Ultimo aggiornamento: 29/01/2026

Sicurezza & GDPR

Quadro informativo sulle misure di sicurezza, sulla protezione dei dati e sul Data Processing Agreement (DPA) per Clienti enterprise.
Indice
1) Misure di Sicurezza
2) GDPR & Protezione Dati
3) Incident Response
4) DPA (Enterprise)
Allegato A — Misure Tecniche e Organizzative
Allegato B — Sub-responsabili

1) Misure di Sicurezza

1.1 Governance e accessi

  • Principio del minimo privilegio e separazione dei ruoli (ove applicabile).
  • Autenticazione e controllo degli accessi logici ai sistemi.
  • Logging di eventi rilevanti ai fini di sicurezza e audit.

1.2 Protezione infrastrutturale

  • Hardening dei sistemi e aggiornamenti di sicurezza.
  • Protezione perimetrale e/o applicativa (rate limiting, mitigazione abusi, controlli anti-bot ove previsti).
  • Cifratura in transito (TLS) e, ove applicabile, cifratura a riposo.

1.3 Continuità operativa e backup

  • Procedure di backup e ripristino coerenti con la criticità del servizio e/o con accordi enterprise.
  • Monitoraggio e alerting per anomalie e degradazioni.

2) GDPR & Protezione Dati

2.1 Ruoli privacy

In relazione al sito e alle richieste demo/contatti, INSIGHT S.R.L. opera in qualità di Titolare del trattamento, come indicato nella Privacy Policy. In relazione ai Servizi erogati ai Clienti (in particolare in modalità SaaS/enterprise), INSIGHT S.R.L. può operare come Responsabile del trattamento per conto del Cliente (Titolare), secondo quanto previsto nel DPA.

2.2 Principi e misure

  • Data protection by design e by default (ove applicabile alle funzionalità erogate).
  • Minimizzazione, limitazione della conservazione, integrità e riservatezza.
  • Procedure per gestione richieste degli interessati e audit (enterprise).

2.3 Trasferimenti extra-SEE

Eventuali trasferimenti extra-SEE avvengono nel rispetto degli artt. 44 ss. GDPR (es. SCC e misure supplementari), con indicazione nei contratti e/o allegati enterprise.

3) Incident Response

3.1 Gestione incidenti

Il Provider mantiene un processo di gestione incidenti con attività di rilevazione, contenimento, ripristino e post-mortem, coerente con la criticità del servizio e con eventuali impegni contrattuali enterprise.

3.2 Notifiche

In ambito DPA, il Provider notifica senza ingiustificato ritardo al Cliente eventuali violazioni dei dati personali di cui venga a conoscenza, secondo le modalità previste nel DPA.

4) DPA — Data Processing Agreement (Clienti Enterprise)

Il presente DPA si applica esclusivamente ai rapporti B2B in cui InsightIndex tratta dati personali per conto del Cliente. In caso di conflitto, prevalgono il Contratto/Offerta e gli allegati enterprise sottoscritti.

4.1 Parti e ruoli

Titolare del trattamento ("Cliente"): il soggetto che determina finalità e mezzi del trattamento.
Responsabile del trattamento ("Provider"): INSIGHT S.R.L., che tratta dati per conto del Cliente.

4.2 Oggetto, durata, natura e finalità

Il Provider tratta i dati personali al fine di erogare i Servizi InsightIndex al Cliente (incluse attività di supporto, manutenzione, assistenza, troubleshooting, sicurezza e miglioramento operativo). La durata coincide con la vigenza del contratto e con i tempi tecnici di restituzione/cancellazione di cui infra.

4.3 Tipologie di dati e categorie di interessati

  • Dati: dati identificativi e di contatto, dati professionali, dati di utilizzo e log tecnici; eventuali ulteriori dati definiti dal Cliente in configurazione.
  • Interessati: dipendenti/collaboratori del Cliente, utenti autorizzati, contatti commerciali, soggetti inclusi nei dataset gestiti dal Cliente.

4.4 Istruzioni documentate

Il Provider tratta i dati esclusivamente su istruzioni documentate del Cliente, salvo obblighi di legge. Le istruzioni sono contenute nel contratto, nella documentazione tecnica e nelle richieste/support ticket del Cliente. Qualora il Provider ritenga che un’istruzione violi il GDPR o altre norme, ne informa il Cliente.

4.5 Personale autorizzato e riservatezza

Il Provider garantisce che il personale autorizzato al trattamento sia vincolato da obblighi di riservatezza e adeguatamente formato.

4.6 Misure tecniche e organizzative

Il Provider adotta misure tecniche e organizzative adeguate ai sensi dell’art. 32 GDPR come descritte nell’Allegato A, e si impegna a mantenerle aggiornate in relazione all’evoluzione del rischio.

4.7 Sub-responsabili

Il Cliente autorizza il ricorso a sub-responsabili secondo l’Allegato B. Il Provider garantisce che i sub-responsabili siano vincolati da obblighi almeno equivalenti a quelli del presente DPA. Eventuali modifiche sostanziali all’elenco sub-responsabili potranno essere comunicate al Cliente con congruo preavviso, ove applicabile.

4.8 Assistenza al Cliente

  • Diritti degli interessati: assistenza ragionevole in relazione alle richieste ex artt. 15–22 GDPR.
  • DPIA e consultazioni: supporto ragionevole in relazione a valutazioni d’impatto (DPIA) ove richieste.
  • Sicurezza: cooperazione per verifiche e misure correttive.

4.9 Data breach

Il Provider notifica al Cliente, senza ingiustificato ritardo, ogni violazione dei dati personali di cui venga a conoscenza e fornisce informazioni utili per consentire al Cliente di adempiere agli obblighi di notifica (artt. 33–34 GDPR).

4.10 Audit e verifiche

Su richiesta ragionevole e con preavviso, il Provider mette a disposizione del Cliente le informazioni necessarie a dimostrare il rispetto del presente DPA e consente audit/verificationi nei limiti ragionevoli, salvaguardando sicurezza, riservatezza e segreti industriali. Modalità e costi (se applicabili) sono disciplinati in accordi enterprise.

4.11 Restituzione e cancellazione

Al termine dei Servizi, il Provider, su istruzione del Cliente, restituisce e/o cancella i dati personali entro termini tecnici ragionevoli, salvo obblighi legali di conservazione. Le modalità di export e le finestre di retention tecnica sono disciplinate nei contratti enterprise.

4.12 Legge applicabile

Il presente DPA è regolato dalla legge applicabile al contratto principale; foro competente come da contratto, salvo norme inderogabili.

Allegato A — Misure Tecniche e Organizzative (TOMs)

  • Controllo accessi: gestione credenziali, ruoli, principio di minimo privilegio, revoca accessi.
  • Sicurezza trasmissione: TLS in transito; configurazioni sicure sui canali di comunicazione.
  • Logging e monitoring: raccolta log sicurezza, audit trail su eventi rilevanti, alerting.
  • Backup & recovery: politiche di backup, test di ripristino ove applicabile, gestione incidenti.
  • Patch management: aggiornamenti di sicurezza, hardening, vulnerability management ragionevole.
  • Segregazione ambienti: separazione logica tra ambienti ove applicabile (dev/test/prod).
  • Protezione endpoint/server: antimalware/hardening e controllo configurazioni.
  • Continuità operativa: misure proporzionate alla criticità e agli impegni enterprise.
  • Gestione fornitori: qualifica sub-responsabili e clausole privacy/security.
  • Formazione e riservatezza: obblighi NDA e formazione del personale autorizzato.

Allegato B — Sub-responsabili (Sub-Processors)

Elenco da personalizzare in base alla tua infrastruttura reale (hosting, email, monitoring, ticketing, ecc.).

  • Hosting/Infrastructure Provider — Aruba S.p.A., sede legale in Ponte San Pietro (BG), Italia. Finalità: erogazione servizi di hosting, infrastruttura server e conservazione dei dati. I dati sono trattati all’interno dello Spazio Economico Europeo (SEE) senza trasferimenti extra-UE.
  • Email Delivery/SMTP Provider — Aruba S.p.A., sede legale in Ponte San Pietro (BG), Italia. Finalità: gestione del servizio di posta elettronica e invio comunicazioni transazionali tramite infrastruttura SMTP. Nessun trasferimento di dati al di fuori del SEE.
  • Monitoring/Logging Provider — Aruba S.p.A., sede legale in Ponte San Pietro (BG), Italia. Finalità: registrazione log di sistema, sicurezza infrastrutturale e monitoraggio tecnico dei servizi. I dati rimangono all’interno del SEE.
Documento predisposto per uso web. Versione: 1.0