Condizioni di elaborazione degli ordini

1. Oggetto

Exxas AG (di seguito «Exxas») e l'altra parte contraente (di seguito «Cliente») hanno stipulato un contratto (nella sua versione attuale) in base al quale vengono forniti i servizi di elaborazione del contratto (di seguito «Contratto»). Le presenti condizioni di elaborazione dei dati degli ordini (di seguito «condizioni di elaborazione dei dati» o «condizioni di elaborazione») integrano il contratto e le condizioni generali (GTC) di Exxas e sono considerate parte integrante del contratto.

Queste condizioni di trattamento dei dati entrano in vigore alla data di inizio del contratto. Se un rappresentante del cliente stipula questi termini di trattamento dei dati per conto del cliente, il rappresentante assicura di (a) essere pienamente autorizzato legalmente a completare questi termini di trattamento dei dati per conto del cliente, (b) ha letto e compreso questi termini di trattamento dei dati e (c) fornisce al cliente rappresentato dal rappresentante la dichiarazione di accettazione del completamento delle presenti condizioni di trattamento dei dati.

2. Introduzione

Queste condizioni di trattamento dei dati contengono l'accordo tra le parti sui regolamenti che si applicano al trattamento e alla sicurezza dei dati personali del cliente in relazione alle norme sulla protezione dei dati.

3. Definizioni e interpretazione

In queste condizioni di trattamento dei dati, si applicano le seguenti definizioni:

  • Servizi di elaborazione dei contratti indica i seguenti servizi Exxas pertinenti, che rientrano nell'ambito delle condizioni di trattamento dei dati:
    • Exxas

Exxas ha il diritto di aggiornare questo elenco in conformità con le disposizioni delle condizioni di trattamento dei dati.

  • Norme sulla protezione dei dati indica, ove applicabile: (a) il GDPR e/o (b) la legge federale sulla protezione dei dati (DSG, Svizzera) del 2023.
  • incidente di dati indica un incidente di sicurezza in Exxas che provoca la distruzione accidentale o illegale, la perdita, l'alterazione o la divulgazione o l'accesso non autorizzati ai dati personali del cliente, interessando i sistemi gestiti da Exxas o altrimenti controllati da Exxas. Il termine «incidente di dati» non include i tentativi di accesso non riusciti o eventi simili che non compromettono la sicurezza delle informazioni personali del cliente, come tentativi di accesso non riusciti, ping, scansioni delle porte, attacchi denial-of-service e altri attacchi di rete su firewall o sistemi di rete.
  • GDPR significa il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché sulla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.
  • DSG significa la legge svizzera sulla protezione dei dati (235.1), entrata in vigore il 1° settembre 2023. Ha lo scopo di proteggere la personalità e i diritti fondamentali delle persone fisiche attraverso le quali vengono trattati i dati personali.
  • Indirizzo email per le notifiche indica l'indirizzo email (se disponibile) fornito dal cliente tramite l'interfaccia utente del servizio di elaborazione dati o altre opzioni fornite da Exxas per ricevere determinate notifiche da Exxas relative a questi termini di trattamento dei dati.
  • EEA indica lo Spazio economico europeo.
  • Exxas indica Exxas AG, che è la parte del contratto.
  • Società del gruppo Exxas ha l'importanza delle società associate a Exxas, come le società madri, controllate e sorelle.
  • runtime indica il periodo compreso tra la data di entrata in vigore del contratto e la fine della fornitura dei servizi di elaborazione da parte di Exxas in conformità al contratto.
  • Dati personali del cliente indica i dati personali trattati da Exxas per conto del cliente nell'ambito della fornitura di servizi di elaborazione dei contratti.
  • Sub-processore indica terze parti autorizzate in base a queste condizioni di trattamento dei dati ad accedere ed elaborare logicamente i dati personali del cliente al fine di fornire parti dei servizi di elaborazione dei dati e fornire il relativo supporto tecnico.
  • Società affiliata indica qualsiasi entità legale che controlla direttamente o indirettamente, è controllata da una delle parti del contratto o è sotto il controllo congiunto con una delle parti del contratto.
  • prodotto aggiuntivo indica un prodotto, servizio o applicazione di Exxas o di una terza parte che (a) non fa parte dei servizi di elaborazione dati e (b) è disponibile per l'uso tramite l'interfaccia utente dei servizi di elaborazione dati o è altrimenti integrato nei servizi di elaborazione dati.

I termini Persona responsabile, persona interessata, dati personali, elaborazione, processore e autorità di vigilanza Ognuno di essi ha lo stesso significato in queste condizioni di trattamento dei dati assegnato loro nel GDPR.

Frasi che iniziano con parole come «incluso» o iniziano con un'espressione simile, devono essere interpretate in modo tale che queste formulazioni abbiano solo un significato illustrativo e non abbiano lo scopo di limitare il significato delle formulazioni precedenti. Tutti gli esempi riportati nelle presenti condizioni di trattamento dei dati sono solo a scopo illustrativo e non sono intesi come esempi esclusivi di un particolare concetto.

I riferimenti a leggi o regolamenti legali si riferiscono al loro stato attuale e alla versione valida al momento ed eventualmente modificata o rivista.

4. Durata di queste condizioni di trattamento dei dati

Queste condizioni di trattamento dei dati entrano in vigore alla data specificata del contratto e rimangono in vigore, indipendentemente dal fatto che il termine sia scaduto, fino a quando Exxas non ha eliminato tutti i dati personali dei clienti in conformità con queste condizioni di trattamento dei dati, a quel punto queste condizioni di trattamento dei dati scadono automaticamente.

5. Applicabilità di queste condizioni di trattamento dei dati

Queste condizioni di trattamento dei dati si applicano solo nella misura in cui le norme sulla protezione dei dati si applicano al trattamento dei dati personali del cliente, anche quando:

  • (a) Il trattamento avviene nell'ambito delle attività dello stabilimento di un cliente nel SEE o in Svizzera e/o
  • (b) I dati personali dei clienti rappresentano dati personali relativi a interessati situati nel SEE o in Svizzera e il trattamento si riferisce all'offerta di beni o servizi o al monitoraggio del comportamento nel SEE o in Svizzera.

6. Trattamento dei dati

6.1 Distribuzione dei ruoli e conformità ai requisiti legali; autorizzazione.
6.1.1 Responsabilità dell'elaboratore degli ordini e della persona responsabile.

Le parti contraenti confermano e concordano che:

  • (a) L'allegato 1 descrive l'oggetto e i dettagli del trattamento dei dati personali del cliente,
  • (b) Exxas agisce in qualità di responsabile del trattamento dei dati personali dei clienti in conformità con le normative sulla protezione dei dati,
  • (c) il cliente agisce come titolare o responsabile del trattamento dei dati personali del cliente in conformità con le normative sulla protezione dei dati e
  • (d) ciascuna parte è tenuta a rispettare gli obblighi che si applicano alla rispettiva parte in relazione al trattamento dei dati personali del cliente in conformità con la legislazione sulla protezione dei dati.

6.1.2 Autorizzazione da parte di terzi in qualità di responsabile.

Se il cliente stesso è un elaboratore di ordini, assicura a Exxas che le sue istruzioni e misure relative ai dati personali del cliente, incluso l'uso di Exxas come altro processore, sono state autorizzate dalla persona responsabile interessata.

6.2 Istruzioni per il cliente.

Accettando questi termini di trattamento dei dati, il cliente ordina a Exxas di trattare i dati personali del cliente in conformità con la legge applicabile, (a) di fornire i servizi di elaborazione dei dati e il relativo supporto tecnico e (b) di continuare a utilizzare il cliente dei servizi di elaborazione dati (anche attraverso le impostazioni e le funzionalità dei servizi di elaborazione dati) e il relativo supporto tecnico, (c) come definito dall'accordo, comprese queste condizioni di elaborazione dei dati, è documentato e (d) come ulteriormente documentato in altre istruzioni scritte fornita dal cliente e accettata formalmente da Exxas come istruzione ai sensi delle presenti condizioni di trattamento dei dati.

6.3 Conformità alle istruzioni dell'Exxas.

Exxas seguirà le istruzioni di cui alla Sezione 6.2 (Istruzioni per il cliente) (anche per quanto riguarda il trasferimento dei dati), a meno che le leggi dell'UE, le leggi di uno stato membro dell'UE o le leggi della Svizzera applicabili all'Exxas richiedano che Exxas tratti altrimenti i dati personali del cliente da parte di Exxas; in tal caso, Exxas informerà il cliente di conseguenza (a meno che la legge pertinente non vieti a Exxas di farlo per motivi importanti di pubblico interesse).

6.4 Prodotti aggiuntivi.

Se il cliente utilizza prodotti aggiuntivi, i servizi di elaborazione degli ordini possono fornire a questi prodotti aggiuntivi l'accesso ai dati personali del cliente, nella misura in cui ciò sia necessario per l'interazione tra questi prodotti aggiuntivi e i servizi di elaborazione degli ordini. Per chiarire, questi termini di trattamento dei dati non si applicano al trattamento dei dati personali in relazione alla fornitura di prodotti ausiliari utilizzati dal cliente, compresi i dati personali inviati da o a questi prodotti aggiuntivi.

7. Cancellazione dei dati

7.1 Cancellazione durante il periodo.
7.1.1 Servizi di elaborazione degli ordini con funzione di cancellazione.

Se durante il periodo:

  • (a) le funzionalità software dei servizi di elaborazione dei contratti offrono al cliente l'opportunità di eliminare o rendere anonimi i dati personali del cliente,
  • (b) il cliente utilizza i servizi di elaborazione degli ordini per eliminare alcuni dati personali del cliente e
  • (c) i dati personali cancellati del cliente non possono essere recuperati dal cliente (ad esempio dal «cestino»),

Exxas eliminerà quindi i dati personali del cliente dai suoi sistemi non appena sia appropriato e fattibile e al più tardi dopo un periodo di 180 giorni, a meno che una legge dell'UE, la legge di uno Stato membro dell'UE o la legge della Svizzera non richieda l'archiviazione.

7.1.2 Servizi di elaborazione dei contratti senza funzione di cancellazione.

Se le funzionalità software dei servizi di elaborazione dei contratti non forniscono un'opzione che consenta al cliente di eliminare i dati personali del cliente durante il periodo di esecuzione, Exxas:

  • (a) soddisfare qualsiasi richiesta ragionevole del cliente di ottenere tale cancellazione, nella misura in cui ciò sia possibile tenendo conto della natura e del funzionamento dei servizi di trattamento dei dati e a meno che una legge dell'UE, la legge di uno Stato membro dell'UE o la legge della Svizzera non richieda l'archiviazione, e
  • b) rispettare le procedure di archiviazione dei dati dei servizi di elaborazione dei contratti.

Exxas ha il diritto di richiedere il rimborso dei costi di cancellazione dei dati in conformità alla Sezione 7.1.2 (a). Prima di tale cancellazione, Exxas fornirà al cliente ulteriori dettagli sui costi derivanti in ciascun caso e la base per il calcolo di tali costi.

7.2 Cancellazione dopo la scadenza del termine.

Il cliente ordina a Exxas di eliminare tutti i dati personali del cliente (comprese tutte le copie esistenti) dai sistemi Exxas alla fine del periodo in conformità con la legge applicabile. Exxas rispetterà queste istruzioni non appena sarà appropriato e fattibile e al più tardi dopo un periodo di 180 giorni, a meno che una legge dell'UE, la legge di uno Stato membro dell'UE o la legge della Svizzera non richieda la conservazione.

8. Sicurezza dei dati

8.1 Misure di sicurezza e assistenza fornite da Exxas.
8.1.1 Misure di sicurezza in Texas.

Exxas implementa misure tecniche e organizzative per proteggere i dati personali del cliente da distruzione, perdita, alterazione, divulgazione o accesso non autorizzati, come descritto nell'Appendice 2 (Misure di sicurezza) e lo mantiene. Come descritto nell'allegato 2, le misure di sicurezza comprendono:

  • (a) per crittografare i dati personali,
  • (b) che aiutano a mantenere o garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di Exxa su base continuativa,
  • (c) che aiutano a ripristinare l'accesso ai dati personali a seguito di un incidente in modo tempestivo, e
  • (d) verificare regolarmente l'efficacia. Exxas può occasionalmente aggiornare o adeguare le misure di sicurezza, a condizione che tale aggiornamento e adeguamento non comportino una diminuzione della sicurezza complessiva dei servizi di elaborazione dati.

8.1.2 Conformità alle norme di sicurezza da parte del personale dell'Exxas.

Exxas è tenuta ad adottare misure ragionevoli per garantire la conformità alle misure di sicurezza da parte dei dipendenti, appaltatori e subprocessori di Exxas nella misura appropriata per le rispettive aree di responsabilità e per garantire che tutte le persone autorizzate al trattamento dei dati personali dei clienti si siano impegnate a mantenere la segretezza o rispettare gli obblighi legali di riservatezza.

8.1.3 Assistenza dall'Exxas.

Il cliente accetta che Exxas (tenendo conto della natura del rispettivo trattamento dei dati personali del cliente e delle informazioni a disposizione di Exxas) lo assisterà nel rispetto di tutti gli obblighi del cliente in materia di sicurezza dei dati personali e in caso di violazione della sicurezza dei dati, compresi, nella misura applicabile, gli obblighi del cliente ai sensi degli articoli da 32 a 34 GDPR, o degli articoli 8 e 9 DSG, entro:

  • (a) Implementare e mantenere le misure di sicurezza in conformità alla Sezione 8.1.1 (Misure di sicurezza dell'Exxas),
  • (b) Conformità alla Sezione 8.2 (Incidenti relativi ai dati) e
  • (c) Fornitura della documentazione di sicurezza al cliente in conformità alla Sezione 8.5.1 (revisioni della documentazione di sicurezza) e delle informazioni contenute nelle presenti condizioni di trattamento dei dati.

8.2 Incidenti relativi ai dati
8.2.1 Segnalazione di incidenti relativi ai dati.

Se Exxas viene a conoscenza di un incidente relativo ai dati, Exxas è tenuto a:

  • (a) segnalare immediatamente l'incidente relativo ai dati al cliente; e
  • (b) adottare tempestivamente le misure appropriate per ridurre al minimo i danni e proteggere i dati personali del cliente.

8.2.2 Informazioni dettagliate sugli incidenti relativi ai dati.

I report in conformità con 8.2.1 includono, per quanto possibile, i dettagli dell'incidente relativo ai dati e informazioni su quali misure sono state adottate per ridurre al minimo il rischio potenziale e quali misure Exxas consiglia al cliente per rispondere all'incidente relativo ai dati.

8.2.3 Invio di notifiche.

Exxas invierà segnalazioni di incidenti relativi ai dati all'indirizzo e-mail per le notifiche o, a discrezione di Exxas (ad esempio se il cliente non ha fornito un indirizzo e-mail per le segnalazioni), tramite un altro mezzo di comunicazione diretto (ad esempio per telefono o incontro personale). Il cliente è l'unico responsabile della fornitura dell'indirizzo e-mail per le notifiche e deve garantire che l'indirizzo e-mail per le notifiche sia sempre aggiornato e valido.

8.2.4 Segnalazioni a terzi.

Il cliente è l'unico responsabile del rispetto dei requisiti legali per la segnalazione degli incidenti e del rispetto dei corrispondenti obblighi di segnalazione a terzi in caso di incidenti relativi ai dati.

8.2.5 Non accettato da Exxas.

La segnalazione di un incidente di dati da parte di Exxas o la risposta a un incidente di dati da parte di Exxas in conformità alla presente Sezione 8.2 (Incidenti relativi ai dati) non può essere interpretata nel senso che Exxas ammetterebbe già un illecito o riconoscerebbe la responsabilità per l'incidente relativo ai dati.

8.3 Responsabilità del cliente per la sicurezza e la valutazione della sicurezza.
8.3.1 Responsabilità del cliente per la sicurezza.

Fatto salvo l'obbligo per l'Exxas ai sensi delle sezioni 8.1 (Misure di sicurezza e assistenza da parte dell'Exxas) e 8.2 (Incidenti relativi ai dati):

  • (a) Il cliente è l'unico responsabile per l'uso dei servizi di elaborazione dei contratti, tra cui:
    • utilizzare i servizi del processore in modo appropriato per garantire un livello di sicurezza adeguato in relazione al rischio del trattamento dei dati personali del cliente, e
    • proteggere le credenziali di autenticazione, i sistemi e i dispositivi che il cliente utilizza per accedere ai servizi di elaborazione dati, e
  • (b) Exxas non è responsabile della protezione dei dati personali dei clienti che il cliente sceglie di archiviare o trasferire all'esterno dei sistemi Exxas o dei sistemi subprocessori Exxas.

8.3.2 Valutazione della sicurezza da parte del cliente.

Il cliente riconosce e accetta che (tenendo conto dello stato dell'arte, dei costi di implementazione e della natura, dell'ambito, delle circostanze e delle finalità del trattamento dei dati personali del cliente e dei rischi associati per le persone) le misure di sicurezza implementate e mantenute da Exxas in conformità alla Sezione 8.1.1 (Misure di sicurezza Exxas) raggiungono un livello di sicurezza commisurato ai rischi associati al trattamento dei dati personali del cliente.

8.4 Audit e verifiche di conformità
8.4.1 Revisione della documentazione di sicurezza.

Al fine di dimostrare la conformità agli obblighi di Exxas in base a queste condizioni di trattamento dei dati, Exxas è tenuta a mettere la documentazione di sicurezza a disposizione del cliente per la revisione.

8.4.2 Diritti di revisione del cliente.

Exxas consentirà al cliente o a un revisore indipendente nominato dal cliente di effettuare audit (comprese le ispezioni) in conformità alla Sezione 8.4.3 (Termini aggiuntivi per gli audit) per verificare che Exxas stia rispettando i propri obblighi in base alle condizioni di trattamento dei dati. Exxas supporterà tali audit come descritto nella presente Sezione 8.4 (Audit e audit di conformità).

8.4.3 Condizioni di audit aggiuntive.
  • (a) Il cliente è tenuto a presentare una richiesta di verifica ai sensi della Sezione 8.4.2 in conformità con la Sezione 13.1 (contattare Exxas).
  • (b) Al ricevimento di una richiesta ai sensi della Sezione 8.4.3 (a), Exxas e il Cliente discuteranno congiuntamente e concorderanno in anticipo una data di inizio, un ambito e una durata ragionevoli e le misure di sicurezza e riservatezza che sono oggetto del rispettivo audit in conformità alla Sezione 8.4.2.
  • (c) Exxas ha il diritto di richiedere il rimborso dei costi di ciascun audit in conformità alla Sezione 8.4.2. Prima di ogni audit, Exxas fornirà al cliente ulteriori dettagli sui costi coinvolti e la base per il calcolo di tali costi. Tutti i costi sostenuti per la messa in servizio e l'esecuzione di un audit da parte di un revisore indipendente incaricato dal cliente sono a carico esclusivo del cliente.
  • (d) In base ai presenti termini di trattamento dei dati, Exxas non è tenuta a divulgare al cliente o a un revisore indipendente nominato dal cliente quanto segue, né a consentire al cliente o a un revisore indipendente di accedere:


  • i. dati di qualsiasi altro cliente di una società del gruppo Exxas;
  • ii. informazioni contabili o finanziarie interne di una società del gruppo Exxas;
  • iii. segreti aziendali di una società del gruppo Exxas;
  • iv. Informazioni che, secondo la ragionevole valutazione di Exxas, potrebbero (A) compromettere la sicurezza dei sistemi o dei locali di una società del gruppo Exxas o (B) indurre una società del gruppo Exxas a violare i propri obblighi ai sensi delle normative sulla protezione dei dati o violare i suoi obblighi di sicurezza o protezione dei dati nei confronti del cliente o di terzi; o
  • v. Informazioni a cui il cliente o il suo revisore indipendente desidera accedere per motivi contrari alla fiducia che non sono necessari per adempiere agli obblighi del cliente ai sensi delle normative sulla protezione dei dati.

9. Valutazioni d'impatto e consultazioni

Il cliente accetta che Exxas (tenendo conto della natura del trattamento e delle informazioni a disposizione di Exxas) lo assisterà nell'adempimento dei suoi obblighi in materia di valutazioni d'impatto sulla protezione dei dati e consultazioni preventive, compresi, ove applicabile, gli obblighi di cui agli articoli 35 e 36 del GDPR, o agli articoli 22 e 23 DSG, mediante:

  • (a) fornire la documentazione di sicurezza in conformità al paragrafo 8.4.1 (revisione della documentazione di sicurezza);
  • (b) fornire le informazioni già incluse nei presenti termini di trattamento dei dati; e
  • (c) Fornitura o messa a disposizione in altro modo, in conformità con le procedure standard dell'Exxas, di altri materiali (come articoli di assistenza e contributi del centro clienti) relativi alla natura dei servizi di elaborazione dati o al trattamento dei dati personali del cliente.

10. Diritti degli interessati

10.1 Rispondere alle richieste degli interessati.

Se Exxas riceve una richiesta da un interessato in merito ai dati personali del cliente, Exxas chiederà all'interessato di inviare la propria richiesta al cliente; il cliente sarà l'unico responsabile della risposta a tale richiesta.

10.2 Assistenza da parte dell'Exxas per le richieste degli interessati.

Il cliente accetta che Exxas (tenendo conto della natura del trattamento dei dati personali del cliente e, se applicabile, dell'articolo 11 del GDPR; o ai sensi degli articoli 25-29 DSG) assisterà il cliente nell'adempimento dei suoi obblighi di risposta alle richieste degli interessati, comprese, ove applicabile, le richieste relative ai diritti degli interessati ai sensi del terzo capitolo del GDPR, da parte di Exxas:

  • (a) fornisce le funzionalità dei servizi di elaborazione dei contratti e
  • (b) gli obblighi di cui al paragrafo 10.1 (rispondere alle richieste degli interessati) sono stati rispettati

11. Trasferimenti di dati

Il cliente accetta che Exxas possa archiviare ed elaborare i dati personali del cliente in Svizzera.

12. Sottoprocessore

12.1 Autorizzazione a coinvolgere subprocessori.

Il cliente approva espressamente la nomina delle società affiliate di Exxas come subprocessori. Inoltre, il cliente generalmente approva che Exxas possa coinvolgere anche terze parti come subprocessori.

12.2 Requisiti per l'assunzione di subprocessori.

Se Exxas si avvale di subprocessori, Exxas:

  • (a) assicurare, mediante un contratto scritto, che:
    • (i) il subprocessore accede e utilizza i dati personali del cliente solo nella misura necessaria per adempiere ai propri obblighi, ai quali è richiesto mediante subappalto, e lo fa in ogni caso in conformità con l'accordo (comprese queste condizioni di trattamento dei dati), e
    • (ii) gli obblighi di protezione dei dati di cui all'articolo 28, paragrafo 3, del GDPR sono imposti al subprocessore se il GDPR si applica al trattamento dei dati personali del cliente, e
    • (iii) I requisiti applicabili all'art. 9 DSG sono pienamente presi in considerazione e attuati, e
  • (b) essere pienamente responsabili per tutti gli obblighi assegnati ai subprocessori e per tutti gli atti e le omissioni dei loro subresponsabili.

12.3 Opzioni per opporsi alle modifiche subappaltate.
  • (a) Se durante il periodo viene assunto un nuovo subprocessore terzo, Exxas notificherà al cliente l'ordine almeno 30 giorni prima che tale nuovo subprocessore terzo sia incaricato del trattamento dei dati personali del cliente inviando un'e-mail all'indirizzo e-mail per le notifiche dell'ordine (incluso il nome e l'ubicazione del relativo sottoprocessore e le attività che svolgerà).
  • (b) Il cliente può opporsi all'uso di un nuovo subprocessore terzo risolvendo immediatamente il contratto per iscritto; ciò deve avvenire entro 90 giorni dal ricevimento della notifica della nomina del rispettivo subprocessore, come descritto nella Sezione 12.3 (a). Questo diritto di recesso è l'unico ed esclusivo rimedio del cliente se non accetta l'uso di un nuovo subprocessore terzo.

13. Contattare l'Exxas; registrazioni del trattamento

13.1 Contattare l'Texas.

Il cliente può inviare Exxas via e-mail (info@exxas.net o datenschutz@exxas.net) per esercitare i propri diritti in base a queste condizioni di trattamento dei dati.

13.2 Registri di elaborazione dei dati in Exxas.

Il Cliente riconosce che Exxas è tenuta ai sensi del GDPR a: (a) creare e conservare registrazioni di determinate informazioni, inclusi il nome e i dettagli di contatto di ciascun processore e/o titolare del trattamento per conto del quale Exxas agisce e (se applicabile) informazioni sul rappresentante locale e sul responsabile della protezione dei dati; e (b) rendere queste informazioni disponibili alle autorità di regolamentazione. Di conseguenza, il cliente è tenuto, su richiesta e nella misura applicabile al cliente, a fornire queste informazioni a Exxas tramite l'interfaccia utente dei servizi di elaborazione dati o tramite altre opzioni che Exxas può fornire a tale scopo e a utilizzare l'interfaccia utente o qualsiasi altro mezzo fornito a tale scopo per garantire che tali informazioni siano sempre accurate e aggiornate.

14. responsabilità

La responsabilità ai sensi o ai sensi di queste condizioni di trattamento dei dati si basa sulle limitazioni ed esclusioni di responsabilità del contratto.

15. Validità di queste condizioni di trattamento dei dati

In caso di obiezione o discrepanza tra queste condizioni di trattamento dei dati e il contratto, prevalgono le disposizioni di queste condizioni di trattamento dei dati. Salvo quanto modificato dai presenti termini di trattamento dei dati, l'accordo rimarrà altrimenti in vigore a tutti gli effetti.

16. Modifiche alle presenti condizioni di trattamento dei dati

16.1 Modifiche alle condizioni di trattamento dei dati.

Exxas può modificare questi termini di trattamento dei dati in caso di modifica:

  • (a) è espressamente consentito dalle presenti condizioni di trattamento dei dati,
  • (b) tiene conto di una modifica della ragione sociale o di una modifica della forma giuridica;
  • (c) è necessario per rispettare le leggi, i regolamenti applicabili, una decisione del tribunale o un requisito di un'autorità governativa di regolamentazione o vigilanza; o
  • (d)
    • (i) non comporta una diminuzione della sicurezza complessiva dei servizi di elaborazione dei contratti,
    • (ii) non amplia l'ambito di queste condizioni di trattamento dei dati né rimuove le restrizioni descritte nel paragrafo 6.3 (conformità alle istruzioni di Exxas) per quanto riguarda il trattamento dei dati personali dei clienti da parte di Exxas, e
    • (iii) non ha altrimenti effetti negativi significativi sui diritti del cliente in base a queste condizioni di trattamento dei dati (ciò sarà determinato in modo appropriato da Exxas).

16.2 Notifica delle modifiche.

Se Exxas intende modificare questi termini di trattamento dei dati in conformità alla Sezione 16.1 (c) o (d), Exxas informerà il cliente in anticipo (o entro un termine più breve se richiesto dalla legge applicabile, dai regolamenti applicabili, da una decisione del tribunale o da un requisito di un'autorità governativa di regolamentazione o vigilanza) tramite: (a) inviando un'e-mail all'indirizzo e-mail per le notifiche o (b) mediante notifica tramite l'interfaccia utente del servizio di elaborazione del contratto. Se il cliente desidera opporsi a una modifica, può recedere dal contratto dandone comunicazione scritta a Exxas entro 90 giorni dal ricevimento della notifica della modifica da parte di Exxas.

Appendice 1: Oggetto e dettagli del trattamento dei dati

soggetto

Fornitura di servizi di elaborazione dei contratti e relativi servizi di supporto tecnico al cliente da parte di Exxas.

Durata del trattamento dei dati

Durante il periodo contrattuale e in aggiunta per un periodo di tempo compreso tra la fine del periodo contrattuale e fino alla cancellazione di tutti i dati personali del cliente da parte di Exxas in conformità con le presenti condizioni di trattamento dei dati.

Tipo e finalità del trattamento dei dati

Exxas tratta i dati personali del cliente allo scopo di fornire al cliente servizi di elaborazione dei contratti e fornire il relativo supporto tecnico in conformità con le presenti condizioni di trattamento dei dati. A seconda che si applichino il rispettivo servizio di elaborazione e le istruzioni descritte nella Sezione 6.2 (Istruzioni per il cliente), il trattamento dei dati da parte di Exxas include la raccolta, la registrazione, l'organizzazione, l'organizzazione, la modifica, la lettura, l'utilizzo, la divulgazione, il collegamento, l'eliminazione o la distruzione.

Tipi di dati personali

I dati personali dei clienti possono includere i seguenti tipi di dati personali:

  • Identificatori online (inclusi gli identificatori dei cookie)
  • Nomi, indirizzi e-mail, date di nascita, numeri di telefono e altri dati personali
  • Numeri di identificazione e ID forniti
  • Coordinate bancarie come numeri di conto
  • foto e immagini, registrazioni audio e video,
  • Indirizzi di protocollo Internet e identificatori dei dispositivi
Categorie di persone colpite

I dati personali dei clienti riguardano le seguenti categorie di interessati:

  • soggetti di dati sui quali Exxas raccoglie dati personali nell'ambito della fornitura di servizi di elaborazione dei contratti; e/o
  • Soggetti interessati che trasferiscono dati personali a Exxas su iniziativa o per conto del cliente in relazione ai servizi di elaborazione del contratto.

A seconda del tipo di servizio di elaborazione in questione, gli interessati possono includere le seguenti persone:

  • (a) per cui sono state presentate richieste di assistenza,
  • (b) per i quali sono stati forniti servizi,
  • (c) per i quali i servizi sono stati forniti per conto del cliente,
  • (d) hanno avuto accesso a determinati siti Web o applicazioni per i quali Exxas ha fornito servizi di elaborazione dei contratti e/o
  • (e) chi sono clienti o utenti dei prodotti o servizi del cliente.

Appendice 2: Misure di sicurezza

Exxas si impegna a implementare e mantenere le misure di sicurezza contenute nella presente Appendice 2 a partire dalla data specificata del contratto. Exxas può aggiornare o modificare queste misure di sicurezza di tanto in tanto, a condizione che tali aggiornamenti e modifiche non comportino una diminuzione della sicurezza complessiva dei servizi di elaborazione dati.

1. Sicurezza del centro dati e della rete

(a) Infrastruttura. Exxas gestisce data center distribuiti geograficamente. Exxas archivia tutti i dati di produzione in data center protetti fisicamente.

ridondanza. L'infrastruttura è stata sviluppata per eliminare singoli punti di errore e ridurre al minimo l'impatto dei rischi ambientali previsti. I doppi circuiti, switch, reti o altri dispositivi necessari aiutano a raggiungere questa ridondanza. I servizi di elaborazione dei contratti sono progettati in modo che Exxas possa eseguire determinate misure di manutenzione preventiva e correttiva senza interruzioni. Esistono procedure di manutenzione preventiva documentate per tutti gli impianti e le strutture, che descrivono in dettaglio il processo e la frequenza di implementazione in conformità alle specifiche del produttore o ai requisiti interni. Le misure di manutenzione preventiva e correttiva per i sistemi del data center sono pianificate utilizzando un processo standard secondo procedure documentate.

energia. I sistemi energetici dei data center sono progettati in modo tale da essere ridondanti e possono essere mantenuti senza influire sul funzionamento continuo (24 ore al giorno e 7 giorni alla settimana). Nella maggior parte dei casi, è disponibile una fonte di energia primaria e alternativa, ciascuna con la stessa capacità, per i componenti dell'infrastruttura critica nei data center. L'alimentazione di riserva è fornita da vari meccanismi, come i gruppi di continuità (UPS), che forniscono una protezione dell'alimentazione costantemente affidabile in caso di cadute di tensione, interruzioni di corrente, sovratensione, sottotensione e condizioni di frequenza da parte del fornitore di energia che non rientrano nei valori di tolleranza.

sistemi operativi per server. I server Exxas utilizzano sistemi operativi rinforzati personalizzati in base ai requisiti operativi specifici. I dati vengono archiviati utilizzando algoritmi proprietari per aumentare la sicurezza e la ridondanza dei dati. Exxas utilizza un processo di revisione del codice per aumentare la sicurezza del codice di programmazione utilizzato per fornire servizi di elaborazione dei contratti e migliorare i prodotti di sicurezza negli ambienti di produzione.

Mantenimento delle operazioni. Exxas replica i dati su più sistemi per proteggere i dati dalla distruzione o dalla perdita accidentale. Exxas ha progettato piani per mantenere operative le operazioni e programmi di disaster recovery. Exxas continua a svilupparli e testarli.

(b) Rete e trasmissione.

trasferimento dati. I data center sono generalmente collegati tramite connessioni dirette ad alta velocità (collegamenti privati ad alta velocità) per fornire un trasferimento dati sicuro e veloce tra i data center. Questo metodo è stato sviluppato in modo tale da impedire la lettura, la copia, l'alterazione o la rimozione non autorizzate dei dati durante la trasmissione o il trasporto elettronico o quando sono memorizzati su supporti dati. Exxas trasmette dati utilizzando protocolli Internet standard.

Superficie di attacco esterna. Exxas mantiene più livelli di dispositivi di rete e sistemi di rilevamento delle intrusioni per proteggere la superficie di attacco esterna. Exxas considera i potenziali vettori di attacco e integra tecnologie appropriate e appositamente sviluppate in sistemi accessibili dall'esterno.

Rilevamento delle intrusioni Le misure di rilevamento delle intrusioni mirano a fornire informazioni sull'attività di attacco in corso e fornire informazioni appropriate per rispondere agli incidenti. Le misure dell'Exxas per rilevare i furti includono:

  1. monitorando rigorosamente le dimensioni e lo sviluppo della superficie di attacco dell'Exxas attraverso misure preventive,
  2. l'uso di misure intelligenti di controllo della scoperta nei punti di raccolta dei dati, e
  3. l'uso di tecnologie che bloccano automaticamente determinate situazioni pericolose.

Risposta agli incidenti.

Exxas monitora una varietà di canali di comunicazione per gli incidenti di sicurezza. Il personale di Exxa risponderà immediatamente agli incidenti noti.

tecnologie di crittografia.

Exxas fornisce la crittografia HTTPS (nota anche come connessione SSL o TLS). I server Exxas supportano uno scambio effimero Diffie-Hellman di chiavi firmate RSA ed ECDSA basato su curve ellittiche. Perfect forwardsecrecy (PFS) aiuta a proteggere il traffico di dati e minimizza l'impatto di una chiave compromessa o di una violazione della crittografia (scoperta crittografica).

2. Accesso e controllo degli accessi

(a) Controllo degli accessi.

  • Monitoraggio in loco dei data center. Alcuni data center dell'Exxas dispongono di un servizio di sicurezza in loco, responsabile di tutte le misure di sicurezza fisica del data center 24 ore al giorno, 7 giorni alla settimana. Il personale di sicurezza in loco controlla le telecamere di sorveglianza e tutti i sistemi di allarme. Il personale di sicurezza effettua controlli regolari in loco all'interno e all'esterno del data center. I data center monitorati passivamente dispongono di una videosorveglianza completa 24 ore al giorno, 7 giorni alla settimana. I data center monitorati passivamente sono protetti dagli allarmi e attivano immediatamente l'implementazione in caso di allarme.
  • procedure per l'accesso ai data center. Exxas dispone di varie procedure di controllo degli accessi per l'accesso fisico ai data center. I data center sono situati in strutture che richiedono chiavi e/o procedure di accesso biometriche per l'accesso. Solo i dipendenti, gli appaltatori e i visitatori autorizzati possono accedere ai data center. Solo i dipendenti autorizzati possono richiedere i diritti di accesso a queste strutture.
  • Strutture di sicurezza in loco per i data center. I data center dell'Exxas dispongono di un sistema di chiusura e/o di un sistema di controllo degli accessi biometrico. Le telecamere di sicurezza funzionano sia all'interno che all'esterno dei data center. Il posizionamento delle telecamere è stato pianificato in modo da monitorare le aree strategiche. I cavi protetti collegano la tecnologia delle telecamere di sorveglianza in tutto il data center. Le telecamere registrano in loco 24 ore al giorno, 7 giorni alla settimana. Le registrazioni vengono conservate per almeno 7 giorni, a seconda delle rispettive attività.

(b) Controllo degli accessi.

Controllo degli accessi e gestione dei diritti. Gli amministratori e gli utenti finali devono autenticarsi tramite un sistema di autenticazione centrale o tramite un sistema Single Sign-on per utilizzare i servizi di elaborazione degli ordini.

Processi e politiche interne di accesso ai dati: politiche di accesso. I processi e le politiche interne di accesso ai dati dell'Exxas sono progettati per impedire l'accesso ai sistemi utilizzati per trattare i dati personali da parte di persone e/o sistemi non autorizzati. Exxas si impegna a progettare i sistemi in modo tale che: (i) solo le persone autorizzate abbiano accesso ai dati a cui sono autorizzate ad accedere; e (ii) assicuri che i dati personali non possano essere letti, copiati, modificati o cancellati senza l'autorizzazione appropriata durante l'elaborazione, l'uso e dopo l'archiviazione. I sistemi sono progettati per identificare il maggior numero possibile di accessi non autorizzati. Exxas utilizza un sistema centralizzato di gestione degli accessi per controllare l'accesso dei dipendenti ai server di produzione e concede l'accesso solo a un numero limitato di dipendenti autorizzati. LDAP, Kerberos e un sistema proprietario che utilizza certificati SSH sono progettati in modo che Exxas disponga di meccanismi di accesso sicuri e flessibili. Questi meccanismi sono progettati in modo tale che l'accesso agli host del sito, ai file di registro, ai dati e alle informazioni di configurazione debba essere concesso solo con l'autorizzazione appropriata. Exxas richiede l'uso di ID utente singoli e password sicure, autenticazione a due fattori e elenchi di accesso attentamente monitorati per ridurre al minimo le possibilità di uso non autorizzato dell'account. La concessione o la modifica dei diritti di accesso per il personale autorizzato si basa sui seguenti fattori: le responsabilità professionali della rispettiva persona, i requisiti necessari della rispettiva posizione per svolgere le attività autorizzate e la necessità di conoscere. La concessione o la modifica dei diritti di accesso deve inoltre essere conforme alle politiche interne di accesso ai dati dell'Exxas. Laddove le password vengono utilizzate per l'autenticazione (ad esempio per accedere alle workstation), sono state stabilite linee guida per le password che soddisfano almeno gli standard del settore. Questi requisiti includono restrizioni sul riutilizzo delle password e una sicurezza sufficiente della password.

3. Dato

(a) Archiviazione, isolamento e autenticazione dei dati.

Exxas archivia i dati in un ambiente multi-tenant su server di proprietà di Exxas. I dati, i database dei servizi di elaborazione dati e l'architettura del sistema di gestione dei file sono replicati in diversi data center distribuiti geograficamente. Exxas isola logicamente i dati di ogni singolo cliente l'uno dall'altro. Un sistema di autenticazione centrale viene utilizzato su tutta la linea per tutti i servizi di elaborazione dei contratti al fine di aumentare la sicurezza generale dei dati.

(b) Politiche di smantellamento e distruzione del disco rigido.

Se si riscontra che determinati dischi rigidi contenenti dati presentano prestazioni ridotte, errori o guasti hardware, i dischi rigidi interessati vengono spenti («Disco rigido disattivato»). Ogni disco rigido dismesso viene sottoposto a una serie di processi di distruzione («linee guida per la distruzione dei dati») prima di lasciare la sede dell'Exxas per il riutilizzo o la distruzione. I dischi rigidi dismessi vengono eliminati in un processo in più fasi.

(c) Controllo degli ingressi

La concessione restrittiva dei diritti ai dipendenti dell'Exxas limita l'ingresso, la modifica o la rimozione di dati da sistemi e applicazioni per gestire i servizi cloud. I diritti di inserimento, modifica ed eliminazione dei dati sono concessi sulla base di un concetto di autorizzazione. Exxas effettua le registrazioni sui sistemi dei clienti solo su richiesta (ad esempio: su istruzione, su mandato, per contratto o tramite uno SLA).

4. Sicurezza del personale

Il personale dell'Exxas è tenuto a rispettare le politiche aziendali in materia di riservatezza, etica aziendale e uso corretto, nonché gli standard professionali. Exxas effettua ragionevoli controlli dei precedenti nella misura in cui ciò avvenga in conformità con la legge applicabile e altre leggi obbligatorie.

Il personale è tenuto a firmare un accordo di riservatezza e confermare la ricezione e la conformità alla politica di riservatezza e privacy dell'Exxas. Il personale riceve una formazione sulla sicurezza. Il personale che gestisce i dati dei clienti deve soddisfare requisiti aggiuntivi, a seconda della rispettiva area di responsabilità. Il personale di Exxas non tratterà i dati personali dei clienti senza essere autorizzato a farlo.

5. Sicurezza per i subprocessori

Prima di utilizzare i subprocessori, Exxas effettua innanzitutto una revisione delle pratiche di sicurezza e privacy del subprocessore per garantire che vi sia un livello di sicurezza e privacy commisurato all'accesso ai dati e all'ambito dei servizi appaltati. Non appena Exxas è in grado di valutare i rischi delineati dal subprocessore, quest'ultimo è sempre tenuto a stipulare adeguati accordi di sicurezza, riservatezza e protezione dei dati, fatti salvi i requisiti di cui alla Sezione 12.2 (Requisiti per il coinvolgimento dei sub-processori) di queste condizioni di trattamento dei dati.

Exxas AG

Rietbachstrasse 10

8952 Schlieren-Zürich

+41 44 552 89 00
info@exxas.net
Settori
StartupFiduciarioIT e SoftwareAvvocatoAgenziaCommercioTecnologia e ImpiantisticaArchitetti e Ingegneri
Funzioni
CentraleSalesMarketingServiceProjectsProductsHuman ResourcesFinance
Piattaforma
ClientiApp e IntegrazioniTecnologiaTeam di consulenti
Partner
Trova un partnerTrova un fiduciarioDiventa partnerSviluppatore
Servizi
IniziarePacchetti di serviziImplementazioneSupporto
Chi siamo
AziendaNotizie ed eventiCarrieraContatto
swiss made software
Traccia
Imprese
Protezione dei dati
Legale
© Exxas AG 2025

Facendo clic su “Accetta”, si accetta l'uso dei cookie per migliorare la navigazione sul sito web e per misurare il numero di visitatori in modo anonimo. Ulteriori informazioni sono disponibili nella nostra informativa sulla privacy.

ImpostazioniSalvaAccetta
Grazie! La tua richiesta è stata ricevuta!
Ops! Qualcosa è andato storto durante l'invio del modulo.