Premessa

Madisoft SpA è impegnata costantemente a pianificare e monitorare le proprie azioni per la gestione dei dati e dei processi interni nell’ottica della salvaguardia dell’integrità e della disponibilità delle informazioni stesse. Madisoft SpA adotta tutti gli accorgimenti organizzativi, le soluzioni tecniche e procedurali idonee al ripristino delle condizioni di funzionamento e di operatività antecedenti ad eventuali eventi disastrosi ed è impegnata, con continuità, ad adottare tutte le misure di sicurezza che trovano fondamento e riferimento in un quadro normativo ampio e complesso (codice della privacy, t.u. sulla sicurezza del lavoro, regole tecniche del Codice dell'Amministrazione Digitale).

Il presente documento descrive la policy di Madisoft SpA in materia di sicurezza informatica, continuità operativa e trattamento dei dati personali contenuti negli archivi delle scuole fruitrici dei servizi web di Madisoft SpA

Criteri di selezione delle server farm

Madisoft SpA si affida esclusivamente a server farm di comprovata affidabilità ed esperienza in materia di sicurezza informatica, e comunque previa verifica delle misure fisiche, logiche e organizzative poste in capo all'infrastruttura informatica.

Tipologia dei dati gestiti dalla Madisoft SpA

I dati gestiti dalla Madisoft SpA riguardano i dati contenuti negli archivi delle scuole fruitrici del servizio Nuvola In riferimento a quest'ultimi, la natura dei dati varia in base alle caratteristiche del servizio attivato dalla scuola.

Modalità di gestione dei dati e di erogazione del servizio

Per quanto riguarda la gestione dei servizi e dei dati, Madisoft SpA garantisce vari livelli di ridondanza: sia le applicazioni che il database dell'infrastruttura principale sono replicati in maniera sincrona su un server della stessa infrastruttura (ossia i dati vengono specularmente memorizzati sui due server) e su un server dell'infrastruttura secondaria. Madisoft SpA effettuata a intervalli regolari copie di back-up La Madisoft SpA è inoltre dotata di uno strumento di monitoraggio continuo degli applicativi web che fornisce in tempo reale, indicatori sulle prestazioni degli stessi, inclusi eventuali picchi di carico.

Modalità di trasmissione dei dati

I dati viaggiono sulla rete criptati, secondo il protocollo SSL (Secure Sockets Layer) che garantisce il massimo livello di sicurezza a protezione delle trasmissioni telematiche. La connessione è protetta a crittografia 256-bit. La connessione utilizza TLS 1.2. La connessione è crittografata utilizzando AES_256_CBC, con SHA1 per l’autenticazione dei messaggi e DHERSA come meccanismo principale di scambio delle chiavi.

Conservazione dati

Madisoft SpA garantisce l’accessibilità dei dati ai clienti odierni anche per gli anni precedenti di utilizzo del servizio web Nuvola.

Risoluzione dei contratti e fruibilità dei dati

In caso di risoluzione del contratto da parte della scuola del servizio Nuvola, Madisoft SpA garantisce l'accesso ai dati e la fruizione del servizio da parte dell'utente per un ulteriore periodo di un mese dalla data di risoluzione e il mantenimento dei dati per un ulteriore periodo di un anno, al termine del quale i dati vengono rimossi dai server di produzione e dalle copie di backup. L’istituzione scolastica può in qualsiasi momento della durata del contratto in essere con Madisoft SpA effettuare proprie copie di back-up in formati intellegibili (csv e/o pdf).

Informativa sulla privacy

Informativa sul trattamento dei dati personali ex art. 13 del D.Lgs. 196/2003

Riferimenti normativi: CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI – D.Lgs. 30 giugno 2003 n. 196, di seguito denominato “Codice”.

Terminologia: L'art. 4 “Definizioni” del Codice definisce:

INFORMATIVA sul trattamento dei dati personali del Cliente PARTE GENERALE. Madisoft SpA informa:

INFORMATIVA sul Trattamento dati personali di cui la Madisoft SpA viene in possesso mediante l'invio da parte del Cliente di archivi informatici per attività di migrazione, ripristino, manutenzione degli archivi e per manutenzione del software applicativo, per l’effettuazione dei servizi di registro elettronico, scrutinio e altri applicativi web, per l’effettuazione di altri servizi on line

Relativamente al trattamento dei dati personali dei quali i soggetti sopra menzionati vengono in possesso sotto forma di archivi informatici inviatici dal Cliente per attività di migrazione, ripristino, manutenzione degli stessi, per manutenzione del software applicativo, per l’effettuazione dei servizi di registro elettronico, scrutinio e altri applicativi web, per l’effettuazione di altri servizi on line la Madisoft SpA svolge un’attività meramente esecutiva di una prestazione contrattuale (contratto di assistenza e manutenzione e/o altro contratto ad hoc) e risulta estranea alle decisioni in ordine alle finalità ed all’utilizzo delle banche dati su cui deve operare, che restano di stretta competenza dell’istituzione scolastica. Pertanto, ai sensi del Codice, Madisoft SpA riconosce nel Cliente la figura del TITOLARE del trattamento dei dati personali e in Madisoft SpA la figura del RESPONSABILE del trattamento dei dati personali.

Impegno di Madisoft SpA: la società si impegna ad effettuare le operazioni di cui sopra nel rispetto del Codice secondo le condizioni ed i termini che seguono:

Impegno del Cliente: I Clienti devono assicurare che i dati personali trasmessi a Madisoft SpA sono trattati dal Cliente stesso in maniera lecita e corretta, (per lo svolgimento delle proprie funzioni istituzionali, nei limiti stabiliti dalle leggi e dai regolamenti) e in ottemperanza a quanto disposto dal Codice e delle altre norme vigenti. In relazione ai predetti trattamenti, il Cliente può esercitare i diritti di cui all’art. 7 del Codice scrivendo alla Madisoft SpA.