Info sul prodotto
Tutto ciò che dovete sapere sui prodotti Nitro, dagli aggiornamenti dei prodotti ai download, dalle guide per l'utente alle note sulle versioni.

APPENDICE AL TRATTAMENTO DEI DATI

Il presente Addendum sull'elaborazione dei dati ("DPA") fa parte dei Termini di servizio di Nitro Business e dei Termini di servizio di Nitro che regolano l'uso dei servizi di Nitro. ("Contratto") stipulato da e tra l'utente, il Cliente (collettivamente, "Individuo", "Entità", "Licenziatario") e Nitro Software Inc. ("Nitro") per riflettere l'accordo delle parti in merito al Trattamento di Dati Personali di Nitro esclusivamente per conto del Cliente. Entrambe le Parti saranno denominate le "Parti" e ciascuna una "Parte".

1 . Definizioni

Ai fini del presente DPA, i termini di seguito riportati hanno il significato di seguito indicato. I termini in maiuscolo utilizzati ma non definiti nel presente DPA hanno i significati indicati nell'Accordo.

(a) Affiliato indica qualsiasi entità che, direttamente o indirettamente, controlla, è controllata da, o è sotto controllo comune con l'entità in oggetto, dove "controllo" si riferisce al potere di dirigere o determinare la direzione dell'entità in oggetto, sia attraverso la proprietà di titoli con diritto di voto, per contratto o altro.

(b) Leggi applicabili sulla protezione dei dati indica le leggi e i regolamenti sulla privacy, sulla protezione dei dati e sulla sicurezza dei dati di qualsiasi giurisdizione applicabile al trattamento dei dati personali ai sensi dell'accordo, comprese, a titolo esemplificativo, le leggi europee sulla protezione dei dati e il CCPA.

(c) CCPA indica il California Consumer Privacy Act di 2018 e qualsiasi regolamento promulgato ai sensi dello stesso.

(d) Dati del Cliente indica le informazioni fornite o messe a disposizione di Nitro per l'elaborazione per conto del Cliente per l'esecuzione dei Servizi.

(e) SEE indica lo Spazio economico europeo.

(f) Leggi europee sulla protezione dei dati indica il GDPR e altre leggi e regolamenti sulla protezione dei dati dell'Unione Europea, dei suoi Stati membri, della Svizzera, dell'Islanda, del Liechtenstein, della Norvegia e del Regno Unito, in ogni caso, nella misura applicabile al Trattamento di Dati Personali ai sensi dell'Accordo.

(g) GDPR indica il regolamento (UE) 2016 / 679 del Parlamento europeo e del Consiglio del 27 aprile 2016 , come di volta in volta modificato.

(h) Incidente di sicurezza delle informazioni indica una violazione della sicurezza di Nitro che porta alla distruzione, alla perdita, all'alterazione, alla divulgazione non autorizzata o all'accesso accidentale o illegale ai Dati personali in possesso, custodia o controllo di Nitro. Gli incidenti di sicurezza delle informazioni non includono tentativi o attività non riusciti che non compromettono la sicurezza dei Dati personali, inclusi tentativi di accesso, ping, scansioni delle porte, attacchi Denial of Service o altri attacchi di rete ai firewall o ai sistemi di rete non riusciti.

(i) Dati personali indica i Dati del cliente che costituiscono "dati personali", "informazioni personali" o "informazioni di identificazione personale" definiti nella legge applicabile sulla protezione dei dati, o informazioni di carattere simile regolamentate da tale informazioni relative al personale o ai rappresentanti del Cliente che sono contatti commerciali di Nitro, laddove Nitro agisce in qualità di titolare del trattamento di tali informazioni.

(j) Trattamento significa qualsiasi operazione o insieme di operazioni che viene eseguito su Dati Personali o su insiemi di Dati Personali, anche con mezzi automatizzati, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o l'alterazione, il reperimento, la consultazione , uso, divulgazione mediante trasmissione, diffusione o altrimenti messa a disposizione, allineamento o combinazione, restrizione, cancellazione o distruzione.

(k) Misure di sicurezza ha il significato indicato nella Sezione 5 (a) (Misure di sicurezza del fornitore).

(l) Clausole contrattuali standard indica le disposizioni obbligatorie delle clausole contrattuali standard per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi nella forma prevista dalla Decisione della Commissione Europea 2010 / 87 /UE.

(m) Sub -responsabili del trattamento indica le terze parti che Nitro si impegna a trattare i Dati personali in relazione ai Servizi.

(n) Subincaricati di terze parti ha il significato indicato nella Sezione 5 (Subincaricati) dell'Allegato 1 .

(o) I termini titolare del trattamento, interessato, responsabile del trattamento e autorità di controllo utilizzati nel presente DPA hanno i significati indicati nel GDPR.

2 . Durata e ambito di applicazione del DPA

(a) Il presente DPA rimarrà in vigore fintanto che Nitro elaborerà i Dati personali, nonostante la scadenza o la risoluzione del Contratto.

(b) L'allegato 1 (allegato UE) al presente DPA si applica esclusivamente al trattamento soggetto alle leggi europee sulla protezione dei dati. L'allegato 2 (allegato California) al presente DPA si applica esclusivamente al Trattamento soggetto al CCPA se il Cliente è un "azienda" o un "fornitore di servizi" (come definito nel CCPA) in relazione a tale Trattamento.

3 . Istruzioni per il cliente

Nitro tratterà i Dati personali solo in conformità con le istruzioni del Cliente a Nitro. Il presente DPA è un'espressione completa di tali istruzioni e le istruzioni aggiuntive del Cliente saranno vincolanti per Nitro solo a seguito di un emendamento al presente DPA firmato da entrambe le parti. Il Cliente incarica Nitro di elaborare i Dati personali per fornire i Servizi come previsto dal presente Accordo.

4 . Analitica

Il Cliente riconosce e accetta che, come parte dei Servizi, Nitro può creare e derivare dal Trattamento relativo ai Servizi dati anonimi e/o aggregati che non identificano il Cliente o alcuna persona fisica e utilizzare, pubblicizzare o condividere con terzi tali dati per migliorare i prodotti e i servizi di Nitro e per altri scopi commerciali legittimi.

5 . Sicurezza

(a) Misure di sicurezza del fornitore . Nitro attuerà e manterrà misure tecniche e organizzative progettate per proteggere i Dati personali da distruzione, perdita, alterazione, divulgazione non autorizzata o accesso ai Dati personali (le " Misure di sicurezza "), come descritto nell'Allegato 3 (Misure di sicurezza) accidentali o illegali. . Nitro può aggiornare le Misure di sicurezza di volta in volta, a condizione che le misure aggiornate non riducano la protezione complessiva dei Dati Personali.

(b) Incidenti di sicurezza delle informazioni . Nitro informerà il Cliente senza indebito ritardo di qualsiasi Incidente di sicurezza delle informazioni di cui il Cliente venga a conoscenza. Tali notifiche descriveranno i dettagli disponibili dell'Incidente di sicurezza delle informazioni, comprese le misure adottate per mitigare i potenziali rischi e le misure che Nitro consiglia al Cliente di intraprendere per affrontare l'Incidente di sicurezza delle informazioni. La notifica o la risposta di Nitro a un incidente di sicurezza delle informazioni non sarà interpretata come riconoscimento da parte di Nitro di qualsiasi colpa o responsabilità in relazione all'incidente di sicurezza delle informazioni.

(c) Responsabilità di sicurezza del Cliente e valutazione (i) Responsabilità di sicurezza del Cliente . Il Cliente accetta che, senza limitazione degli obblighi di Nitro ai sensi della Sezione 5 (Sicurezza), il Cliente è l'unico responsabile dell'uso dei Servizi, incluso (a) l'uso appropriato dei Servizi per garantire un livello di sicurezza adeguato al rischio in rispetto dei Dati Personali; (b) proteggere le credenziali di autenticazione dell'account, i sistemi e i dispositivi utilizzati dal Cliente per accedere ai Servizi; (c) proteggere i sistemi ei dispositivi del Cliente che Nitro utilizza per fornire i Servizi; e (d) backup dei Dati Personali. (ii) Valutazione della Sicurezza del Cliente . Il Cliente accetta che i Servizi, le Misure di sicurezza e gli impegni di Nitro ai sensi del presente DPA siano adeguati a soddisfare le esigenze del Cliente, anche in relazione a eventuali obblighi di sicurezza del Cliente ai sensi delle Leggi applicabili sulla protezione dei dati, e forniscano un livello di sicurezza adeguato al rischio in relazione a i Dati Personali.

6 . Diritti dell'interessato

(a) L'interessato di Nitro richiede assistenza . Nitro (tenendo conto della natura del Trattamento dei Dati Personali) fornirà al Cliente l'assistenza ragionevolmente necessaria affinché il Cliente adempia ai propri obblighi ai sensi delle Leggi sulla protezione dei dati applicabili per soddisfare le richieste degli interessati di esercitare i propri diritti ai sensi delle Leggi sulla protezione dei dati applicabili (" Dati Richieste del Soggetto ”) rispetto ai Dati Personali in possesso o controllo di Nitro. Il Cliente dovrà risarcire Nitro per tale assistenza alle tariffe dei servizi professionali Nitro in vigore in quel momento, che saranno messe a disposizione del Cliente su richiesta.

(b) Responsabilità del Cliente per le Richieste . Se Nitro riceve una richiesta dell'interessato, Nitro avviserà l'interessato di presentare la richiesta al Cliente e il Cliente sarà responsabile di rispondere alla richiesta.

7 . Responsabilità del cliente

(a) Conformità del cliente . Il Cliente dovrà adempiere ai propri obblighi ai sensi delle Leggi applicabili sulla protezione dei dati. Il Cliente deve garantire (ed è l'unico responsabile di assicurare) che le sue istruzioni nella Sezione 3 siano conformi alle Leggi applicabili sulla protezione dei dati e che il Cliente abbia inviato tutte le comunicazioni a, e abbia ottenuto tutte tali comunicazioni dalle persone a cui si riferiscono i Dati personali e tutte le altre parti come richiesto dalle leggi o dai regolamenti applicabili affinché il Cliente elabori i Dati personali come previsto dall'Accordo.

(b) Dati vietati . Il Cliente dichiara e garantisce a Nitro che i Dati del Cliente non contengono e non conterranno, senza il previo consenso scritto di Nitro, alcun numero di previdenza sociale o altri numeri di identificazione emessi dal governo; informazioni biometriche; password per account online; credenziali per eventuali conti finanziari; dati della dichiarazione dei redditi; rapporti di credito o rapporti di consumo; qualsiasi informazione sulla carta di pagamento soggetta allo standard di sicurezza dei dati del settore delle carte di pagamento; informazioni soggette al Gramm-Leach-Bliley Act, al Fair Credit Reporting Act o ai regolamenti promulgati ai sensi di tali leggi; informazioni soggette a restrizioni ai sensi delle leggi sulla protezione dei dati applicabili che regolano i dati personali dei bambini, incluse, a titolo esemplificativo, tutte le informazioni sui bambini di età inferiore a 13 anni; o qualsiasi informazione che rientri in categorie speciali di dati (come definito nel GDPR). Il Cliente dichiara inoltre che i Dati del Cliente non contengono e non conterranno informazioni sanitarie protette soggette all'Health Insurance Portability and Accountability Act (HIPAA) o a qualsiasi legislazione simile in altre giurisdizioni; altre informazioni riguardanti la storia medica, le condizioni mentali o fisiche di un individuo o il trattamento medico o la diagnosi da parte di un operatore sanitario; o informazioni sull'assicurazione sanitaria a meno che il Cliente e Nitro non abbiano stipulato separatamente un contratto di società in affari HIPAA.

8 . Varie

Salvo quanto espressamente modificato dal Garante, i termini del Contratto restano in vigore ed efficaci. In caso di conflitto o incoerenza tra il presente DPA e gli altri termini dell'Accordo, prevarrà il presente DPA. Nonostante qualsiasi disposizione contraria dell'Accordo o qualsiasi modulo d'ordine inserito in relazione ad esso, le parti riconoscono e concordano che l'accesso di Nitro ai Dati personali non costituisce parte del corrispettivo scambiato dalle parti in relazione all'Accordo. Nonostante qualsiasi disposizione contraria nell'Accordo, qualsiasi avviso richiesto o consentito da Nitro al Cliente ai sensi del presente DPA può essere fornito (a) in conformità con qualsiasi clausola di avviso dell'Accordo; (b) ai principali punti di contatto di Nitro con il Cliente; o (c) a qualsiasi e-mail fornita dal Cliente allo scopo di fornirgli comunicazioni o avvisi relativi ai Servizi. Il Cliente è l'unico responsabile di garantire che tali indirizzi e-mail siano validi.

ALLEGATO 1 AL DPA
ALLEGATO UE

1 . Trattamento dei dati

(a) Oggetto e dettagli del trattamento . Le parti riconoscono e concordano che (i) l'oggetto del Trattamento ai sensi dell'Accordo è la fornitura dei Servizi da parte di Nitro; (ii) la durata del Trattamento va dalla ricezione dei Dati Personali da parte di Nitro fino alla cancellazione di tutti i Dati Personali da parte di Nitro in conformità con l'Accordo; (iii) la natura e lo scopo del Trattamento è fornire i Servizi; (iv) gli interessati cui si riferiscono i Dati Personali sono il Cliente (nella misura in cui il Cliente è un individuo), gli utenti dei Servizi o del software Nitro e gli interessati i cui dati personali sono stati generati, condivisi o caricati da Cliente e/o utenti dei Servizi e/o del software Nitro; e (v) le categorie di dati personali sono i dati personali generati, condivisi, caricati o richiesti dal Cliente o dagli utenti dei Servizi e/o del software Nitro (che possono includere dati personali contenuti in documenti, immagini e altri media e utenti- contenuto generato come documenti, testo, immagini e altri contenuti).

(b) Ruoli e conformità normativa; Autorizzazione . Le parti riconoscono e accettano che (i) Nitro è un responsabile del trattamento di tali Dati personali ai sensi delle leggi europee sulla protezione dei dati; (ii) il Cliente è un titolare del trattamento (o un responsabile del trattamento che agisce su istruzioni di un titolare del trattamento) di tali Dati personali ai sensi delle leggi europee sulla protezione dei dati; e (iii) ciascuna parte rispetterà gli obblighi ad essa applicabili in tale ruolo ai sensi delle leggi europee sulla protezione dei dati in relazione al trattamento di tali dati personali. Se il Cliente è un responsabile del trattamento, il Cliente dichiara e garantisce a Nitro che le istruzioni e le azioni del Cliente in relazione ai Dati personali, inclusa la nomina di Nitro come altro responsabile del trattamento, sono state autorizzate dal responsabile del trattamento pertinente.

(c) Rispetto delle istruzioni da parte di Nitro . Nitro tratterà i Dati personali solo in conformità con le istruzioni del Cliente stabilite nel presente DPA, a meno che le leggi europee sulla protezione dei dati applicabili non richiedano diversamente, nel qual caso Nitro avviserà il Cliente (a meno che tale legge non vieti a Nitro di farlo per importanti motivi di interesse pubblico).

(d) Cancellazione dei dati . Nitro cancellerà tutti i Dati Personali sui sistemi Nitro su richiesta del Cliente e dopo la fine della fornitura dei Servizi, e cancellerà le copie esistenti a meno che non sia richiesta la conservazione continua dei Dati Personali da (i) le leggi applicabili dell'Unione Europea o dei suoi Membri Stati, in relazione ai Dati Personali soggetti alle Leggi Europee sulla Protezione dei Dati o (ii) alle Leggi Applicabili sulla Protezione dei Dati, rispetto a tutti gli altri Dati Personali. Nitro si atterrà a tali istruzioni non appena ragionevolmente possibile e non oltre 180 giorni dopo tale scadenza o risoluzione, a meno che le leggi sulla protezione dei dati applicabili non richiedano la conservazione. Il Cliente può scegliere di richiedere una copia di tali Dati personali a Nitro a un costo aggiuntivo richiedendola per iscritto almeno 30 giorni prima della scadenza o risoluzione del Contratto. Previo consenso delle parti a tale addebito in base a un ordine di lavoro o ad altra modifica dell'Accordo, Nitro fornirà tale copia di tali Dati personali prima che vengano cancellati in conformità con questa clausola.

2 . La sicurezza dei dati

(a) Misure di sicurezza, controlli e assistenza Nitro (i) Assistenza alla sicurezza Nitro . a disposizione di Nitro) fornire al Cliente l'assistenza ragionevole necessaria affinché il Cliente adempia ai propri obblighi in relazione ai Dati personali ai sensi delle leggi europee sulla protezione dei dati, inclusi gli articoli da 32 a 34 (incluso) del GDPR, mediante (a) implementando e mantenimento delle Misure di Sicurezza; (b) rispettare i termini della Sezione 5 (b) (Incidenti di sicurezza delle informazioni) del DPA; e (c) conformarsi al presente allegato 1 . Il Cliente riconosce e accetta che tali misure sono sufficienti per consentire al Cliente di ottemperare a tali obblighi. (ii) Conformità alla sicurezza da parte del personale Nitro . Nitro garantirà che il proprio personale autorizzato ad accedere ai Dati Personali sia soggetto ad obblighi di riservatezza appropriati.

(b) Revisioni e verifiche di conformità
Il Cliente può verificare la conformità di Nitro ai propri obblighi ai sensi del presente DPA fino a una volta all'anno e in tutte le altre occasioni eventualmente richieste dalle Leggi europee sulla protezione dei dati, anche laddove richiesto dall'autorità di supervisione del Cliente. Nitro contribuirà a tali audit fornendo al Cliente o all'autorità di supervisione del Cliente le informazioni e l'assistenza ragionevolmente necessarie per condurre l'audit. Se una terza parte deve condurre la revisione, Nitro può opporsi al revisore se quest'ultimo, secondo la ragionevole opinione di Nitro, non è indipendente, un concorrente di Nitro, o altrimenti manifestamente inadatto. Tale obiezione da parte di Nitro richiederà al Cliente di nominare un altro revisore dei conti o di condurre l'audit stesso. Per richiedere un audit, il Cliente deve presentare un piano di audit proposto a Nitro almeno due settimane prima della data di audit proposta e qualsiasi revisore di terze parti deve firmare un consueto accordo di non divulgazione reciprocamente accettabile per le parti (tale accettazione non deve essere irragionevole trattenuta) prevedendo il trattamento riservato di tutte le informazioni scambiate in relazione all'audit e di eventuali segnalazioni in merito ai risultati o alle risultanze dello stesso. Il piano di audit proposto deve descrivere l'ambito proposto, la durata e la data di inizio dell'audit. Nitro esaminerà il piano di audit proposto e fornirà al Cliente eventuali dubbi o domande (ad esempio, qualsiasi richiesta di informazioni che potrebbe compromettere la sicurezza, la privacy, l'occupazione o altre politiche pertinenti di Nitro). Nitro collaborerà con il Cliente per concordare un piano di audit finale. Nulla nella presente Sezione 2 (b) richiederà a Nitro di violare qualsiasi obbligo di riservatezza. Se i controlli o le misure da valutare nell'audit richiesto sono trattati in un rapporto di audit SOC 2 Tipo 2 , ISO, NIST o simile eseguito da un revisore di terze parti qualificato entro dodici ( 12 ) mesi dall'audit del Cliente richiesta e Nitro ha confermato che non ci sono stati cambiamenti sostanziali noti nei controlli verificati dalla data di tale rapporto, il Cliente accetta di accettare tale rapporto invece di richiedere un audit di tali controlli o misure. L'audit deve essere condotto durante il normale orario lavorativo, soggetto al piano di audit finale concordato e alle politiche di sicurezza, protezione o altre politiche pertinenti di Nitro e non può interferire irragionevolmente con le attività aziendali di Nitro. Il Cliente notificherà tempestivamente a Nitro qualsiasi non conformità rilevata nel corso di un audit e fornirà a Nitro qualsiasi rapporto di audit generato in relazione a qualsiasi audit ai sensi della presente Sezione 2 (b), a meno che non sia vietato dalle Leggi europee sulla protezione dei dati o altrimenti indicato da un'autorità di controllo. Il Cliente può utilizzare i rapporti di audit solo allo scopo di soddisfare i requisiti di audit normativi del Cliente e/o confermare la conformità ai requisiti del presente DPA. Eventuali controlli sono a carico esclusivo del Cliente. Il Cliente rimborserà Nitro per qualsiasi tempo speso da Nitro e da terzi in relazione a qualsiasi audit o ispezione ai sensi della presente Sezione 2 (b) alle tariffe dei servizi professionali di Nitro in vigore in quel momento, che saranno messe a disposizione del Cliente su richiesta. Il Cliente sarà responsabile di eventuali commissioni addebitate da qualsiasi revisore nominato dal Cliente per eseguire tale verifica.

3 . Valutazioni d'impatto e consultazioni

Nitro (tenendo conto della natura del Trattamento e delle informazioni a disposizione di Nitro) assisterà ragionevolmente il Cliente nell'adempimento dei propri obblighi ai sensi degli articoli 35 e 36 del GDPR, (a) mettendo a disposizione la documentazione che descrive gli aspetti rilevanti di Il programma di sicurezza delle informazioni di Nitro e le misure di sicurezza applicate in relazione ad esso e (b) fornendo le altre informazioni contenute nell'Accordo, compreso il presente DPA.

4 . Trasferimenti di dati

(a) Strutture per il trattamento dei dati . Il Fornitore può, in base alla Sezione 4 (b) (Trasferimenti fuori dal SEE), archiviare ed elaborare i Dati personali negli Stati Uniti o ovunque il Fornitore o i suoi Subincaricati abbiano strutture.

(b) Trasferimenti fuori dal SEE . Se il Cliente trasferisce Dati Personali fuori dal SEE a Nitro in un paese non ritenuto dalla Commissione Europea dotato di un'adeguata protezione dei dati, tale trasferimento sarà disciplinato dalle Clausole Contrattuali Standard, i cui termini sono qui incorporati nel presente DPA. A sostegno di quanto sopra, le parti concordano che (i) il Cliente agirà come esportatore di dati e Nitro agirà come importatore di dati ai sensi delle Clausole contrattuali standard; (ii) ai fini dell'Appendice 1 alle Clausole contrattuali standard, le categorie di interessati, dati, categorie speciali di dati (se del caso) e le operazioni di trattamento sono indicate nella sezione 1 (a) del presente allegato 1 (oggetto e dettagli del trattamento);( iii) ai fini dell'Appendice 2 alle Clausole Contrattuali Standard, le misure tecniche e organizzative saranno le Misure di Sicurezza; (iv) l'importatore di dati fornirà le copie degli accordi di sub-responsabile del trattamento che devono essere inviate dall'importatore di dati ai dati esportatore ai sensi della clausola 5 (j) delle clausole contrattuali standard su richiesta dell'esportatore di dati, e tale importatore di dati può rimuovere o oscurare tutte le informazioni commerciali o clausole non correlate alle clausole contrattuali standard o loro equivalenti in anticipo; (v) l'au Le disposizioni descritte nella clausola 5 (f) e nella clausola 12 ( 2 ) delle clausole contrattuali standard devono essere eseguite in conformità con la sezione 2 (b) del presente allegato 1 (Revisioni e verifiche di conformità );(vi) le autorizzazioni del Cliente nella Sezione 5 (Sub-responsabili) del presente Allegato 1 costituiranno il previo consenso scritto del Cliente al subappalto da parte di Nitro del Trattamento dei Dati Personali se tale consenso è richiesto ai sensi della Clausola 5 (h ) delle Clausole Contrattuali Standard; e (vii) la certificazione della cancellazione dei Dati Personali come descritto nella Clausola 12 ( 1 ) delle Clausole Contrattuali Standard deve essere fornita su richiesta dell'importatore di dati.

Nonostante quanto sopra, le clausole contrattuali standard (o gli stessi obblighi previsti dalle clausole contrattuali standard) non si applicheranno nella misura in cui si applichi uno standard di conformità alternativo riconosciuto per il trasferimento di dati personali al di fuori del SEE in conformità con le leggi europee sulla protezione dei dati il trasferimento. In caso di conflitto o incoerenza tra (a) il presente Allegato 1 e qualsiasi altra disposizione del presente DPA, il presente Allegato 1 disciplinerà o (b) le Clausole contrattuali standard e qualsiasi altra disposizione del presente Accordo, lo Standard Prevarranno le clausole contrattuali.

5 . Subincaricati

(a) Consenso all'incarico del Sub-responsabile del trattamento . Il Cliente autorizza specificamente l'assunzione delle Affiliate di Nitro come Sub-responsabili del trattamento e generalmente autorizza l'assunzione di altre terze parti come Sub-responsabili ("Sub-responsabili di terze parti ").

(b) Informazioni sui Sub -responsabili del trattamento. Le informazioni sui Subincaricati, comprese le loro funzioni e ubicazioni, sono disponibili all'indirizzo: www.gonitro.com/legal/subprocessors che possono essere aggiornati da Nitro di volta in volta) o qualsiasi altro indirizzo web che Nitro può fornire al Cliente di volta in volta ( il “ Sito Sub -responsabile del trattamento”).

(c) Requisiti per l'incarico del Subincaricato . Quando assume qualsiasi Subresponsabile, Nitro stipulerà un contratto scritto con tale Subresponsabile contenente obblighi di protezione dei dati non meno protettivi di quelli del presente DPA rispetto ai Dati personali nella misura applicabile alla natura dei servizi forniti da tale Subresponsabile. Nitro sarà responsabile di tutti gli obblighi previsti dall'Accordo subappaltati al Subincaricato o delle sue azioni e omissioni ad esso correlate.

(d) Opportunità di opporsi alle modifiche del subincaricato . Quando Nitro assume qualsiasi nuovo Subresponsabile di terze parti dopo la data di entrata in vigore dell'Accordo, Nitro informerà il Cliente dell'incarico (incluso il nome e l'ubicazione del Subresponsabile pertinente e le attività che svolgerà) aggiornando il Sito del Subresponsabile o con altri mezzi scritti . Se il Cliente si oppone a tale impegno in una comunicazione scritta a Nitro entro 15 giorni dopo essere stato informato dell'impegno per motivi ragionevoli relativi alla protezione dei Dati personali, il Cliente e Nitro lavoreranno insieme in buona fede per trovare una soluzione reciprocamente accettabile per affrontare tale obiezione. Se le parti non sono in grado di raggiungere una risoluzione reciprocamente accettabile entro un termine ragionevole, il Cliente può, come unico ed esclusivo rimedio, risolvere il Contratto e annullare i Servizi dandone comunicazione scritta a Nitro e pagando a Nitro tutti gli importi dovuti ai sensi del Accordo a partire dalla data di tale risoluzione.

(e) Sufficienza del consenso . Il Cliente riconosce e accetta che le procedure di cui sopra sono sufficienti per ottenere il previo consenso scritto del Cliente al trattamento secondario ai sensi dell'Articolo 28 del GDPR e nella misura richiesta dalla Clausola 5 (h) delle Clausole Contrattuali Standard.

ALLEGATO 2 AL DPA
ALLEGATO CALIFORNIA

  1. Ai fini del presente Allegato 2 , i termini "attività", "scopo commerciale", "vendita" e "fornitore di servizi" avranno i rispettivi significati ad essi attribuiti nel CCPA e "informazioni personali" significano Dati Personali che costituiscono informazioni personali disciplinate dal CCPA.
  2. È intenzione delle parti che, in relazione a qualsiasi informazione personale, Nitro sia un fornitore di servizi. Nitro non potrà (a) vendere alcuna informazione personale; (b) conservare, utilizzare o divulgare qualsiasi informazione personale per qualsiasi scopo diverso dallo scopo specifico di fornire i Servizi, incluso conservare, utilizzare o divulgare le informazioni personali per uno scopo commerciale diverso dalla fornitura dei Servizi; o (c) conservare, utilizzare o divulgare le informazioni personali al di fuori del rapporto commerciale diretto tra Nitro e il Cliente. Nitro certifica che comprende i propri obblighi ai sensi della presente Sezione 2 e li rispetterà.
  3. Le parti riconoscono che la conservazione, l'uso e la divulgazione da parte di Nitro delle informazioni personali autorizzate dalle istruzioni del Cliente documentate nel DPA sono parte integrante della fornitura dei Servizi da parte di Nitro e del rapporto commerciale tra le parti.

ALLEGATO 3 AL DPA
MISURE DI SICUREZZA

Tecnica e Sicurezza
Panoramica del segno Nitro

Sicurezza delle applicazioni, conformità, autenticazione degli utenti,
integrità dei documenti e ripristino di emergenza

Sintesi
Le soluzioni software di Nitro sono progettate per migliorare la produttività e ridurre il consumo di carta per ogni knowledge worker. Consentendo flussi di lavoro di documenti digitali end-to-end, Nitro aiuta le organizzazioni a promuovere la sicurezza dei documenti e le iniziative di sostenibilità aziendale, fattori essenziali per costruire le basi per una trasformazione digitale di successo.

Nitro Sign, parte di Nitro Productivity Suite, è un'applicazione basata su browser che offre flussi di lavoro di firma elettronica veloci, sicuri e legalmente vincolanti. Progettato per fornire una firma elettronica semplice e piacevole a tutti, Nitro Sign offre un'interfaccia intuitiva e funzionalità avanzate supportate da solide basi di sicurezza, per un'esperienza davvero di livello aziendale. Con la nostra soluzione di firma elettronica, i clienti Nitro stanno trasformando processi legacy disconnessi e dispendiosi in termini di tempo in moderni flussi di lavoro digitali che possono essere eseguiti in pochi minuti.

Nitro Sign fornisce tutte le funzionalità necessarie per ottenere firme elettroniche rapide, sicure e legalmente vincolanti:

  • Ordine sequenziale dei firmatari
  • Notifiche in tempo reale
  • Visualizzazione dell'analisi
  • Autenticazione a più fattori per la verifica dell'identità del firmatario
  • Documenti firmati a prova di manomissione
  • Traccia di controllo completa per ogni documento
  • Modelli riutilizzabili
  • Conformità al più alto livello di normative e standard globali

Lo scopo di questo documento è fornire una panoramica di alto livello del framework di sicurezza generale di Nitro Sign, inclusi ma non limitati a: sicurezza delle applicazioni, conformità, sicurezza dell'organizzazione, sicurezza della rete, sicurezza dei dati e ripristino di emergenza.

Sicurezza dell'applicazione
Nitro Sign viene eseguito su una piattaforma di microservizi containerizzata ospitata in un VPC (Virtual Private Cloud) dedicato a Nitro in più zone di disponibilità all'interno di un'unica regione dell'UE: Francoforte, Germania. I clienti Nitro accedono all'applicazione Nitro Sign tramite i loro browser Web tramite il sito Web pubblico cloud.gonitro.com.

Il traffico Internet pubblico da e verso cloud.gonitro.com è crittografato tramite TLS (Transport Layer Security) protetto utilizzando un certificato digitale di convalida estesa della famiglia Secure Hash Algorithm (SHA- 2 ) di DigiCert (www.digicert.com) con entrambi SHA impronte digitali 1 e SHA 256 ; SHA 256 è l'algoritmo di hashing utilizzato e lo schema di firma utilizzato è 2048 -bit RSA.

I documenti Nitro Sign sono archiviati in posizioni sicure, dedicate e gestite, utilizzando lo standard di crittografia avanzata con una dimensione della chiave di 256 bit (AES- 256 ). AES è incluso nell'ISO/IEC 18033 - 3 : Tecnologia dell'informazione – Tecniche di sicurezza – Algoritmi di crittografia – Parte 3 : Standard di cifratura a blocchi. AES è definito come lo standard federale per l'elaborazione delle informazioni degli Stati Uniti: FIPS PUB 197 : Advanced Encryption Standard (AES).

Le comunicazioni di dati tra i client Web e i server back-end Nitro vengono crittografate utilizzando TLS, che protegge i dati in transito. I metadati del documento sono conservati in un servizio di database relazionale che garantisce elevata disponibilità e durabilità dei dati. Lo storage è fornito dai bucket Amazon S 3 (Simple Storage Service), dedicati a Nitro, che sono crittografati per proteggere i dati inattivi.

Le informazioni riservate (credenziali, token, certificati, chiavi API) vengono gestite tramite un database del deposito crittografato.

system-overview.png

Autenticazione utente
Nitro Sign supporta più metodi per la gestione e l'autenticazione delle identità degli utenti.

Nitro Admin, il nostro portale dedicato alla gestione degli utenti e delle licenze, viene utilizzato dagli amministratori designati per invitare nuovi utenti, gestire gli utenti esistenti e le relative licenze e per sospendere o rimuovere gli utenti, se necessario.

Nitro offre anche integrazioni Single Sign-On (SSO) come parte del nostro piano di livello Enterprise. SSO consente agli utenti di accedere ai prodotti Nitro tramite l'autenticazione tramite l'Identity Provider (IdP) dell'organizzazione. Nitro supporta SSO con qualsiasi SAML- 2 . 0 IdP conforme.

Maggiori informazioni sull'abilitazione dell'integrazione SSO di Nitro sono disponibili qui https://www.gonitro.com/user-guide/admin/article/single-sign-on-overview

Integrità del documento
Al completamento di un flusso di lavoro di firma, Nitro firma digitalmente il PDF utilizzando un certificato emesso per identificare Nitro come organizzazione. La firma digitale verifica l'integrità del documento e conferma che il documento non è stato manomesso da quando è stato completato. Si prega di vedere l'immagine seguente per come appare la firma digitale su un documento completato visualizzato in Nitro Pro 13 . La Firma Digitale sarà presente nella copia del documento ricevuto da tutte le parti della richiesta.

document-security.png

Conformità
Nitro Software Inc. detiene, tra le altre, le certificazioni HIPAA, SOC 2 Type 1 e SOC 2 Type 2 . Nitro è inoltre autocertificata per Privacy Shield e si impegna pienamente a supportare il Regolamento generale sulla protezione dei dati (GDPR) dell'UE.

compliance.png

Poiché consideriamo la sicurezza dei dati la nostra prima responsabilità e priorità, garantiamo la sicurezza in ogni fase del ciclo di vita di sviluppo di un sistema per tutti i prodotti Nitro.

Seguiamo le migliori pratiche del settore per trasferire, elaborare e archiviare i dati dei clienti. Tutte le funzionalità abilitate per il cloud di Nitro utilizzano strutture informatiche all'avanguardia che soddisfano gli standard del settore chiave, come PCI DSS, HIPAA e SOC. Il nostro data center principale si trova nell'UE a Francoforte, in Germania.

Nitro protegge i documenti in movimento e inattivi con audit trail digitali e crittografia TLS AES. Attraverso un'ampia registrazione e strumentazione, monitoriamo il nostro ambiente di produzione per verificare la sicurezza, la disponibilità, l'accesso e altre metriche per i nostri servizi.

Utilizziamo una combinazione di strumenti automatizzati e ispezione manuale per garantire un controllo costante degli eventi di sicurezza. Per tutta la nostra infrastruttura cloud, utilizziamo Amazon Web Services (AWS), che fornisce un'ampia documentazione sulle loro pratiche di sicurezza qui . AWS adotta misure di sicurezza dei dati all'avanguardia, nonché restrizioni di accesso fisico alle posizioni dei server.

Per un elenco completo delle certificazioni Nitro, tra cui SOC 2 Type 2 , HIPAA e Privacy Shield, fai clic qui .

L'elenco delle certificazioni AWS, inclusi i report ISO 27001 e SOC 1 , 2 e 3 , è disponibile qui .

Sicurezza Organizzativa
Nitro Software ha sviluppato e comunicato ai propri utenti le procedure per limitare l'accesso logico ai sistemi di Nitro Software. Le procedure coprono le seguenti aree chiave del ciclo di vita della sicurezza:

  • Gestione e comunicazione delle politiche
  • Autorizzazione, modifiche e cessazione dell'accesso al sistema informativo
  • Autorizzazione, test e approvazione delle modifiche alle applicazioni dell'ambiente di produzione
  • Monitoraggio dei controlli di sicurezza
  • Gestione accessi e ruoli
  • Manutenzione e supporto del sistema di sicurezza e backup/media storage necessari
  • Disaster recovery e risposta agli incidenti
  • Manutenzione dell'accesso limitato a configurazioni di sistema, funzionalità amministrative, password, potenti utility e dispositivi di sicurezza

Controlli in background : Nitro fa di tutto per garantire che nessuno veda o elabori i tuoi dati a meno che non sia autorizzato a farlo, e limitiamo rigorosamente le eccezioni. Tutti i dipendenti sono soggetti a controlli in background e l'accesso ai server di produzione è limitato esclusivamente agli ingegneri che devono lavorare direttamente con i nostri sistemi di produzione.

Standard di sicurezza delle informazioni Nitro v 1 . 5 esistono e sono in vigore.

Questi standard sono sviluppati sotto l'autorità della Nitro Information Security Policy.

Questi standard si applicano a tutti i componenti di Nitro ea tutte le aree geografiche in cui Nitro opera.

Questi standard si basano e sono allineati con ISO/IEC 27002 : 2013 Tecnologia dell'informazione – Codice di condotta per i controlli di sicurezza delle informazioni (concesso in licenza da Nitro).

Questi standard sono inoltre allineati e supportano la pubblicazione speciale NIST 800 - 53 del Dipartimento del Commercio degli Stati Uniti .

La politica di sicurezza delle informazioni di Nitro è di proprietà di Global Security Lead, che si è assicurata l'approvazione della direzione e la responsabilità per lo sviluppo, la revisione e il mantenimento della politica.

Gli standard di sicurezza delle informazioni Nitro sono alla base della politica di sicurezza delle informazioni Nitro. Gli standard vengono riesaminati su base continuativa con aggiornamenti applicati come e quando richiesto.

Gli standard e la politica di sicurezza delle informazioni Nitro vengono riesaminati ogni anno nell'ambito delle nostre iniziative di conformità alle normative in corso, tra cui SOC 2 e HIPAA.

Consapevolezza e formazione sulla sicurezza
Nitro ha una politica di sicurezza delle informazioni per aiutare a garantire che i dipendenti comprendano i loro ruoli e responsabilità individuali in merito all'elaborazione e ai controlli per garantire che gli eventi significativi siano comunicati in modo tempestivo.

Questi includono programmi di formazione formali e informali e l'uso di e-mail, Slack e altri metodi per comunicare informazioni e processi urgenti per scopi di sicurezza e disponibilità del sistema che avvisano il personale chiave in caso di problemi.

La formazione sulla sicurezza delle informazioni generali viene fornita durante il processo di assunzione e assunzione e successivamente aggiornata almeno una volta all'anno. Una formazione specifica dipendente dai ruoli viene fornita ad aree specialistiche come lo sviluppo di software e l'ingegneria di sistemi o piattaforme.

La sicurezza dei dati
Tutti i sistemi e le applicazioni sono soggetti regolarmente a scansioni di valutazione della vulnerabilità da parte di una terza parte indipendente e accreditata.

Il servizio di piattaforma online Nitro è una soluzione basata su cloud ospitata in AWS VPC in più zone di disponibilità in un'unica regione (Francoforte, Germania), progettata per guasti, autoriparazione, robustezza ed è altamente disponibile.

Sono in atto backup automatici che coprono 20 generazioni di dati.

È attiva la crittografia AES- 256 che copre i dati inattivi e i dati in transito.

Sono presenti più istanze della tecnologia Anti-Virus e Anti-Malware, a livello di desktop e anche a livello di gateway e-mail e gateway Internet.

Nitro utilizza anche un Web Application Firewall e una piattaforma di protezione DDoS.

Ripristino di emergenza
Tutti i sistemi Nitro sono costruiti per essere altamente resilienti, altamente disponibili e tolleranti ai guasti.

Detto questo, abbiamo un piano di ripristino di emergenza Nitro e un piano di continuità aziendale Nitro, che vengono rivisti e testati ogni anno.

Il test più recente del piano di ripristino di emergenza Nitro è stato condotto in Q 3 2020 .

Futuro del lavoro

Il Rapporto sulla produttività di Nitro 2022

Scopri come la pandemia ha trasformato la produttività, i flussi di lavoro e le iniziative digitali, nonché le tendenze e le tecnologie che plasmano il lavoro in 2022 e oltre.