Accordo sul trattamento dei dati

Botpress Data Processing Agreement (DPA)

Questo DPA è supplementare e parte integrante dell’accordo tra l’entità del gruppo Botpress identificata nei Termini di Servizio e il Cliente. Il DPA entra in vigore al momento della sua incorporazione nell’accordo tramite riferimento.

1. Definizioni

1.a I termini in maiuscolo non definiti nel presente documento hanno il significato attribuito loro nell’Accordo.

1.b In questo DPA:

(a) “Contratto” ha il significato attribuito a tale termine nei Termini di Servizio.

(b) “Botpress Group” indica Botpress e tutte le sue affiliate.

(c) “California Personal Information” indica i Dati Personali soggetti alla protezione del CCPA.

(d) “Leggi canadesi sulla protezione dei dati” indica la Personal Information Protection and Electronic Documents Act, SC 2000, c 5 e la legge sulla protezione delle informazioni personali nel settore privato, CQLR c P-39.1, come eventualmente modificata, sostituita o aggiornata.

(e) “CCPA” indica il California Civil Code Sec. 1798.100 e seguenti (noto anche come California Consumer Privacy Act del 2018).

(f) “Consumatore”, “Azienda”, “Vendita” e “Fornitore di servizi” avranno i significati attribuiti loro dal CCPA.

(g) “Controller” indica qualsiasi Persona che, da sola o insieme ad altri, determina le finalità e i mezzi del Trattamento dei Dati Personali.

(h) “Leggi sulla protezione dei dati” indica tutta la normativa mondiale applicabile in materia di protezione dei dati e privacy che si applica a una parte del presente DPA, incluse, a titolo esemplificativo, le leggi europee sulla protezione dei dati, le leggi canadesi sulla protezione dei dati e il CCPA, ciascuna come modificata, abrogata, consolidata o sostituita di volta in volta.

(i) “Interessato” indica la persona fisica cui si riferiscono i Dati Personali.

(j) “Europa” indica l'Unione Europea, lo Spazio Economico Europeo e/o i loro stati membri, la Svizzera e il Regno Unito.

(k) “Leggi europee sulla protezione dei dati” indica le leggi sulla protezione dei dati applicabili in Europa, come modificate, sostituite o aggiornate.

“Dati europei” indica i Dati personali soggetti alla protezione delle leggi europee sulla protezione dei dati personali.

(m) “Affiliati autorizzati” indica qualsiasi Affiliato del Cliente che (i) è autorizzato a utilizzare i Servizi Software ai sensi dell’Accordo, (ii) è qualificato come Titolare dei Dati Personali trattati da Botpress, e (iii) è soggetto alle leggi europee sulla protezione dei dati.

(n) “Persona” deve essere interpretato in senso ampio e include qualsiasi individuo, società, società a responsabilità limitata, società in accomandita, azienda, associazione, partnership, trust o patrimonio, joint venture, ente governativo o sua suddivisione politica, o qualsiasi altra entità.

(o) “Dati personali” indica qualsiasi informazione relativa a una persona identificata o identificabile.

(p) “Trattamento” o “Trattare” significa qualsiasi operazione o insieme di operazioni effettuate da un Responsabile del trattamento sui Dati Personali, sia con mezzi automatici che manuali;

(q) “Processor” indica una Persona che tratta Dati Personali per conto di un Titolare.

(r) “Autorità di controllo” indica, se applicabile, qualsiasi Persona o ente di polizia o altra agenzia con autorità regolatoria, di supervisione o governativa (sia in base a un regime statutario che altro) su tutto o parte del Trattamento dei Dati Personali in relazione alla fornitura o ricezione dei Servizi, incluse, a titolo esemplificativo, le autorità europee di controllo della protezione dei dati;

(i) “Violazione della sicurezza” indica una violazione della sicurezza che comporta la distruzione, perdita, alterazione, divulgazione non autorizzata o accesso accidentale o illecito ai Dati Personali trasmessi, archiviati o comunque trattati da Botpress e/o Sub-Processor in relazione all’erogazione dei Servizi, esclusi gli eventi che non compromettono la sicurezza dei Dati Personali, come tentativi di accesso non riusciti, ping, scansioni di porte, attacchi denial of service e altri attacchi di rete su firewall o sistemi di rete.

(t) “Servizi” indica i Servizi Software o i Servizi Professionali forniti da qualsiasi entità del Gruppo Botpress al Cliente o alle sue Affiliate.

(u) “Clausole Contrattuali Standard” indica le clausole contrattuali standard allegate alla Decisione della Commissione Europea (UE) 2021/914 del 4 giugno 2021; come eventualmente modificate, sostituite o aggiornate.

(v) “Sub-Processor” indica qualsiasi Processor incaricato da Botpress o dalle sue Affiliate per assistere nell’adempimento degli obblighi di Botpress relativi all’erogazione dei Servizi previsti dal Contratto. I Sub-Processor possono includere terze parti o Affiliate di Botpress, ma non includeranno persone fisiche impiegate o ingaggiate da Botpress.

(w) “Paese terzo” indica una giurisdizione o un destinatario: (i) non riconosciuto dalla Commissione Europea come dotato di un livello adeguato di protezione dei dati personali; e (ii) non coperto da un quadro idoneo riconosciuto dalle autorità o dai tribunali competenti come dotato di un livello adeguato di protezione dei dati personali;

(x) “Dati di utilizzo” indica i dati relativi all’uso del Software da parte degli Utenti Autorizzati, che possono contenere Dati Personali quando è necessario identificare singoli utenti ma escludendo qualsiasi Dato di Conversazione. I Dati di Utilizzo possono includere Dati Personali su dipendenti e collaboratori del Cliente ma non sugli utenti finali che interagiscono con i Bot del Cliente.

2. Ruolo delle parti

2.a Nel trattamento dei dati delle conversazioni tramite i Servizi, le parti riconoscono e concordano che il Cliente agisce come Titolare e Botpress come Responsabile.

2.b Se il Cliente agisce come Responsabile del trattamento per conto di un Titolare, Botpress sarà considerato sub-responsabile del trattamento del Cliente.

2.c Botpress sarà Titolare del trattamento per quanto riguarda i Dati di Utilizzo.

3. Conformità alle leggi sulla protezione dei dati

3.a Ciascuna parte dovrà trattare i Dati Personali in conformità a tutte le leggi applicabili sulla protezione dei dati.

3.b Botpress non è responsabile della conformità a leggi sulla protezione dei dati applicabili al Cliente o al settore del Cliente che non siano generalmente applicabili a Botpress.

3.c Se Botpress viene a conoscenza di non poter trattare i Dati Personali secondo le istruzioni del Cliente a causa di un obbligo legale previsto da una legge applicabile, Botpress (i) informerà tempestivamente il Cliente di tale obbligo nella misura consentita dalla legge; e (ii) se necessario, interromperà ogni trattamento (tranne la mera conservazione e la sicurezza dei Dati Personali interessati) fino a quando il Cliente non fornirà nuove istruzioni conformi alla legge. Se viene applicata questa clausola, Botpress non sarà responsabile nei confronti del Cliente per eventuali inadempienze dei Software Services o Professional Services fino a quando Botpress non riterrà ragionevolmente che le istruzioni del Cliente siano legittime.

4. Obblighi di Botpress

4.a Botpress tratterà i Dati Personali solo per le finalità descritte in questo DPA o come diversamente concordato nell'ambito delle istruzioni lecite ricevute dal Cliente, salvo ove e nella misura in cui sia diversamente richiesto dalla legge applicabile.

4.b Botpress dovrà implementare e mantenere misure tecniche e organizzative adeguate per proteggere i Dati Personali da Incidenti di Sicurezza, anche come descritto nell'Allegato 2 di questo DPA (“Misure di Sicurezza”). Botpress può modificare o aggiornare le Misure di Sicurezza a sua discrezione, a condizione che tali modifiche non comportino un degrado sostanziale della protezione offerta.

4.c Botpress tratterà i Dati Personali come informazioni riservate del Cliente e garantirà che ogni suo dipendente o collaboratore autorizzato ad accedere o trattare i Dati Personali sia soggetto a obblighi di riservatezza adeguati (contrattuali o legali) in relazione a tali Dati Personali.

4.d Botpress eliminerà o restituirà tutti i Dati Personali trattati ai sensi di questo DPA, alla cessazione o scadenza dell’Accordo. Botpress può conservare copie dei Dati Personali se richiesto dalla legge applicabile, o se i Dati Personali sono stati archiviati su sistemi di backup, che saranno isolati in modo sicuro e protetti da ulteriori trattamenti e cancellati secondo le pratiche di eliminazione applicabili.

5. Obblighi del cliente

5.a Il Cliente è responsabile di assicurarsi che l’uso dei Servizi Software o del Software sia conforme a tutte le leggi sulla protezione dei dati applicabili, anche garantendo che (i) sia autorizzato a nominare Botpress per il Trattamento dei Dati Personali per suo conto secondo questo DPA, (ii) abbia il diritto di trasferire o fornire accesso ai Dati Personali a Botpress per il Trattamento secondo i termini dell’Accordo (incluso questo DPA), (iii) assicuri che le istruzioni del Cliente in merito al Trattamento dei Dati Personali siano conformi alle leggi applicabili, incluse quelle sulla protezione dei dati;

5.b Il Cliente dovrà notificare tempestivamente per iscritto a Botpress se ha motivo di credere o se è stato informato che il Trattamento dei Dati Personali effettuato dal Cliente tramite i Servizi è o potrebbe essere in violazione della legge applicabile, incluse le Leggi sulla Protezione dei Dati.

5.c Il Cliente è responsabile di determinare se le misure di sicurezza implementate da Botpress soddisfano adeguatamente gli obblighi del Cliente secondo le leggi applicabili sulla protezione dei dati. Il Cliente è inoltre responsabile di garantire che l’accesso ai Servizi Software sia sicuro e riservato al personale autorizzato.

‍6. Violazione della sicurezza

6.a Botpress informerà tempestivamente il Cliente se viene a conoscenza di una violazione della sicurezza e fornirà informazioni aggiornate su tale violazione man mano che saranno disponibili o ragionevolmente richieste dal Cliente.

6.b Su richiesta, Botpress fornirà tempestivamente al Cliente un’assistenza ragionevole, se necessario, per consentire al Cliente di notificare una Violazione della Sicurezza alle Autorità di controllo e/o agli Interessati, se tale notifica è richiesta dalle Leggi sulla Protezione dei Dati.

7. Sub-responsabili del trattamento

7.a Botpress può coinvolgere Sub-Processor per trattare Dati Personali. Gli attuali Sub-Processor sono elencati nell’Allegato 3; ogni cambiamento sarà notificato al Cliente.

7.b Botpress seleziona Sub-Responsabili che offrono impegni di protezione dei dati almeno pari a quelli previsti da questo DPA (incluse, se applicabili, le Clausole Contrattuali Standard), in relazione alla natura dei servizi forniti da tali Sub-Responsabili. Botpress resta responsabile della conformità di ciascun Sub-Responsabile agli obblighi di questo DPA e per eventuali atti od omissioni di tali Sub-Responsabili che causino una violazione degli obblighi di Botpress ai sensi di questo DPA.

7.c Se Botpress elabora dati europei per conto del Cliente, il Cliente può opporsi a un nuovo Sub-Processor per motivi ragionevoli legati alla protezione dei dati. In caso di tale obiezione, Botpress si impegna a discutere in buona fede per raggiungere una soluzione commercialmente ragionevole. Se non si trova una soluzione, Botpress può decidere di rinunciare alla nomina del nuovo Sub-Processor, oppure consentire al Cliente di terminare l’abbonamento alla parte dei Servizi Software che si basa su tale nuovo Sub-Processor senza responsabilità per entrambe le parti (ma senza pregiudicare eventuali costi sostenuti prima della risoluzione).

7.d Se richiesto dalla legge o dalle Clausole Contrattuali Standard, Botpress farà sforzi ragionevoli per mettere a disposizione del Cliente le informazioni necessarie sugli accordi di Botpress con i Sub-Processor. Il Cliente accetta che alcune informazioni possano essere oscurate o fornite in modo confidenziale.

8. Trasferimento dei dati personali

8.a Il trattamento di Dati Personali diversi dai Dati Europei da parte delle entità del gruppo Botpress avverrà in qualsiasi giurisdizione in cui tale trattamento sia consentito dalle leggi applicabili della Giurisdizione Privacy.

8.b Il trattamento dei Dati Europei avverrà esclusivamente :

a) All’interno dell’Europa;

b) in una giurisdizione che garantisce un livello adeguato di protezione secondo una decisione della Commissione Europea basata sulle leggi applicabili in materia di protezione dei dati;

c) in qualsiasi giurisdizione, da parte di un’organizzazione o entità che offra adeguate garanzie, anche tramite le Clausole Contrattuali Standard;

d) in qualsiasi giurisdizione, con il consenso scritto del Cliente o dell’Interessato.

8.c Quando il trattamento dei dati europei avviene in un Paese terzo, le parti si considerano vincolate dalle Clausole Contrattuali Standard solo per i dati personali e i trattamenti rilevanti. Le parti concordano che, ai fini delle Clausole Contrattuali Standard:

a) Se il Cliente è un Titolare del trattamento e Botpress è un Responsabile, si applica il Modulo 2 (Titolare a Responsabile).

b) Se il Cliente è un Responsabile e Botpress è un sub-responsabile, si applica il Modulo 3 (Responsabile a Responsabile).

c) Per quanto riguarda i Dati di Utilizzo, si applica il Modulo 1 (Controller to Controller).

d) Nella Clausola 7 delle Clausole Contrattuali Standard, la clausola opzionale di adesione non si applicherà;

e) Nella Clausola 9 delle Clausole Contrattuali Standard, si applicherà l’Opzione 2 e il periodo di preavviso scritto per le modifiche ai sub-responsabili sarà di 10 giorni;

f) Nella Clausola 11 delle Clausole Contrattuali Standard, il linguaggio opzionale non si applicherà;

g) Nella Clausola 17 (Opzione 1), le Clausole Contrattuali Standard saranno regolate dalla legge irlandese;

h) Nella Clausola 18(b) delle Clausole Contrattuali Standard, le controversie saranno risolte presso i tribunali irlandesi;

i) Botpress sarà il "importatore di dati" e il Cliente sarà l’"esportatore di dati" (per sé e per le Affiliate autorizzate);

j) le informazioni rilevanti indicate nell’Allegato 1 e nell’Allegato 2 di questo DPA si intendono incluse negli Allegati delle Clausole Contrattuali Standard;

k) f e nella misura in cui le Clausole Contrattuali Standard siano in conflitto con qualsiasi disposizione del presente DPA, prevarranno le Clausole Contrattuali Standard nella misura di tale conflitto.

8.d Trasferimenti in Svizzera e Regno Unito. Se un trasferimento di dati personali tra il Cliente e Botpress e/o un Sub-Responsabile è soggetto alle leggi sulla protezione dei dati della Svizzera o del Regno Unito, le Clausole Contrattuali Standard si considerano modificate per riflettere i requisiti delle leggi svizzere e britanniche applicabili, incluse le citazioni a legislazione, legge applicabile e autorità e tribunali competenti.

9. Trattamento CCPA

9.a Nel trattare le Informazioni Personali della California secondo le istruzioni del Cliente, le parti riconoscono e concordano che il Cliente è un’Azienda e Botpress è un Fornitore di Servizi ai sensi del CCPA. Le parti concordano che Botpress tratterà le Informazioni Personali della California come Fornitore di Servizi esclusivamente per fornire i Servizi Software e i Servizi Professionali previsti dall’Accordo (lo “Scopo Aziendale”) o come altrimenti consentito dal CCPA.

10. Richieste di terze parti

10.a Il Cliente è responsabile di gestire qualsiasi richiesta da parte di un Interessato o di un’Autorità in merito ai propri Dati Personali e dovrà utilizzare le funzionalità dei Servizi Software disponibili per recuperare le informazioni rilevanti sul trattamento dei Dati Personali.

10.b Se il Cliente non è in grado di gestire autonomamente una richiesta di un Interessato o di un'Autorità di controllo (“Richiesta”), Botpress fornirà un'assistenza ragionevole al Cliente per rispondere a tali richieste relative al Trattamento dei Dati Personali ai sensi del Contratto. Salvo che la richiesta sia dovuta a un mancato rispetto da parte di Botpress degli obblighi previsti dal presente DPA, il Cliente dovrà rimborsare a Botpress le spese ragionevoli sostenute per fornire tale assistenza.

10.c Se una richiesta o altra comunicazione relativa al trattamento dei Dati Personali ai sensi dell’Accordo viene inviata direttamente a Botpress, Botpress informerà tempestivamente il Cliente e consiglierà al Soggetto Interessato o all’Autorità di inoltrare la richiesta direttamente al Cliente. Il Cliente sarà l’unico responsabile nel rispondere in modo sostanziale a tali richieste o comunicazioni riguardanti i Dati Personali.

11. Audit relativo ai dati personali

11.a Su richiesta e con ragionevole preavviso a Botpress, il Cliente è autorizzato, a proprie spese, a effettuare le verifiche necessarie per assicurarsi che i Dati Personali trattati da Botpress per conto del Cliente siano trattati secondo le istruzioni del Cliente. Su richiesta del Cliente, Botpress consentirà l’audit e l’ispezione del trattamento effettuato da Botpress. Tale audit può essere condotto dal Cliente e/o da una terza parte (scelta dal Cliente e ragionevolmente accettata da Botpress) che agisce per conto del Cliente. Il Cliente dovrà adottare tutte le misure necessarie per evitare di causare danni o interruzioni alle sedi, alle attrezzature, al personale e alle attività delle entità del Gruppo Botpress.

11.b Il Cliente e Botpress dovranno concordare preventivamente la natura, l’ambito e la durata di qualsiasi audit da parte del Cliente, e il Cliente dovrà rimborsare a Botpress tutti i costi ragionevoli associati a tale audit, che potranno essere stimati su richiesta del Cliente prima dell’inizio dell’audit. Per quanto possibile, eventuali esigenze di audit del Cliente saranno soddisfatte tramite report di audit di terze parti forniti da Botpress, se disponibili.

11.c Se Botpress tratta dati europei per conto del Cliente, Botpress fornirà al Cliente, su richiesta ragionevole (in modo confidenziale) (i) una copia sintetica dei suoi report di test di sicurezza e (ii) risposte scritte a tutte le richieste ragionevoli di informazioni fatte dal Cliente necessarie a confermare la conformità di Botpress con questo DPA, a condizione che il Cliente non eserciti tale diritto più di una volta per anno solare, a meno che non abbia motivi ragionevoli per sospettare la non conformità di Botpress al DPA.

12. Limitazione di responsabilità

12.a La responsabilità complessiva di Botpress e delle sue Affiliate, derivante da o correlata al presente DPA (e a qualsiasi altro DPA tra le parti) e alle Clausole Contrattuali Standard (ove applicabili), sia per contratto, illecito o altra teoria di responsabilità, sarà limitata all’importo totale delle Tariffe pagate dal Cliente a Botpress per i Servizi nei 12 mesi precedenti l’evento che ha dato origine alla responsabilità.

13. Giurisdizione

Salvo diversa richiesta dalle Leggi sulla Protezione dei Dati applicabili, questo DPA sarà regolato e interpretato secondo le leggi applicabili all’Accordo e qualsiasi controversia sarà risolta dai tribunali competenti della giurisdizione indicata nella Proposta.

Nella misura in cui le leggi sulla protezione dei dati richiedono che questo DPA sia regolato dalle leggi di uno stato membro dell’Unione Europea, il presente DPA sarà regolato dalle leggi irlandesi e le controversie relative a questo Accordo saranno risolte dai tribunali irlandesi.

14. Generale

14.a Precedenza. In caso di incoerenza tra qualsiasi disposizione di questo DPA e qualsiasi altra disposizione dell’Accordo, le disposizioni del DPA prevarranno sempre, salvo che sia espressamente previsto che un’altra disposizione dell’Accordo abbia precedenza o che una disposizione di questo DPA venga derogata o modificata.

14.b Modifiche. Botpress può modificare questo DPA per riflettere cambiamenti nelle sue pratiche di trattamento dei dati. Qualsiasi modifica diversa da semplici chiarimenti linguistici (che saranno comunicati regolarmente al Cliente) sarà sottoposta al Cliente e non si applicherà se non accettata dal Cliente. Se una modifica di questo DPA è richiesta dalla legge applicabile, il Cliente avrà la possibilità di accettare tale modifica o terminare l’abbonamento ai Servizi Software.

14.c  Clausola di salvaguardia. Se una qualsiasi disposizione di questo DPA dovesse risultare invalida o inapplicabile, la validità e l'applicabilità delle altre disposizioni non ne saranno influenzate.‍

‍

Allegato 1 – Dettagli del trattamento

Identificazione del Titolare del trattamento

Il Cliente

Persona di riferimento: la persona indicata nella Proposta accettata dal Cliente.

Identificazione del Responsabile del trattamento

Se il Cliente si trova in Canada: Technologies Botpress Inc. Se il Cliente si trova altrove: Botpress, Inc.

Persona di contatto:

Jean-Bernard Perron [email protected]

Categorie di interessati

Il Cliente può inserire Dati Personali durante l’utilizzo del Servizio Software, nella misura determinata e controllata esclusivamente dal Cliente, secondo i termini di servizio applicabili, e che possono includere, ma non sono limitati a, Dati Personali relativi alle seguenti categorie di Interessati:

• Persone che utilizzano il Software per conto del Cliente
• Utenti finali dei bot per clienti

Categorie di dati personali

Il Cliente può inviare Dati Personali ai Servizi Software e può consentire agli Utenti Finali di inviare Dati Personali ai Servizi Software, nella misura determinata e controllata dal Cliente a sua esclusiva discrezione, soggetta ai termini di servizio applicabili.

Il Servizio Software non è progettato per il trattamento di dati sensibili; il Cliente deve valutare l’idoneità del Servizio Software per trattare dati sensibili.

Botpress elaborerà informazioni di contatto sugli Utenti Autorizzati (nome, email, telefono) e dati di utilizzo e comportamento relativi all’uso del prodotto per supporto tecnico e finalità statistiche.

Natura del trattamento

• Archiviazione e altri trattamenti necessari per fornire, mantenere e migliorare i Servizi offerti al Cliente;
• Divulgazione in conformità all’Accordo (incluso questo DPA) e/o come richiesto dalle leggi applicabili;
• Botpress tratterà i Dati Personali come necessario per fornire i Servizi secondo l’Accordo, e secondo le ulteriori istruzioni del Cliente nell’uso dei Servizi.
• Botpress tratta i dati di utilizzo per fornire supporto tecnico e a fini statistici (per miglioramento e sviluppo del prodotto).

Periodo di conservazione dei dati personali

Fatto salvo l'obbligo di Botpress di cancellare o restituire i dati al Cliente, secondo l'Accordo Botpress tratterà i Dati Personali per tutta la durata dell'Accordo, salvo diverso accordo scritto.

‍

‍Allegato 2 – Misure di sicurezza‍

1. Governance

Botpress adotta politiche e procedure adeguate riguardo ai Dati Personali, tra cui:

• Procedure di sicurezza delle informazioni;
• Politiche sull’uso dei Dati Personali;
• Procedura di segnalazione incidenti di sicurezza e privacy ;
• Meccanismi di valutazione del rischio;
• Procedure di audit interno ;
• Misure contrattuali;

‍2. Accesso degli utenti

• Le funzioni e le responsabilità degli utenti Botpress e dei profili utente con accesso ai Dati Personali e ai sistemi informativi sono chiaramente definite.
• Botpress adotta misure per informare i propri utenti sulle regole di sicurezza che influenzano lo svolgimento delle loro attività e sulle conseguenze in caso di violazione.
• Non vengono utilizzati protocolli in chiaro per accedere o trasferire Dati Personali. Solo il protocollo SSL è accettato per queste operazioni.
• Botpress garantisce la sicurezza dei processi e delle procedure per la gestione o lo smaltimento di supporti fisici o dispositivi che possono contenere Dati Personali.
• I Dati Personali sono fisicamente separati, o separati logicamente se si trovano su un database o ambiente virtuale, dagli altri dati di Botpress. Se i Dati Personali non sono fisicamente separati dagli altri dati, sistemi o applicazioni non collegati al Cliente, Botpress applica adeguati controlli di sicurezza, inclusi controlli di accesso.

3. Controllo degli accessi

Botpress gestisce i server, i database e altri componenti hardware e/o software che archiviano i Dati Personali in un data center sicuro, con accesso controllato e monitorato per consentire l’ingresso solo al personale autorizzato.

Botpress adotta efficaci misure di controllo dell’accesso logico su tutti i sistemi utilizzati per creare, trasmettere o trattare Dati Personali, tra cui, a titolo esemplificativo ma non esaustivo:

• Autenticazione dell’utente, che deve utilizzare identificatori unici ("user IDs") e nomi.
• Una strategia di password sufficientemente complessa e robusta.
  
• I diritti/privilegi di accesso degli utenti alle risorse informative contenenti dati personali devono essere concessi solo in base alle reali necessità legate ai compiti e alle responsabilità dell’utente.
• L’accesso degli utenti ai sistemi informatici che permettono l’accesso ai Dati Personali deve essere eliminato immediatamente alla partenza dell’utente o se cambia ruolo e il nuovo ruolo non richiede più l’accesso.
• Le password e le impostazioni di sicurezza predefinite devono essere cambiate nei prodotti/applicazioni di terze parti utilizzati per gestire dati personali.
• I fornitori di servizi terzi saranno soggetti agli stessi requisiti e obblighi di sicurezza previsti per gli utenti autorizzati di Botpress durante il trattamento dei Dati Personali.
• Rivalutazione annuale della giustificazione degli account utente e delle autorizzazioni associate con accesso a informazioni personali.

‍4. Architettura della sicurezza di rete

Botpress adotta efficaci misure di controllo dell’accesso alla rete su tutti i sistemi utilizzati per creare, trasmettere o elaborare Dati Personali, tra cui, a titolo esemplificativo ma non esaustivo:

• I firewall sono sempre attivi e installati al perimetro della rete tra la rete interna (privata) di Botpress e la rete pubblica (Internet).
• Sistemi di rilevamento e prevenzione delle intrusioni, configurati e monitorati correttamente, vengono utilizzati sulla rete Botpress.
• Solo i servizi/processi e le porte necessari per eseguire i programmi di routine sono abilitati sul database e sugli altri sistemi informativi utilizzati per trattare i Dati Personali. Tutti gli altri servizi/processi sull’host sono disabilitati.
• Tutti i sistemi informativi, repository e altri sistemi utilizzati per trattare Dati Personali devono essere fisicamente situati in un data center controllato e utilizzati allo scopo di proteggere i sistemi informativi.
• Canali sicuri (ad esempio, TLS, SFTP, SSH, IPSEC, ecc.) devono essere utilizzati costantemente per le comunicazioni con il data center di Botpress.

5. Controlli di gestione delle vulnerabilità

Botpress applica controlli efficaci di gestione delle vulnerabilità su tutti i sistemi utilizzati per creare, trasmettere o trattare Dati Personali, includendo, ma non solo:

• Implementazione di dispositivi di prevenzione e rilevamento in rete per filtrare email di phishing e malware prima che raggiungano le postazioni gestite da Botpress e con accesso diretto o indiretto ai Dati Personali.
• Installazione di software antivirus e antimalware per la prevenzione e il rilevamento su tutte le postazioni gestite da Botpress e che trattano Dati Personali.
• Mantieni un processo e una pratica standard di gestione delle patch per garantire la protezione di tutti i dispositivi utilizzati per accedere, elaborare o archiviare Dati Personali.
  
• I dispositivi e i documenti contenenti Dati Personali devono permettere l’identificazione delle informazioni consultate, essere inventariati e accessibili solo agli utenti autorizzati secondo il documento di sicurezza.
• Misure per prevenire furto, perdita o accesso non autorizzato ai Dati Personali durante le operazioni di trasmissione e trasferimento.

6. Backup, recupero e disponibilità dei dati

Botpress implementa i seguenti piani di disaster recovery e business continuity per ridurre al minimo i tempi di inattività e la perdita di dati.

• Botpress implementa funzioni di disaster recovery progettate per ripristinare la funzionalità del sistema contenente Dati Personali entro un periodo concordato tra le parti o, in mancanza, entro un periodo ragionevole in base alla natura dei Dati Personali.
• Botpress garantirà sistematicamente che i Dati Personali siano inaccessibili a chiunque tranne che al personale autorizzato di Botpress (ad esempio, i backup esterni saranno sempre criptati).
• Per ridurre i rischi ambientali, le apparecchiature devono essere collocate lontano da aree soggette a rischi ambientali elevati e integrate da apparecchiature ridondanti situate a distanza ragionevole.
• Meccanismi di sicurezza e ridondanze devono essere implementati per proteggere le apparecchiature da interruzioni dei servizi (ad esempio, blackout, interruzioni di rete, ecc.).
• Devono essere stabilite politiche e procedure per la conservazione e l’archiviazione dei dati, e implementati meccanismi di backup o ridondanza per garantire la conformità a requisiti normativi, legali, contrattuali o aziendali. Il ripristino dei backup su disco o nastro deve essere testato a intervalli pianificati.

7. Audit di sicurezza

Botpress applica controlli su tutti i sistemi utilizzati per creare, trasmettere o elaborare Dati Personali, inclusi ma non limitati a:

• Scansioni di vulnerabilità o audit di terze parti su dispositivi infrastrutturali esterni (pubblici) che contengono Dati Personali.
• Test di penetrazione di terze parti sui sistemi Botpress che archiviano ed elaborano Dati Personali.
• Valutazione periodica di terze parti dove applicazioni o processi gestiscono informazioni finanziarie.
• Botpress si impegna a gestire tutte le vulnerabilità identificate dai test di penetrazione e a notificare al Cliente le azioni correttive intraprese.
  

8. Formazione e sensibilizzazione

Botpress adotta un programma di sensibilizzazione alla sicurezza per i propri dipendenti e fornitori di servizi che interagiscono con i sistemi che gestiscono Dati Personali, includendo:

• Botpress garantirà che il proprio personale comprenda le minacce e le problematiche legate alla gestione del rischio informativo relative ai Servizi Botpress e le politiche pertinenti di gestione del rischio informativo.
• Il personale di Botpress riceverà formazione e aggiornamenti regolari sulle politiche e procedure di gestione del rischio informativo, secondo gli standard di classificazione e le procedure appropriate.
• Il personale dei subappaltatori deve essere informato sullo schema di classificazione della gestione dei rischi informativi di Botpress e sulle procedure appropriate.
• Devono essere stabilite politiche e procedure per rimuovere documenti visibili contenenti dati sensibili quando uno spazio di lavoro è incustodito e per imporre il logout della sessione della postazione dopo un periodo di inattività.

‍

Allegato 3 – Sub-Processori

Botpress mantiene un elenco aggiornato dei Sub-Processor nel suo Trust Center. Salvo diversa indicazione, tutti i dati sono trattati negli Stati Uniti.