Accordo di Riservatezza Aziendale

1. Impegno di Riservatezza Aziendale

Il nostro impegno di riservatezza:

CobolPro («la Società», «noi», «nostro» o «ci») comprende che i clienti aziendali ci affidano i loro asset digitali più preziosi e sensibili, tra cui codice sorgente proprietario, dati critici per l’attività, segreti commerciali e strategie aziendali riservate. Ci impegniamo a proteggere le Informazioni del Cliente mediante prassi documentate di riservatezza, controllo degli accessi, cifratura e governance di progetto adeguate all’incarico concordato.

Il presente Accordo di Riservatezza stabilisce il nostro impegno a proteggere le informazioni riservate divulgateci, direttamente o indirettamente, nel corso del nostro rapporto commerciale. Adottiamo l’accesso con privilegi minimi, il trattamento cifrato dei dati e flussi di lavoro approvati dal cliente per mantenere sotto controllo le informazioni sensibili durante l’intero ciclo di vita del progetto.

2. Definizione di Informazioni Riservate

Le «Informazioni Riservate» comprendono, a titolo esemplificativo e non esaustivo, tutte le informazioni divulgate dal Cliente o ottenute dalla Società che siano:

• Codice sorgente e dati tecnici: Tutti i programmi COBOL, le applicazioni, i database, le architetture di sistema, gli algoritmi, le specifiche tecniche e la relativa documentazione
• Informazioni commerciali: Dati finanziari, piani aziendali, strategie, elenchi clienti, rapporti con i fornitori, modelli di prezzo e procedure operative
• Metodi proprietari: Regole di business, processi, metodologie, know-how, segreti commerciali e proprietà intellettuale
• Informazioni di sistema: Dettagli infrastrutturali, configurazioni di sicurezza, dati sulle prestazioni e dipendenze di sistema
• Dati personali: Qualsiasi informazione di identificazione personale (PII), informazione sanitaria protetta (PHI) o altro dato personale sensibile
• Informazioni di terzi: Qualsiasi informazione riservata appartenente a clienti, partner o fornitori del Cliente

Tutte le informazioni si presumono riservate salvo che il Cliente le designi espressamente come pubbliche per iscritto. Ciò include le informazioni che potrebbero non essere contrassegnate come riservate ma che ragionevolmente sarebbero considerate sensibili nel contesto delle operazioni aziendali.

3. Obblighi di Non Divulgazione

RIGOROSO IMPEGNO DI NON DIVULGAZIONE

La Società non divulgherà, rivelerà né renderà disponibili a terzi le Informazioni Riservate, salvo nella misura consentita dall’accordo scritto applicabile, dal previo consenso scritto del cliente o da un procedimento legale obbligatorio.

I nostri obblighi di non divulgazione comprendono:

• Tolleranza zero verso qualsiasi divulgazione non autorizzata di Informazioni Riservate
• Divieto di discutere l’attività, i sistemi o i dati del Cliente con soggetti esterni
• Rigorosi controlli di accesso interni basati sulla necessità di conoscere, con formazione obbligatoria sulla riservatezza
• Verifiche approfondite dei precedenti e nulla osta di sicurezza per tutto il personale con accesso
• Accordi di riservatezza vincolanti con tutti i dipendenti, collaboratori e sub-responsabili
• Protocolli di cessazione immediata per qualsiasi violazione della riservatezza

4. Misure di Sicurezza e di Protezione

Queste misure sono riesaminate man mano che le prassi e i requisiti del progetto evolvono, offrendo ai team del cliente misure di protezione documentate che possono valutare durante le verifiche di approvvigionamento, sicurezza e audit.

5. Uso Limitato e Limitazione della Finalità

Rigorosa limitazione della finalità: le Informazioni Riservate saranno utilizzate unicamente ed esclusivamente allo scopo di fornire i servizi concordati al Cliente. Nessun altro uso, diretto o indiretto, è consentito in alcuna circostanza.

Le nostre restrizioni d’uso comprendono:

• L’accesso alle informazioni è riservato al personale direttamente coinvolto nel progetto del Cliente
• Divieto di reverse engineering, analisi o estrazione della proprietà intellettuale
• Nessuna creazione di opere derivate o soluzioni concorrenti basate sulle informazioni del Cliente
• Rigorosa separazione dei dati del Cliente da quelli di altri clienti e dai sistemi interni della Società
• Nessuna aggregazione, anonimizzazione o analisi statistica senza esplicito consenso scritto
• Cessazione immediata di ogni uso al completamento o alla risoluzione del progetto

6. Conservazione dei Dati e Distruzione Sicura

Al completamento dei servizi o su richiesta del Cliente, la Società dovrà:

• Restituzione immediata: Restituire tutti i documenti originali, i supporti e i materiali contenenti Informazioni Riservate entro 48 ore
• Distruzione sicura: Eliminare o distruggere le copie, gli estratti e i derivati concordati utilizzando il processo di sanificazione specificato per l’incarico
• Sanificazione digitale: Eseguire la cancellazione crittografica o le fasi di eliminazione equivalenti concordate per i supporti di archiviazione digitale applicabili
• Verifica: Fornire conferma scritta delle fasi di restituzione o eliminazione concordate, ove richiesto
• Traccia di audit: Mantenere registri dettagliati di tutte le attività di distruzione a fini di audit

Non è consentita alcuna conservazione di Informazioni Riservate senza esplicita autorizzazione scritta del Cliente, e qualsiasi conservazione autorizzata deve rispettare i medesimi standard di sicurezza descritti nel presente documento.

7. Notifica delle Violazioni e Risposta agli Incidenti

PROTOCOLLO DI NOTIFICA IMMEDIATA

In caso di violazione effettiva o sospetta riguardante le Informazioni del Cliente, la Società notificherà il Cliente senza indebito ritardo conformemente all’accordo applicabile e supporterà le misure di contenimento, indagine e rimedio.

La nostra risposta agli incidenti comprende:

• Contenimento e isolamento immediati dei sistemi interessati
• Notifica in tempo reale ai contatti di sicurezza designati dal Cliente
• Indagine forense da parte di professionisti qualificati, ove opportuno
• Rapporto dettagliato sull’incidente con analisi delle cause profonde e fasi di rimedio
• Coordinamento con le forze dell’ordine e gli organismi di regolamentazione secondo necessità
• Gestione commerciale e legale conformemente all’accordo applicabile

8. Rimedi Legali e Responsabilità

MASSIMA PROTEZIONE DEL CLIENTE

La Società riconosce che una violazione della riservatezza può causare gravi danni al Cliente. I rimedi legali, i limiti di responsabilità e le misure di tutela disponibili sono disciplinati dall’accordo applicabile e dalla legge imperativa.

Le tutele legali comprendono:

• Provvedimenti inibitori o esecuzione in forma specifica, ove disponibili
• Condizioni di responsabilità contrattuale specificate nell’accordo applicabile
• Spese legali, costi e oneri come previsto dall’accordo o dalla legge
• Condizioni assicurative e di trasferimento del rischio soggette ai termini e alle condizioni della polizza

9. Conformità Normativa e Standard Internazionali

La Società allinea i propri controlli e i pacchetti di evidenze ai principali quadri di riferimento in materia di privacy e sicurezza:

• GDPR — Regolamento Generale sulla Protezione dei Dati dell’UE
• SOC 2 Type II — Sicurezza e Disponibilità AICPA
• ISO 27001 — Gestione della Sicurezza delle Informazioni

Ulteriori quadri di conformità includono il NIST Cybersecurity Framework, i requisiti FedRAMP, l’HIPAA (ove applicabile) e le normative di settore secondo quanto richiesto dal contesto commerciale del Cliente.

10. Obblighi Perpetui e Sopravvivenza

RISERVATEZZA PERPETUA

Gli obblighi di riservatezza sopravvivono alla cessazione del rapporto commerciale, come specificato nell’accordo applicabile e nella legge imperativa.

Tali obblighi rimangono vincolanti per la Società, i suoi dipendenti, successori e aventi causa conformemente all’accordo applicabile.

11. Informazioni di Contatto e Domande

Per domande relative al presente Accordo di Riservatezza o per segnalare eventuali preoccupazioni di sicurezza: