Accordo sul trattamento dei dati¶
Questo Accordo sul trattamento dei dati rispecchia i requisiti del Regolamento generale sulla protezione dei dati (“GDPR”), esecutivo dal 25 maggio 2018. Questo Accordo sul trattamento dei dati (“DPA”) è un addendum ai Termini di servizio (“Accordo”) tra il Consortium GARR, (“GARR”) e l’Utente della Piattaforma Cloud GARR (“Utente”).
Tutti i termini in maiuscolo non definiti in questo DPA avranno i significati indicati nell’Accordo.
Le parti concordano quanto segue:
1. Definizioni¶
“Titolare” indica un’entità che determina le finalità e i mezzi del trattamento dei Dati Personali.
“Dati Utente” indica qualsiasi dato che GARR elabora per conto dell’Utente nel corso di fornire i Servizi ai sensi del Contratto.
“Leggi sulla protezione dei dati” indica tutte le leggi sulla protezione dei dati e sulla privacy e la normativa applicabile al trattamento dei Dati Personali ai sensi del Contratto, inclusa, ove applicabile, la legge sulla protezione dei dati dell’UE.
“Legge UE sulla protezione dei dati” significa (i) Regolamento 2016/679 del Parlamento Europeo e del Consiglio sulla tutela delle persone fisiche con riguardo al trattamento dei Dati Personali e sulla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati) (“GDPR”); e (ii) Direttiva 2002/58/CE relativa al trattamento dei dati personali e la tutela della privacy nel settore delle comunicazioni elettroniche e sue attuazioni nazionali applicabili (in ogni caso, come eventualmente modificato, sostituito o sostituito).
“Dati personali” indica qualsiasi Dato utente relativo a un soggetto identificato o identificabile persona fisica nella misura in cui tali informazioni sono protette come dati personali ai sensi della legge sulla protezione dei dati applicabile.
“Responsabile” indica un’entità che tratta i Dati Personali per conto del Titolare.
“Trattamento” ha il significato attribuitogli nel GDPR e “processo”, “processi” e “trattati” devono essere interpretati di conseguenza.
“Incidente di sicurezza” indica qualsiasi violazione non autorizzata o illegale della sicurezza che porta alla distruzione accidentale o illecita, perdita, alterazione, non autorizzata divulgazione o accesso ai Dati Personali.
“Servizi” indica qualsiasi servizio fornito da GARR all’Utente ai sensi di e come più particolarmente descritto nell’Accordo.
“Sub-responsabile” indica qualsiasi Responsabile incaricato da GARR di assistere nell’adempimento i suoi obblighi in relazione alla fornitura dei Servizi ai sensi del Contratto o questo DPA. I sub-responsabili possono includere terze parti.
2. Ambito e applicabilità del presente DPA¶
2.1 Il presente DPA si applica laddove e solo nella misura in cui GARR tratta i Dati personali per conto dell’Utente nel corso della fornitura dei Servizi e di tali Dati Personali è soggetto alle leggi sulla protezione dei dati dell’Unione Europea. Le parti si impegnano a rispettare i termini e le condizioni del presente DPA in relazione con tali Dati Personali.
2.2 Ruolo delle Parti. L’Utente è il Titolare del trattamento dei Dati Personali e GARR tratterà i Dati Personali solo come Responsabile per conto dell’Utente. Nulla nel Contratto o nel presente DPA impedirà a GARR di utilizzare o condividere qualsiasi dato che GARR raccoglierebbe ed elaborerebbe indipendentemente dall’Utente.
2.3 Obblighi dell’utente. L’Utente accetta che (i) dovrà adempiere ai propri obblighi in qualità di Titolare del trattamento ai sensi delle Leggi sulla protezione dei dati in relazione al trattamento dei dati personali e qualsiasi istruzione di elaborazione impartite a GARR; e (ii) ha fornito avviso e ottenuto (o otterrà) tutti i consensi e i diritti necessari ai sensi dei Dati Leggi di protezione per GARR per elaborare i dati personali e fornire i servizi ai sensi dell’Accordo e del presente DPA.
2.4 Trattamento GARR dei Dati Personali. In qualità di Responsabile, GARR tratterà i Dati Personali solo per le seguenti finalità: (i) elaborazione per eseguire i Servizi in conformità con il Contratto; (ii) il trattamento per l’espletamento di tutte le operazioni necessarie per l’esecuzione dell’Accordo; e (iii) per conformarsi ad altre ragionevoli istruzioni fornite dall’Utente nella misura in cui sono coerenti con i termini del presente Accordo e solo in conformità con Istruzioni legali documentate per l’uso. Le parti concordano che questo DPA e l’Accordo stabiliscono l’uso completo e istruzioni finali al GARR in relazione al trattamento dei Dati Personali, e il trattamento al di fuori dell’ambito di queste istruzioni (se del caso) richiede previo accordo scritto tra Utente e GARR.
2.5 Natura dei dati. GARR tratta i Dati dell’Utente forniti dall’Utente. Tali Dati dell’Utente possono contenere categorie speciali di dati a seconda di come i Servizi sono utilizzati dall’Utente. I Dati dell’Utente possono essere oggetto delle seguenti attività di trattamento: (i) archiviazione e altri trattamenti necessari per fornire, mantenere e migliorare i Servizi forniti all’Utente; (ii) fornire all’Utente e supporto tecnico all’Utente; e (iii) divulgazioni richieste dalla legge o altrimenti stabilite nel Contratto.
2.6 Dati GARR. Nonostante qualsiasi disposizione contraria nell’accordo (incluso il presente DPA), l’Utente riconosce che GARR avrà il diritto di utilizzare e divulgare dati relativi e/o acquisiti in relazione all’operazione, supporto e/o utilizzo dei Servizi per le sue legittime finalità operative, quali fatturazione, gestione account, supporto tecnico, sviluppo del prodotto. Nella misura in cui tali dati sono considerati dati personali ai sensi delle leggi sulla protezione dei dati, GARR è il Titolare di tali dati e di conseguenza tratterà tali dati in rispetto delle leggi sulla protezione dei dati. 3. Sub-elaborazione —————- GARR non coinvolge attualmente alcun Sub-elaboratore.
4. Sicurezza¶
4.1 Misure di sicurezza. Il GARR implementerà e manterrà adeguate tecniche e misure di sicurezza organizzative per proteggere i dati personali da incidenti di sicurezza e per preservare la sicurezza e la riservatezza dei Dati Personali, in conformità con gli standard di sicurezza del GARR descritti nell’Allegato 1 (“Misure di Sicurezza”). 4.2 Riservatezza del trattamento. GARR garantisce che chiunque sia autorizzato da GARR al trattamento dei Dati Personali (compreso il suo personale, agenti e subappaltatori) sono soggetti a un adeguato obbligo di riservatezza (se un obbligo contrattuale o legale).
4.3 Risposta agli incidenti di sicurezza. Dopo essere venuto a conoscenza di un incidente di sicurezza, GARR informerà l’Utente senza indebito ritardo e fornirà informazioni tempestive relative all’Incidente di sicurezza come viene conosciuto o come è ragionevolmente richiesto dall’Utente.
4.4 Aggiornamenti alle misure di sicurezza. L’Utente riconosce che le Misure di Sicurezza sono soggetti a progresso tecnico e sviluppo e che GARR può aggiornare o modificare le Misure di Sicurezza di volta in volta a condizione che tali aggiornamenti e le modifiche non comportano il degrado della sicurezza complessiva dei Servizi acquistati dall’Utente.
5. Rapporti e Audit di sicurezza¶
5.1 GARR manterrà le registrazioni dei propri standard di sicurezza. Su richiesta scritta dell’utente, il GARR fornirà (in via riservata) copie di documenti esterni pertinenti Certificazioni ISMS, sintesi dei rapporti di audit e/o altra documentazione ragionevolmente richiesta dall’Utente per verificare la conformità di GARR a questo DPA. GARR deve inoltre fornire risposte scritte (su base riservata) a tutte le richieste ragionevoli per le informazioni fornite dall’Utente, comprese le risposte alla sicurezza delle informazioni e a questionari di audit, che l’Utente (agendo ragionevolmente) ritiene necessario per confermare il rispetto del presente DPA, a condizione che l’Utente non eserciti più tale diritto di una volta all’anno. 6. Trasferimenti internazionali ————————–
6.1 Luoghi di elaborazione. GARR archivia ed elabora i Dati UE (definiti di seguito) in data center situati in Italia. Il GARR implementerà garanzie adeguate per proteggere i Dati Personali, ovunque vengano elaborati, in conformità con i requisiti delle leggi sulla protezione dei dati.
6.2 Meccanismi di trasferimento. GARR non elabora o trasferisce (direttamente o tramite trasferimento successivo) Dati personali ai sensi del presente DPA dall’Unione Europea (“Dati UE”) in o verso paesi che non garantiscono un livello adeguato di protezione dei dati ai sensi delle leggi sulla protezione dei dati applicabili dei suddetti territori.
6.3 Restituzione o cancellazione dei dati. Alla disattivazione dei Servizi, tutti i Dati Personali saranno cancellati, salvo che questo requisito non si applica nella misura in cui il GARR è obbligato dalla legge applicabile a conservare alcuni o tutti i Dati Personali, o ai Dati Personali che ha archiviato su sistemi di backup, che tali Dati Personali GARR dovranno isolare in modo sicuro e proteggere da ogni ulteriore trattamento, salvo nella misura richiesta dalla legge applicabile.
7. Cooperazione¶
7.1 Nella misura in cui l’Utente non sia in grado di accedere in modo indipendente ai relativi Dati Personali all’interno dei Servizi, GARR dovrà (a spese dell’Utente), tenendo conto della natura del trattamento, fornire una ragionevole cooperazione per assistere l’Utente da misure tecniche e organizzative adeguate, per quanto possibile, per rispondere a qualsiasi richiesta da parte di individui o autorità di protezione dei dati applicabili relative al trattamento dei Dati Personali ai sensi del Contratto.
Nel caso in cui tale richiesta venga fatta direttamente a GARR, GARR non dovrà rispondere a tale comunicazione direttamente senza la preventiva autorizzazione dell’Utente, a meno che non sia legalmente obbligato a farlo. Se il GARR è tenuto a rispondere a tale richiesta, il GARR lo notificherà prontamente all’Utente e gli fornirà una copia della richiesta a meno che non sia legalmente proibito farlo.
7.2 Nella misura in cui GARR è richiesto dalla legge sulla protezione dei dati, GARR deve (a spese dell’Utente) fornire le informazioni ragionevolmente richieste relative al Trattamento dei Dati Personali ai sensi del Contratto, per consentire all’Utente di eseguire valutazioni d’impatto sulla protezione dei dati o consultazioni preventive con le Autorità di protezione dei dati come previsto dalla legge.
8. Miscellanea¶
8.1 Fatte salve le modifiche apportate dal presente Garante, il Contratto rimane invariato e in pieno vigore ed effetto. In caso di conflitto tra questo DPA e l’Accordo, questo DPA prevarrà nella misura di tale conflitto. 8.2 Il presente DPA è parte e incorporato nell’Accordo, pertanto i riferimenti all’”Accordo” nell’Accordo includerà questo DPA. 8.3 In nessun caso nessuna parte limiterà la propria responsabilità nei confronti di qualsiasi individuo diritti di protezione dei dati ai sensi del presente DPA o altro. 8.4 Il presente DPA sarà disciplinato e interpretato in conformità con la legge applicabile e le disposizioni di giurisdizione nel Contratto, se non diversamente richiesto da Leggi sulla protezione dei dati. Appendice 1 – Misure di sicurezza =========================== GARR implementa e mantiene le Misure di Sicurezza stabilite in questa Appendice 1.
1. Sicurezza del Data Centre¶
Infrastruttura. GARR utilizza data center distribuiti, tutti situati in Italia presso i propri locali o presso le sedi di enti di ricerca associati al GARR.
Ridondanza. I sistemi di infrastruttura sono stati progettati per eliminare i singoli punti di guasto e ridurre al minimo l’impatto dei rischi ambientali previsti. Circuiti doppi, interruttori, reti o altri dispositivi necessari aiutano a fornire questa ridondanza. I Servizi sono progettati per consentire a GARR di eseguire determinati tipi di prevenzione e la manutenzione correttiva senza interruzioni. È programmata la manutenzione preventiva e correttiva delle apparecchiature del data center attraverso un processo di modifica standard secondo procedure documentate.
Alimentazione. I sistemi di alimentazione elettrica del data center sono progettati per essere ridondanti e manutenibile senza impatto sulle operazioni continue, 24 ore al giorno, 7 giorni alla settimana. Nella maggior parte dei casi, una fonte di alimentazione primaria e alternativa, ciascuna con uguale capacità, viene fornita per i componenti dell’infrastruttura critica nel data center. L’alimentazione di backup è fornita da vari meccanismi come il gruppo di continuità fornisce batterie (UPS), che forniscono una protezione dell’alimentazione costantemente affidabile durante interruzioni di corrente, blackout, sovratensione, sottotensione e condizioni di frequenza fuori tolleranza. Se l’alimentazione di rete viene interrotta, l’alimentazione di backup è progettata per fornire alimentazione transitoria al data center, a piena capacità, per un massimo di 10 minuti, dopodiché i sistemi di generazione a diesel prendono il sopravvento. I generatori diesel sono in grado di avviarsi automaticamente in pochi secondi per fornire energia elettrica di emergenza sufficiente per far funzionare a pieno regime il data center, in genere per più di un giorno.
Sistemi operativi server. I server GARR utilizzano un’implementazione basata su Linux adatta per l’ambiente applicativo. I dati vengono archiviati utilizzando algoritmi Open Source che forniscono sicurezza e ridondanza dei dati.
Business Continuity. GARR replica i dati su più sistemi per aiutare a proteggere da distruzione o perdita accidentale.
2. Networking¶
Trasmissione dati. I data center sono generalmente collegati tramite link privati ad alta velocità per fornire un trasferimento dati sicuro e veloce tra i data center. Questo è progettato per impedire che i dati vengano letti, copiati, alterati o rimossi senza autorizzazione durante il trasferimento o il trasporto elettronico o mentre si stanno registrando su supporti di memorizzazione dati. GARR trasferisce i dati tramite protocolli Internet standard.
Rilevamento delle intrusioni. Il rilevamento delle intrusioni ha lo scopo di fornire informazioni su attività di attacco in corso e fornire informazioni adeguate per rispondere agli incidenti.
Risposta agli incidenti. GARR monitora una varietà di canali di comunicazione per incidenti di sicurezza attraverso il suo team CERT, che reagirà prontamente agli incidenti noti.
3. Controlli di accesso¶
Politica di sicurezza dell’infrastruttura. GARR mantiene una politica di sicurezza per il proprio personale.
Controllo degli accessi e gestione dei privilegi. Gli amministratori degli utenti devono autenticarsi essi stessi tramite un sistema di autenticazione federato al fine di amministrare i Servizi.
3.1 Controllo dei siti¶
Procedure di accesso al Data Center. I data center sono ospitati in strutture che richiedono l’accesso con chiave elettronica, con allarmi collegati agli operatori di sicurezza in loco. Solo i dipendenti, gli appaltatori e i visitatori autorizzati possono accedere ai data center.
3.2 Politica di accesso ai dati interni¶
I processi e le politiche di accesso ai dati interni di GARR sono progettati per prevenire che persone e/o sistemi non autorizzati accedano ai sistemi utilizzati per elaborare dati personali. GARR progetta i suoi sistemi per (i) consentire solo alle persone autorizzate di accedere ai dati a cui sono autorizzate ad accedere; e (ii) garantire che i dati personali non possano essere letti, copiati, alterati o rimossi senza autorizzazione durante il trattamento, l’uso e dopo la registrazione. I sistemi sono progettati per rilevare qualsiasi accesso inappropriato. GARR utilizza un sistema di gestione degli accessi centralizzato per controllare l’accesso del personale ai server di produzione e fornisce l’accesso solo a un numero limitato di personale autorizzato. I certificati SSH sono ampiamente utilizzati per fornire meccanismi di accesso sicuri e flessibili. Questi meccanismi sono progettati per concedere solo diritti di accesso approvati a host del sito, log, dati e informazioni di configurazione. GARR richiede l’uso di ID utente univoci, password complesse per ridurre al minimo il potenziale di uso non autorizzato dell’account. La concessione o la modifica dei diritti di accesso si basa su: responsabilità lavorative del personale autorizzato; requisiti di lavoro necessario per svolgere compiti autorizzati; e su base “necessità di sapere”.
L’accesso ai sistemi viene registrato per creare un audit trail per la responsabilità. Laddove le password siano utilizzate per l’autenticazione (ad es. login alle workstation), Vengono implementate policy per le password che seguano almeno le pratiche standard del settore. Questi standard includono restrizioni sul riutilizzo della password e una password sufficientemente forte.
4. Dati¶
Archiviazione, isolamento e registrazione dei dati. GARR archivia i dati in un ambiente multi-tenant su server di proprietà di GARR. I dati e l’architettura del file system sono replicati tra più data center dislocati geograficamente. GARR inoltre isola logicamente i dati dell’Utente. All’utente sarà dato controllo su specifiche politiche di condivisione dei dati. Tali politiche, in conformità con la funzionalità dei Servizi, consentirà all’Utente di determinare le impostazioni di condivisione applicabili agli Utenti finali per scopi specifici. L’utente può scegliere di utilizzare determinate funzionalità di registrazione che GARR può mettere a disposizione tramite i Servizi.
Dischi dismessi e politica di cancellazione del disco. I dischi contenenti dati possono presentare problemi di prestazioni, errori o guasti che li portano alla disattivazione (“Disco disattivato”). Ogni disco disattivato è soggetto a una serie di processi di distruzione dei dati (la “Politica di cancellazione del disco”) prima di lasciare i locali di GARR per il riutilizzo o distruzione.
5. Sicurezza del personale¶
Il personale GARR è tenuto a comportarsi in modo coerente con le linee guida della società in materia di riservatezza, etica aziendale, utilizzo appropriato e standard professionali. GARR esegue ragionevoli controlli in background nella misura consentita dalla legge e in conformità con legge sul lavoro locale applicabile e regolamenti statutari. Il personale è tenuto a sottoscrivere un accordo di riservatezza e deve riconoscere ricezione e rispetto delle politiche di riservatezza e privacy di GARR. Il personale è formato sulla sicurezza. Il personale che tratta i dati dell’utente è tenuto a completare requisiti aggiuntivi adeguati al loro ruolo (es. certificazioni). Il personale di GARR non tratterà i Dati dell’Utente senza autorizzazione.
Data Processing Agreement¶
This Data Processing Agreement reflects the requirements of the General Data Protection Regulation (“GDPR”), into effect since May 25, 2018. This Data Processing Agreement (“DPA”) is an addendum to the Terms of Service (“Agreement”) between Consortium GARR, (“GARR”) and the User of the GARR Cloud Platform (“User”). All capitalized terms not defined in this DPA shall have the meanings set forth in the Agreement.
The parties agree as follows:
1. Definitions¶
“Controller” means an entity that determines the purposes and means of the processing of Personal Data.
“User Data” means any data that GARR processes on behalf of User in the course of providing the Services under the Agreement.
“Data Protection Laws” means all data protection and privacy laws and regulations applicable to the processing of Personal Data under the Agreement, including, where applicable, EU Data Protection Law.
“EU Data Protection Law” means (i) Regulation 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of Personal Data and on the free movement of such data (General Data Protection Regulation) (“GDPR”); and (ii) Directive 2002/58/EC concerning the processing of Personal Data and the protection of privacy in the electronic communications sector and applicable national implementations of it (in each case, as may be amended, superseded or replaced).
“Personal Data” means any User Data relating to an identified or identifiable natural person to the extent that such information is protected as personal data under applicable Data Protection Law.
“Processor” means an entity that processes Personal Data on behalf of the Controller.
“Processing” has the meaning given to it in the GDPR and “process”, “processes” and “processed” shall be interpreted accordingly.
“Security Incident” means any unauthorized or unlawful breach of security that leads to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of or access to Personal Data.
“Services” means any service provided by GARR to User pursuant to and as more particularly described in the Agreement.
“Sub-processor” means any Processor engaged by GARR to assist in fulfilling its obligations with respect to providing the Services pursuant to the Agreement or this DPA. Sub-processors may include third parties.
2. Scope and Applicability of this DPA¶
2.1 This DPA applies where and only to the extent that GARR processes Personal Data on behalf of the User in the course of providing the Services and such Personal Data is subject to Data Protection Laws of the European Union. The parties agree to comply with the terms and conditions in this DPA in connection with such Personal Data.
2.2 Role of the Parties. User is the Controller of Personal Data and GARR shall process Personal Data only as a Processor on behalf of User. Nothing in the Agreement or this DPA shall prevent GARR from using or sharing any data that GARR would otherwise collect and process independently of User’s use of the Services.
2.3 User Obligations. User agrees that (i) it shall comply with its obligations as a Controller under Data Protection Laws in respect of its processing of Personal Data and any processing instructions it issues to GARR; and (ii) it has provided notice and obtained (or shall obtain) all consents and rights necessary under Data Protection Laws for GARR to process Personal Data and provide the Services pursuant to the Agreement and this DPA.
2.4 GARR Processing of Personal Data. As a Processor, GARR shall process Personal Data only for the following purposes: (i) processing to perform the Services in accordance with the Agreement; (ii) processing to perform any steps necessary for the performance of the Agreement; and (iii) to comply with other reasonable instructions provided by User to the extent they are consistent with the terms of this Agreement and only in accordance with Use’s documented lawful instructions. The parties agree that this DPA and the Agreement set out the Use’s complete and final instructions to GARR n relation to the processing of Personal Data and processing outside the scope of these instructions (if any) shall require prior written agreement between User and GARR.
2.5 Nature of the Data. GARR handles User Data provided by User. Such User Data may contain special categories of data depending on how the Services are used by User. The User Data may be subject to the following process activities: (i) storage and other processing necessary to provide, maintain and improve the Services provided to User; (ii) to provide User and technical support to User; and (iii) disclosures as required by law or otherwise set forth in the Agreement.
2.6 GARR Data. Notwithstanding anything to the contrary in the Agreement (including this DPA), User acknowledges that GARR shall have a right to use and disclose data relating to and/or obtained in connection with the operation, support and/or use of the Services for its legitimate operational purposes, such as billing, account management, technical support, product development. To the extent any such data is considered personal data under Data Protection Laws, GARR is the Controller of such data and accordingly shall process such data in compliance with Data Protection Laws.
3. Subprocessing¶
GARR does not currently engage any Sub-processor.
4. Security¶
4.1 Security Measures. GARR shall implement and maintain appropriate technical and organizational security measures to protect Personal Data from Security Incidents and to preserve the security and confidentiality of the Personal Data, in accordance with GARR’s security standards described in Annex 1 (“Security Measures”).
4.2 Confidentiality of Processing. GARR shall ensure that any person who is authorized by GARR to process Personal Data (including its staff, agents and subcontractors) shall be under an appropriate obligation of confidentiality (whether a contractual or statutory duty).
4.3 Security Incident Response. Upon becoming aware of a Security Incident, GARR shall notify User without undue delay and shall provide timely information relating to the Security Incident as it becomes known or as is reasonably requested by User.
4.4 Updates to Security Measures. User acknowledges that the Security Measures are subject to technical progress and development and that GARR may update or modify the Security Measures from time to time provided that such updates and modifications do not result in the degradation of the overall security of the Services purchased by the User.
5. Security Reports and Audits¶
5.1 GARR shall maintain records of its security standards. Upon User’s written request, GARR shall provide (on a confidential basis) copies of relevant external ISMS certifications, audit report summaries and/or other documentation reasonably required by User to verify GARR’s compliance with this DPA. GARR shall further provide written responses (on a confidential basis) to all reasonable requests for information made by User, including responses to information security and audit questionnaires, that User (acting reasonably) considers necessary to confirm GARR’s compliance with this DPA, provided that User shall not exercise this right more than once per year.
6. International Transfers¶
6.1 Processing Locations. GARR stores and processes EU Data (defined below) in data centers located in Italy. GARR shall implement appropriate safeguards to protect the Personal Data, wherever it is processed, in accordance with the requirements of Data Protection Laws.
6.2 Transfer Mechanism. GARR does not processes or transfers (directly or via onward transfer) Personal Data under this DPA from the European Union (“EU Data”) in or to countries which do not ensure an adequate level of data protection within the meaning of applicable Data Protection Laws of the foregoing territories.
6.3 Return or Deletion of Data. Upon deactivation of the Services, all Personal Data shall be deleted, save that this requirement shall not apply to the extent GARR is required by applicable law to retain some or all of the Personal Data, or to Personal Data it has archived on back-up systems, which such Personal Data GARR shall securely isolate and protect from any further processing, except to the extent required by applicable law.
8. Cooperation¶
8.1 To the extent that User is unable to independently access the relevant Personal Data within the Services, GARR shall (at User’s expense) taking into account the nature of the processing, provide reasonable cooperation to assist User by appropriate technical and organizational measures, in so far as is possible, to respond to any requests from individuals or applicable data protection authorities relating to the processing of Personal Data under the Agreement.
In the event that any such request is made directly to GARR, GARR shall not respond to such communication directly without User’s prior authorization, unless legally compelled to do so. If GARR is required to respond to such a request, GARR shall promptly notify User and provide it with a copy of the request unless legally prohibited from doing so.
8.2 To the extent GARR is required under Data Protection Law, GARR shall (at User’s expense) provide reasonably requested information regarding GARR’s processing of Personal Data under the Agreement to enable the User to carry out data protection impact assessments or prior consultations with data protection authorities as required by law.
9. Miscellaneous¶
9.1 Except for the changes made by this DPA, the Agreement remains unchanged and in full force and effect. If there is any conflict between this DPA and the Agreement, this DPA shall prevail to the extent of that conflict.
9.2 This DPA is a part of and incorporated into the Agreement so references to “Agreement” in the Agreement shall include this DPA.
9.3 In no event shall any party limit its liability with respect to any individual’s data protection rights under this DPA or otherwise.
9.4 This DPA shall be governed by and construed in accordance with governing law and jurisdiction provisions in the Agreement, unless required otherwise by Data Protection Laws.
Annex 1 – Security Measures¶
GARR implements and maintains the Security Measures set out in this Appendix 1.
1. Data Center Security¶
Infrastructure. GARR uses distributed data centers, all located in Italy, either within its own premises or the premises of research organizations associated with GARR.
Redundancy. Infrastructure systems have been designed to eliminate single points of failure and minimize the impact of anticipated environmental risks. Dual circuits, switches, networks or other necessary devices help provide this redundancy. The Services are designed to allow GARR to perform certain types of preventative and corrective maintenance without interruption. Preventative and corrective maintenance of the data center equipment is scheduled through a standard change process according to documented procedures.
Power. The data center electrical power systems are designed to be redundant and maintainable without impact to continuous operations, 24 hours a day, 7 days a week. In most cases, a primary as well as an alternate power source, each with equal capacity, is provided for critical infrastructure components in the data center. Backup power is provided by various mechanisms such as uninterruptible power supplies (UPS) batteries, which supply consistently reliable power protection during utility brownouts, blackouts, over voltage, under voltage, and out-of-tolerance frequency conditions. If utility power is interrupted, backup power is designed to provide transitory power to the data center, at full capacity, for up to 10 minutes until the diesel generator systems take over. The diesel generators are capable of automatically starting up within seconds to provide enough emergency electrical power to run the data center at full capacity, typically for over one day.
Server Operating Systems. GARR servers use a Linux based implementation suitable for the application environment. Data is stored using Open Source algorithms that provide data security and redundancy.
Businesses Continuity. GARR replicates data over multiple systems to help to protect against accidental destruction or loss.
2. Networking¶
Data Transmission. Data centers are typically connected via high-speed private links to provide secure and fast data transfer between data centers. This is designed to prevent data from being read, copied, altered or removed without authorization during electronic transfer or transport or while being recorded onto data storage media. GARR transfers data via Internet standard protocols.
Intrusion Detection. Intrusion detection is intended to provide insight into ongoing attack activities and provide adequate information to respond to incidents.
Incident Response. GARR monitors a variety of communication channels for security incidents through its CERT team, who will react promptly to known incidents.
3. Access Control¶
Infrastructure Security Policy. GARR maintains a security policy for its personnel.
Access Control and Privilege Management. User’s administrators must authenticate themselves via a federated authentication system in order to administer the Services.
3.1 Site Control¶
Data Center Access Procedures. The data centers are housed in facilities that require electronic card key access, with alarms that are linked to the on-site security operation. Only authorized employees, contractors and visitors are allowed entry to the data centers.
3.2 Internal Data Access Policy¶
GARR’s internal data access processes and policies are designed to prevent unauthorized persons and/or systems from gaining access to systems used to process personal data. GARR designs its systems to (i) only allow authorized persons to access data they are authorized to access; and (ii) ensure that personal data cannot be read, copied, altered or removed without authorization during processing, use and after recording. The systems are designed to detect any inappropriate access. GARR employs a centralized access management system to control personnel access to production servers, and only provides access to a limited number of authorized personnel. SSH certificates are thoroughly used to provide a secure and flexible access mechanisms. These mechanisms are designed to grant only approved access rights to site hosts, logs, data and configuration information. GARR requires the use of unique user IDs, strong passwords to minimize the potential for unauthorized account use. The granting or modification of access rights is based on: the authorized personnel’s job responsibilities; job duty requirements necessary to perform authorized tasks; and a need to know basis.
Access to systems is logged to create an audit trail for accountability. Where passwords are employed for authentication (e.g., login to workstations), password policies that follow at least industry standard practices are implemented. These standards include restrictions on password reuse and sufficient password strength.
4. Data¶
Data Storage, Isolation and Logging. GARR stores data in a multi-tenant environment on GARR-owned servers. The data and file system architecture are replicated between multiple geographically dispersed data centers. GARR also logically isolates the User’s data. User will be given control over specific data sharing policies. Those policies, in accordance with the functionality of the Services, will enable User to determine the product sharing settings applicable to User End Users for specific purposes. User may choose to make use of certain logging capability that GARR may make available via the Services.
Decommissioned Disks and Disk Erase Policy. Disks containing data may experience performance issues, errors or hardware failure that lead them to be decommissioned (“Decommissioned Disk”). Every Decommissioned Disk is subject to a series of data destruction processes (the “Disk Erase Policy”) before leaving GARR’s premises either for reuse or destruction.
5. Personnel Security¶
GARR personnel are required to conduct themselves in a manner consistent with the company’s guidelines regarding confidentiality, business ethics, appropriate usage, and professional standards. GARR conducts reasonably appropriate backgrounds checks to the extent legally permissible and in accordance with applicable local labor law and statutory regulations. Personnel are required to execute a confidentiality agreement and must acknowledge receipt of, and compliance with, GARR’s confidentiality and privacy policies. Personnel are provided with security training. Personnel handling User Data are required to complete additional requirements appropriate to their role (eg., certifications). GARR’s personnel will not process User Data without authorization.
