Data Processing Agreement

1. Parti

Il presente Accordo regola il trattamento dei dati personali ai sensi dell'art. 28 del Regolamento UE 2016/679 ("GDPR") tra:

• Titolare del trattamento: l'azienda cliente che utilizza Facto (di seguito "Cliente").
• Responsabile del trattamento: ANDSoftware S.r.l., con sede legale in Via Pietro Spino 23/b, 24126 Bergamo (BG), Italia, P.IVA / C.F. 04579200165, contattabile all'indirizzo info@andsoftware.it (di seguito "Facto").

2. Oggetto del trattamento

Facto tratta per conto del Cliente i dati personali che il Cliente inserisce nella propria istanza del software (di seguito "Dati"). I Dati possono includere anagrafiche di clienti, fornitori, dipendenti, oltre a documenti commerciali e fiscali del Cliente.

3. Natura e finalità del trattamento

Il trattamento consiste nella memorizzazione, conservazione, organizzazione, visualizzazione e backup dei Dati, al solo scopo di consentire al Cliente l'utilizzo del software Facto secondo i Termini di Servizio.

4. Durata

Per la durata dell'abbonamento, prolungata di 90 giorni di sola lettura post-cancellazione + 6 mesi di backup archiviato, come dettagliato nei Termini di Servizio.

5. Obblighi di Facto come Responsabile

Facto si impegna a:

• trattare i Dati solo per le finalità indicate e secondo istruzioni documentate del Cliente;
• garantire che il personale autorizzato al trattamento sia vincolato alla riservatezza;
• adottare misure di sicurezza adeguate (vedi art. 6);
• assistere il Cliente nell'evasione di richieste di interessati e nelle valutazioni di impatto;
• notificare al Cliente eventuali violazioni dei dati senza ingiustificato ritardo (entro 48 ore dalla scoperta);
• su richiesta, cancellare o restituire i Dati al termine del rapporto.

6. Misure di sicurezza

Facto adotta tra l'altro le seguenti misure tecniche e organizzative:

• cifratura TLS in transito (HSTS attivo, CSP stretta);
• hash bcrypt delle password utente;
• isolamento dei dati per tenant (schema-per-tenant in PostgreSQL);
• controllo degli accessi basato su ruoli (RBAC);
• audit log delle operazioni sui dati (CRUD, autenticazione, modifiche stato);
• infrastruttura ospitata su server proprietario in server farm Aruba (Italia), con certificazioni ISO 27001 / ISO 9001 e classificazione data center Tier IV;
• backup giornalieri e settimanali replicati su storage cifrato Backblaze (S3-compatible);
• aggiornamenti di sicurezza tempestivi e monitoraggio attivo.

7. Sub-responsabili

Facto si avvale dei seguenti sub-responsabili per l'erogazione del servizio:

• Aruba S.p.A. (Italia) — hosting dell'infrastruttura applicativa e database; invio email transazionali.
• Backblaze Inc. — storage per i backup giornalieri e settimanali del database del tenant; region eu-central-003 (Amsterdam, Paesi Bassi).
• Stripe Payments Europe Ltd. (Irlanda) — gestione pagamenti e fatturazione del canone Facto.

Il Cliente autorizza in via generale tali sub-responsabili. Facto si impegna a informare il Cliente di eventuali modifiche con preavviso di 30 giorni, durante i quali il Cliente può opporsi recedendo dal contratto.

8. Audit

Il Cliente può richiedere informazioni circa le misure di sicurezza adottate e, su preavviso ragionevole e a proprie spese, audit annuali volti a verificare la conformità a quanto previsto in questo Accordo.

9. Trasferimenti extra-UE

I Dati risiedono fisicamente nello Spazio Economico Europeo: produzione in Italia (Aruba), backup in Paesi Bassi (Backblaze eu-central-003). Backblaze Inc. è una società statunitense: per questa relazione si applicano le Standard Contractual Clauses approvate dalla Commissione Europea, già sottoscritte tra Facto e il fornitore.

10. Termine del rapporto

Al termine del rapporto contrattuale, e salvo diversa richiesta del Cliente, Facto cancellerà i Dati secondo i tempi indicati nei Termini di Servizio.

11. Accettazione

L'accettazione del presente DPA avviene contestualmente all'accettazione dei Termini di Servizio al momento dell'attivazione del trial.