Premessa

Madisoft SpA è impegnata costantemente a pianificare e monitorare le proprie azioni per la gestione dei dati e dei processi interni nell’ottica della salvaguardia dell’integrità e della disponibilità delle informazioni stesse. Madisoft SpA adotta tutti gli accorgimenti organizzativi, le soluzioni tecniche e procedurali idonee al ripristino delle condizioni di funzionamento e di operatività antecedenti ad eventuali eventi disastrosi ed è impegnata, con continuità, ad adottare tutte le misure di sicurezza che trovano fondamento e riferimento in un quadro normativo ampio e complesso (codice della privacy, t.u. sulla sicurezza del lavoro, regole tecniche del Codice dell'Amministrazione Digitale).

Il presente documento descrive la policy di Madisoft SpA in materia di sicurezza informatica, continuità operativa e trattamento dei dati personali contenuti negli archivi delle scuole fruitrici dei servizi web di Madisoft SpA

Criteri di selezione delle server farm

Madisoft SpA si affida esclusivamente a server farm di comprovata affidabilità ed esperienza in materia di sicurezza informatica, e comunque previa verifica delle misure fisiche, logiche e organizzative poste in capo all'infrastruttura informatica.

Tipologia dei dati gestiti dalla Madisoft SpA

I dati gestiti dalla Madisoft SpA riguardano i dati contenuti negli archivi delle scuole fruitrici del servizio Nuvola In riferimento a quest'ultimi, la natura dei dati varia in base alle caratteristiche del servizio attivato dalla scuola.

Modalità di gestione dei dati e di erogazione del servizio

Per quanto riguarda la gestione dei servizi e dei dati, Madisoft SpA garantisce vari livelli di ridondanza: sia le applicazioni che il database dell'infrastruttura principale sono replicati in maniera sincrona su un server della stessa infrastruttura (ossia i dati vengono specularmente memorizzati sui due server) e su un server dell'infrastruttura secondaria. Madisoft SpA effettuata a intervalli regolari copie di back-up La Madisoft SpA è inoltre dotata di uno strumento di monitoraggio continuo degli applicativi web che fornisce in tempo reale, indicatori sulle prestazioni degli stessi, inclusi eventuali picchi di carico.

Modalità di trasmissione dei dati

I dati viaggiono sulla rete criptati, secondo il protocollo SSL (Secure Sockets Layer) che garantisce il massimo livello di sicurezza a protezione delle trasmissioni telematiche. La connessione è protetta a crittografia 256-bit. La connessione utilizza TLS 1.2. La connessione è crittografata utilizzando AES_256_CBC, con SHA1 per l’autenticazione dei messaggi e DHERSA come meccanismo principale di scambio delle chiavi.

Conservazione dati

Madisoft SpA garantisce l’accessibilità dei dati ai clienti odierni anche per gli anni precedenti di utilizzo del servizio web Nuvola.

Risoluzione dei contratti e fruibilità dei dati

In caso di risoluzione del contratto da parte della scuola del servizio Nuvola, Madisoft SpA garantisce l'accesso ai dati e la fruizione del servizio da parte dell'utente per un ulteriore periodo di un mese dalla data di risoluzione e il mantenimento dei dati per un ulteriore periodo di un anno, al termine del quale i dati vengono rimossi dai server di produzione e dalle copie di backup. L’istituzione scolastica può in qualsiasi momento della durata del contratto in essere con Madisoft SpA effettuare proprie copie di back-up in formati intellegibili (csv e/o pdf).

Informativa sulla privacy

Informativa sul trattamento dei dati personali ex art. 13 del D.Lgs. 196/2003

Riferimenti normativi: CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI – D.Lgs. 30 giugno 2003 n. 196, di seguito denominato “Codice”.

Terminologia: L'art. 4 “Definizioni” del Codice definisce:

• DATO PERSONALE "qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale".
• TRATTAMENTO "qualunque operazione o complesso di operazioni, svolti con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati";
• INTERESSATO "la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali";
• TITOLARE “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza”;
• RESPONSABILE “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal Titolare al trattamento dei dati personali”;
• INCARICATO DEL TRATTAMENTO “è la persona incaricata per iscritto di compiere le operazioni del trattamento dal titolare o dal responsabile, e che opera sotto la loro diretta autorità”, che “deve elaborare i dati personali ai quali ha accesso attenendosi alle istruzioni del titolare o del responsabile”.

INFORMATIVA sul trattamento dei dati personali del Cliente PARTE GENERALE. Madisoft SpA informa:

• di essere in possesso di dati trattati riferiti al Cliente/Istituzione scolastica qualificati come personali dal Codice;
• che la Società Madisoft SpA con sede in Via G. Falcone 5, Casette Verdini - Pollenza (MC) è TITOLARE del trattamento di tali dati personali; Responsabile del trattamento dati è l'Ing. Moretti Matteo.
• che tali dati personali sono stati acquisiti o verranno acquisiti direttamente dal Cliente o tramite terzi;
• che la Madisoft SpA, tratta tali dati, nel rispetto della normativa sopra richiamata, per le seguenti finalità:
  1. adempimento agli obblighi di legge, di regolamento, di normativa comunitaria, in materia fiscale o contabile (es. fatturazione, tenuta scritture e registrazioni contabili, ecc.)
  2. adempimento agli obblighi derivanti dal contratto concluso con l’Istituzione scolastica e della eventuale nomina a responsabile del trattamento dei dati personali
  3. esercizi e difesa, anche a mezzo di mandatari, in sede giudiziale o stragiudiziale, dei diritti derivanti dal contratto con Voi concluso,
  4. invio periodico ai clienti, con riferimento ai prodotti da noi commercializzati, di materiale promozionale o pubblicitario, informazioni commerciali, effettuazione di ricerche ed analisi di mercato e comunicazione commerciale interattiva.
• che il conferimento dei dati personali indispensabili per i fini indicati ai punti 1), 2) e 3) è correlato alle attività da svolgere; il rifiuto di fornirli comporterebbe l’impossibilità per Madisoft SpA di adempiere agli obblighi legali in materia fiscale o contabile, adempiere ai propri obblighi contrattuali nei Vostri confronti, far valere nei Vostri confronti i propri diritti derivanti dal contratto e, di conseguenza, l’impossibilità di mantenere od instaurare il rapporto contrattuale. Qualora i dati personali vengano (o siano già stati) forniti, il loro trattamento ai fini indicati ai punti 1, 2, 3, non necessita del consenso dell’interessato;
• che il conferimento dei dati personali indispensabili per i fini indicati al punto 4) ha natura facoltativa;
• che, in relazione alle suindicate finalità, il trattamento dei Dati personali avviene mediante archiviazione su supporti cartacei, informatici o telematici, nel rispetto della normativa vigente, con logiche strettamente correlate alle finalità stesse e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati. I dati vengono trattati per tutta la durata dei rapporti contrattuali e anche successivamente per l’espletamento di tutti gli adempimenti di legge, e comunque per un tempo non superiore agli scopi per i quali sono stati raccolti. Dopodiché i medesimi dati vengono distrutti;
• che, ferme restando le comunicazioni eseguite in conformità al Codice per le quali non è necessario il consenso dell’interessato, la Madisoft SpA può, per le finalità sopra indicate, comunicare tali dati personali ai seguenti soggetti: professionisti e consulenti in materia legale/fiscale e contabile, società di assicurazione, istituti di credito, imprese di trasporto, società di informazioni commerciali, intermediari finanziari non bancari, agenzie di intermediazione, società di imbustamento della corrispondenza, che tratteranno i dati personali comunicati nei limiti di quanto strettamente necessario all’adempimento del contratto con il Cliente e nel rispetto delle idonee istruzioni per il trattamento dei dati personali ricevute da Madisoft SpA
• che, in relazione ai predetti trattamenti, il Cliente può esercitare i diritti di cui all’art. 7 del Codice scrivendo a Madisoft SpA.

INFORMATIVA sul Trattamento dati personali di cui la Madisoft SpA viene in possesso mediante l'invio da parte del Cliente di archivi informatici per attività di migrazione, ripristino, manutenzione degli archivi e per manutenzione del software applicativo, per l’effettuazione dei servizi di registro elettronico, scrutinio e altri applicativi web, per l’effettuazione di altri servizi on line

Relativamente al trattamento dei dati personali dei quali i soggetti sopra menzionati vengono in possesso sotto forma di archivi informatici inviatici dal Cliente per attività di migrazione, ripristino, manutenzione degli stessi, per manutenzione del software applicativo, per l’effettuazione dei servizi di registro elettronico, scrutinio e altri applicativi web, per l’effettuazione di altri servizi on line la Madisoft SpA svolge un’attività meramente esecutiva di una prestazione contrattuale (contratto di assistenza e manutenzione e/o altro contratto ad hoc) e risulta estranea alle decisioni in ordine alle finalità ed all’utilizzo delle banche dati su cui deve operare, che restano di stretta competenza dell’istituzione scolastica. Pertanto, ai sensi del Codice, Madisoft SpA riconosce nel Cliente la figura del TITOLARE del trattamento dei dati personali e in Madisoft SpA la figura del RESPONSABILE del trattamento dei dati personali.

Impegno di Madisoft SpA: la società si impegna ad effettuare le operazioni di cui sopra nel rispetto del Codice secondo le condizioni ed i termini che seguono:

• Madisoft SpA effettua, per le finalità di adempimento degli obblighi derivanti dal contratto di assistenza e di manutenzione e/o di altri contratti ad hoc, le seguenti operazioni di trattamento dei dati personali: raccolta, elaborazione, riordino, controllo, riparazione, migrazione, stampe di controllo, registrazione su supporto magnetico, spedizione al Cliente, distruzione dopo 20 (venti) gg. dal termine del lavoro. Il corrispettivo per l'effettuazione delle suddette operazioni di trattamento deve ritenersi ricompreso nel corrispettivo già concordato nel contratto di manutenzione o in un preventivo a parte se trattasi di migrazioni o operazioni di riparazione non rientranti nel canone di manutenzione.
• Madisoft SpA si obbliga a:
  • trattare i dati personali in modo lecito, secondo correttezza, nel rispetto di quanto disposto dal Codice;
  • effettuare le operazioni di trattamento dei dati unicamente per i seguenti scopi: migrazione da altre procedure a procedure Madisoft SpA, riparazione e controlli di integrità, assistenza e manutenzione del proprio software applicativo, con divieto esplicito di utilizzare i dati per scopi o finalità diversi da quelli sopraindicati, esecuzione dei contratti in essere con i clienti;
  • attenersi alle istruzioni di volta in volta ricevute dal Cliente in merito alla sorte dei dati personali trattati, al fine di limitarne l'utilizzo per un tempo non eccedente quello necessario per gli scopi per il quale i dati sono stati raccolti;
  • consentire agli interessati l'esercizio dei diritti di accesso e di controllo di cui al Codice, nei limiti in cui tale diritto e' loro riconosciuto dalla legge (nella fattispecie sono interessati gli alunni, i docenti, i non docenti, i genitori o parenti degli alunni o comunque qualsiasi soggetto di cui il Cliente tratti i dati personali);
  • adottare le misure di sicurezza minime per il trattamento del dati personali secondo i dettati normativi, nonché secondo le istruzioni che saranno impartite dal Cliente, impegnandosi nel frattempo ad adottare le misure di sicurezza atte a prevenire e/o evitare la comunicazione o diffusione illecita dei suddetti dati personali, il rischio di distruzione o perdita, anche accidentale, dei dati personali stessi, di accesso non autorizzato o di trattamento non autorizzato o non conforme alle finalità della raccolta;
  • nominare il personale coinvolto nei trattamenti come INCARICATI del trattamento dei dati;
  • comunicare i dati solo agli INCARICATI del trattamento dati e ai soggetti che si evidenziassero solo in ordine all’esecuzione del contratto.

Impegno del Cliente: I Clienti devono assicurare che i dati personali trasmessi a Madisoft SpA sono trattati dal Cliente stesso in maniera lecita e corretta, (per lo svolgimento delle proprie funzioni istituzionali, nei limiti stabiliti dalle leggi e dai regolamenti) e in ottemperanza a quanto disposto dal Codice e delle altre norme vigenti. In relazione ai predetti trattamenti, il Cliente può esercitare i diritti di cui all’art. 7 del Codice scrivendo alla Madisoft SpA.