONALI

1. In seguito alla scadenza o alla cessazione dell'Accordo, Keeper eliminerà o restituirà al Cliente tutti i Dati personali in suo possesso come previsto nell'Accordo, a eccezione della misura in cui a Keeper sia tenuta dalla Legge vigente a conservare alcuni o tutti i Dati personali (nel qual caso Keeper archivierà i dati e implementerà misure ragionevoli per impedire qualsiasi ulteriore trattamento dei Dati personali). I termini del presente Addendum continueranno ad applicarsi a tali Dati personali.

VALUTAZIONE D'IMPATTO SULLA PROTEZIONE DEI DATI E CONSULTAZIONE PRELIMINARE

1. Se l'assistenza di Keeper è necessaria e pertinente, le parti coopereranno nella misura ragionevolmente necessaria nella preparazione delle valutazioni d'impatto sulla protezione dei dati in conformità con l'articolo 35 del GDPR, insieme a qualsiasi consultazione preventiva in conformità con l'articolo 36 del GDPR. Ciascuna parte sosterrà i propri costi nell'adempimento di tali obblighi.

VARIE

1. Modifica dell'Addendum: Il presente Addendum può essere modificato solo mediante emendamento scritto firmato da ciascuna delle Parti.
2. Legislazione vigente, foro competente e giurisdizione: Tutte le controversie e le azioni relative al presente Accordo saranno esclusivamente sottoposte ai tribunali e interpretate (senza riguardo alle disposizioni in materia di conflitto di leggi) in conformità alle leggi specificate nell'Accordo.
3. Invalidità e separabilità; Conflitto: Se una qualsiasi disposizione del presente Addendum viene ritenuta non valida o inapplicabile da un tribunale o da un organo amministrativo della giurisdizione competente, l'invalidità o l'inapplicabilità di tale disposizione non pregiudicherà qualsiasi altra disposizione del presente Addendum e tutte le disposizioni non interessate da tale invalidità o inapplicabilità rimarranno in vigore a tutti gli effetti. In caso di discrepanze tra il presente Addendum e le Clausole contrattuali standard stipulate dalle parti, se presenti, prevarranno le Clausole contrattuali standard.

SOTTO-APPENDICE A

Dati personali

1. Keeper elabora i seguenti tipi di Dati personali in relazione alla fornitura dei servizi:
   1. I dati personali trasferiti riguardano le informazioni di contatto (nome, indirizzo, e-mail, telefono), i dati dell'entità, l'indirizzo IP, l'identificatore del dispositivo e le informazioni sulla versione dell'applicazione.

Categorie di interessati

1. Keeper elabora i dati personali delle seguenti categorie di interessati per conto del Cliente:
   1. Cliente
   2. Utenti finali autorizzati del Cliente, inclusi i dipendenti del Cliente.

SOTTOAPPENDICE B - Sub-responsabili del trattamento approvati

Un elenco aggiornato dei Sub-responsabili del trattamento di Keeper è disponibile alla sezione 1B Sub-responsabili del trattamento. Tale elenco include i dettagli relativi ai nomi e alle sedi delle persone giuridiche dei Sub-responsabili del trattamento. I Sub-responsabili del trattamento vengono aggiornati periodicamente e il Cliente può registrarsi per ricevere gli aggiornamenti sul Centro Protezione di Keeper.

SOTTOAPPENDICE C - Programma di sicurezza dei dati

Il presente Programma di sicurezza dei dati integra l'Accordo tra il Cliente e Keeper che regola l'utilizzo dei Servizi da parte del Cliente. Salvo diversamente specificato nel presente Programma, tutti i termini in maiuscolo utilizzati nel presente Programma avranno il significato loro attribuito nell'Accordo.

1. Ambito di trattamento dei dati. Il presente Programma si applica a tutti i Servizi Keeper e al trattamento di tutti i dati forniti dal Cliente a Keeper ("Dati del Cliente").
2. Riservatezza dei Dati del Cliente. Keeper non accederà, utilizzerà o divulgherà a terzi alcun Dato del cliente, salvo nei casi in cui ciò sia necessario per mantenere o fornire i Servizi o per ottemperare alla legge o a un ordine valido e vincolante di un ente governativo (ad esempio una citazione in giudizio o un'ordinanza del tribunale). Se un ente governativo invia a Keeper una richiesta di Dati del cliente, Keeper cercherà di reindirizzare l'ente governativo affinché richieda tali dati direttamente al Cliente. Nell'ambito di tale iniziativa, Keeper potrà fornire all'ente governativo le informazioni di contatto di base del Cliente. Se costretta a divulgare i Dati del Cliente a un ente governativo, Keeper fornirà al Cliente un preavviso ragionevole della richiesta per consentire al Cliente di richiedere un'ordinanza cautelare o altro rimedio appropriato, a meno che Keeper non sia legalmente impossibilitata a farlo. Keeper impedisce al proprio personale di trattare i Dati del Cliente senza l'autorizzazione di Keeper, come descritto nell'Allegato 1 - Standard di sicurezza allegato al presente documento. Keeper impone al proprio personale adeguati obblighi contrattuali, compresi quelli relativi alla riservatezza, alla protezione dei dati e alla sicurezza dei dati.
3. Sicurezza del trattamento dei dati. Keeper ha implementato e manterrà le misure tecniche e organizzative per i sistemi Keeper descritte negli Standard di sicurezza e nella presente Sezione. In particolare, Keeper ha implementato e manterrà le seguenti misure tecniche e organizzative:
   
   1. sicurezza dei sistemi Keeper come stabilito negli Standard di sicurezza;
   2. sicurezza fisica delle strutture come stabilito negli Standard di sicurezza;
   3. misure per controllare i diritti di accesso del personale autorizzato ai Sistemi Keeper come stabilito negli Standard di sicurezza; e
   4. processi per testare, valutare e verificare regolarmente l'efficacia delle misure tecniche e organizzative implementate da Keeper come descritto nella Sezione 2 degli Standard di sicurezza.
4. Certificazioni e audit di Keeper.
   
   1. Certificazione e report di Keeper. Oltre alle informazioni contenute nel presente Allegato, su richiesta del Cliente, Keeper metterà a disposizione i propri certificati ISO 27001 e SOC2. I controlli di sicurezza delle informazioni di Keeper sono convalidati attraverso valutazioni e certificazioni indipendenti e sono accessibili sul Centro Protezione di Keeper. Le certificazioni includono:
      • SOC 2 Tipo II (Criteri di affidabilità dei servizi AICPA)
      • ISO 27001, ISO 27017 e ISO 27018
      • Autorizzazione FedRAMP Moderata (per Keeper Security Government Cloud)
      • Moduli crittografici convalidati FIPS 140-3
      • Architettura conforme all'HIPAA (Keeper non è un Business Associate in quanto non può accedere all'ePHI)
      • Conformità al GDPR, al GDPR del Regno Unito e al Digital Operational Resilience Act (DORA)
   2. Audit. Keeper si avvale di revisori esterni per verificare l'adeguatezza delle sue misure di sicurezza, inclusa la sicurezza dei centri dati fisici da cui Keeper fornisce i Servizi. Tale revisione: (a) sarà effettuata almeno una volta all'anno; (b) sarà effettuata in conformità agli standard ISO 27001 o ad altri standard alternativi sostanzialmente equivalenti; (c) sarà eseguita da professionisti della sicurezza indipendenti di terze parti selezionati da Keeper e a spese di Keeper; e (d) darà luogo alla generazione di un report di audit ("Report"), che costituirà Informazione riservata di Keeper.

Allegato 1 - Standard di sicurezza

Programma di sicurezza delle informazioni. Keeper manterrà un programma di sicurezza delle informazioni progettato per (a) consentire al Cliente di proteggere i Dati del Cliente da perdita, accesso o divulgazione accidentali o illegali, (b) identificare i rischi ragionevolmente prevedibili per la sicurezza e la disponibilità dei sistemi Keeper e (c) ridurre al minimo i rischi per la sicurezza fisica e logica dei sistemi di Keeper, anche attraverso una valutazione e un test regolari dei rischi. Keeper designerà uno o più dipendenti per coordinare e assumersi la responsabilità del programma di sicurezza delle informazioni.

Il programma di sicurezza delle informazioni di Keeper includerà le seguenti misure:

1. Sicurezza logica.
   
   1. Controllo degli accessi. Keeper renderà i sistemi di Keeper accessibili solo al personale autorizzato e solo nella misura necessaria per mantenere e fornire i Servizi. Keeper manterrà controlli e politiche di accesso per gestire le autorizzazioni di accesso ai sistemi Keeper da ogni connessione di rete e utente, anche attraverso l'uso di firewall o tecnologie funzionalmente equivalenti e controlli di autenticazione. Keeper manterrà controlli di accesso progettati per (i) limitare l'accesso non autorizzato ai dati e (ii) separare i dati di ciascun cliente dai dati degli altri clienti.
   2. Accesso utente limitato. Keeper (i) fornirà e limiterà l'accesso degli utenti ai sistemi Keeper in conformità con i principi di privilegio minimo basati sulle funzioni lavorative del personale, (ii) richiederà la revisione e l'approvazione prima di fornire l'accesso ai sistemi Keeper al di sopra dei principi di privilegio minimo, inclusi gli account amministratore; (iii) richiederà una revisione almeno trimestrale dei privilegi di accesso ai sistemi Keeper e, se necessario, revocherà tempestivamente i privilegi di accesso ai sistemi Keeper e (iv) richiederà l'autenticazione a due fattori per l'accesso ai sistemi Keeper da postazioni remote.
   3. Valutazioni della vulnerabilità. Keeper eseguirà regolarmente valutazioni della vulnerabilità esterna e test di penetrazione dei sistemi Keeper, analizzerà i problemi identificati e ne seguirà la risoluzione in modo tempestivo.
   4. Sicurezza delle applicazioni. Prima di lanciare pubblicamente nuovi Servizi o nuove funzionalità significative dei Servizi, Keeper eseguirà revisioni della sicurezza delle applicazioni volte a identificare, mitigare e correggere i rischi per la sicurezza.
   5. Gestione delle modifiche. Keeper manterrà controlli progettati per registrare, autorizzare, testare, approvare e documentare le modifiche alle risorse dei sistemi Keeper esistenti e documenterà i dettagli delle modifiche all'interno dei suoi strumenti di gestione o implementazione delle modifiche. Keeper testerà le modifiche in base ai propri standard di gestione delle modifiche prima della migrazione alla produzione. Keeper manterrà processi progettati per rilevare modifiche non autorizzate ai sistemi Keeper e monitorerà i problemi identificati fino alla loro risoluzione. Keeper dispone di standard di codifica sicuri, analisi statica/dinamica, revisione tra pari e approvazione formale delle modifiche prima dell'implementazione in produzione. Gli sviluppatori ricevono una formazione annuale su sicurezza e privacy.
   6. Integrità dei dati. Keeper manterrà i controlli progettati per garantire l'integrità dei dati durante la trasmissione, l'archiviazione e l'elaborazione all'interno dei sistemi Keeper. Keeper fornirà al Cliente la possibilità di eliminare i Dati del Cliente dai sistemi Keeper.
   7. La crittografia e la decrittografia avvengono esclusivamente sul dispositivo dell'utente finale. Keeper non può accedere ai contenuti della cassaforte in chiaro o alle password principali. I principi zero-trust impongono l'autenticazione di utenti e dispositivi prima dell'accesso. Le chiavi di crittografia sono derivate sul dispositivo dell'utente (ad esempio, derivazione PBKDF2). Le chiavi non criptate o la password principali non vengono mai memorizzate o trasmesse a Keeper.
   8. Keeper supporta TOTP, Duo Security, chiavi FIDO/U2F e dati biometrici. SSO Connect® e SSO Connect® Cloud forniscono l'autenticazione zero-knowledge tramite SAML 2.0. Gli amministratori hanno a disposizione controlli di accesso granulari basati sui ruoli.
   9. Crittografia TLS per tutte le connessioni, autenticazione API avanzata, segmentazione della rete, rilevamento delle intrusioni e monitoraggio 24 ore su 24, 7 giorni su 7 per la disponibilità e gli eventi di minaccia.
   10. Continuità operativa e ripristino di emergenza. Keeper manterrà un programma formale di gestione dei rischi progettato per supportare la continuità delle sue funzioni aziendali critiche ("Programma di continuità operativa"). Il Programma di continuità operativa (BCP) include processi e procedure per l'identificazione, la risposta e il ripristino da eventi che potrebbero impedire o compromettere in modo significativo la fornitura dei Servizi da parte di Keeper (un "evento BCP"). Il Programma di continuità operativa prevede un approccio in tre fasi che Keeper seguirà per gestire gli Eventi BCP:
2. Fase di attivazione e notifica. Non appena Keeper identificherà problemi che potrebbero causare un evento BCP, provvederà a segnalarli, convalidarli ed esaminarli approfonditamente. Durante questa fase, Keeper analizzerà la causa principale dell'Evento BCP.
   1. Fase di ripristino. Keeper assegna ai team appropriati la responsabilità di prendere provvedimenti per ripristinare la normale funzionalità del sistema o stabilizzare i Servizi interessati.
   2. Fase di ricostituzione. La direzione di Keeper esaminerà le azioni intraprese e confermerà che l'intervento di ripristino è stato completato e che le parti interessate dei Servizi e dei sistemi Keeper sono state ripristinate. A seguito di tale conferma, Keeper condurrà un'analisi post-mortem dell'Evento BCP.
3. Gestione degli incidenti. Keeper manterrà piani di azione correttivi e piani di risposta agli incidenti per rispondere a potenziali minacce alla sicurezza dei sistemi di Keeper. I piani di risposta agli incidenti di Keeper avranno processi definiti per rilevare, mitigare, indagare e segnalare gli incidenti di sicurezza. I piani di risposta agli incidenti di Keeper includono la verifica degli incidenti, l'analisi degli attacchi, il contenimento, la raccolta dei dati e la risoluzione dei problemi.
4. Dismissione dei supporti di memorizzazione. Keeper manterrà un processo di dismissione dei supporti condotto prima dello smaltimento finale dei supporti di archiviazione utilizzati per archiviare i Dati dei Clienti. Prima dello smaltimento definitivo, i supporti di memorizzazione utilizzati per archiviare i Dati del Cliente saranno sottoposti a smagnetizzazione, cancellazione, eliminazione, distruzione fisica o altra forma di sanificazione in conformità con le pratiche standard del settore volte a garantire che i Dati del Cliente non possano essere recuperati dal tipo di supporto di memorizzazione applicabile.
5. Sicurezza fisica.
   
   1. Controllo degli accessi. Keeper (i) implementerà e manterrà misure di sicurezza fisiche progettate per impedire l'accesso fisico non autorizzato, il danneggiamento o l'interferenza con i sistemi Keeper, (ii) utilizzerà dispositivi di controllo appropriati per limitare l'accesso fisico ai sistemi Keeper solo al personale autorizzato che ha una legittima necessità aziendale di tale accesso, (iii) monitorerà l'accesso fisico ai sistemi Keeper utilizzando sistemi di rilevamento delle intrusioni progettati per monitorare, rilevare e avvisare il personale appropriato in caso di incidenti di sicurezza, (iv) registrerà e verificherà regolarmente l'accesso fisico ai sistemi Keeper e (v) effettuerà revisioni periodiche per convalidare il rispetto di tali standard.
   2. Disponibilità. Keeper (i) implementerà sistemi ridondanti per i sistemi Keeper progettati per ridurre al minimo l'effetto di un malfunzionamento sui sistemi Keeper, (ii) progetterà i sistemi Keeper in modo da anticipare e tollerare i guasti hardware e (iii) implementerà processi automatizzati progettati per spostare il traffico dati dei clienti lontano dall'area interessata in caso di guasto hardware.
6. Dipendenti di Keeper
   1. Formazione sulla sicurezza dei dipendenti. Keeper implementerà e manterrà i programmi di formazione sulla sicurezza dei dipendenti riguardanti i requisiti di sicurezza delle informazioni di Keeper. I programmi di formazione sulla sensibilizzazione alla sicurezza saranno rivisti e aggiornati almeno una volta all'anno.
   2. Controlli dei precedenti personali. Laddove consentito dalla legge e nella misura in cui sia disponibile da parte delle autorità governative competenti, Keeper richiederà che ogni dipendente sia sottoposto a un'indagine sui precedenti personali ragionevole e appropriata alla posizione del dipendente e al suo livello di accesso ai sistemi Keeper.
7. Valutazione continua. Keeper condurrà revisioni periodiche del programma di sicurezza delle informazioni per i sistemi Keeper. Keeper aggiornerà o modificherà il proprio programma di sicurezza delle informazioni secondo necessità per rispondere a nuovi rischi per la sicurezza e per sfruttare le nuove tecnologie.
8. Conformità al Digital Operational Resilience Act (DORA)
   Ai fini della conformità al Digita Operazionale Resiliente ACL (DORA), Keeper mantiene misure operative e di sicurezza complete per proteggere i software e i sistemi di Keeper. Ciò include, a scopo esemplificativo e non esaustivo, l'implementazione di processi di gestione del rischio efficaci, il monitoraggio e la gestione della disponibilità dei tempi di attività, il mantenimento di rigide politiche interne per la sicurezza, l'obbligo di formazione interna sulla sicurezza e l'istituzione di protocolli di risposta agli incidenti. Keeper monitora, aggiorna e perfeziona continuamente le procedure per mitigare i rischi e garantire la funzionalità e la sicurezza operative in tutti i software e i servizi di Keeper.