Torna alla sezione Legale

Accordo per l'elaborazione dei dati

Ultimo aggiornamento: 
2024-04-24

Botpress Accordo sul trattamento dei dati (DPA)

Il presente DPA è complementare e costituisce parte integrante dell'accordo tra l'entità del gruppo Botpress identificata nei Termini di servizio e il Cliente. Il presente DPA è in vigore al momento della sua incorporazione in tale accordo per riferimento.

1.Definizioni

1.a I termini in maiuscolo non definiti nel presente documento hanno il significato ad essi attribuito nel Contratto.

1.b Nel presente DPA :

(a) "Accordo" ha il significato attribuito a tale termine nei Termini di servizio.

(b)" GruppoBotpress " indica Botpress e qualsiasi sua affiliata.

(c) Per "Informazioni personali della California" si intendono i Dati personali soggetti alla protezione del CCPA.

(d) "Leggi canadesi sulla protezione dei dati" indica la Legge sulla protezione delle informazioni personali e dei documenti elettronici, SC 2000, c 5 e la Legge sulla protezione delle informazioni personali nel settore privato, CQLR c P-39.1, come eventualmente modificata, sostituita o sostituita.

(e) "CCPA" indica la sezione 1798.100 e seguenti del Codice Civile della California (nota anche come California Consumer Privacy Act del 2018).

(f) "Consumatore", "Impresa", "Vendita" e "Fornitore di servizi" avranno il significato loro attribuito nel CCPA.

(g) "Titolare del trattamento": qualsiasi persona che, da sola o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali.

(h) Per "Leggi sulla protezione dei dati" si intende tutta la legislazione mondiale applicabile in materia di protezione dei dati e della privacy che si applica a una parte del presente DPA, comprese, a titolo esemplificativo, le Leggi europee sulla protezione dei dati, le Leggi canadesi sulla protezione dei dati e il CCPA, in ogni caso come di volta in volta modificato, abrogato, consolidato o sostituito.

(i) "Soggetto interessato": la persona fisica a cui si riferiscono i Dati personali.

(j) "Europa" indica l'Unione Europea, lo Spazio Economico Europeo e/o i loro Stati membri, la Svizzera e il Regno Unito.

(k) "Leggi europee sulla protezione dei dati" indica le leggi sulla protezione dei dati applicabili in Europa, come eventualmente modificate, superate o sostituite.

(l) "Dati europei" indica i Dati personali soggetti alla protezione delle leggi europee sulla protezione dei dati.

(m) "Affiliati autorizzati" indica qualsiasi Affiliato del Cliente che (i) è autorizzato a utilizzare i Servizi software ai sensi dell'Accordo, (ii) si qualifica come Titolare del trattamento dei Dati personali trattati da Botpress, e (iii) è soggetto alle Leggi europee sulla protezione dei dati.

(n) Il termine "persona" deve essere interpretato in senso lato e comprende qualsiasi persona fisica, società, società a responsabilità limitata, società in accomandita semplice, società, associazione, società di persone, trust o proprietà, joint venture, ente governativo o sua suddivisione politica, o qualsiasi altra entità.

(o) "Dati personali": qualsiasi informazione relativa a una persona fisica identificata o identificabile.

(p) "Trattamento" o "Elaborazione": qualsiasi operazione o insieme di operazioni eseguite da un Elaboratore sui Dati personali, con o senza mezzi automatici;

(q) "Responsabile del trattamento": un soggetto che tratta i dati personali per conto di un Titolare del trattamento.

(r) Per "Regolatore" si intende, a seconda dei casi, qualsiasi persona o autorità di polizia o di altro tipo che abbia autorità di regolamentazione, di vigilanza o di governo (in base a un regime legale o in altro modo) su tutto o parte del Trattamento dei Dati personali in relazione alla fornitura o alla ricezione dei Servizi, comprese, a titolo esemplificativo, le autorità europee di vigilanza sulla protezione dei dati;

(s) Per "violazione della sicurezza" si intende una violazione della sicurezza che comporti la distruzione accidentale o illegale, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai Dati personali trasmessi, memorizzati o altrimenti trattati da Botpress e/o dai Subprocessori in relazione alla fornitura dei Servizi, esclusi gli eventi che non compromettono la sicurezza dei Dati personali, compresi i tentativi di accesso non riusciti, i ping, le scansioni delle porte, gli attacchi di negazione del servizio e altri attacchi di rete ai firewall o ai sistemi in rete.

(t) "Servizi" indica i Servizi Software o i Servizi Professionali forniti da qualsiasi entità del Gruppo Botpress al Cliente o alle sue Affiliate.

(u) "Clausole contrattuali standard" indica le clausole contrattuali standard allegate alla Decisione (UE) 2021/914 della Commissione europea del 4 giugno 2021, come eventualmente modificate, sostituite o sostituibili.

(v) Per "Sub-Processore" si intende qualsiasi Elaboratore assunto da Botpress o da Botpress Affiliati per assistere nell'adempimento degli obblighi di Botpress rispetto alla fornitura dei Servizi ai sensi dell'Accordo. I Sub-elaboratori possono includere terze parti o Botpress Affiliati ma non includono individui impiegati o assunti da Botpress.

(w) Per "Paese terzo" si intende una giurisdizione o un destinatario: (i) non riconosciuto dalla Commissione europea come fornitore di un livello adeguato di protezione dei dati personali; e (ii) non coperto da un quadro adeguato riconosciuto dalle autorità o dai tribunali competenti come fornitore di un livello adeguato di protezione dei dati personali;

(x) Per "Dati di utilizzo" si intendono i dati relativi all'utilizzo del Software da parte degli Utenti autorizzati, che possono contenere Dati personali laddove sia necessario identificare i singoli utenti, ma ad esclusione di qualsiasi Dato di conversazione. I Dati di utilizzo possono includere i Dati personali dei dipendenti e degli appaltatori del Cliente, ma non quelli degli utenti finali che interagiscono con i Bot del Cliente.

2. Ruolo delle parti

2.a Nell'elaborazione dei Dati di conversazione attraverso i Servizi, le parti riconoscono e concordano che il Cliente agisce in qualità di Titolare del trattamento e che Botpress agisce in qualità di Responsabile del trattamento.

2.b Se il Cliente agisce come Responsabile del trattamento per conto di un Controllore, Botpress sarà considerato un sub-processore del Cliente.

2.c Botpress sarà un Titolare del trattamento dei Dati di Utilizzo.

3. Conformità alle leggi sulla protezione dei dati

3.a Ciascuna parte effettuerà il trattamento dei Dati personali in conformità a tutte le leggi applicabili in materia di protezione dei dati.

3.b Botpress non è responsabile dell'osservanza di eventuali Leggi sulla Protezione dei Dati applicabili al Cliente o al suo settore che non siano generalmente applicabili a Botpress.

3.c Se Botpress si rende conto di non poter Elaborare i Dati Personali in conformità con le istruzioni del Cliente a causa di un requisito legale ai sensi di qualsiasi legge applicabile, Botpress (i) notificherà prontamente al Cliente tale requisito legale nella misura consentita dalla legge applicabile; e (ii) ove necessario, interromperà ogni Elaborazione (diversa dalla mera conservazione e mantenimento della sicurezza dei Dati Personali interessati) fino a quando il Cliente non emetterà nuove istruzioni in conformità con la legge applicabile. Se viene invocata questa disposizione, Botpress non sarà responsabile nei confronti del Cliente ai sensi dell'Accordo per la mancata esecuzione dei Servizi Software o dei Servizi Professionali applicabili fino a quando Botpress non avrà ragionevolmente stabilito che le istruzioni del Cliente sono legittime.

4.Botpress Obblighi

4.a Botpress tratterà i Dati Personali solo per le finalità descritte nel presente DPA o come altrimenti concordato nell'ambito delle istruzioni lecite ricevute dal Cliente, tranne nei casi e nella misura in cui sia altrimenti richiesto dalla legge applicabile.

4.b Botpress implementerà e manterrà adeguate misure tecniche e organizzative per proteggere i Dati Personali da Incidenti di Sicurezza, incluse quelle descritte nell'Allegato 2 al presente DPA ("Misure di Sicurezza"). Botpress può modificare o aggiornare le Misure di Sicurezza a sua discrezione, a condizione che tale modifica o aggiornamento non comporti un degrado sostanziale della protezione offerta dalle Misure di Sicurezza.

4.c Botpress tratterà i Dati Personali come informazioni riservate del Cliente e si assicurerà che qualsiasi suo dipendente o contatto autorizzato ad accedere o a trattare i Dati Personali sia soggetto ad appropriati obblighi di riservatezza (sia contrattuali che di legge) rispetto a tali Dati Personali.

4.d Botpress cancellerà o restituirà tutti i Dati Personali trattati ai sensi del presente DPA, alla cessazione o alla scadenza dell'Accordo. Botpress può conservare copie dei Dati Personali laddove richiesto dalla legge applicabile, o laddove i Dati Personali siano stati archiviati su sistemi di back-up, i quali dati saranno isolati e protetti in modo sicuro da qualsiasi ulteriore Trattamento e cancellati in conformità alle pratiche di cancellazione applicabili.

5. Obblighi del cliente

5.a Il Cliente è responsabile di garantire che il suo utilizzo dei Servizi software o del Software sia conforme a tutte le leggi applicabili in materia di protezione dei dati, anche assicurando che (i) sia autorizzato a nominare Botpress per il Trattamento dei Dati personali per suo conto in conformità con il presente DPA, (ii) abbia il diritto di trasferire, o fornire l'accesso ai Dati personali a Botpress per il Trattamento in conformità con i termini dell'Accordo (incluso il presente DPA), (iii) assicurando che le istruzioni del Cliente in relazione al Trattamento dei Dati personali siano conformi alle leggi applicabili, incluse le leggi sulla protezione dei dati;

5.b Il Cliente dovrà comunicare tempestivamente per iscritto a Botpress se ha motivo di ritenere o se gli è stato notificato che il Trattamento dei Dati Personali effettuato dal Cliente attraverso i Servizi è o può essere in violazione della legge applicabile, incluse le Leggi sulla Protezione dei Dati.

5.c Il Cliente è responsabile di determinare se le misure di sicurezza implementate da Botpress soddisfano adeguatamente gli obblighi del Cliente ai sensi delle Leggi sulla Protezione dei Dati applicabili. L'Utente è inoltre responsabile di garantire che il suo accesso ai Servizi software sia protetto e riservato al personale autorizzato.

6. Violazione della sicurezza

6.a Botpress informerà tempestivamente il Cliente nel caso in cui venga a conoscenza di una Violazione della Sicurezza e fornirà tempestivamente le informazioni relative a tale Violazione della Sicurezza non appena ne verrà a conoscenza o ragionevolmente richieste dal Cliente.

6.b Su richiesta, Botpress fornirà tempestivamente al Cliente l'assistenza necessaria per consentire al Cliente di notificare una violazione della sicurezza alle autorità di regolamentazione e/o ai soggetti interessati, se tale notifica è richiesta dalle leggi sulla protezione dei dati.

7. Subprocessori

7.a Botpress può assumere Sub-Processori per il trattamento dei Dati Personali. Gli attuali Sub-Processori sono elencati nell'Allegato 3; qualsiasi modifica ai Sub-Processori sarà notificata al Cliente.

7.b Botpress seleziona Sub-Processori che offrono impegni di protezione dei dati che forniscono almeno lo stesso livello di protezione dei Dati Personali di quelli contenuti nel presente DPA (incluse, se del caso, le Clausole Contrattuali Standard), nella misura applicabile alla natura dei servizi forniti da tali Sub-Processori. Botpress rimane responsabile del rispetto da parte di ciascun Sub-Processore degli obblighi del presente DPA e di qualsiasi atto o omissione di tale Sub-Processore che causi una violazione di uno qualsiasi degli obblighi di Botpress' ai sensi del presente DPA.

7.c Se Botpress elabora Dati europei per conto del Cliente, il Cliente può opporsi a un nuovo Subprocessore, per ragioni ragionevoli basate sulla protezione dei dati. Se viene notificata tale obiezione, Botpress si impegna a discutere la questione in buona fede per raggiungere una risoluzione commercialmente ragionevole. Se non è possibile raggiungere tale risoluzione, Botpress può scegliere di rinunciare alla nomina del nuovo Subprocessore, oppure consentire al Cliente di terminare l'abbonamento alla parte dei Servizi software che si basano su tale nuovo Subprocessore senza responsabilità nei confronti di entrambe le parti (ma senza pregiudicare eventuali spese sostenute prima della risoluzione).

7.d Se richiesto dalla legge o dalle Clausole Contrattuali Standard, Botpress farà ogni ragionevole sforzo per rendere disponibili al Cliente le informazioni richieste sugli accordi di Botpress' con i Sub-Processori. Il Cliente accetta che alcune informazioni possano essere ridotte da tali accordi o fornite su base confidenziale.

8. Trasferimento dei dati personali

8.a Il trattamento dei Dati personali diversi dai Dati europei da parte delle entità del Gruppo Botpress avverrà in qualsiasi giurisdizione in cui tale trattamento è consentito dalle leggi applicabili della Giurisdizione della privacy.

8.b Il trattamento dei Dati Europei avverrà esclusivamente :

a) In Europa;

b) in una giurisdizione che fornisce un livello di protezione adeguato ai sensi di una decisione della Commissione europea basata sulle leggi applicabili in materia di protezione dei dati;

c) in qualsiasi giurisdizione, da un'organizzazione o ente che offra garanzie adeguate, anche attraverso le Clausole contrattuali standard;

d) in qualsiasi giurisdizione, con il consenso scritto del Cliente o dell'interessato.

8.c Quando l'Elaborazione dei Dati europei avviene in un Paese terzo, si riterrà che le parti abbiano stipulato le Clausole contrattuali standard solo in relazione ai Dati personali e all'Elaborazione in questione. Le parti convengono che, ai fini delle Clausole contrattuali standard :

a) Se il Cliente è un Controller e Botpress è un Processore, si applicherà il Modulo 2 (Controller to Processor).

b) Se il Cliente è un Elaboratore e Botpress è un sub-elaboratore, si applicherà il Modulo 3 (da Elaboratore a Elaboratore).

c) Per quanto riguarda i Dati di utilizzo, si applicherà il Modulo 1 (Controller to Controller).

d) nella clausola 7 delle Clausole contrattuali standard, la clausola di attracco opzionale non si applica;

e) nella Clausola 9 delle Clausole contrattuali standard, si applicherà l'opzione 2 e il periodo di tempo per la comunicazione scritta preventiva delle modifiche al subprocessore sarà di 10 giorni;

f) nella clausola 11 delle Clausole contrattuali standard, la lingua opzionale non si applica;

g) nella Clausola 17 (Opzione 1), le Clausole contrattuali standard saranno disciplinate dalla legge irlandese;

h) nella clausola 18(b) delle Clausole contrattuali standard, le controversie saranno risolte davanti ai tribunali irlandesi;

i)Botpress sarà l'"importatore di dati" e il Cliente sarà l'"esportatore di dati" (per conto proprio e delle Affiliate autorizzate);

j) le informazioni pertinenti di cui all'Allegato 1 e all'Allegato 2 del presente DPA saranno considerate incluse negli allegati delle Clausole contrattuali standard;

k) se e nella misura in cui le Clausole contrattuali standard sono in conflitto con qualsiasi disposizione del presente DPA, le Clausole contrattuali standard prevarranno nella misura di tale conflitto.

8.d Trasferimenti in Svizzera e Regno Unito. Nella misura in cui un trasferimento di Dati Personali tra il Cliente e Botpress e/o un Subprocessore sia soggetto alle Leggi sulla Protezione dei Dati della Svizzera o del Regno Unito, le Clausole Contrattuali Standard saranno considerate modificate per riflettere i requisiti delle Leggi sulla Protezione dei Dati della Svizzera e del Regno Unito applicabili, inclusi i riferimenti alla legislazione, alla legge applicabile e alle autorità e tribunali competenti.

9. Elaborazione CCPA

9.a Quando elaborano le Informazioni Personali della California in conformità con le istruzioni del Cliente, le parti riconoscono e concordano che il Cliente è un'Azienda e Botpress è un Fornitore di Servizi ai fini del CCPA. Le parti concordano che Botpress elaborerà le Informazioni personali della California in qualità di Fornitore di servizi esclusivamente allo scopo di eseguire i Servizi software e i Servizi professionali ai sensi dell'Accordo (lo "Scopo aziendale") o come altrimenti consentito dal CCPA.

10. Richieste di terzi

10.a Il Cliente sarà responsabile di rispondere a qualsiasi richiesta da parte di un Soggetto interessato o di un'autorità di regolamentazione in merito ai propri Dati personali e il Cliente utilizzerà le funzioni dei Servizi software disponibili per recuperare le informazioni pertinenti sul trattamento dei Dati personali.

10.b Se il Cliente non è in grado di affrontare autonomamente una richiesta di un Soggetto interessato o di un Regolatore ("Richiesta"), Botpress fornirà un'assistenza ragionevole al Cliente, al fine di rispondere a tali richieste relative al Trattamento dei Dati Personali ai sensi dell'Accordo. Ad eccezione del caso in cui e nella misura in cui una richiesta sia basata sul mancato rispetto da parte di Botpress dei propri obblighi ai sensi del presente DPA, il Cliente dovrà rimborsare a Botpress le spese ragionevoli sostenute per fornire assistenza al Cliente.

10.c Se una Richiesta o un'altra comunicazione relativa al Trattamento dei Dati Personali ai sensi dell'Accordo viene fatta direttamente a Botpress, Botpress informerà prontamente il Cliente e consiglierà all'Interessato o al Regolatore di presentare la propria Richiesta direttamente al Cliente. Il Cliente sarà l'unico responsabile della risposta sostanziale a tali Richieste o comunicazioni riguardanti i Dati personali.

11. Audit relativo ai dati personali

11.a Su richiesta e con ragionevole preavviso a Botpress, il Cliente è autorizzato, a proprie spese, ad effettuare le verifiche necessarie per assicurare che i Dati Personali trattati da Botpress per conto del Cliente siano trattati in conformità alle istruzioni del Cliente. Su richiesta del Cliente, Botpress dovrà consentire la verifica e l'ispezione del trattamento effettuato da Botpress. Tale verifica può essere condotta dal Cliente e/o da una terza parte (scelta dal Cliente e ragionevolmente accettata da Botpress) che agisce per conto del Cliente. Il Cliente dovrà adottare tutte le misure necessarie per evitare di causare danni o interruzioni ai locali, alle attrezzature, al personale e alle attività delle entità del Gruppo Botpress .

11.b Il Cliente e Botpress dovranno concordare in anticipo la natura, l'ambito e la durata di qualsiasi audit da parte del Cliente, e il Cliente dovrà rimborsare a Botpress tutti i costi ragionevoli associati a tale audit, che possono essere stimati su richiesta del Cliente prima dell'inizio dell'audit. Per quanto possibile, qualsiasi requisito di audit del Cliente dovrà essere soddisfatto attraverso i rapporti di audit di terze parti forniti da Botpress, se lo stesso è disponibile.

11.c Se Botpress tratta Dati Europei per conto del Cliente, Botpress fornirà al Cliente, su richiesta ragionevole, (su base confidenziale) (i) una copia riassuntiva dei suoi rapporti sui test di sicurezza e (ii) risposte scritte a tutte le ragionevoli richieste di informazioni fatte dal Cliente necessarie per confermare la conformità di Botpress con il presente DPA, a condizione che il Cliente non eserciti tale diritto più di una volta per anno solare, a meno che il Cliente non possa dimostrare di avere ragionevoli motivi per sospettare la non conformità di Botpress' con il DPA.

12. Limitazione di responsabilità

12.a La responsabilità di Botpress' e delle sue Affiliate, considerata in aggregato, derivante da o correlata al presente DPA (e a qualsiasi altro DPA tra le parti) e alle Clausole Contrattuali Standard (ove applicabili), sia per contratto, che per illecito o in base a qualsiasi altra teoria di responsabilità, sarà limitata all'importo complessivo dei Corrispettivi pagati dal Cliente a Botpress come corrispettivo per i Servizi durante il periodo di 12 mesi precedente l'evento che ha dato origine alla responsabilità.

13. Giurisdizione

Se non diversamente richiesto dalle leggi applicabili in materia di protezione dei dati, il presente DPA sarà disciplinato e interpretato in conformità alle leggi applicabili al Contratto e qualsiasi controversia relativa al presente Contratto sarà risolta dai tribunali competenti della giurisdizione indicata nella Proposta.

Nella misura in cui le leggi sulla protezione dei dati richiedono che il presente DPA sia disciplinato dalle leggi di uno Stato membro dell'Unione Europea, il presente DPA sarà disciplinato dalle leggi irlandesi e le controversie relative al presente accordo saranno risolte dai tribunali irlandesi.

14. Generale

14.a Precedenza. In caso di incongruenza tra le disposizioni del presente DPA e qualsiasi altra disposizione dell'Accordo, le disposizioni del DPA avranno sempre la precedenza, a meno che e nella misura in cui sia espressamente stabilito che un'altra disposizione dell'Accordo abbia la precedenza o che una disposizione del presente DPA sia annullata o modificata.

14.b Modifiche. Botpress può modificare il presente DPA per riflettere i cambiamenti nelle sue pratiche di elaborazione dei dati. Qualsiasi modifica diversa da quelle per chiarire il linguaggio (che saranno comunicate di routine al Cliente) sarà sottoposta al Cliente e non si applicherà se non accettata dal Cliente. Se una modifica del presente DPA è richiesta dalla legge applicabile, il Cliente dovrà

ha la possibilità di accettare tale modifica o di interrompere l'abbonamento ai Servizi software.

14.c Separabilità. Se una singola disposizione del presente DPA è ritenuta non valida o non applicabile, la validità e l'applicabilità delle altre disposizioni del presente DPA non ne risentiranno.

Allegato 1 - Dettagli del trattamento

Identificazione del controllore

Il cliente

Referente: la persona identificata nella Proposta accettata dal Cliente. Identificazione del Processore

Se il cliente si trova in Canada: Technologies Botpress Inc.

Se il Cliente si trova altrove: Botpress, Inc.

Persona di contatto:

Jean-Bernard Perrron

[email protected]

Categorie di soggetti interessati

Il Cliente può inviare Dati Personali nel corso dell'utilizzo del Servizio Software, la cui entità è determinata e controllata dal Cliente a sua esclusiva discrezione, nel rispetto dei termini di servizio applicabili, e che può includere, ma non è limitata ai Dati Personali relativi alle seguenti categorie di Soggetti:

  • Persone che utilizzano il Software per conto del Cliente
  • Utenti finali dei bot per i clienti

Categorie di dati personali

Il Cliente può inviare Dati Personali ai Servizi Software e può consentire agli Utenti Finali di inviare Dati Personali ai Servizi Software, la cui entità è determinata e controllata dal Cliente a sua esclusiva discrezione, nel rispetto dei termini di servizio applicabili.

Il Servizio software non è stato concepito per l'elaborazione di dati sensibili; il Cliente deve essere responsabile di determinare l'idoneità dei Servizi software per l'elaborazione di dati sensibili.

Botpress tratterà le informazioni di contatto degli Utenti autorizzati (nome, e-mail, telefono) e i dati d'uso e comportamentali sull'utilizzo del prodotto a scopo di supporto tecnico e statistico.

Natura del trattamento

  • Archiviazione e altri trattamenti necessari per fornire, mantenere e migliorare i Servizi forniti al Cliente;
  • Divulgazione in conformità con il Contratto (compreso il presente DPA) e/o in base alle leggi vigenti;
  • Botpress tratterà i Dati personali come necessario per fornire i Servizi ai sensi del Contratto e come ulteriormente indicato dal Cliente nell'utilizzo dei Servizi.
  • Botpress Tratta i Dati di Utilizzo per fornire assistenza tecnica e a fini statistici (per il miglioramento e lo sviluppo del prodotto).

Periodo di conservazione dei dati personali

Fermo restando l'obbligo di Botpressdi cancellare o restituire i dati al Cliente, ai sensi dell'Accordo Botpress tratterà i Dati Personali per tutta la durata dell'Accordo, salvo diverso accordo scritto.

Allegato 2 - Misure di sicurezza

1. Governance

Botpress attua politiche e procedure appropriate in materia di dati personali, tra cui:

  • Procedure di sicurezza delle informazioni;
  • Politiche di utilizzo dei dati personali ;
  • Procedura di segnalazione degli incidenti di sicurezza e privacy ;
  • Meccanismi di valutazione del rischio;
  • Procedure di audit interno ;
  • Misure contrattuali;

2. Accesso dell'utente

  • Le funzioni e le responsabilità degli utenti e dei profili di utenti di Botpress con accesso ai dati personali e ai sistemi informativi sono chiaramente definite.
  • Botpress adotta misure per informare i propri utenti sulle norme di sicurezza che riguardano lo svolgimento delle loro mansioni e sulle conseguenze in caso di violazione di tali norme.
  • I protocolli in chiaro non sono utilizzati per accedere o trasferire i Dati personali. Per queste operazioni è accettato solo il protocollo SSL.
  • Botpress garantisce la sicurezza dei processi e delle procedure per la gestione o lo smaltimento di supporti fisici o apparecchiature che possono contenere Dati personali.
  • I Dati Personali sono fisicamente separati, o logicamente separati se si trovano su un database o in un ambiente virtuale, da altri dati Botpress . Se i Dati Personali non sono fisicamente separati da altri dati, sistemi o applicazioni non relativi al Cliente, Botpress impiega controlli di sicurezza appropriati, inclusi i controlli di accesso.

3. Controllo degli accessi

Botpress mantiene i server, i relativi database e altri componenti hardware e/o software che memorizzano i Dati personali in un centro dati sicuro con accesso controllato e monitorato per ammettere solo il personale autorizzato.

Botpress impiega misure efficaci di controllo dell'accesso logico su tutti i sistemi utilizzati per creare, trasmettere o elaborare i Dati personali, tali misure includono, ma non si limitano a:

  • Autenticazione dell'utente, che deve utilizzare identificatori unici ("ID utente") e nomi.
  • Una strategia di password sufficientemente complessa e robusta.
  • I diritti/privilegi di accesso degli utenti alle risorse informative contenenti Dati personali devono essere concessi in base alla necessità di sapere in relazione ai compiti e alle responsabilità dell'utente.
  • L'accesso degli utenti ai sistemi informatici che consentono l'accesso ai Dati personali sarà cancellato immediatamente dopo la partenza dell'utente o se l'utente cambia lavoro e il nuovo lavoro non richiede l'accesso.
  • Le password e le impostazioni di sicurezza predefinite devono essere modificate nei prodotti/applicazioni di terzi utilizzati per supportare i Dati personali.
  • I fornitori di servizi terzi saranno soggetti a requisiti e obblighi di sicurezza equivalenti a quelli degli utenti autorizzati di Botpress quando trattano i Dati personali.
  • Rivalutazione annuale della giustificazione degli account utente e delle autorizzazioni associate con accesso alle informazioni personali.

4. Architettura di sicurezza della rete

Botpress impiega misure efficaci di controllo dell'accesso alla rete su tutti i sistemi utilizzati per creare, trasmettere o elaborare i Dati Personali, tali misure includono, ma non si limitano a:

  • I firewall sono sempre operativi e sono installati sul perimetro della rete tra la rete interna (privata) di Botpress e la rete pubblica (Internet).
  • Sulla rete Botpress vengono utilizzati sistemi di rilevamento e prevenzione delle intrusioni adeguatamente configurati e monitorati.
  • Sul database e sugli altri sistemi informativi utilizzati per il trattamento dei dati personali sono abilitati solo i servizi/processi e le porte necessari per eseguire i programmi di routine. Tutti gli altri servizi/processi sull'host sono disabilitati.
  • Tutti i sistemi informativi, gli archivi e gli altri sistemi utilizzati per il trattamento dei Dati personali devono essere fisicamente ubicati in un ambiente di data center controllato e utilizzato allo scopo di proteggere i sistemi informativi.
  • I canali sicuri (ad esempio, TLS, SFTP, SSH, IPSEC, ecc.) devono essere utilizzati in modo coerente per le comunicazioni con il centro dati Botpress .

5. Controlli di gestione delle vulnerabilità

Botpress impiega controlli efficaci di gestione della vulnerabilità su tutti i sistemi utilizzati per creare, trasmettere o elaborare i Dati personali, tali misure includono, ma non si limitano a:

  • Distribuzione di dispositivi di prevenzione e rilevamento in rete per aiutare a filtrare le e-mail di phishing e le minacce informatiche prima che raggiungano le postazioni di lavoro gestite da Botpress e che hanno accesso diretto o indiretto ai Dati personali.
  • Installazione di software di prevenzione e rilevamento antivirus e antimalware su tutte le postazioni di lavoro gestite da Botpress e che trattano Dati Personali.
  • Mantenere un processo e una prassi standard di gestione delle patch per garantire la protezione di tutti i dispositivi utilizzati per accedere, elaborare o memorizzare i dati personali.
  • I dispositivi e i documenti contenenti Dati personali devono consentire l'identificazione delle informazioni a cui si accede, essere inventariati e accessibili solo agli utenti autorizzati ad accedere ai dati in conformità al documento di sicurezza.
  • Misure per prevenire il furto, la perdita o l'accesso non autorizzato ai dati personali durante le operazioni di trasmissione e trasferimento.

6. Backup, ripristino e disponibilità dei dati

Botpress implementa i seguenti piani di disaster recovery e business continuity per ridurre al minimo i tempi di inattività e la perdita di dati.

  • Botpress implementa funzioni di disaster recovery volte a ripristinare la funzionalità del sistema contenente i Dati personali entro un periodo di tempo concordato dalle parti o, in mancanza, entro un periodo di tempo ragionevole data la natura dei Dati personali.
  • Botpress si assicurerà sistematicamente che i Dati personali siano inaccessibili solo al personale autorizzato di Botpress (ad esempio, i back-up esterni saranno sistematicamente criptati).
  • Per ridurre i rischi derivanti da minacce ambientali, pericoli e opportunità di accesso non autorizzato, le apparecchiature devono essere collocate lontano da luoghi soggetti a rischi ambientali ad alta probabilità e integrate da apparecchiature ridondanti situate a una distanza ragionevole.
  • Devono essere implementati meccanismi di sicurezza e ridondanze per proteggere le apparecchiature da interruzioni del servizio di pubblica utilità (ad es. interruzioni di corrente, interruzioni di rete, ecc.).
  • Devono essere stabilite politiche e procedure per la conservazione e l'archiviazione dei dati e devono essere implementati meccanismi di backup o ridondanza per garantire la conformità ai requisiti normativi, statutari, contrattuali o aziendali. La verifica del ripristino dei backup su disco o su nastro deve essere effettuata a intervalli pianificati.

7. Audit di sicurezza

Botpress impiega controlli su tutti i sistemi utilizzati per creare, trasmettere o elaborare i Dati Personali, tali controlli includono, ma non si limitano a:

  • Scansioni o verifiche di vulnerabilità di terze parti di dispositivi infrastrutturali rivolti all'esterno (pubblici) contenenti Dati personali.
  • Test di penetrazione di terze parti sui sistemi di Botpress che memorizzano ed elaborano i Dati personali.
  • Valutazione periodica da parte di terzi quando le applicazioni o i processi supportano le informazioni finanziarie.
  • Botpress si impegna ad affrontare tutte le vulnerabilità identificate come risultato dei test di penetrazione e a notificare al Cliente le azioni di rimedio.

8. Formazione e sensibilizzazione

Botpress implementa un programma di sensibilizzazione alla sicurezza per i propri dipendenti e fornitori di servizi che interagiscono con i sistemi di trattamento dei dati personali, tra cui:

  • Botpress dovrà garantire che il proprio personale abbia una comprensione delle minacce e dei problemi di gestione del rischio informativo relativi ai Servizi Botpress e delle relative politiche di gestione del rischio informativo.
  • Botpress Il personale deve ricevere una formazione e un aggiornamento periodico sulle politiche e sulle procedure di gestione del rischio informativo pertinenti al sistema di classificazione della gestione del rischio standard e alle procedure appropriate.
  • Il personale dei subappaltatori deve essere messo a conoscenza del sistema di classificazione della gestione dei rischi informativi di Botpress e delle procedure appropriate.
  • Devono essere stabilite politiche e procedure per cancellare i documenti visibili contenenti dati sensibili quando un'area di lavoro non è presidiata e per applicare il logout della sessione di lavoro per un periodo di inattività.

Schema 3 - Subprocessori Se non diversamente indicato, il luogo di elaborazione è : USA.

Servizi Web di Amazon

  • AWS ospita i nostri servizi cloud e tutti i dati dei clienti.
  • AWS elabora informazioni analitiche sull'utilizzo dei servizi cloud di Botpress .

Google Analytics

  • Google Analytics elabora informazioni analitiche sull'utilizzo dei servizi cloud di Botpress .

Freshdesk

  • Freshdesk fornisce servizi di help desk.
  • Freshdesk elabora tutti i dati forniti dagli utenti a fini di assistenza tecnica.

Hotjar

  • Utilizziamo i servizi Hotjar sul servizio.
  • Hotjar fornisce informazioni sul comportamento dei visitatori del servizio.

OpenAI

  • OpenAI viene utilizzato per elaborare gli input testuali dell'utente e generare risposte testuali.

Mixpanel

  • Mixpanel viene utilizzato per raccogliere dati analitici sull'utilizzo del prodotto e del sito web, che vengono utilizzati per migliorare il servizio.

Intercom

  • Intercom viene utilizzato per fornire assistenza in tempo reale ai visitatori del servizio e del sito web.
Esecuzione dell'accordo di elaborazione dei dati
Tutti i sistemi sono operativi
SOC 2
Certificato
GDPR
Conforme
© 2024
Piattaforma
Prezzi
Studio dell'agente
Motore autonomo
Basi di conoscenza
Tavoli
Hub
Integrazioni
Canali
LLMs
Risorse
Contatta il servizio vendite
Documentazione
Trova un esperto
Video
Storie di clienti
Riferimento API
Blog
Stato
Risorse v12
Comunità
Sostegno alla comunità
Diventare partner
Diventare ambasciatore
Diventare un affiliato
Eventi
Azienda
Chi siamo
Carriera
Notizie e stampa
Legale
Privacy
© Botpress 2024