Premessa
Madisoft SpA è impegnata costantemente a pianificare e monitorare le proprie azioni per la gestione dei dati e dei processi interni nell’ottica della salvaguardia dell’integrità e della disponibilità delle informazioni stesse.
Madisoft SpA adotta tutti gli accorgimenti organizzativi, le soluzioni tecniche e procedurali idonee al
ripristino delle condizioni di funzionamento e di operatività antecedenti ad eventuali eventi disastrosi ed è impegnata, con continuità, ad adottare tutte le misure di sicurezza che trovano fondamento e riferimento in un quadro normativo ampio e complesso (codice della privacy, t.u. sulla sicurezza del lavoro, regole tecniche del Codice dell'Amministrazione Digitale).
Il presente documento descrive la policy di Madisoft SpA in materia di sicurezza
informatica, continuità operativa e trattamento dei dati personali contenuti negli archivi
delle scuole fruitrici dei servizi web di Madisoft SpA
Criteri di selezione delle server farm
Madisoft SpA si affida esclusivamente a server farm di comprovata affidabilità ed esperienza in materia di
sicurezza informatica, e comunque previa verifica delle misure fisiche, logiche e organizzative poste in capo
all'infrastruttura informatica.
Tipologia dei dati gestiti dalla Madisoft SpA
I dati gestiti dalla Madisoft SpA riguardano i dati contenuti negli archivi delle scuole fruitrici del servizio
Nuvola
In riferimento a quest'ultimi, la natura dei dati varia in base alle caratteristiche del
servizio attivato dalla scuola.
Modalità di gestione dei dati e di erogazione del servizio
Per quanto riguarda la gestione dei servizi e dei dati, Madisoft SpA garantisce vari livelli di
ridondanza: sia le applicazioni che il database dell'infrastruttura principale sono replicati
in maniera sincrona su un server della stessa infrastruttura (ossia i dati vengono
specularmente memorizzati sui due server) e su un server dell'infrastruttura secondaria.
Madisoft SpA effettuata a intervalli regolari copie di back-up
La Madisoft SpA è inoltre dotata di uno strumento di monitoraggio continuo degli applicativi
web che fornisce in tempo reale, indicatori sulle prestazioni degli stessi, inclusi eventuali
picchi di carico.
Modalità di trasmissione dei dati
I dati viaggiono sulla rete criptati, secondo il protocollo SSL (Secure Sockets Layer) che garantisce il
massimo livello di sicurezza a protezione delle trasmissioni telematiche.
La connessione è protetta a crittografia 256-bit.
La connessione utilizza TLS 1.2.
La connessione è crittografata utilizzando AES_256_CBC, con SHA1 per l’autenticazione dei messaggi e DHERSA
come meccanismo principale di scambio delle chiavi.
Conservazione dati
Madisoft SpA garantisce l’accessibilità dei dati ai clienti odierni anche per gli anni precedenti di utilizzo del
servizio web Nuvola.
Risoluzione dei contratti e fruibilità dei dati
In caso di risoluzione del contratto da parte della scuola del servizio Nuvola, Madisoft SpA garantisce
l'accesso ai dati e la fruizione del servizio da parte dell'utente per un ulteriore periodo di un mese dalla data
di risoluzione e il mantenimento dei dati per un ulteriore periodo di un anno, al termine del quale i dati
vengono rimossi dai server di produzione e dalle copie di backup.
L’istituzione scolastica può in qualsiasi momento della durata del contratto in essere con Madisoft SpA
effettuare proprie copie di back-up in formati intellegibili (csv e/o pdf).
Informativa sulla privacy
Informativa sul trattamento dei dati personali ex art. 13 del D.Lgs. 196/2003
Riferimenti normativi: CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI – D.Lgs. 30 giugno 2003 n.
196, di seguito denominato “Codice”.
Terminologia: L'art. 4 “Definizioni” del Codice definisce:
- DATO PERSONALE "qualunque informazione relativa a persona fisica, persona giuridica, ente
o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a
qualsiasi altra informazione, ivi compreso un numero di identificazione personale".
- TRATTAMENTO "qualunque operazione o complesso di operazioni, svolti con o senza
l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la
registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la
selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione,
la diffusione, la cancellazione e la distruzione di dati";
- INTERESSATO "la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono
i dati personali";
- TITOLARE “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi
altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed
alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza”;
- RESPONSABILE “la persona fisica, la persona giuridica, la pubblica amministrazione e
qualsiasi altro ente, associazione od organismo preposti dal Titolare al trattamento dei dati
personali”;
- INCARICATO DEL TRATTAMENTO “è la persona incaricata per iscritto di compiere le
operazioni del trattamento dal titolare o dal responsabile, e che opera sotto la loro diretta
autorità”, che “deve elaborare i dati personali ai quali ha accesso attenendosi alle istruzioni
del titolare o del responsabile”.
INFORMATIVA sul trattamento dei dati personali del Cliente PARTE GENERALE. Madisoft SpA informa:
- di essere in possesso di dati trattati riferiti al Cliente/Istituzione scolastica qualificati come
personali dal Codice;
- che la Società Madisoft SpA con sede in Via G. Falcone 5, Casette Verdini - Pollenza (MC) è
TITOLARE del trattamento di tali dati personali; Responsabile del trattamento dati è l'Ing.
Moretti Matteo.
- che tali dati personali sono stati acquisiti o verranno acquisiti direttamente dal Cliente o
tramite terzi;
- che la Madisoft SpA, tratta tali dati, nel rispetto della normativa sopra richiamata, per le
seguenti finalità:
- adempimento agli obblighi di legge, di regolamento, di normativa comunitaria, in materia fiscale o
contabile (es. fatturazione, tenuta scritture e registrazioni contabili, ecc.)
- adempimento agli obblighi derivanti dal contratto concluso con l’Istituzione scolastica e della eventuale
nomina a responsabile del trattamento dei dati personali
- esercizi e difesa, anche a mezzo di mandatari, in sede giudiziale o stragiudiziale, dei diritti derivanti dal
contratto con Voi concluso,
- invio periodico ai clienti, con riferimento ai prodotti da noi commercializzati, di materiale promozionale o
pubblicitario, informazioni commerciali, effettuazione di ricerche ed analisi di mercato e comunicazione
commerciale interattiva.
- che il conferimento dei dati personali indispensabili per i fini indicati ai punti 1), 2) e 3) è
correlato alle attività da svolgere; il rifiuto di fornirli comporterebbe l’impossibilità per
Madisoft SpA di adempiere agli obblighi legali in materia fiscale o contabile, adempiere ai
propri obblighi contrattuali nei Vostri confronti, far valere nei Vostri confronti i propri diritti
derivanti dal contratto e, di conseguenza, l’impossibilità di mantenere od instaurare il
rapporto contrattuale. Qualora i dati personali vengano (o siano già stati) forniti, il loro
trattamento ai fini indicati ai punti 1, 2, 3, non necessita del consenso dell’interessato;
- che il conferimento dei dati personali indispensabili per i fini indicati al punto 4) ha natura
facoltativa;
- che, in relazione alle suindicate finalità, il trattamento dei Dati personali avviene mediante
archiviazione su supporti cartacei, informatici o telematici, nel rispetto della normativa
vigente, con logiche strettamente correlate alle finalità stesse e, comunque, in modo da
garantire la sicurezza e la riservatezza dei dati. I dati vengono trattati per tutta la durata dei
rapporti contrattuali e anche successivamente per l’espletamento di tutti gli adempimenti di
legge, e comunque per un tempo non superiore agli scopi per i quali sono stati raccolti.
Dopodiché i medesimi dati vengono distrutti;
- che, ferme restando le comunicazioni eseguite in conformità al Codice per le quali non è
necessario il consenso dell’interessato, la Madisoft SpA può, per le finalità sopra indicate,
comunicare tali dati personali ai seguenti soggetti: professionisti e consulenti in materia
legale/fiscale e contabile, società di assicurazione, istituti di credito, imprese di trasporto,
società di informazioni commerciali, intermediari finanziari non bancari, agenzie di
intermediazione, società di imbustamento della corrispondenza, che tratteranno i dati
personali comunicati nei limiti di quanto strettamente necessario all’adempimento del
contratto con il Cliente e nel rispetto delle idonee istruzioni per il trattamento dei dati
personali ricevute da Madisoft SpA
- che, in relazione ai predetti trattamenti, il Cliente può esercitare i diritti di cui all’art. 7 del
Codice scrivendo a Madisoft SpA.
INFORMATIVA sul Trattamento dati personali di cui la Madisoft SpA viene in possesso mediante l'invio da
parte del Cliente di archivi informatici per attività di migrazione, ripristino, manutenzione degli archivi e
per manutenzione del software applicativo, per l’effettuazione dei servizi di registro elettronico,
scrutinio e altri applicativi web, per l’effettuazione di altri servizi on line
Relativamente al trattamento dei dati personali dei quali i soggetti sopra menzionati vengono in possesso
sotto forma di archivi informatici inviatici dal Cliente per attività di migrazione, ripristino, manutenzione
degli stessi, per manutenzione del software applicativo, per l’effettuazione dei servizi di registro
elettronico, scrutinio e altri applicativi web, per l’effettuazione di altri servizi on line la Madisoft SpA svolge
un’attività meramente esecutiva di una prestazione contrattuale (contratto di assistenza e manutenzione
e/o altro contratto ad hoc) e risulta estranea alle decisioni in ordine alle finalità ed all’utilizzo delle banche
dati su cui deve operare, che restano di stretta competenza dell’istituzione scolastica. Pertanto, ai sensi del
Codice, Madisoft SpA riconosce nel Cliente la figura del TITOLARE del trattamento dei dati personali e in
Madisoft SpA la figura del RESPONSABILE del trattamento dei dati personali.
Impegno di Madisoft SpA: la
società si impegna ad effettuare le operazioni di cui sopra nel rispetto del Codice secondo le condizioni ed i
termini che seguono:
- Madisoft SpA effettua, per le finalità di adempimento degli obblighi derivanti dal contratto di assistenza e
di manutenzione e/o di altri contratti ad hoc, le seguenti operazioni di trattamento dei dati personali:
raccolta, elaborazione, riordino, controllo, riparazione, migrazione, stampe di controllo, registrazione su
supporto magnetico, spedizione al Cliente, distruzione dopo 20 (venti) gg. dal termine del lavoro. Il
corrispettivo per l'effettuazione delle suddette operazioni di trattamento deve ritenersi ricompreso nel
corrispettivo già concordato nel contratto di manutenzione o in un preventivo a parte se trattasi di
migrazioni o operazioni di riparazione non rientranti nel canone di manutenzione.
- Madisoft SpA si obbliga a:
- trattare i dati personali in modo lecito, secondo correttezza, nel rispetto di
quanto disposto dal Codice;
- effettuare le operazioni di trattamento dei dati unicamente per i seguenti
scopi: migrazione da altre procedure a procedure Madisoft SpA, riparazione e controlli di integrità, assistenza
e manutenzione del proprio software applicativo, con divieto esplicito di utilizzare i dati per scopi o finalità
diversi da quelli sopraindicati, esecuzione dei contratti in essere con i clienti;
- attenersi alle istruzioni di
volta in volta ricevute dal Cliente in merito alla sorte dei dati personali trattati, al fine di limitarne l'utilizzo
per un tempo non eccedente quello necessario per gli scopi per il quale i dati sono stati raccolti;
-
consentire agli interessati l'esercizio dei diritti di accesso e di controllo di cui al Codice, nei limiti in cui tale
diritto e' loro riconosciuto dalla legge (nella fattispecie sono interessati gli alunni, i docenti, i non docenti, i
genitori o parenti degli alunni o comunque qualsiasi soggetto di cui il Cliente tratti i dati personali);
-
adottare le misure di sicurezza minime per il trattamento del dati personali secondo i dettati normativi,
nonché secondo le istruzioni che saranno impartite dal Cliente, impegnandosi nel frattempo ad adottare le
misure di sicurezza atte a prevenire e/o evitare la comunicazione o diffusione illecita dei suddetti dati
personali, il rischio di distruzione o perdita, anche accidentale, dei dati personali stessi, di accesso non
autorizzato o di trattamento non autorizzato o non conforme alle finalità della raccolta;
- nominare il
personale coinvolto nei trattamenti come INCARICATI del trattamento dei dati;
- comunicare i dati solo
agli INCARICATI del trattamento dati e ai soggetti che si evidenziassero solo in ordine all’esecuzione del
contratto.
Impegno del Cliente: I Clienti devono assicurare che i dati personali trasmessi a Madisoft SpA
sono trattati dal Cliente stesso in maniera lecita e corretta, (per lo svolgimento delle proprie
funzioni istituzionali, nei limiti stabiliti dalle leggi e dai regolamenti) e in ottemperanza a
quanto disposto dal Codice e delle altre norme vigenti.
In relazione ai predetti trattamenti, il Cliente può esercitare i diritti di cui all’art. 7 del Codice scrivendo
alla Madisoft SpA.