Introduzione... Policy Argo del 14/04/2021. Policy Argo del 15/03/2021. Policy Argo del 22/12/2020. Policy Argo del 30/06/2020. Policy Argo del 05/04/2020. Policy Argo del 20/01/2020. 1d49 Introduzione In applicazione dei requisiti di trasparenza e per dare evidenza di tutte le modifiche effettuate sui servizi Argo, a livello di sicurezza delle informazioni, questo documento è reso disponibile a tutti i clienti nella sezione "Centro Notifiche" del Portale Argo, all'interno della scheda "Normativa" (https://www.portaleargo.it'argoweb/Notifiche.seam#). Nel prosieguo sono quindi elencate tutte le Policy Web emesse e pubblicate sul sito della Argo nella pagina https://www.argosoft.it/privacy.php a far data dal 25 novembre 2019, che riepilogano le misure tecnologiche ed organizzative messe in atto dalla Argo ed accettate, con il contratto, dai clienti, per garantire la sicurezza delle informazioni ed il rispetto della normativa in materia di protezione dei dati personali. In particolare in ogni documento sono: - evidenziate in le parti aggiunte e migliorative delle garanzie offerte; - barrate le parti eliminate; - evidenziate in giallo le parti sostitutive di parti eliminate. 2 di 49 Policy Argo del 14/04/2021 Policy Argo Software in materia di protezione e disponibilità dei dati relativi ai servizi web Premessa Il presente documento descrive la policy della Argo Software in materia di sicurezza delle informa- zioni, continuità operativa e trattamento dei dati personali contenuti negli archivi e nei repository delle scuole fruitrici dei servizi web Argo. La Argo Software è impegnata costantemente nel migliorare l'efficacia e l'efficienza dei propri pro- cessi di gestione delle informazioni e dei servizi web offerti alle scuole, nell'ottica della salvaguar- dia dell'integrità e della riservatezza dei dati, della disponibilità dei servizi e delle informazioni in tempi adeguati e della continuità operativa dei servizi e dei sistemi. In questo contesto, Argo Software adotta tutti gli accorgimenti organizzativi, le soluzioni tecniche e procedurali idonee al mantenimento e ripristino delle condizioni di funzionamento e di operatività antecedenti ad eventuali eventi disastrosi ed è impegnata, con continuità, ad adottare tutte le mi- sure di sicurezza che trovano fondamento e riferimento all'interno del quadro normativo italiano e europeo (Regolamento UE 2016/679, Linee guida AgiD per il Disaster Recovery, Circolare AgiD nr. 2/2017 sulle misure minime di sicurezza ICT per le PP.AA. ) e dei più elevanti standard di sicu- rezza delle informazioni. Da Marzo 2019 la Argo Software è iscritta nell'elenco dei fornitori di servizi SaaS qualificati AgID secondo la circolare N. 3 del 9 aprile 2018. Il Sistema di Gestione della Sicurezza delle Informazioni di Argo Software , nell'ambito dei servizi di progettazione, sviluppo, erogazione, in modalità cloud SaaS e on-premises, assistenza e manu- tenzione di software gestionale per le scuole di ogni ordine e grado e privati e di erogazione di servizi in modalità Cloud SaaS di gestione di documenti digitali anche a fini di conservazione, è in - 27018:2019. Tipologia dei dati e delle informazioni gestiti dalla Argo Software I dati gestiti dalla Argo Software consistono nelle informazioni (generiche e personali) contenute negli archivi delle scuole e dei clienti fruitori dei medesimi servizi e nei profili degli utenti fruitori dei servizi web Argo. In riferimento alle informazioni contenute negli archivi, la natura dei dati varia in base alle caratteri- stiche del servizio attivato da ogni singola istituzione scolastica o cliente. Possono quindi essere conservate informazioni personali e, nel caso di servizi collegati alla gestione del personale e degli alunni, anche dati appartenenti alle categorie particolari di cui agli artt. 9 e 10 del Regolamento UE 2016/679 [specificamente quelle riepilogate nelle schede allegate al D.M. 305/2006, recante iden- 3 di 49 software tificazione degli ex dati sensibili e giudiziari trattati e delle relative operazioni effettuate dal Ministe- ro della pubblica istruzione]. Modello di responsabilità condivisa (shared responsibility) Argo Software lavora in qualità di fornitore di servizi in Cloud mettendo a disposizione applicativi in modalità SaaS e erogando i relativi servizi di assistenza e manutenzione. Si avvale di fornitori di servizi cloud (anche di conservazione) qualificati e certificati secondo la vigente normativa ed iden- tifica nei propri contratti gli specifici ruoli attribuiti a ciascun fornitore del servizio. Per rappresentare in maniera completa la distribuzione dei ruoli e rendere gli utilizzatori dei servizi consapevoli delle loro responsabilità nell'uso del servizio cloud, la Argo ha elaborato un documen- to che rappresenta il modello di responsabilità condivisa, disponibile alla pagina https://\/www. argo- soft.it/privacy.php Architettura del sistema informatico I database server, |A ISIENESIANE copie di backup sono ospitati presso la pi- attaforma cloud AWS [omissis] . Il Cloud AWS è strutturato in "regioni", costituite da più "zone di disponibilità" (AZ), ognuna delle quali è una partizione completamente isolata dell'infrastruttura AWS, costituita da data center provvisti di alimentazione, rete e connettività ridondanti, ognuno in una propria struttura separata. Con la loro infrastruttura di alimentazione, le zone di disponibilità sono fisicamente separate tra loro da una distanza significativa di molti chilometri. Per i dati dei propri clienti, Argo Software ha scelto la regione Europa Irlanda, situata nella Re- pubblica d'Irlanda, composta da 3 zone di disponibilità. La Argo si avvale inoltre della Region Milano di Cloud AWS per i servizi di gestione di posta elett- ronica interni al software Argo Gecodoc. L'amministrazione dei servizi di gestione delle applicazioni e dei database è affidata esclusivamen- te a personale interno alla Argo Software. Gli addetti all'amministrazione delle applicazioni e dei database sono nominati amministratori di sistema. L'accesso ai servizi di amministrazione è eseguito attraverso utenze di dominio nominative - 4 di 49 ny È sj RIO Soware Con periodicità infrannuale, sulla base del piano degli audit interni, viene eseguito il monitoraggio sui log degli accessi degli amministratori di sistema da parte del personale all'uopo designato (au- ditor incaricato, DPO o responsabile del SGSI). I log degli accessi eseguiti dagli amministratori di sistema sono archiviati per un periodo di 18 mesi. Modalità di gestione dei dati e di erogazione del servizio Tutti i dati archiviati sui dischi all'interno di cluster Amazon e tutti i backup in Amazon S3 sono pro- tetti con la crittografia, mediante l' Advanced Encryption Standard AES-256. Il sistema di gestione delle istanze delle applicazioni e dei database adottato da Argo consente di avere una facile ridondanza e replicazione dei sistemi informatici e dei dati, preservando così i cli- enti da rischi di interruzione prolungata dei servizi e/o di perdita delle informazioni. Ogni cluster di database è formato da due tipi di istanze: primaria e replica. Per ogni istanza primaria, ci sono più repliche posizionate in zone di disponibilità differenti. L'istanza database primaria viene replicata in modo sincrono. Nel caso in cui l'istanza primaria non sia disponibile, viene eseguita automaticamente la commuta- zione su una replica. Backup e ripristino dei dati, garanzie di continuità operativa Per ogni istanza di database, il servizio Amazon RDS esegue uno snapshot giornaliero e conserva i log delle modifiche al database all'interno del periodo di "retention" che segue. La creazione degli snapshot non provoca alcuna interruzione delle operazioni di scrittura e lettura in quanto gli "snapshot" vengono eseguiti su una copia di standby. I log delle transazioni per le istanze database vengono caricate in Amazon S3 ogni 5 minuti. Per ciascuna istanza di database viene mantenuta una copia di backup giornaliera per 35 giorni (periodo di retention dei backup). Settimanalmente (domenica), è inoltre effettuata una ulteriore copia di tutti i dati. Durante questo periodo, è possibile eseguire il ripristino di una istanza di database a un punto temporale specifico. Decorso questo periodo, viene mantenuta una copia settimanale per ulteriori 25 giorni. Per tutelare i propri clienti, la Argo ha messo in funzione un piano di continuità operativa molto det- tagliato, che mira a garantire il ripristino di tutte le informazioni contenute nelle repliche anche in caso di disastro, secondo i seguenti SLA: RTO: il tempo massimo di recupero e ripristino delle informazioni è fissato in 4 ore dall'incidente. RPO: il punto massimo di perdita di dati in caso di incidente è 24 ore (per via del backup giornalie- ro, se l'incidente avviene prima della copia, il massimo di dati persi è fino all'ultima esecuzione del backup del giorno precedente). 5 di 49 I due SLA, combinati, mirano a garantire ai clienti dei servizi cloud che in caso di disastro, la Argo sarà in grado di ripristinare la disponibilità di tutti i dati, fatti salvi quelli registrati nelle ultime 24 ore, in un massimo di 4 ore. Gestione e Profilazione delle utenze La gestione e profilazione delle utenze degli applicativi web Argo, attraverso il portale Argo, è di esclusiva pertinenza della scuola. In fase di attivazione di una nuova utenza, viene richiesta l'indicazione di un'indirizzo mail, a cui saranno comunicati l'attivazione e i successivi reset password dell'utenza e, su richiesta, l'invio di notifiche relative agli accessi effettuati dall'utente all'area di gestione utenza del portale Argo. L'indirizzo mail può essere modificato in qualsiasi momento dal singolo utente dalla Gestione delle Utenze del Portale Argo, accedendo alla gestione “Anagrafe Utente”. Dietro esplicito consenso da parte dell'utente, l'indirizzo mail potrà essere utilizzato da parte della Argo Software per l'invio di comunicazioni di natura esclusivamente tecnica sull'utilizzo dei programmi Argo a cui l'utente risul- ta abilitato (faq, guide, videoguide, manuali d'uso, comunicazioni sulle novità riguardanti gli aggior- namenti, nuove soluzioni). L'opzione di scelta per l'invio delle suddette comunicazioni può essere modificata dall'utente in qualsiasi momento sempre dalla gestione "Anagrafe Utente". Utilizzo delle utenze Argo per accesso ad altri servizi Attraverso l'utenza Argo docente o genitore o alunno è possibile accedere ai servizi di e-learning offerti da BSMART. L'autenticazione avviene utilizzando il protocollo di sicurezza OAuth2, il quale permette di accede- re ai servizi forniti da applicazioni terze senza fornire a quest'ultime le credenziali di accesso (sulle quali quindi l'utente e Argo continuano ad avere esclusivo controllo). L'accesso ai servizi BSMART utilizzando le credenziali Argo è naturalmente facoltativo e in caso di accettazione da parte dell'utente, l'utente è reindirizzato dalla piattaforma BSMART ad un dominio Argo, unico punto di accesso da cui viene consentito trasmettere le proprie credenziali Argo. AI termine del processo di autenticazione, l'utente viene rimandato sul dominio del client da cui ha avuto origine la richiesta, e precedentemente autorizzato dalla Argo. | dati forniti a BSMART si riferiscono esclusivamente a nome, cognome, codice fiscale, indirizzo email, ruolo (docente, genitore o alunno). Le attività svolte da BSMART nell'erogazione dei servizi di e-learning, anche se accedute con cre- denziali Argo, sono agite in assoluta autonomia e sotto la responsabilità di BSMART che agisce in qualità di titolare del trattamento. Tracciamento degli accessi ai servizi web Ai fini della sicurezza, la Argo Software s.r.l. esegue il tracciamento degli accessi ai servizi web Argo e — per le applicazioni più critiche - delle operazioni effettuate dagli utenti all'interno degli stessi. | dati relativi agli accessi ed alle operazioni sono conservati per un periodo di 24 mesi. Per le eventuali richieste dei Log da parte dei clienti, l'Azienda richiede la compilazione di apposita mo- dulista da inviare tramite PEC all'indirizzo assistenza. argo@pec.ecert.it 6 di 49 Un eventuale prolungamento dei tempi di conservazione può aver luogo in relazione: e a particolari esigenze tecniche o di sicurezza; e all'obbligo di custodire o consegnare i dati per ottemperare ad una specifica richiesta dell'autorità giudiziaria o della polizia giudiziaria. Oltre ai suddetti dati, i sistemi informatici e le procedure software preposte al funzionamento dei servizi web Argo acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell'uso dei protocolli di comunicazione di Internet. Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati e che vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull’uso delle applicazioni e per controllarne il cor- retto funzionamento e vengono cancellati immediatamente dopo l'elaborazione. Procedure di verifica del sistema di protezione dei dati Con cadenza annuale vengono svolte da società terze, specializzate nel settore della sicurezza in- formatica, Penetration test e verifiche di Vulnerability Assessment. Per quanto riguarda l'aggiornamento delle misure di sicurezza, la Argo è iscritta ad un servizio di early warning per il monitoraggio continuo delle vulnerabilità. Criteri di selezione delle server farm La Argo Sofware si affida esclusivamente a server farm di comprovata affidabilità ed esperienza in materia di sicurezza informatica, e comunque previa verifica delle misure fisiche, logiche e orga- nizzative poste in capo alle infrastrutture informatiche fornite. Ad ogni fornitore è richiesta come requisito la certificazione ISO/IEC 27001, la qualificazione come CSP presso AgliD, uno SLA di connettività di almeno il 95% su base annua ed una disponi- bilità dei servizi 24 ore su 24 per 365 giorni all'anno. Modalità di trasmissione dei dati I dati viaggiono sulla rete criptati, secondo il protocollo SSL che garantisce il massimo livello di si- curezza a protezione delle trasmissioni telematiche. Disponibilità dei dati Per gli applicativi web Argo relativi all'area didattica (Alunni, Scrutini, ScuolaNext, DidUP, Forma- zione classi prime) e contabile (Bilancio, Project), è possibile richiedere sempre una copia di backup in locale dei dati residenti presso i server Argo. La procedura, totalmente automatizzata, è disponibile all'interno dell'Area Clienti del sito Argo, e consente di scaricare una copia in locale dei dati della scuola residenti in remoto. Per motivi di sicurezza, la richiesta può essere inoltrata dalla suddetta area esclusivamente accedendo con le credenziali dell'amministratore dei servizi della scuola (Supervisor), nella persona del Dirigente scolastico o suo delegato. Una volta processata, i dati sono resi disponibili per lo scarico all'interno dell'area per un periodo di tempo limitato. All'indirizzo mail comunicato in fase di richiesta, viene inviata la password posta a protezione del file di backup. Per la restituzione dei dati relative a piattaforme documentali (Gecodoc, Albo Pretorio Online, Am- ministrazione Trasparente) occorre fare richiesta all'indirizzo assistenza argo@pec.ecetrt.it. 7 di 49 software I dati contenuti nei database e nei repository delle applicazioni per cui è stata fatta richiesta di esportazione, sono resi disponibili per lo scarico mediante un link comunicato per PEC. L'opera- zione di scarico è protetta da password comunicata per email all'indirizzo indicato dal cliente nel modulo di richiesta esportazione. Risoluzione dei contratti, restituzione, cancellazione e fruibilità dei dati In caso di risoluzione del contratto di licenza o di assistenza da parte della scuola di un servizio web Argo, la scuola — su richiesta del Dirigente scolastico — può optare per: - la restituzione e cancellazione/anonimizzazione dei dati (soluzione di default per legge); - la restituzione e mantenimento dei dati (a fronte di un pagamento di un canone). | dati BAMMIRISISIMIERE vengono comunque restituiti, in formato aperto, nei tempi tecnici di esporta- zione sicura dei dati e tramite trasmissione sicura. Dalla data di cessazione, è inoltre consentito l'accesso all'applicazione web da parte degli utenti per un ulteriore periodo di 1 mese. I tempi tecnici occorrenti alla successiva cancellazione dei dati possono variare da 2 mesi a 12 mesi, più i tempi di retention del backup sopra indicati (35+25 gg = 2 mesi), a seconda della natura dei dati coinvolti e delle applicazioni interessate. Il periodo è peraltro funzionale ad eventuali verifiche da parte del cliente sull’operazione di migrazione dati eseguita dal nuovo for- nitore. Il tempo massimo di conservazione dei dati [EMMABASS dopo la cessazione del contrat- to e/o la richiesta di cancellazione dei dati è 12+2 mesi. Impegni e garanzie per la protezione dei dati personali La Argo Software garantisce che l'erogazione dei servizi avviene nel rispetto della normativa che regola il trattamento dei dati personali in outsourcing, ai sensi dell'art. 28 del Regolamento UE 2016/679. Per la fornitura dei servizi web, la Argo Software assume il ruolo di Responsabile del Trattamento, previa nomina da parte del cliente. Per la nomina a Responsabile del trattamento, già definita nelle condizioni contrattuali, la Argo Software mette a disposizione dei clienti anche un modello scarica- bile all'indirizzo: https://assistenza.argo.software/utilities/. In caso di assenza di nomina formale, la Argo Software si riserva il diritto di sospendere l'erogazio- ne del servizio fino ad adempimento da parte del cliente, titolare del trattamento. 8 di 49 Responsabile per la Protezione dei Dati (DPO) della Argo Software, è Chiara Delaini, raggiungibi- le all'indirizzo di posta elettronica ordinario dpo@argosoft.it o di posta elettronica certificata dpo- argosoft@ecert.it per qualsiasi richiesta di informazioni da parte dei clienti o degli interessati. In qualità di Responsabile del Trattamento dei Dati, la Argo Software s.r.l. assume in sintesi il compito e la responsabilità di: e adempierea tutto quanto necessario per il rispetto delle disposizioni vigenti in materia e di osservare scrupolosamente quanto in essa previsto, tra cui la regolare tenuta del registro delle attività di trattamento espletate per conto dell'Istituto Scolastico ; e adottare adeguate misure di protezione dei dati personali in oggetto; e assistere l’Istituto Scolastico per l'adempimento delle misure tecniche ed organizzative atte a garantire l'esercizio dei diritti degli interessati; e restituire e successivamente cancellare i dati personali trattati alla cessazione del contratto, come sopra indicato, fatte salve diverse prescrizioni di legge; e mettere a disposizione dell'Istituto Scolastico tutte le informazioni atte a dimostrare la con- formità alla vigente normativa di fronte ad una richiesta della Autorità competente; e comunicare senza ingiustificato ritardo qualunque violazione di dati personali ai fini della registrazione/notifica/comunicazione dei data breach; e provvedere immediatamente, nel caso in cui un interessato si rivolgesse alla Argo per l'esercizio di un diritto o reclamando una violazione, a comunicarlo al Responsabile della Protezione dei Dati della scuola ed all’ Istituto Scolastico stesso senza rispondere all’inte- ressato, salvo diversa istruzione della scuola; e autorizzare il personale dedicato al trattamento dei dati, istruendolo adeguatamente e vin- colandolo alla riservatezza; e provvedere alla nomina dei concessionari in qualità di sub-responsabili del trattamento per le attività di assistenza ai software e manutenzione degli archivi dei sistemi informatici spe- cificati nell'apposito contratto di licenza software, fornendo loro istruzioni scritte in merito alle misure di sicurezza da adottare e vincolandoli alla riservatezza dei dati; e vigilare costantemente sull’operato dei soggetti incaricati e dei sub-responsabili al fine di evitare che vengano disattese le misure tecniche ed organizzative atte a proteggere le in- formazioni personali. Registro delle attività di trattamento Ad ogni scuola cliente viene garantita la possibilità di accedere al proprio registro delle attività di tr- attamento elaborato dalla Argo Software in qualità di Responsabile del Trattamento. La funzione è disponibile all'interno del portale Argo (www.portaleargo.it), nella gestione "Profilo scuola", acce- dendo come Supervisor. All'interno della medesima gestione sono inoltre presenti i campi relativi al Rappresentante legale, al Responsabile per la protezione dei dati e ai dati di contatto di quest'ultimo, compilabili da parte della scuola per consentire di adempiere agli obblighi di informa- zione intercorrenti tra titolare del trattamento e responsabile del trattamento. 9 di 49 Valutazione dei rischi per la sicurezza delle informazioni La Argo Software mantiene aggiornate le proprie valutazioni dei rischi per la sicurezza delle infor- mazioni e per la protezione dei dati personali, secondo quanto previsto dal Sistema di Gestione per la Sicurezza delle Informazioni certificato. Agendo in qualità di [omissis] Argo non ha proceduto ad effettuare alcuna valutazione di impatto ai sensi dell’articolo 25 del GDPR, ma collabora (tramite gli esiti delle valu- tazioni dei rischi di cui sopra) con i Titolari del Trattamento che decidessero di effettuare DPIA su trattamenti effettuati anche tramite gli applicativi web Argo. I DPO che volessero accedere alla metodologia ed ai dati riepilogativi delle valutazioni dei rischi o ricevere supporto per le DPIA possono rivolgersi al DPO della Argo Software. Comunicazione di eventuali incidenti o potenziali violazioni Qualunque incidente o potenziale incidente occorso tramite o durante l’utilizzo di un applicativo Argo, che contempli o meno la presenza di dati personali, deve essere immediatamente comuni- cato dalla scuola agli appositi canali di assistenza Argo (telefono, e-mail, o ArgoHelp). Il servizio assistenza Argo prende in ogni caso in carico la segnalazione ed effettua una verifica preliminare sull’incidente, che comprende anche l’immediato indirizzamento di una tempestiva cor- rezione, laddove applicabile e necessaria. All'apertura effettiva di un incidente, terminata la verifica preliminare, il servizio assistenza segue la procedura interna per la gestione degli incidenti e la documenta secondo quanto previsto dal Sistema di Gestione per le Informazioni. Nel caso in cui l'incidente, accertato, riguardasse anche dati personali, l'Ufficio Privacy della Argo effettua tutti i passaggi, sostanziali e formali, per la verifica della sussitenza, consistenza e moda- lità di gestione di un eventuale data breach, con la collaborazione e la supervisione del DPO. In funzione del tipo e della gravità dell'incidente occorso ai dati personali, l'Ufficio Privacy docu- menta opportunamente il data breach nel Registro degli Incidenti Argo e procede alla comunica- zione dello stesso al Titolare del Trattamento nel tempo massimo di 48 ore dalla avvenuta co- noscenza ed analisi dell’incidente. In dipendenza del tipo e della gravità dell'incidente occorso, quindi, l'Ufficio Privacy Argo può chie- dere alla scuola segnalante la compilazione e trasmissione via PEC di apposita modulistica di se- gnalazione necessaria per la documentazione del data breach all’interno dei registri Argo e la eventuale comunicazione ad altri soggetti (Titolari o Responsabili del Trattamento) coinvolti nell’in- cidente. Disponibilità e aggiornamento del documento Il presente documento è disponibile sul sito Argo (www.argosoft.it) all'interno della sezione "Priva- Cy" e viene aggiornato periodicamente in base all'evoluzione dei sistemi di sicurezza adottati, delle revisioni del Piano di Business Continuity della Argo Software e delle eventuali innovazioni norma- tive. Ad ogni aggiornamento del documento, viene data comunicazione a tutte le scuole clienti mediante email o avviso sul portale Argo. Ultimo aggiornamento [INGZIZORA 10 di 49 Policy Argo del 15/03/2021 Policy Argo Software in materia di protezione e disponibilità dei dati relativi ai servizi web Premessa Il presente documento descrive la policy della Argo Software in materia di sicurezza delle informa- zioni, continuità operativa e trattamento dei dati personali contenuti negli archivi e nei repository delle scuole fruitrici dei servizi web Argo. La Argo Software è impegnata costantemente nel migliorare l'efficacia e l'efficienza dei propri pro- cessi di gestione delle informazioni e dei servizi web offerti alle scuole, nell'ottica della salvaguar- dia dell'integrità e della riservatezza dei dati, della disponibilità dei servizi e delle informazioni in tempi adeguati e della continuità operativa dei servizi e dei sistemi. In questo contesto, Argo Software adotta tutti gli accorgimenti organizzativi, le soluzioni tecniche e procedurali idonee al mantenimento e ripristino delle condizioni di funzionamento e di operatività antecedenti ad eventuali eventi disastrosi ed è impegnata, con continuità, ad adottare tutte le mi- sure di sicurezza che trovano fondamento e riferimento all'interno del quadro normativo italiano e europeo (Regolamento UE 2016/679, Linee guida AgiD per il Disaster Recovery, Circolare AgiD nr. 2/2017 sulle misure minime di sicurezza ICT per le PP.AA. ) e dei più elevanti standard di sicu- rezza delle informazioni. Da Marzo 2019 la Argo Software è iscritta nell'elenco dei fornitori di servizi SaaS qualificati AgID secondo la circolare N. 3 del 9 aprile 2018. Il Sistema di Gestione della Sicurezza delle Informazioni di Argo Software , nell'ambito dei servizi di progettazione, sviluppo, erogazione, in modalità cloud SaaS e on-premises, assistenza e manu- tenzione di software gestionale per le scuole di ogni ordine e grado e privati e di erogazione di servizi in modalità Cloud SaaS di gestione di documenti digitali anche a fini di conservazione, è in - oltre certificato secondo lo standard ISO/IEC 27001:2017 [certificato n. 556/19 RINA Service S.p.A.] e sono adottati i controlli previsti dalle linee guida ISO /IEC 27017:2015 e ISO/IEC 27018:2019 Tipologia dei dati e delle informazioni gestiti dalla Argo Software I dati gestiti dalla Argo Software consistono nelle informazioni (generiche e personali) contenute negli archivi delle scuole e dei clienti fruitori dei medesimi servizi e nei profili degli utenti fruitori dei servizi web Argo. 11 di 49 In riferimento alle informazioni contenute negli archivi, la natura dei dati varia in base alle caratteri- stiche del servizio attivato da ogni singola istituzione scolastica o cliente. Possono quindi essere conservate informazioni personali e, nel caso di servizi collegati alla gestione del personale e degli alunni, anche dati appartenenti alle categorie particolari di cui agli artt. 9 e 10 del Regolamento UE 2016/679 [specificamente quelle riepilogate nelle schede allegate al D.M. 305/2006, recante iden- tificazione degli ex dati sensibili e giudiziari trattati e delle relative operazioni effettuate dal Ministe- ro della pubblica istruzione]. Modello di responsabilità condivisa (shared responsibility) Argo Software lavora in qualità di fornitore di servizi in Cloud mettendo a disposizione applicativi in modalità SaaS e erogando i relativi servizi di assistenza e manutenzione. Si avvale di fornitori di servizi cloud (anche di conservazione) qualificati e certificati secondo la vigente normativa ed iden- tifica nei propri contratti gli specifici ruoli attribuiti a ciascun fornitore del servizio. Per rappresentare in maniera completa la distribuzione dei ruoli e rendere gli utilizzatori dei servizi consapevoli delle loro responsabilità nell'uso del servizio cloud, la Argo ha elaborato un documen- to che rappresenta il modello di responsabilità condivisa, disponibile alla pagina https://\/www. argo- soft.it/privacy.php Architettura del sistema informatico I database server e le copie di backup sono ospitati presso la piattaforma cloud AWS (Amazon Web Services). Il Cloud AWS è strutturato in "regioni", costituite da più "zone di disponibilità" (AZ), ognuna delle quali è una partizione completamente isolata dell'infrastruttura AWS, costituita da data center provvisti di alimentazione, rete e connettività ridondanti, ognuno in una propria struttura separata. Con la loro infrastruttura di alimentazione, le zone di disponibilità sono fisicamente separate tra loro da una distanza significativa di molti chilometri. Per i dati dei propri clienti, Argo Software ha scelto la regione Europa Irlanda, situata nella Re- pubblica d'Irlanda, composta da 3 zone di disponibilità. L'amministrazione dei servizi di gestione delle applicazioni e dei database è affidata esclusivamen- te a personale interno alla Argo Software. Gli addetti all'amministrazione delle applicazioni e dei database sono nominati amministratori di sistema. L'accesso ai servizi di amministrazione è eseguito attraverso utenze di dominio nominative. 12 di 49 software Con periodicità infrannuale, sulla base del piano degli audit interni, viene eseguito il monitoraggio sui log degli accessi degli amministratori di sistema da parte del personale all'uopo designato (au- ditor incaricato, DPO o responsabile del SGSI). I log degli accessi eseguiti dagli amministratori di sistema sono archiviati per un periodo di 18 mesi. Modalità di gestione dei dati e di erogazione del servizio Tutti i dati archiviati sui dischi all'interno di cluster Amazon e tutti i backup in Amazon S3 sono pro- tetti con la crittografia, mediante l' Advanced Encryption Standard AES-256. Il sistema di gestione delle istanze delle applicazioni e dei database adottato da Argo consente di avere una facile ridondanza e replicazione dei sistemi informatici e dei dati, preservando così i cli- enti da rischi di interruzione prolungata dei servizi e/o di perdita delle informazioni. Ogni cluster di database è formato da due tipi di istanze: primaria e replica. Per ogni istanza primaria, ci sono più repliche posizionate in zone di disponibilità differenti. L'istanza database primaria viene replicata in modo sincrono. Nel caso in cui l'istanza primaria non sia disponibile, viene eseguita automaticamente la commuta- zione su una replica. Foo Re ________ °— Per ogni istanza di database, il servizio Amazon RDS esegue uno snapshot giornaliero e conserva i log delle modifiche al database all'interno del periodo di "retention" che segue. La creazione degli snapshot non provoca alcuna interruzione delle operazioni di scrittura e lettura in quanto gli "snapshot" vengono eseguiti su una copia di standby. I log delle transazioni per le istanze database vengono caricate in Amazon S3 ogni 5 minuti. Per ciascuna istanza di database viene mantenuta una copia di backup giornaliera per 35 giorni (periodo di retention dei backup). Durante questo periodo, è possibile eseguire il ripristino di una istanza di database a un punto temporale specifico. Decorso questo periodo, viene mantenuta una copia settimanale per ulteriori 25 giorni. 13 di 49 FT\AIATO VIII Gestione e Profilazione delle utenze La gestione e profilazione delle utenze degli applicativi web Argo, attraverso il portale Argo, è di esclusiva pertinenza della scuola. In fase di attivazione di una nuova utenza, viene richiesta l'indicazione di un'indirizzo mail, a cui saranno comunicati l'attivazione e i successivi reset password dell'utenza e, su richiesta, l'invio di notifiche relative agli accessi effettuati dall'utente all'area di gestione utenza del portale Argo. L'indirizzo mail può essere modificato in qualsiasi momento dal singolo utente dalla Gestione delle Utenze del Portale Argo, accedendo alla gestione “Anagrafe Utente”. Dietro esplicito consenso da parte dell'utente, l'indirizzo mail potrà essere utilizzato da parte della Argo Software per l'invio di comunicazioni di natura esclusivamente tecnica sull'utilizzo dei programmi Argo a cui l'utente risul- ta abilitato (faq, guide, videoguide, manuali d'uso, comunicazioni sulle novità riguardanti gli aggior- namenti, nuove soluzioni). L'opzione di scelta per l'invio delle suddette comunicazioni può essere modificata dall'utente in qualsiasi momento sempre dalla gestione "Anagrafe Utente". Utilizzo delle utenze Argo per accesso ad altri servizi Attraverso l'utenza Argo docente o genitore o alunno è possibile accedere ai servizi di e-learning offerti da BSMART. L'autenticazione avviene utilizzando il protocollo di sicurezza OAuth2, il quale permette di accede- re ai servizi forniti da applicazioni terze senza fornire a quest'ultime le credenziali di accesso (sulle quali quindi l'utente e Argo continuano ad avere esclusivo controllo). L'accesso ai servizi BSMART utilizzando le credenziali Argo è naturalmente facoltativo e in caso di accettazione da parte dell'utente, l'utente è reindirizzato dalla piattaforma BSMART ad un dominio Argo, unico punto di accesso da cui viene consentito trasmettere le proprie credenziali Argo. AI termine del processo di autenticazione, l'utente viene rimandato sul dominio del client da cui ha avuto origine la richiesta, e precedentemente autorizzato dalla Argo. | dati forniti a BSMART si riferiscono esclusivamente a nome, cognome, codice fiscale, indirizzo email, ruolo (docente, genitore o alunno). Le attività svolte da BSMART nell'erogazione dei servizi di e-learning, anche se accedute con cre- denziali Argo, sono agite in assoluta autonomia e sotto la responsabilità di BSMART che agisce in qualità di titolare del trattamento. 14 di 49 Tracciamento degli accessi ai servizi web Ai fini della sicurezza, la Argo Software s.r.l. esegue il tracciamento degli accessi ai servizi web Argo e — per le applicazioni più critiche - delle operazioni effettuate dagli utenti all'interno degli stessi. | dati relativi agli accessi ed alle operazioni sono conservati per un periodo di 24 mesi. Per le eventuali richieste dei Log da parte dei clienti, l'Azienda richiede la compilazione di apposita mo- dulista da inviare tramite PEC all'indirizzo assistenza argo@pec.ecert.it Un eventuale prolungamento dei tempi di conservazione può aver luogo in relazione: e a particolari esigenze tecniche o di sicurezza; e all'obbligo di custodire o consegnare i dati per ottemperare ad una specifica richiesta dell'autorità giudiziaria o della polizia giudiziaria. Oltre ai suddetti dati, i sistemi informatici e le procedure software preposte al funzionamento dei servizi web Argo acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell'uso dei protocolli di comunicazione di Internet. Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati e che vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull’uso delle applicazioni e per controllarne il cor- retto funzionamento e vengono cancellati immediatamente dopo l'elaborazione. Procedure di verifica del sistema di protezione dei dati Con cadenza annuale vengono svolte da società terze, specializzate nel settore della sicurezza in- formatica, Penetration test e verifiche di Vulnerability Assessment. Per quanto riguarda l'aggiornamento delle misure di sicurezza, la Argo è iscritta ad un servizio di early warning per il monitoraggio continuo delle vulnerabilità. Criteri di selezione delle server farm La Argo Sofware si affida esclusivamente a server farm di comprovata affidabilità ed esperienza in materia di sicurezza informatica, e comunque previa verifica delle misure fisiche, logiche e orga- nizzative poste in capo alle infrastrutture informatiche fornite. Ad ogni fornitore è richiesta come requisito la certificazione ISO 27001, la qualificazione come CSP presso AgiD, uno SLA di connettività di almeno il 95% su base annua ed una disponibilità dei servizi 24 ore su 24 per 365 giorni all'anno. Modalità di trasmissione dei dati I dati viaggiono sulla rete criptati, secondo il protocollo SSL che garantisce il massimo livello di si- curezza a protezione delle trasmissioni telematiche. Disponibilità dei dati Per gli applicativi web Argo relativi all'area didattica (Alunni, Scrutini, ScuolaNext, DidUP, Forma- zione classi prime) e contabile (Bilancio, Project), è possibile richiedere sempre una copia di 15 di 49 backup in locale dei dati residenti presso i server Argo. La procedura, totalmente automatizzata, è disponibile all'interno dell'Area Clienti del sito Argo, e consente di scaricare una copia in locale dei dati della scuola residenti in remoto. Per motivi di sicurezza, la richiesta può essere inoltrata dalla suddetta area esclusivamente accedendo con le credenziali dell'amministratore dei servizi della scuola (Supervisor), nella persona del Dirigente scolastico o suo delegato. Una volta processata, i dati sono resi disponibili per lo scarico all'interno dell'area per un periodo di tempo limitato. All'indirizzo mail comunicato in fase di richiesta, viene inviata la password posta a protezione del file di backup. Per la restituzione dei dati relative a piattaforme documentali (Gecodoc, Albo Pretorio Online, Am- ministrazione Trasparente) occorre fare richiesta all'indirizzo assistenza. argo@pec.ecetrt.it. I dati contenuti nei database e nei repository delle applicazioni per cui è stata fatta richiesta di esportazione, sono resi disponibili per lo scarico mediante un link comunicato per PEC. L'opera- zione di scarico è protetta da password comunicata per email all'indirizzo indicato dal cliente nel modulo di richiesta esportazione. Risoluzione dei contratti, restituzione, cancellazione e fruibilità dei dati In caso di risoluzione del contratto di licenza o di assistenza da parte della scuola di un servizio web Argo, la scuola — su richiesta del Dirigente scolastico — può optare per: - la restituzione e cancellazione/anonimizzazione dei dati (soluzione di default per legge); - la restituzione e mantenimento dei dati (a fronte di un pagamento di un canone). I dati vengono comunque restituiti, in formato aperto, nei tempi tecnici di esportazione sicura dei dati e tramite trasmissione sicura. Dalla data di cessazione, è inoltre consentito l'accesso all'applicazione web da parte degli utenti per un ulteriore periodo di 1 mese. I tempi tecnici occorrenti alla successiva cancellazione dei dati possono variare da 2 mesi a 12 mesi, più i tempi di retention del backup sopra indicati (35+25 gg=2 mesi), a seconda della natura dei dati coinvolti e delle applicazioni interessate. Il periodo è peraltro funzionale ad eventuali verifi- che da parte del cliente sull’operazione di migrazione dati eseguita dal nuovo fornitore. Il tempo massimo di conservazione dei dati dopo la cessazione del contratto e/o la richiesta di cancellazione dei dati è 12+2 mesi. Impegni e garanzie per la protezione dei dati personali La Argo Software garantisce che l'erogazione dei servizi avviene nel rispetto della normativa che regola il trattamento dei dati personali in outsourcing, ai sensi dell'art. 28 del Regolamento UE 2016/679. Per la fornitura dei servizi web, la Argo Software assume il ruolo di Responsabile del Trattamento, previa nomina da parte del cliente. Per la nomina a Responsabile del trattamento, già definita nelle 16 di 49 condizioni contrattuali, la Argo Software mette a disposizione dei clienti anche un modello scarica- bile all'indirizzo: https://assistenza.argo.software/utilities/. In caso di assenza di nomina formale, la Argo Software si riserva il diritto di sospendere l'erogazio- ne del servizio fino ad adempimento da parte del cliente, titolare del trattamento. Responsabile per la Protezione dei Dati (DPO) della Argo Software, è Chiara Delaini, raggiungibi- le all'indirizzo di posta elettronica ordinario dpo@argosoft.it o di posta elettronica certificata dpo- argosoft@ecert.it per qualsiasi richiesta di informazioni da parte dei clienti o degli interessati. In qualità di Responsabile del Trattamento dei Dati, la Argo Software s.r.l. assume in sintesi il compito e la responsabilità di: e adempierea tutto quanto necessario per il rispetto delle disposizioni vigenti in materia e di osservare scrupolosamente quanto in essa previsto, tra cui la regolare tenuta del registro delle attività di trattamento espletate per conto dell'Istituto Scolastico ; e adottare adeguate misure di protezione dei dati personali in oggetto; e assistere l’Istituto Scolastico per l'adempimento delle misure tecniche ed organizzative atte a garantire l'esercizio dei diritti degli interessati; e restituire e successivamente cancellare i dati personali trattati alla cessazione del contratto, come sopra indicato, fatte salve diverse prescrizioni di legge; e mettere a disposizione dell'Istituto Scolastico tutte le informazioni atte a dimostrare la con- formità alla vigente normativa di fronte ad una richiesta della Autorità competente; e comunicare senza ingiustificato ritardo qualunque violazione di dati personali ai fini della registrazione/notifica/comunicazione dei data breach; e provvedere immediatamente, nel caso in cui un interessato si rivolgesse alla Argo per l'esercizio di un diritto o reclamando una violazione, a comunicarlo al Responsabile della Protezione dei Dati della scuola ed all’ Istituto Scolastico stesso senza rispondere all’inte- ressato, salvo diversa istruzione della scuola; e autorizzare il personale dedicato al trattamento dei dati, istruendolo adeguatamente e vin- colandolo alla riservatezza; e provvedere alla nomina dei concessionari in qualità di sub-responsabili del trattamento per le attività di assistenza ai software e manutenzione degli archivi dei sistemi informatici spe- cificati nell'apposito contratto di licenza software, fornendo loro istruzioni scritte in merito alle misure di sicurezza da adottare e vincolandoli alla riservatezza dei dati; e vigilare costantemente sull’operato dei soggetti incaricati e dei sub-responsabili al fine di evitare che vengano disattese le misure tecniche ed organizzative atte a proteggere le in- formazioni personali. 17 di 49 Registro delle attività di trattamento Ad ogni scuola cliente viene garantita la possibilità di accedere al proprio registro delle attività di tr- attamento elaborato dalla Argo Software in qualità di Responsabile del Trattamento. La funzione è disponibile all'interno del portale Argo (www.portaleargo.it), nella gestione "Profilo scuola", acce- dendo come Supervisor. All'interno della medesima gestione sono inoltre presenti i campi relativi al Rappresentante legale, al Responsabile per la protezione dei dati e ai dati di contatto di quest'ultimo, compilabili da parte della scuola per consentire di adempiere agli obblighi di informa- zione intercorrenti tra titolare del trattamento e responsabile del trattamento. Valutazione dei rischi per la sicurezza delle informazioni La Argo Software mantiene aggiornate le proprie valutazioni dei rischi per la sicurezza delle infor- mazioni e per la protezione dei dati personali, secondo quanto previsto dal Sistema di Gestione per la Sicurezza delle Informazioni certificato. Agendo in qualità di [omissis] Argo non ha proceduto ad effettuare alcuna valutazione di impatto ai sensi dell’articolo 25 del GDPR, ma collabora (tramite gli esiti delle valu- tazioni dei rischi di cui sopra) con i Titolari del Trattamento che decidessero di effettuare DPIA su trattamenti effettuati anche tramite gli applicativi web Argo. I DPO che volessero accedere alla metodologia ed ai dati riepilogativi delle valutazioni dei rischi o ricevere supporto per le DPIA possono rivolgersi al DPO della Argo Software. Comunicazione di eventuali incidenti o potenziali violazioni Qualunque incidente o potenziale incidente occorso tramite o durante l'utilizzo di un applicativo Argo, che contempli o meno la presenza di dati personali, deve essere immediatamente comuni- cato dalla scuola agli appositi canali di assistenza Argo (telefono, e-mail, o ArgoHelp). Il servizio assistenza Argo prende in ogni caso in carico la segnalazione ed effettua una verifica preliminare sull’incidente, che comprende anche l'immediato indirizzamento di una tempestiva cor- rezione, laddove applicabile e necessaria. All'apertura effettiva di un incidente, terminata la verifica preliminare, il servizio assistenza segue la procedura interna per la gestione degli incidenti e la documenta secondo quanto previsto dal Sistema di Gestione per le Informazioni. Nel caso in cui l'incidente, accertato, riguardasse anche dati personali, l'Ufficio Privacy della Argo effettua tutti i passaggi, sostanziali e formali, per la verifica della sussitenza, consistenza e moda- lità di gestione di un eventuale data breach, con la collaborazione e la supervisione del DPO. In funzione del tipo e della gravità dell'incidente occorso ai dati personali, l'Ufficio Privacy docu- menta opportunamente il data breach nel Registro degli Incidenti Argo e procede alla comunica- zione dello stesso al Titolare del Trattamento nel tempo massimo di 48 ore dalla avvenuta co- noscenza ed analisi dell’incidente. In dipendenza del tipo e della gravità dell'incidente occorso, quindi, l'Ufficio Privacy Argo può chie- dere alla scuola segnalante la compilazione e trasmissione via PEC di apposita modulistica di se- gnalazione necessaria per la documentazione del data breach all’interno dei registri Argo e la eventuale comunicazione ad altri soggetti (Titolari o Responsabili del Trattamento) coinvolti nell’in- cidente. 18 di 49 FI FE Are VVaLTE Disponibilità e aggiornamento del documento Il presente documento è disponibile sul sito Argo (www.argosoft.it) all'interno della sezione "Priva- Cy" e viene aggiornato periodicamente in base all'evoluzione dei sistemi di sicurezza adottati, delle revisioni del Piano di Business Continuity della Argo Software e delle eventuali innovazioni norma- tive. Ad ogni aggiornamento del documento, viene data comunicazione a tutte le scuole clienti mediante email o avviso sul portale Argo. Ultimo aggiornamento [IBIOSIZONA 19 di 49 FI MAIAAre Policy Argo del 22/12/2020 Policy Argo Software in materia di protezione e disponibilità dei dati relativi ai servizi web Premessa Il presente documento descrive la policy della Argo Software in materia di sicurezza delle informa- zioni, continuità operativa e trattamento dei dati personali contenuti negli archivi e nei repository delle scuole fruitrici dei servizi web Argo. La Argo Software è impegnata costantemente nel migliorare l'efficacia e l'efficienza dei propri pro- cessi di gestione delle informazioni e dei servizi web offerti alle scuole, nell'ottica della salvaguar- dia dell'integrità e della riservatezza dei dati, della disponibilità dei servizi e delle informazioni in tempi adeguati e della continuità operativa dei servizi e dei sistemi. In questo contesto, Argo Software adotta tutti gli accorgimenti organizzativi, le soluzioni tecniche e procedurali idonee al mantenimento e ripristino delle condizioni di funzionamento e di operatività antecedenti ad eventuali eventi disastrosi ed è impegnata, con continuità, ad adottare tutte le mi- sure di sicurezza che trovano fondamento e riferimento all'interno del quadro normativo italiano e europeo (Regolamento UE 2016/679, Linee guida AgiD per il Disaster Recovery, Circolare AgiD nr. 2/2017 sulle misure minime di sicurezza ICT per le PP.AA. ) e dei più elevanti standard di sicu- rezza delle informazioni. Da Marzo 2019 la Argo Software è iscritta nell'elenco dei fornitori di servizi SaaS qualificati AgID secondo la circolare N. 3 del 9 aprile 2018. Il Sistema di Gestione della Sicurezza delle Informazioni di Argo Software , Tipologia dei dati e delle informazioni gestiti dalla Argo Software I dati gestiti dalla Argo Software consistono nelle informazioni (generiche e personali) contenute negli archivi delle scuole e dei clienti fruitori dei medesimi servizi e nei profili degli utenti fruitori dei servizi web Argo. 20 di 49 In riferimento alle informazioni contenute negli archivi, la natura dei dati varia in base alle caratteri- stiche del servizio attivato da ogni singola istituzione scolastica o cliente. Possono quindi essere conservate informazioni personali e, nel caso di servizi collegati alla gestione del personale e degli alunni, anche dati appartenenti alle categorie particolari di cui agli artt. 9 e 10 del Regolamento UE 2016/679 [specificamente quelle riepilogate nelle schede allegate al D.M. 305/2006, recante iden- tificazione degli ex dati sensibili e giudiziari trattati e delle relative operazioni effettuate dal Ministe- ro della pubblica istruzione]. Modello di responsabilità condivisa (shared responsibility) Argo Software lavora in qualità di fornitore di servizi in Cloud mettendo a disposizione applicativi in modalità SaaS e erogando i relativi servizi di assistenza e manutenzione. Si avvale di fornitori di servizi cloud (anche di conservazione) qualificati e certificati secondo la vigente normativa ed iden- tifica nei propri contratti gli specifici ruoli attribuiti a ciascun fornitore del servizio. Per rappresentare in maniera completa la distribuzione dei ruoli e rendere gli utilizzatori dei servizi consapevoli delle loro responsabilità nell'uso del servizio cloud, la Argo ha elaborato un documen- to che rappresenta il modello di responsabilità condivisa, disponibile alla pagina https://\/www. argo- soft.it/privacy.php Architettura del sistema informatico I database server e le copie di backup sono ospitati presso la piattaforma cloud AWS (Amazon Web Services). Il Cloud AWS è strutturato in "regioni", costituite da più "zone di disponibilità" (AZ), ognuna delle quali è una partizione completamente isolata dell'infrastruttura AWS, costituita da data center provvisti di alimentazione, rete e connettività ridondanti, ognuno in una propria struttura separata. Con la loro infrastruttura di alimentazione, le zone di disponibilità sono fisicamente separate tra loro da una distanza significativa di molti chilometri. Per i dati dei propri clienti, Argo Software ha scelto la regione Europa Irlanda, situata nella Re- pubblica d'Irlanda, composta da 3 zone di disponibilità. La Argo si avvale inoltre, come Cloud Service Provider qualificato, dei servizi di Aruba spa per la gestione di alcuni servizi accessori al sistema documentale. L'amministrazione dei servizi di gestione delle applicazioni e dei database è affidata esclusivamen- te a personale interno alla Argo Software. Gli addetti all'amministrazione delle applicazioni e dei database sono nominati amministratori di sistema. L'accesso ai servizi di amministrazione è eseguito attraverso utenze di dominio nominative. Con periodicità infrannuale, sulla base del piano degli audit interni, viene eseguito il monitoraggio sui log degli accessi degli amministratori di sistema da parte del personale all'uopo designato (au- ditor incaricato, DPO o responsabile del SGSI). 21 di 49 | log degli accessi eseguiti dagli amministratori di sistema sono archiviati per un periodo di 18 mesi. Modali di gestione dei dati e di erogazione del servizio Tutti i dati archiviati sui dischi all'interno di cluster Amazon e tutti i backup in Amazon S3 sono pro- tetti con la crittografia, mediante I' Advanced Encryption Standard AES-256. Il sistema di gestione delle istanze delle applicazioni e dei database adottato da Argo consente di avere una facile ridondanza e replicazione dei sistemi informatici e dei dati, preservando così i cli- enti da rischi di interruzione prolungata dei servizi e/o di perdita delle informazioni. Ogni cluster di database è formato da due tipi di istanze: primaria e replica. Per ogni istanza primaria, ci sono più repliche posizionate in zone di disponibilità differenti. L'istanza database primaria viene replicata in modo sincrono. Nel caso in cui l'istanza primaria non sia disponibile, viene eseguita automaticamente la commuta- zione su una replica. Backup dei dati Per ogni istanza di database, il servizio Amazon RDS esegue uno snapshot giornaliero e conserva i log delle modifiche al database all'interno del periodo di "retention" che segue. La creazione degli snapshot non provoca alcuna interruzione delle operazioni di scrittura e lettura in quanto gli "snapshot" vengono eseguiti su una copia di standby. I log delle transazioni per le istanze database vengono caricate in Amazon S3 ogni 5 minuti. Per ciascuna istanza di database viene mantenuta una copia di backup giornaliera per 35 giorni (periodo di retention dei backup). Durante questo periodo, è possibile eseguire il ripristino di una istanza di database a un punto temporale specifico. Decorso questo periodo, viene mantenuta una copia settimanale per ulteriori 25 giorni. Gestione e Profilazione delle utenze La gestione e profilazione delle utenze degli applicativi web Argo, attraverso il portale Argo, è di esclusiva pertinenza della scuola. In fase di attivazione di una nuova utenza, viene richiesta l'indicazione di un'indirizzo mail, a cui saranno comunicati l'attivazione e i successivi reset password dell'utenza e, su richiesta, l'invio di notifiche relative agli accessi effettuati dall'utente all'area di gestione utenza del portale Argo. L'indirizzo mail può essere modificato in qualsiasi momento dal singolo utente dalla Gestione delle Utenze del Portale Argo, accedendo alla gestione “Anagrafe Utente”. Dietro esplicito consenso da 22 di do parte dell'utente, l'indirizzo mail potrà essere utilizzato da parte della Argo Software per l'invio di comunicazioni di natura esclusivamente tecnica sull'utilizzo dei programmi Argo a cui l'utente risul- ta abilitato (faq, guide, videoguide, manuali d'uso, comunicazioni sulle novità riguardanti gli aggior- namenti, nuove soluzioni). L'opzione di scelta per l'invio delle suddette comunicazioni può essere modificata dall'utente in qualsiasi momento sempre dalla gestione "Anagrafe Utente". Utilizzo delle utenze Argo per accesso ad altri servizi Attraverso l'utenza Argo docente o genitore o alunno è possibile accedere ai servizi di e-learning offerti da BSMART. L'autenticazione avviene utilizzando il protocollo di sicurezza OAuth2, il quale permette di accede- re ai servizi forniti da applicazioni terze senza fornire a quest'ultime le credenziali di accesso (sulle quali quindi l'utente e Argo continuano ad avere esclusivo controllo). L'accesso ai servizi BSMART utilizzando le credenziali Argo è naturalmente facoltativo e in caso di accettazione da parte dell'utente, l'utente è reindirizzato dalla piattaforma BSMART ad un dominio Argo, unico punto di accesso da cui viene consentito trasmettere le proprie credenziali Argo. AI termine del processo di autenticazione, l'utente viene rimandato sul dominio del client da cui ha avuto origine la richiesta, e precedentemente autorizzato dalla Argo. | dati forniti a BSMART si riferiscono esclusivamente a nome, cognome, codice fiscale, indirizzo email, ruolo (docente, genitore o alunno). Le attività svolte da BSMART nell'erogazione dei servizi di e-learning, anche se accedute con cre- denziali Argo, sono agite in assoluta autonomia e sotto la responsabilità di BSMART che agisce in qualità di titolare del trattamento. Tracciamento degli accessi ai servizi web Ai fini della sicurezza, la Argo Software s.r.l. esegue il tracciamento degli accessi ai servizi web Argo e — per le applicazioni più critiche - delle operazioni effettuate dagli utenti all'interno degli stessi. | dati relativi agli accessi ed alle operazioni sono conservati per un periodo di 24 mesi. Per le eventuali richieste dei Log da parte dei clienti, l'Azienda richiede la compilazione di apposita mo- dulista da inviare tramite PEC all'indirizzo assistenza. argo@pec.ecert.it Un eventuale prolungamento dei tempi di conservazione può aver luogo in relazione: e a particolari esigenze tecniche o di sicurezza; e all'obbligo di custodire o consegnare i dati per ottemperare ad una specifica richiesta dell'autorità giudiziaria o della polizia giudiziaria. Oltre ai suddetti dati, i sistemi informatici e le procedure software preposte al funzionamento dei servizi web Argo acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell'uso dei protocolli di comunicazione di Internet. Si tratta di informazioni 23 di 49 che non sono raccolte per essere associate a interessati identificati e che vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull’uso delle applicazioni e per controllarne il cor- retto funzionamento e vengono cancellati immediatamente dopo l'elaborazione. Procedure di verifica del sistema di protezione dei dati Con cadenza annuale vengono svolte da società terze, specializzate nel settore della sicurezza in- formatica, Penetration test e verifiche di Vulnerability Assessment. Per quanto riguarda l'aggiornamento delle misure di sicurezza, la Argo è iscritta ad un servizio di early warning per il monitoraggio continuo delle vulnerabilità. Criteri di selezione delle server farm La Argo Sofware si affida esclusivamente a server farm di comprovata affidabilità ed esperienza in materia di sicurezza informatica, e comunque previa verifica delle misure fisiche, logiche e orga- nizzative poste in capo alle infrastrutture informatiche fornite. Ad ogni fornitore è richiesta come requisito la certificazione ISO 27001, la qualificazione come CSP presso AgiD, uno SLA di connettività di almeno il 95% su base annua ed una disponibilità dei servizi 24 ore su 24 per 365 giorni all'anno. Modalità di trasmissione dei dati I dati viaggiono sulla rete criptati, secondo il protocollo SSL che garantisce il massimo livello di si- curezza a protezione delle trasmissioni telematiche. Disponibilità dei dati Per gli applicativi web Argo relativi all'area didattica (Alunni, Scrutini, ScuolaNext, DidUP, Forma- zione classi prime) e contabile (Bilancio, Project), è possibile richiedere sempre una copia di backup in locale dei dati residenti presso i server Argo. La procedura, totalmente automatizzata, è disponibile all'interno dell'Area Clienti del sito Argo, e consente di scaricare una copia in locale dei dati della scuola residenti in remoto. Per motivi di sicurezza, la richiesta può essere inoltrata dalla suddetta area esclusivamente accedendo con le credenziali dell'amministratore dei servizi della scuola (Supervisor), nella persona del Dirigente scolastico o suo delegato. Una volta processata, i dati sono resi disponibili per lo scarico all'interno dell'area per un periodo di tempo limitato. All'indirizzo mail comunicato in fase di richiesta, viene inviata la password posta a protezione del file di backup. Per la restituzione dei dati relative a piattaforme documentali (Gecodoc, Albo Pretorio Online, Am- ministrazione Trasparente) occorre fare richiesta all'indirizzo assistenza. argo@pec.ecetrt.it. I dati contenuti nei database e nei repository delle applicazioni per cui è stata fatta richiesta di esportazione, sono resi disponibili per lo scarico mediante un link comunicato per PEC. L'opera- zione di scarico è protetta da password comunicata per email all'indirizzo indicato dal cliente nel modulo di richiesta esportazione. 24 di 49 Risoluzione dei contratti, restituzione, cancellazione e fruibilità dei dati In caso di risoluzione del contratto di licenza o di assistenza da parte della scuola di un servizio web Argo, la scuola — su richiesta del Dirigente scolastico — può optare per: - la restituzione e cancellazione/anonimizzazione dei dati (soluzione di default per legge); - la restituzione e mantenimento dei dati (a fronte di un pagamento di un canone). I dati vengono comunque restituiti, in formato aperto, nei tempi tecnici di esportazione sicura dei dati e tramite trasmissione sicura. Dalla data di cessazione, è inoltre consentito l'accesso all'applicazione web da parte degli utenti per un ulteriore periodo di 1 mese. I tempi tecnici occorrenti alla successiva cancellazione dei dati possono variare da 2 mesi a 12 mesi, , a seconda della natura dei dati coinvolti e delle applicazioni interessate. Il periodo è peraltro funzionale ad eventuali verifi- che da parte del cliente sull’operazione di migrazione dati eseguita dal nuovo fornitore. SHAhOA-O CN a a E SIL O a AAA (SI VARIA VA (A CA (SU VA VA YU CA ] Impegni e garanzie per la protezione dei dati personali La Argo Software garantisce che l'erogazione dei servizi avviene nel rispetto della normativa che regola il trattamento dei dati personali in outsourcing, ai sensi dell'art. 28 del Regolamento UE 2016/679. Per la fornitura dei servizi web, la Argo Software assume il ruolo di Responsabile del Trattamento, previa nomina da parte del cliente. Per la nomina a Responsabile del trattamento, già definita nelle condizioni contrattuali, la Argo Software mette a disposizione dei clienti anche un modello scarica- bile all'indirizzo: https://assistenza.argo.software/utilities/. In caso di assenza di nomina formale, la Argo Software si riserva il diritto di sospendere l'erogazio- ne del servizio fino ad adempimento da parte del cliente, titolare del trattamento. Responsabile per la Protezione dei Dati (DPO) della Argo Software, è Chiara Delaini, raggiungibi- le all'indirizzo di posta elettronica ordinario dpo@argosoft.it o di posta elettronica certificata dpo- argosoft@ecert.it per qualsiasi richiesta di informazioni da parte dei clienti o degli interessati. In qualità di Responsabile del Trattamento dei Dati, la Argo Software s.r.l. assume in sintesi il compito e la responsabilità di: e adempierea tutto quanto necessario per il rispetto delle disposizioni vigenti in materia e di osservare scrupolosamente quanto in essa previsto, tra cui la regolare tenuta del registro delle attività di trattamento espletate per conto dell'Istituto Scolastico ; 25 di 49 e adottare adeguate misure di protezione dei dati personali in oggetto; e assistere l’Istituto Scolastico per l'adempimento delle misure tecniche ed organizzative atte a garantire l'esercizio dei diritti degli interessati; e restituire e successivamente cancellare i dati personali trattati alla cessazione del contratto, come sopra indicato, fatte salve diverse prescrizioni di legge; e mettere a disposizione dell'Istituto Scolastico tutte le informazioni atte a dimostrare la con- formità alla vigente normativa di fronte ad una richiesta della Autorità competente; e comunicare senza ingiustificato ritardo qualunque violazione di dati personali ai fini della registrazione/notifica/comunicazione dei data breach; e provvedere immediatamente, nel caso in cui un interessato si rivolgesse alla Argo per l'esercizio di un diritto o reclamando una violazione, a comunicarlo al Responsabile della Protezione dei Dati della scuola ed all’ Istituto Scolastico stesso senza rispondere all’inte- ressato, salvo diversa istruzione della scuola; e autorizzare il personale dedicato al trattamento dei dati, istruendolo adeguatamente e vin- colandolo alla riservatezza; e provvedere alla nomina dei concessionari in qualità di sub-responsabili del trattamento per le attività di assistenza ai software e manutenzione degli archivi dei sistemi informatici spe- cificati nell'apposito contratto di licenza software, fornendo loro istruzioni scritte in merito alle misure di sicurezza da adottare e vincolandoli alla riservatezza dei dati; e vigilare costantemente sull’operato dei soggetti incaricati e dei sub-responsabili al fine di evitare che vengano disattese le misure tecniche ed organizzative atte a proteggere le in- formazioni personali. Registro delle attività di trattamento Ad ogni scuola cliente viene garantita la possibilità di accedere al proprio registro delle attività di tr- attamento elaborato dalla Argo Software in qualità di Responsabile del Trattamento. La funzione è disponibile all'interno del portale Argo (www.portaleargo.it), nella gestione "Profilo scuola", acce- dendo come Supervisor. All'interno della medesima gestione sono inoltre presenti i campi relativi al Rappresentante legale, al Responsabile per la protezione dei dati e ai dati di contatto di quest'ultimo, compilabili da parte della scuola per consentire di adempiere agli obblighi di informa- zione intercorrenti tra titolare del trattamento e responsabile del trattamento. Valutazione dei rischi per la sicurezza delle informazioni La Argo Software mantiene aggiornate le proprie valutazioni dei rischi per la sicurezza delle infor- mazioni e per la protezione dei dati personali, secondo quanto previsto dal Sistema di Gestione per la Sicurezza delle Informazioni certificato. Agendo in qualità di [omissis] Argo non ha proceduto ad effettuare alcuna valutazione di impatto ai sensi dell’articolo 25 del GDPR, ma collabora (tramite gli esiti delle valu- 26 di 49 FI ATO ILVA tazioni dei rischi di cui sopra) con i Titolari del Trattamento che decidessero di effettuare DPIA su trattamenti effettuati anche tramite gli applicativi web Argo. I DPO che volessero accedere alla metodologia ed ai dati riepilogativi delle valutazioni dei rischi o ricevere supporto per le DPIA possono rivolgersi al DPO della Argo Software. Comunicazione di eventuali incidenti o potenziali violazioni Qualunque incidente o potenziale incidente occorso tramite o durante l’utilizzo di un applicativo Argo, che contempli o meno la presenza di dati personali, deve essere immediatamente comuni- cato dalla scuola agli appositi canali di assistenza Argo (telefono, e-mail, o ArgoHelp). Il servizio assistenza Argo prende in ogni caso in carico la segnalazione ed effettua una verifica preliminare sull’incidente, che comprende anche l’immediato indirizzamento di una tempestiva cor- rezione, laddove applicabile e necessaria. All'apertura effettiva di un incidente, terminata la verifica preliminare, il servizio assistenza segue la procedura interna per la gestione degli incidenti e la documenta secondo quanto previsto dal Sistema di Gestione per le Informazioni. Nel caso in cui l'incidente, accertato, riguardasse anche dati personali, l'Ufficio Privacy della Argo effettua tutti i passaggi, sostanziali e formali, per la verifica della sussitenza, consistenza e moda- lità di gestione di un eventuale data breach, con la collaborazione e la supervisione del DPO. In funzione del tipo e della gravità dell'incidente occorso ai dati personali, l'Ufficio Privacy docu- menta opportunamente il data breach nel Registro degli Incidenti Argo e procede alla comunica- zione dello stesso al Titolare del Trattamento nel tempo massimo di 48 ore dalla avvenuta co- noscenza ed analisi dell'incidente. In dipendenza del tipo e della gravità dell'incidente occorso, quindi, l'Ufficio Privacy Argo può chie- dere alla scuola segnalante la compilazione e trasmissione via PEC di apposita modulistica di se- gnalazione necessaria per la documentazione del data breach all’interno dei registri Argo e la eventuale comunicazione ad altri soggetti (Titolari o Responsabili del Trattamento) coinvolti nell’in- cidente. Disponibilità e aggiornamento del documento Il presente documento è disponibile sul sito Argo (www.argosoft.it) all'interno della sezione "Priva- cy" e viene aggiornato periodicamente in base all'evoluzione dei sistemi di sicurezza adottati, delle revisioni del Piano di Business Continuity della Argo Software e delle eventuali innovazioni norma- tive. Ad ogni aggiornamento del documento, viene data comunicazione a tutte le scuole clienti mediante email o avviso sul portale Argo. Ultimo aggiornamento RAMNIZIZIOZO 27 di 49 Policy Argo del 30/06/2020 Policy Argo Software in materia di protezione e disponibilità dei dati relativi ai servizi web Premessa Il presente documento descrive la policy della Argo Software in materia di sicurezza delle informazioni, continuità operativa e trattamento dei dati personali contenuti negli archivi e nei repository delle scuole fruitrici dei servizi web Argo. La Argo Software è impegnata costantemente a migliorare l'efficacia e l'efficienza dei propri processi di gestione delle informazioni e dei servizi web offerti alle scuole, nell'ottica della salvaguardia dell'integrità e della riservatezza dei dati, della disponibilità dei servizi e delle informazioni in tempi adeguati e della continuità operativa dei servizi e dei sistemi. In questo contesto, Argo Software adotta tutti gli accorgimenti organizzativi, le soluzioni tecniche e procedurali idonee al mantenimento e ripristino delle condizioni di funzionamento e di operatività antecedenti ad eventuali eventi disastrosi ed è impegnata, con continuità, ad adottare tutte le misure di sicurezza che trovano fondamento e riferimento all'interno del quadro normativo italiano e europeo (Regolamento UE 2016/679, Linee guida AgiD per il Disaster Recovery, Circolare AgIiD nr. 2/2017 sulle misure minime di sicurezza ICT per le PP.AA. ) e dei più elevanti standard di Da Marzo 2019 la Argo Software è iscritta nell'elenco dei fornitori di servizi SaaS qualificati AgID secondo la circolare N. 3 del 9 aprile 2018. Il Sistema di Gestione della Sicurezza delle Informazioni di Argo Software srl, nell'ambito dei servizi di progettazione, sviluppo, erogazione, in modalità cloud SaaS e on-premises, è inoltre certificato secondo lo standard ISO/IEC 27001:2017 [certificato n. 556/19 RINA Service S.p.A]. Tipologia dei dati e BIENENANGRMAZIONI gestiti dalla Argo Software | dati gestiti dalla Argo Software riguardano le informazioni (generiche e personali) contenute negli archivi delle scuole fruitrici dei medesimi servizi ed i profili degli utenti fruitori dei servizi web Argo. In riferimento alle informazioni contenute negli archivi delle scuole, la natura dei dati varia in base alle caratteristiche del servizio attivato da ogni singola istituzione scolastica . Possono quindi essere conservate informazioni personali e, nel caso di servizi collegati alla gestione del personale e degli alunni, anche dati appartenenti alle categorie particolari di cui all'art. 9 del Regolamento UE 2016/679 [specificamente quelle riepilogate nelle schede allegate al D.M. 305/2006, recante 28 di 49 software identificazione degli ex dati sensibili e giudiziari trattati e delle relative operazioni effettuate dal Ministero della pubblica istruzione]. Architettura del sistema informatico I database server e le copie di backup sono ospitati presso la piattaforma cloud AWS (Amazon Web Services). Il Cloud AWS è strutturato in "regioni", costituite da più "zone di disponibilità" (AZ), ognuna delle quali è una partizione completamente isolata dell'infrastruttura AWS, costituita da data center provvisti di alimentazione, rete e connettività ridondanti, ognuno in una propria struttura separata. Con la loro infrastruttura di alimentazione, le zone di disponibilità sono fisicamente separate tra loro da una distanza significativa di molti chilometri. Per i dati delle scuole, proprie clienti, Argo Software ha scelto la regione Europa Irlanda, situata nella Repubblica d'Irlanda, composta da 3 zone di disponibilità. L'amministrazione dei servizi di gestione delle applicazioni e dei database è affidata esclusivamente a personale interno alla Argo Software. Gli addetti all'amministrazione delle applicazioni e dei database sono nominati amministratori di sistema. L'accesso ai servizi di amministrazione è eseguito attraverso utenze di dominio nominative. , viene eseguito il monitoraggio sui rs Sl accessi 2 amministratori di sistema da parte del personale all'uopo designato I log degli accessi eseguiti dagli amministratori di sistema sono archiviati per un periodo di 18 mesi. 29 di 49 Modalità di gestione dei dati e di erogazione del servizio Tutti i dati archiviati sui dischi all'interno di cluster Amazon e tutti i backup in Amazon S3 sono protetti con la crittografia, mediante l' Advanced Encryption Standard AES-256. Il sistema di gestione delle istanze delle applicazioni e dei database adottato da Argo, consente di avere una facile ridondanza e replicazione dei sistemi informatici e dei dati, preservando così i clienti da rischi di interruzione prolungata dei servizi e/o di perdita delle informazioni. Ogni cluster di database è formato da due tipi di istanze: primaria e replica. Per ogni istanza primaria, ci sono più repliche posizionate in zone di disponibilità differenti. L'istanza database primaria viene replicata in modo sincrono. Nel caso in cui l'istanza primaria non sia disponibile, viene eseguita automaticamente la commutazione su una replica. Backup dei dati Per ogni istanza di database, il servizio Amazon RDS esegue uno snapshot giornaliero e conserva i log delle modifiche al database all'interno del periodo di "retention" (v. in prosieguo). La creazione degli snapshot non provoca alcuna interruzione delle operazioni di scrittura e lettura in quanto gli "snapshot" vengono eseguiti su una copia di standby. I log delle transazioni per le istanze database vengono caricate in Amazon S$3 ogni 5 minuti. Per ciascuna istanza di database viene mantenuta una copia di backup giornaliera per 35 giorni (periodo di retention dei backup). Durante questo periodo, è possibile eseguire il ripristino di una istanza di database a un punto temporale specifico. Decorso questo periodo, viene mantenuta una copia settimanale per ulteriori 25 giorni. Gestione e Profilazione delle utenze La gestione e profilazione delle utenze degli applicativi web Argo, attraverso il portale Argo, è di esclusiva pertinenza della scuola. In fase di attivazione di una nuova utenza, viene richiesta l'indicazione di un'indirizzo mail, a cui saranno comunicati l'attivazione e i successivi reset password dell'utenza e, su richiesta, l'invio di notifiche relative agli accessi effettuati dall'utente all'area di gestione utenza del portale Argo. L'indirizzo mail può essere modificato in qualsiasi momento dal singolo utente dalla Gestione delle Utenze del Portale Argo, accedendo alla gestione “Anagrafe Utente”. Dietro esplicito consenso da parte dell'utente, l'indirizzo mail potrà essere utilizzato da parte della Argo Software per l'invio di comunicazioni di natura esclusivamente tecnica sull'utilizzo dei programmi Argo a cui l'utente risulta abilitato (faq, guide, videoguide, manuali d'uso, comunicazioni sulle novità riguardanti gli 30 di d0 UIL FT\AIATO aggiornamenti, nuove soluzioni). L'opzione di scelta per l'invio delle suddette comunicazioni può essere modificata dall'utente in qualsiasi momento sempre dalla gestione "Anagrafe Utente". Utilizzo delle utenze Argo per accesso ad altri servizi Attraverso l'utenza Argo docente o genitore o alunno è possibile accedere ai servizi di e-learning offerti da BSMART. L'autenticazione avviene utilizzando il protocollo di sicurezza OAuth2, il quale permette di accedere ai servizi forniti da applicazioni terze senza fornire a quest'ultime le credenziali di accesso (sulle quali quindi l'utente e Argo continuano ad avere esclusivo controllo). L'accesso ai servizi BSMART utilizzando le credenziali Argo è naturalmente facoltativo e in caso di accettazione da parte dell'utente, l'utente è reindirizzato dalla piattaforma BSMART ad un dominio Argo, unico punto di accesso da cui viene consentito trasmettere le proprie credenziali Argo. AI termine del processo di autenticazione, l'utente viene rimandato sul dominio del client da cui ha avuto origine la richiesta, e precedentemente autorizzato dalla Argo. | dati forniti a BSMART si riferiscono esclusivamente a nome, cognome, codice fiscale, indirizzo email, ruolo (docente, genitore o alunno). Le attività svolte da BSMART nell'erogazione dei servizi di e-learning, anche se accedute con credenziali Argo, sono agite in assoluta autonomia e sotto la responsabilità di BSMART che agisce in qualità di titolare del trattamento. Tracciamento degli accessi ai servizi web Ai fini della sicurezza, la Argo Software s.r.l. esegue il tracciamento degli accessi ai servizi web Argo e — per le applicazioni più critiche - delle operazioni effettuate dagli utenti all'interno degli stessi. | dati relativi agli accessi sono soggetti alle stesse politiche di backup dei database. | file di log delle operazioni vengono conservati per un periodo non inferiore a 6 mesi e non superiore a 24 Un eventuale prolungamento dei tempi di conservazione può aver luogo in relazione: e a particolari esigenze tecniche o di sicurezza; e all'obbligo di custodire o consegnare i dati per ottemperare ad una specifica richiesta dell'autorità giudiziaria o della polizia giudiziaria. Oltre ai suddetti dati, i sistemi informatici e le procedure software preposte al funzionamento dei servizi web Argo acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell'uso dei protocolli di comunicazione di Internet. Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati e che vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull'uso delle applicazioni e per controllarne il corretto funzionamento e vengono cancellati immediatamente dopo l'elaborazione. 31 di 49 Procedure di verifica del sistema di protezione dei dati Con cadenza annuale vengono svolte da società terze, specializzate nel settore della sicurezza informatica, Penetration test e verifiche di Vulnerability Assessment. Per quanto riguarda l'aggiornamento delle misure di sicurezza, la Argo è iscritta ad un servizio di early warning per il monitoraggio continuo delle vulnerabilità. Criteri di selezione delle server farm La Argo Sofware si affida esclusivamente a server farm di comprovata affidabilità ed esperienza in materia di sicurezza informatica, e comunque previa verifica delle misure fisiche, logiche e organizzative poste in capo alle infrastrutture informatiche fornite. Ad ogni fornitore è richiesta come requisito la certificazione ISO 27001, la qualificazione come CSP presso AgiD, uno SLA di connettività di almeno il 95% su base annua ed una disponibilità dei servizi 24 ore su 24 per 365 giorni all'anno. Modalità di trasmissione dei dati I dati viaggiono sulla rete criptati, secondo il protocollo SSL che garantisce il massimo livello di sicurezza a protezione delle trasmissioni telematiche. Disponibilità dei dati Per gli applicativi web Argo relativi all'area didattica (Alunni, Scrutini, ScuolaNext, DidUP, Formazione classi prime) e contabile (Bilancio, Project), è possibile richiedere sempre una copia di backup in locale dei dati residenti presso i server Argo. La procedura, totalmente automatizzata, è disponibile all'interno dell'Area Clienti del sito Argo, e consente di scaricare una copia in locale dei dati della scuola residenti in remoto. Per motivi di sicurezza, la richiesta può essere inoltrata dalla suddetta area esclusivamente accedendo con le credenziali dell'amministratore dei servizi della scuola (Supervisor), nella persona del Dirigente scolastico o suo delegato. Una volta processata, i dati sono resi disponibili per lo scarico all'interno dell'area per un periodo di tempo limitato. All'indirizzo mail comunicato in fase di richiesta, viene inviata la password posta a protezione del file di backup. Per la restituzione dei dati relative a piattaforme documentali (Gecodoc, Albo Pretorio Online, Amministrazione Trasparente) occorre fare richiesta all'indirizzo assistenza argo@pec.ecetrt.it. I dati contenuti nei database e nei repository delle applicazioni per cui è stata fatta richiesta di esportazione, sono resi disponibili per lo scarico mediante un link comunicato per PEC. L'operazione di scarico è protetta da password comunicata per email all'indirizzo indicato dal cliente nel modulo di richiesta esportazione. 32 di 49 UIL FT\AIATO Risoluzione dei contratti, restituzione, cancellazione e fruibilità dei dati In caso di risoluzione del contratto di licenza o di assistenza da parte della scuola di un servizio web Argo, la scuola — su richiesta del Dirigente scolastico — può optare per: - la restituzione e - la restituzione e I dati vengono comunque restituiti, in formato aperto, nei tempi tecnici di esportazione sicura dei dati . Dalla data di cessazione, è inoltre consentito l'accesso all'applicazione web da parte degli utenti per un ulteriore periodo di 1 mese. I tempi tecnici occorrenti alla successiva cancellazione dei dati possono variare da 2 mesi a 12 mesi, a seconda della natura dei dati coinvolti e delle applicazioni interessate. Il periodo è peraltro funzionale ad eventuali verifiche da parte del cliente sull'’operazione di migrazione dati eseguita dal nuovo fornitore. I dati conservati nei sistemi di backup, al solo scopo di disaster recovery, sono conservati fino allo scadere della policy di retention sopra specificata. Impegni e garanzie per la protezione dei dati personali La Argo Software garantisce che l'erogazione dei servizi avviene nel rispetto della normativa che regola il trattamento dei dati personali in outsourcing, ai sensi dell'art. 28 del Regolamento UE 2016/679. Per la fornitura dei servizi web, la Argo Software assume il ruolo di Responsabile del Trattamento, previa nomina da parte del cliente. Per la nomina a Responsabile del trattamento, già definita nelle condizioni contrattuali, la Argo Software mette a disposizione dei clienti anche un modello scaricabile all'indirizzo: https://www.portaleargo.it/docs/nomina.pdf. In caso di assenza di nomina formale, la Argo Software si riserva il diritto di sospendere l'erogazione del servizio fino ad adempimento da parte del cliente, titolare del trattamento. Responsabile per la Protezione dei Dati (DPO) della Argo Software, è Chiara Delaini, raggiungibile all'indirizzo dpo@argosoft.it. 0 dpo-argosoft@ecert.it per qualsiasi richiesta di informazioni da parte della scuola. In qualità di Responsabile del Trattamento dei Dati, la Argo Software s.r.l. assume il compito e la responsabilità di: e adempiere a tutto quanto necessario per il rispetto delle disposizioni vigenti in materia e di osservare scrupolosamente quanto in essa previsto, tra cui la regolare tenuta del registro delle attività di trattamento espletate per conto dell'Istituto Scolastico ; 33 di 49 software e adottare adeguate misure di protezione dei dati personali in oggetto; e assistere l’Istituto Scolastico per l'adempimento delle misure tecniche ed organizzative atte a garantire l'esercizio dei diritti degli interessati; e restituire e successivamente cancellare i dati personali trattati alla cessazione del contratto, come sopra indicato, fatte salve diverse prescrizioni di legge; e mettere a disposizione dell'Istituto Scolastico tutte le informazioni atte a dimostrare la conformità alla vigente normativa di fronte ad una richiesta della Autorità competente; e comunicare senza ingiustificato ritardo qualunque avvenuta o supposta violazione di dati personali ai fini della registrazione/notifica/comunicazione dei data breach; e provvedere immediatamente, nel caso in cui un interessato si rivolgesse alla Argo per l'esercizio di un diritto o reclamando una violazione, a comunicarlo al Responsabile della Protezione dei Dati della scuola ed all’ Istituto Scolastico stesso senza rispondere all'interessato, salvo diversa istruzione della scuola; e autorizzare il personale dedicato al trattamento dei dati, istruendolo adeguatamente e vincolandolo alla riservatezza; e provvedere alla nomina dei concessionari in qualità di sub-responsabili del trattamento per le attività di assistenza ai software e manutenzione degli archivi dei sistemi informatici specificati nell'apposito contratto di licenza software, fornendo loro istruzioni scritte in merito alle misure di sicurezza da adottare e vincolandoli alla riservatezza dei dati; e vigilare costantemente sull'operato dei soggetti incaricati e dei sub-responsabili al fine di evitare che vengano disattese le misure tecniche ed organizzative atte a proteggere le informazioni personali. Registro delle attività di trattamento Ad ogni scuola cliente viene garantita la possibilità di accedere al proprio registro delle attività di trattamento elaborato dalla Argo Software in qualità di Responsabile del Trattamento. La funzione è disponibile all'interno del portale Argo (www.portaleargo.it), nella gestione "Profilo scuola", accedendo come Supervisor. All'interno della medesima gestione sono inoltre presenti i campi relativi al Rappresentante legale, al Responsabile per la protezione dei dati e ai dati di contatto di quest'ultimo, compilabili da parte della scuola per consentire di adempiere agli obblighi di informazione intercorrenti tra titolare del trattamento e responsabile del trattamento. 34 di 49 SE Disponibilità e aggiornamento del documento II presente documento è disponibile sul sito Argo (www.argosoft.it) all'interno della sezione "Privacy" e viene aggiornato periodicamente in base all'evoluzione dei sistemi di sicurezza adottati, delle revisioni del Piano di Business Continuity della Argo Software e delle eventuali innovazioni normative. Ad ogni aggiornamento del documento, viene data comunicazione a tutte le scuole clienti mediante email o avviso sul portale argo. Ultimo aggiornamento BOXNGNZ0Za 35 di 49 Policy Argo del 05/04/2020 Policy Argo Software in materia di protezione e disponibilità dei dati relativi ai servizi web Premessa Il presente documento descrive la policy della Argo Software in materia di sicurezza informatica, continuità operativa e trattamento dei dati personali contenuti negli archivi e nei repository delle scuole fruitrici dei servizi web Argo. La Argo software srl è impegnata costantemente a migliorare l'efficacia e l'efficienza dei propri processi di gestione delle informazioni e dei servizi web offerti alle scuole, nell'ottica della salvaguardia dell'integrità e della riservatezza dei dati, della disponibilità dei servizi e delle informazioni in tempi adeguati e della continuità operativa dei servizi. Nell'ambito della continuità operativa, Argo Software adotta tutti gli accorgimenti organizzativi, le soluzioni tecniche e procedurali idonee al ripristino delle condizioni di funzionamento e di operatività antecedenti ad eventuali eventi disastrosi ed è impegnata, con continuità, ad adottare tutte le misure di sicurezza che trovano fondamento e riferimento all'interno del quadro normativo italiano e europeo (Regolamento UE 2016/679, Linee guida AgiD per il Disaster Recovery, Circolare AgliD nr. 2/2017 sulle misure minime di sicurezza ICT per le PP.AA. ). Da Marzo 2019 la Argo Software è iscritta nell'elenco dei fornitori di servizi SaaS qualificati AgiD secondo la circolare N. 3 del 9 aprile 2018. Il Sistema di Gestione della Sicurezza delle Informazioni di Argo Software srl, nell'ambito dei servizi di progettazione, sviluppo, erogazione, in modalità cloud SaaS e on-premises, è inoltre certificato secondo lo standard ISO/IEC 27001:2017 [certificato n. 556/19 RINA Service S.p.A]. Tipologia dei dati gestiti dalla Argo Software | dati gestiti dalla Argo Software riguardano le informazioni (generiche e personali) contenute negli archivi delle scuole fruitrici dei medesimi servizi ed i profili degli utenti fruitori dei servizi web Argo. In riferimento alle informazioni contenute negli archivi delle scuole, la natura dei dati varia in base alle caratteristiche del servizio attivato dalla scuola. Possono quindi essere conservate informazioni personali e, nel caso di servizi collegati alla gestione del personale e degli alunni, possono essere trattati anche dati appartenenti alle categorie particolari di cui all'art. 9 del Regolamento UE 2016/679 [specificamente quelle riepilogate nelle schede allegate al D.M. 36 di 49 305/2006, recante identificazione degli ex dati sensibili e giudiziari trattati e delle relative operazioni effettuate dal Ministero della pubblica istruzione]. Architettura del sistema informatico I database server e le copie di backup sono ospitati presso la piattaforma cloud AWS (Amazon Web Services). Il Cloud AWS è strutturato in "regioni" , costituite da più "zone di disponibilità" (AZ), ognuna delle quali è una partizione completamente isolata dell'infrastruttura AWS, costituita da data center provvisti di alimentazione, rete e connettività ridondanti, ognuno in una propria struttura separata. Con la loro infrastruttura di alimentazione, le zone di disponibilità sono fisicamente separate tra loro da una distanza significativa di molti chilometri. Per i dati delle scuole, proprie clienti, Argo Software ha scelto la regione Europa Irlanda, situata nella Repubblica d'Irlanda, composta da 3 zone di disponibilità. L'amministrazione dei servizi di gestione delle applicazioni e dei database è affidata esclusivamente a personale interno alla Argo Software. Gli addetti all'amministrazione delle applicazioni e dei database sono nominati amministratori di sistema. L'accesso ai servizi di amministrazione è eseguito attraverso utenze di dominio nominative. Con cadenza mensile viene eseguito il controllo sui log degli accessi degli amministratori di sistema da parte del personale all'uopo designato. I log degli accessi eseguiti dagli amministratori di sistema sono archiviati per un periodo di 18 mesi. Modalità di gestione dei dati e di erogazione del servizio Tutti i dati archiviati sui dischi all'interno di cluster Amazon e tutti i backup in Amazon S3 sono protetti con la crittografia, mediante l' Advanced Encryption Standard AES-256. Il sistema di gestione delle istanze delle applicazioni e dei database adottato da Argo, consente di avere una facile ridondanza e replicazione dei sistemi informatici e dei dati, preservando così i clienti da rischi di interruzione prolungata dei servizi e/o di perdita delle informazioni. Ogni cluster di database è formato da due tipi di istanze: primaria e replica. Per ogni istanza primaria, ci sono più repliche posizionate in zone di disponibilità differenti. L'istanza database primaria viene replicata in modo sincrono. Nel caso in cui l'istanza primaria non sia disponibile, viene eseguito automaticamente la commutazione su una replica. 37 di 49 software Backup dei dati Per ogni istanza di database, il servizio Amazon RDS esegue uno snapshot giornaliero e conserva i log delle modifiche al database all'interno del periodo di "retention" (v. in prosieguo). La creazione degli snapshot non provoca alcuna interruzione delle operazioni di scrittura e lettura in quanto gli "snapshot" vengono eseguiti su una copia di standby. I log delle transazioni per le istanze database vengono caricate in Amazon S3 ogni 5 minuti. Per ciascuna istanza di database viene mantenuta una copia di backup giornaliera per 35 giorni (periodo di retention dei backup). Durante questo periodo, è possibile eseguire il ripristino di una istanza di database a un punto temporale specifico. Decorso questo periodo, viene mantenuta una copia settimanale per ulteriori 25 giorni. Gestione e Profilazione delle utenze La gestione e profilazione delle utenze degli applicativi web Argo, attraverso il portale Argo, è di esclusiva pertinenza della scuola. In fase di attivazione di una nuova utenza, viene richiesta l'indicazione di un'indirizzo mail, a cui saranno comunicati l'attivazione e i successivi reset password dell'utenza e, su richiesta, l'invio di notifiche relative agli accessi effettuati dall'utente all'area di gestione utenza del portale Argo. L'indirizzo mail può essere modificato in qualsiasi momento dal singolo utente dalla Gestione delle Utenze del Portale Argo, accedendo alla gestione “Anagrafe Utente”. Dietro esplicito consenso da parte dell'utente, l'indirizzo mail potrà essere utilizzato da parte della Argo Software per l'invio di comunicazioni di natura esclusivamente tecnica sull'utilizzo dei programmi Argo a cui l'utente risulta abilitato (faq, guide, videoguide, manuali d'uso, comunicazioni sulle novità riguardanti gli aggiornamenti, nuove soluzioni). L'opzione di scelta per l'invio delle suddette comunicazioni può essere modificata dall'utente in qualsiasi momento sempre dalla gestione "Anagrafe Utente". 38 di 49 software Tracciamento degli accessi ai servizi web Ai fini della sicurezza, la Argo Software s.r.l. esegue il tracciamento degli accessi ai servizi web Argo e — per le applicazioni più critiche - delle operazioni effettuate dagli utenti all'interno degli stessi. | dati relativi agli accessi sono soggetti alle stesse politiche di backup dei database. | file di log delle operazioni vengono conservati per un periodo non inferiore a 6 mesi e non superiore a 24 mesi. Un eventuale prolungamento dei tempi di conservazione può aver luogo in relazione: e a particolari esigenze tecniche o di sicurezza; e all'obbligo di custodire o consegnare i dati per ottemperare ad una specifica richiesta dell'autorità giudiziaria o della polizia giudiziaria. Oltre ai suddetti dati, i sistemi informatici e le procedure software preposte al funzionamento dei servizi web Argo acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell'uso dei protocolli di comunicazione di Internet. Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati e che vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull'uso delle applicazioni e per controllarne il corretto funzionamento e vengono cancellati immediatamente dopo l'elaborazione. Procedure di verifica del sistema di protezione dei dati Con cadenza annuale vengono svolte da società terze, specializzate nel settore della sicurezza informatica, Penetration test e verifiche di Vulnerability Assessment. Per quanto riguarda l'aggiornamento delle misure di sicurezza, la Argo è iscritta ad un servizio di early warning per il monitoraggio continuo delle vulnerabilità. Criteri di selezione delle server farm La Argo Sofware si affida esclusivamente a server farm di comprovata affidabilità ed esperienza in materia di sicurezza informatica, e comunque previa verifica delle misure fisiche, logiche e organizzative poste in capo alle infrastrutture informatiche fornite. 39 di 49 Ad ogni fornitore è richiesta come requisito la certificazione ISO 27001, la qualificazione come CSP presso AgiD, e uno SLA di connettività di almeno il 95% su base annua e una disponibilità dei servizi 24 ore su 24 per 365 giorni all'anno. Modalità di trasmissione dei dati I dati viaggiono sulla rete criptati, secondo il protocollo SSL che garantisce il massimo livello di sicurezza a protezione delle trasmissioni telematiche. Disponibilità dei dati Per gli applicativi web Argo relativi all'area didattica (Alunni, Scrutini, ScuolaNext, DidUP, Formazione classi prime) e contabile (Bilancio, Project), è possibile richiedere sempre una copia di backup in locale dei dati residenti presso i server Argo. La procedura, totalmente automatizzata, è disponibile all'interno dell'Area Clienti del sito Argo, e consente di scaricare una copia in locale dei dati della scuola residenti in remoto. Per motivi di sicurezza, la richiesta può essere inoltrata dalla suddetta area esclusivamente accedendo con le credenziali dell'amministratore dei servizi della scuola (Supervisor), nella persona del Dirigente scolastico o suo delegato. Una volta processata, i dati sono resi disponibili per lo scarico all'interno dell'area per un periodo di tempo limitato. All'indirizzo mail comunicato in fase di richiesta, viene inviata la password posta a protezione del file di backup. Per la restituzione dei dati relative a piattaforme documentali (Gecodoc, Albo Pretorio Online, Amministrazione Trasparente) occorre fare richiesta all'indirizzo assistenza. argo@pec.ecert.it. I dati contenuti nei database e nei repository delle applicazioni per cui è stata fatta richiesta di esportazione, sono resi disponibili per lo scarico mediante un link comunicato per pec. L'operazione di scarico è protetta da password comunicata per email all'indirizzo indicato dal cliente nel modulo di richiesta esportazione. Risoluzione dei contratti, restituzione, cancellazione e fruibilità dei dati In caso di risoluzione del contratto di licenza o di assistenza da parte della scuola di un servizio web Argo, la scuola — su richiesta del Dirigente scolastico — può optare per: - la restituzione e mantenimento dei dati (a fronte di un pagamento di un canone); - la restituzione e cancellazione/anonimizzazione dei dati. | dati vengono restituiti in formato aperto, nei tempi tecnici di esportazione sicura dei dati. Dalla data di cessazione, è consentito l'accesso all'applicazione web da parte degli utenti per un ulteriore periodo di 1 mese. I tempi tecnici occorrenti alla cancellazione dei dati possono variare da 2 mesi a 12 mesi, a seconda della natura dei dati coinvolti e delle applicazioni interessate. Il periodo è peraltro 40 di 49 funzionale ad eventuali verifiche da parte del cliente sull'’operazione di migrazione dati eseguita dal nuovo fornitore. I dati conservati nei sistemi di backup, al solo scopo di disaster recovery, sono conservati fino allo scadere della policy di retention sopra specificata. Impegni e garanzie per la protezione dei dati personali La Argo Software garantisce che l'erogazione dei servizi avviene nel rispetto della normativa che regola il trattamento dei dati personali in outsourcing, ai sensi dell'art. 28 del Regolamento UE 2016/679. Per la fornitura dei servizi web, la Argo Software srl assume il ruolo di Responsabile del Trattamento, previa nomina da parte del cliente. Per la nomina a Responsabile del trattamento, già definita nelle condizioni contrattuali, la Argo Software mette a disposizione dei clienti anche un modello scaricabile all'indirizzo: https://www.portaleargo.it/docs/nomina.pdf. In caso di assenza di nomina formale, la Argo Software si riserva il diritto di sospendere l'erogazione del servizio fino ad adempimento da parte del cliente. Responsabile per la Protezione dei Dati (DPO) della Argo Software, è Chiara Delaini, raggiungibile all'indirizzo dpo@argosoft.it. 0 dpo-argosoft@ecert.it per qualsiasi richiesta di informazioni da parte della scuola o sospetta violazione di dati. In qualità di Responsabile del Trattamento dei Dati, la Argo Software s.r.l. assume il compito e la responsabilità di: e adempiere a tutto quanto necessario per il rispetto delle disposizioni vigenti in materia e di osservare scrupolosamente quanto in essa previsto, tra cui la regolare tenuta del registro delle attività di trattamento espletate per conto dell'Istituto Scolastico ; e adottare adeguate misure di protezione dei dati personali in oggetto; e assistere l’Istituto Scolastico per l'adempimento delle misure tecniche ed organizzative atte a garantire l'esercizio dei diritti degli interessati; e restituire e successivamente cancellare i dati personali trattati alla cessazione del contratto, come sopra indicato, fatte salve le prescrizioni di legge; e mettere a disposizione dell'Istituto Scolastico tutte le informazioni atte a dimostrare la conformità alla vigente normativa di fronte ad una richiesta della Autorità competente; e comunicare senza ingiustificato ritardo qualunque avvenuta o supposta violazione di dati personali ai fini della registrazione/notifica/comunicazione dei data breach; e provvedere immediatamente, nel caso in cui un interessato si rivolgesse alla Argo per l'esercizio di un diritto o reclamando una violazione, a comunicarlo al Responsabile della Protezione dei Dati della scuola ed all’ Istituto Scolastico stesso senza rispondere all'interessato, salvo diversa istruzione della scuola; 41 di 49 e autorizzare il personale dedicato al trattamento dei dati, istruendolo adeguatamente e vincolandolo alla riservatezza; e provvedere alla nomina dei concessionari in qualità di sub-responsabili del trattamento per le attività di assistenza ai software e manutenzione degli archivi dei sistemi informatici specificati nell'apposito contratto di licenza software, fornendo loro istruzioni scritte in merito alle misure di sicurezza da adottare e vincolandoli alla riservatezza dei dati; e vigilare costantemente sull’operato dei soggetti incaricati e dei sub-responsabili al fine di evitare che vengano disattese le misure tecniche ed organizzative atte a proteggere le informazioni personali. Registro delle attività di trattamento Ad ogni scuola cliente viene garantita la possibilità di accedere al proprio registro delle attività di trattamento elaborato dalla Argo Software in qualità di Responsabile del Trattamento. La funzione è disponibile all'interno del portale Argo (www.portaleargo.it), nella gestione "Profilo scuola", accedendo come Supervisor. All'interno della medesima gestione sono inoltre presenti i campi relativi al Rappresentante legale, al Responsabile per la protezione dei dati e ai dati di contatto di quest'ultimo, compilabili da parte della scuola per consentire di adempiere agli obblighi di informazione intercorrenti tra titolare del trattamento e responsabile del trattamento. Disponibilità e aggiornamento del documento Il presente documento è disponibile sul sito Argo (www.argosoft.it) all'interno della sezione "Privacy" e viene aggiornato periodicamente in base all'evoluzione dei sistemi di sicurezza adottati, delle revisioni del Piano di Business Continuity della Argo Software e delle eventuali innovazioni normative. Ad ogni aggiornamento del documento, viene data comunicazione a tutte le scuole clienti mediante email o avviso sul portale argo. Ultimo aggiornamento SANZIO 42 di 49 Policy Argo del 20/01/2020 Policy Argo Software in materia di protezione e disponibilità dei dati relativi ai servizi web Premessa Il presente documento descrive la policy della Argo Software in materia di sicurezza informatica, continuità operativa e trattamento dei dati personali contenuti negli archivi e nei repository delle scuole fruitrici dei servizi web Argo. La Argo software srl è impegnata costantemente a migliorare l'efficacia e l'efficienza dei propri processi di gestione delle informazioni e dei servizi web offerti alle scuole, nell'ottica della salvaguardia dell'integrità e della riservatezza dei dati, della disponibilità dei servizi e delle informazioni in tempi adeguati e della continuità operativa dei servizi. Nell'ambito della continuità operativa, Argo Software adotta tutti gli accorgimenti organizzativi, le soluzioni tecniche e procedurali idonee al ripristino delle condizioni di funzionamento e di operatività antecedenti ad eventuali eventi disastrosi ed è impegnata, con continuità, ad adottare tutte le misure di sicurezza che trovano fondamento e riferimento all'interno del quadro normativo italiano e europeo (Regolamento UE 2016/679, Linee guida AgiD per il Disaster Recovery, Circolare AgliD nr. 2/2017 sulle misure minime di sicurezza ICT per le PP.AA. ). Da Marzo 2019 la Argo Software è iscritta nell'elenco dei fornitori di servizi SaaS qualificati AgiD secondo la circolare N. 3 del 9 aprile 2018. Il Sistema di Gestione della Sicurezza delle Informazioni di Argo Software srl, nell'ambito dei servizi di progettazione, sviluppo, erogazione, in modalità cloud SaaS e on-premises, è inoltre certificato secondo lo standard ISO/IEC 27001:2017 [certificato n. 556/19 RINA Service S.p.A]. Tipologia dei dati gestiti dalla Argo Software | dati gestiti dalla Argo Software riguardano le informazioni (generiche e personali) contenute negli archivi delle scuole fruitrici dei medesimi servizi ed i profili degli utenti fruitori dei servizi web Argo. In riferimento alle informazioni contenute negli archivi delle scuole, la natura dei dati varia in base alle caratteristiche del servizio attivato dalla scuola. Possono quindi essere conservate informazioni personali e, nel caso di servizi collegati alla gestione del personale e degli alunni, possono essere trattati anche dati appartenenti alle categorie particolari di cui all'art. 9 del Regolamento UE 2016/679 [specificamente quelle riepilogate nelle schede allegate al D.M. 305/2006, recante identificazione degli ex dati sensibili e giudiziari trattati e delle relative operazioni effettuate dal Ministero della pubblica istruzione]. 43 di 49 «È PT SOPMWwWare Architettura del sistema informatico I database server e le copie di backup sono ospitati presso la piattaforma cloud AWS (Amazon Web Services). Il Cloud AWS è strutturato in "regioni" , costituite da più "zone di disponibilità" (AZ), ognuna delle quali è una partizione completamente isolata dell'infrastruttura AWS, costituita da data center provvisti di alimentazione, rete e connettività ridondanti, ognuno in una propria struttura separata. Con la loro infrastruttura di alimentazione, le zone di disponibilità sono fisicamente separate tra loro da una distanza significativa di molti chilometri. Per i dati delle scuole, proprie clienti, Argo Software ha scelto la regione Europa Irlanda, situata nella Repubblica d'Irlanda, composta da 3 zone di disponibilità. L'amministrazione dei servizi di gestione delle applicazioni e dei database è affidata esclusivamente a personale interno alla Argo Software. Gli addetti all'amministrazione delle applicazioni e dei database sono nominati amministratori di sistema. L'accesso ai servizi di amministrazione è eseguito attraverso utenze di dominio nominative. Con cadenza mensile viene eseguito il controllo sui log degli accessi degli amministratori di sistema da parte del personale all'uopo designato. I log degli accessi eseguiti dagli amministratori di sistema sono archiviati per un periodo di 18 mesi. Modalità di gestione dei dati e di erogazione del servizio Il sistema di gestione delle istanze delle applicazioni e dei database adottato da Argo, consente di avere una facile ridondanza e replicazione dei sistemi informatici e dei dati, preservando così i clienti da rischi di interruzione prolungata dei servizi e/o di perdita delle informazioni. Ogni cluster di database è formato da due tipi di istanze: primaria e replica. Per ogni istanza primaria, ci sono più repliche posizionate in zone di disponibilità differenti. L'istanza database primaria viene replicata in modo sincrono. Nel caso in cui l'istanza primaria non sia disponibile, viene eseguito automaticamente la commutazione su una replica. Backup dei dati Per ogni istanza di database, il servizio Amazon RDS esegue uno snapshot giornaliero e conserva i log delle modifiche al database all'interno del periodo di "retention" (v. in prosieguo). La creazione 44 di 49 degli snapshot non provoca alcuna interruzione delle operazioni di scrittura e lettura in quanto gli "snapshot" vengono eseguiti su una copia di standby. I log delle transazioni per le istanze database vengono caricate in Amazon S3 ogni 5 minuti. Per ciascuna istanza di database viene mantenuta una copia di backup giornaliera per 35 giorni (periodo di retention dei backup). Durante questo periodo, è possibile eseguire il ripristino di una istanza di database a un punto temporale specifico. Decorso questo periodo, viene mantenuta una copia settimanale per ulteriori 25 giorni. Gestione e Profilazione delle utenze La gestione e profilazione delle utenze degli applicativi web Argo, attraverso il portale Argo, è di esclusiva pertinenza della scuola. In fase di attivazione di una nuova utenza, viene richiesta l'indicazione di un'indirizzo mail, a cui saranno comunicati l'attivazione e i successivi reset password dell'utenza e, su richiesta, l'invio di notifiche relative agli accessi effettuati dall'utente all'area di gestione utenza del portale Argo. L'indirizzo mail può essere modificato in qualsiasi momento dal singolo utente dalla Gestione delle Utenze del Portale Argo, accedendo alla gestione “Anagrafe Utente”. Dietro esplicito consenso da parte dell'utente, l'indirizzo mail potrà essere utilizzato da parte della Argo Software per l'invio di comunicazioni di natura esclusivamente tecnica sull'utilizzo dei programmi Argo a cui l'utente risulta abilitato (faq, guide, videoguide, manuali d'uso, comunicazioni sulle novità riguardanti gli aggiornamenti, nuove soluzioni). L'opzione di scelta per l'invio delle suddette comunicazioni può essere modificata dall'utente in qualsiasi momento sempre dalla gestione "Anagrafe Utente". Tracciamento degli accessi ai servizi web Ai fini della sicurezza, la Argo Software s.r.l. esegue il tracciamento degli accessi ai servizi web Argo e — per le applicazioni più critiche - delle operazioni effettuate dagli utenti all'interno degli stessi. | dati relativi agli accessi sono soggetti alle stesse politiche di backup dei database. | file di log delle operazioni vengono conservati per un periodo non inferiore a 6 mesi e non superiore a 24 mesi. Un eventuale prolungamento dei tempi di conservazione può aver luogo in relazione: e a particolari esigenze tecniche o di sicurezza; e all'obbligo di custodire o consegnare i dati per ottemperare ad una specifica richiesta dell'autorità giudiziaria o della polizia giudiziaria. Oltre ai suddetti dati, i sistemi informatici e le procedure software preposte al funzionamento dei servizi web Argo acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell'uso dei protocolli di comunicazione di Internet. Si tratta di informazioni 45 di 49 che non sono raccolte per essere associate a interessati identificati e che vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull'uso delle applicazioni e per controllarne il corretto funzionamento e vengono cancellati immediatamente dopo l'elaborazione. Procedure di verifica del sistema di protezione dei dati Con cadenza annuale vengono svolte da società terze, specializzate nel settore della sicurezza informatica, Penetration test e verifiche di Vulnerability Assessment. Per quanto riguarda l'aggiornamento delle misure di sicurezza, la Argo è iscritta ad un servizio di early warning per il monitoraggio continuo delle vulnerabilità. Criteri di selezione delle server farm La Argo Sofware si affida esclusivamente a server farm di comprovata affidabilità ed esperienza in materia di sicurezza informatica, e comunque previa verifica delle misure fisiche, logiche e organizzative poste in capo alle infrastrutture informatiche fornite. Ad ogni fornitore è richiesta come requisito la certificazione ISO 27001, la qualificazione come CSP presso AgiD, e uno SLA di connettività di almeno il 95% su base annua e una disponibilità dei servizi 24 ore su 24 per 365 giorni all'anno. Modalità di trasmissione dei dati I dati viaggiono sulla rete criptati, secondo il protocollo SSL che garantisce il massimo livello di sicurezza a protezione delle trasmissioni telematiche. Disponibilità dei dati Per gli applicativi web Argo relativi all'area didattica (Alunni, Scrutini, ScuolaNext, DidUP, Formazione classi prime) e contabile (Bilancio, Project), è possibile richiedere sempre una copia di backup in locale dei dati residenti presso i server Argo. La procedura, totalmente automatizzata, è disponibile all'interno dell'Area Clienti del sito Argo, e consente di scaricare una copia in locale dei dati della scuola residenti in remoto. Per motivi di sicurezza, la richiesta può essere inoltrata dalla suddetta area esclusivamente accedendo con le credenziali dell'amministratore dei servizi della scuola (Supervisor), nella persona del Dirigente scolastico o suo delegato. Una volta processata, i dati sono resi disponibili per lo scarico all'interno dell'area per un periodo di tempo limitato. All'indirizzo mail comunicato in fase di richiesta, viene inviata la password posta a protezione del file di backup. 46 di 49 Per la restituzione dei dati relative a piattaforme documentali (Gecodoc, Albo Pretorio Online, Amministrazione Trasparente) occorre fare richiesta all'indirizzo assistenza .argo@pec.ecetrt.it. I dati contenuti nei database e nei repository delle applicazioni per cui è stata fatta richiesta di esportazione, sono resi disponibili per lo scarico mediante un link comunicato per pec. L'operazione di scarico è protetta da password comunicata per email all'indirizzo indicato dal cliente nel modulo di richiesta esportazione. Risoluzione dei contratti, restituzione, cancellazione e fruibilità dei dati In caso di risoluzione del contratto di licenza o di assistenza da parte della scuola di un servizio web Argo, la scuola — su richiesta del Dirigente scolastico — può optare per: - la restituzione e mantenimento dei dati (a fronte di un pagamento di un canone); - la restituzione e cancellazione/anonimizzazione dei dati. | dati vengono restituiti in formato aperto, nei tempi tecnici di esportazione sicura dei dati. Dalla data di cessazione, è consentito l'accesso all'applicazione web da parte degli utenti per un ulteriore periodo di 1 mese. I tempi tecnici occorrenti alla cancellazione dei dati possono variare da 2 mesi a 12 mesi, a seconda della natura dei dati coinvolti e delle applicazioni interessate. Il periodo è peraltro funzionale ad eventuali verifiche da parte del cliente sull'’operazione di migrazione dati eseguita dal nuovo fornitore. I dati conservati nei sistemi di backup, al solo scopo di disaster recovery, sono conservati fino allo scadere della policy di retention sopra specificata. Impegni e garanzie per la protezione dei dati personali La Argo Software garantisce che l'erogazione dei servizi avviene nel rispetto della normativa che regola il trattamento dei dati personali in outsourcing, ai sensi dell'art. 28 del Regolamento UE 2016/679. Per la fornitura dei servizi web, la Argo Software srl assume il ruolo di Responsabile del Trattamento, previa nomina da parte del cliente. Per la nomina a Responsabile del trattamento, già definita nelle condizioni contrattuali, la Argo Software mette a disposizione dei clienti anche un modello scaricabile all'indirizzo: https://\www.portaleargo.it/docs/nomina. pdf. In caso di assenza di nomina formale, la Argo Software si riserva il diritto di sospendere l'erogazione del servizio fino ad adempimento da parte del cliente. Responsabile per la Protezione dei Dati (DPO) della Argo Software, è Chiara Delaini, raggiungibile all'indirizzo dpo@argosoft.it. 0 dpo-argosoft@ecert.it per qualsiasi richiesta di informazioni da parte della scuola o sospetta violazione di dati. 47 di 49 In qualità di Responsabile del Trattamento dei Dati, la Argo Software s.r.l. assume il compito e la responsabilità di: adempiere a tutto quanto necessario per il rispetto delle disposizioni vigenti in materia e di osservare scrupolosamente quanto in essa previsto, tra cui la regolare tenuta del registro delle attività di trattamento espletate per conto dell'Istituto Scolastico ; adottare adeguate misure di protezione dei dati personali in oggetto; assistere l’Istituto Scolastico per l'adempimento delle misure tecniche ed organizzative atte a garantire l'esercizio dei diritti degli interessati; restituire e successivamente cancellare i dati personali trattati alla cessazione del contratto, come sopra indicato, fatte salve le prescrizioni di legge; mettere a disposizione dell'Istituto Scolastico tutte le informazioni atte a dimostrare la conformità alla vigente normativa di fronte ad una richiesta della Autorità competente; comunicare senza ingiustificato ritardo qualunque avvenuta o supposta violazione di dati personali ai fini della registrazione/notifica/comunicazione dei data breach; provvedere immediatamente, nel caso in cui un interessato si rivolgesse alla Argo per l'esercizio di un diritto o reclamando una violazione, a comunicarlo al Responsabile della Protezione dei Dati della scuola ed all’ Istituto Scolastico stesso senza rispondere all'interessato, salvo diversa istruzione della scuola; autorizzare il personale dedicato al trattamento dei dati, istruendolo adeguatamente e vincolandolo alla riservatezza; provvedere alla nomina dei concessionari in qualità di sub-responsabili del trattamento per le attività di assistenza ai software e manutenzione degli archivi dei sistemi informatici specificati nell'apposito contratto di licenza software, fornendo loro istruzioni scritte in merito alle misure di sicurezza da adottare e vincolandoli alla riservatezza dei dati. Vigilare costantemente sull'operato dei soggetti incaricati e dei sub-responsabili al fine di evitare che vengano disattese le misure tecniche ed organizzative atte a proteggere le informazioni personali. Registro delle attività di trattamento Ad ogni scuola cliente viene garantita la possibilità di accedere al proprio registro delle attività di trattamento elaborato dalla Argo Software in qualità di Responsabile del Trattamento. La funzione è disponibile all'interno del portale Argo (www.portaleargo.it), nella gestione "Profilo scuola", accedendo come Supervisor. All'interno della medesima gestione sono inoltre presenti i campi relativi al Rappresentante legale, al Responsabile per la protezione dei dati e ai dati di contatto di quest'ultimo, compilabili da parte della scuola per consentire di adempiere agli obblighi di informazione intercorrenti tra titolare del trattamento e responsabile del trattamento. Disponibilità e aggiornamento del documento 48 di 49 ny È sj RIO SOMWare II presente documento è disponibile sul sito Argo (www.argosoft.it) all'interno della sezione "Privacy" e viene aggiornato periodicamente in base all'evoluzione dei sistemi di sicurezza adottati, delle revisioni del Piano di Business Continuity della Argo Software e delle eventuali innovazioni normative. Ad ogni aggiornamento del documento, viene data comunicazione a tutte le scuole clienti mediante email 0 avviso sul portale argo Ultimo aggiornamento BONNZOZO 49 di 49 Member of CISO Federation ARGO SOFTWARE s.r.l. Recapiti telefonici Web Zona Ind.le III Fase 97100 Ragusa Assist. Tel. 0932.666412 www.argosoft.it R Ì \ D TÀ R.E.A. n. 70205 Numero Fax 0932.667551 ammin@argosoft.it Cert. 9001 n. 15682/06/S Cert. 27001 n. 556/19 DICHIARAZIONE SOSTITUTIVA DI CERTIFICAZIONE DICHIARAZIONE SOSTITUTIVA DI ATTO DI NOTORIETA’ (Artt. 46 e 47 DPR 28/12/2000, n. 445) Il [omissis] in qualità di rappresentante legale dell’impresa ARGO SOFTWARE Srl, con sede Camera di Commercio di Ragusa, consapevole, ai sensi dagli artt. 75 e 76 del D.P.R. n. 445 del 2000, delle responsabilità penali cui può andare incontro in caso di dichiarazione mendace, ai sensi degli art. 46, 48 e 49 del D.P.R. n. 445 del 2000 [omissis] Argo Software srl è in possesso dei requisiti di cui agli artt. 80 e 83 del Dlgs 18/04/2016 n. 50 e s.m.i. ed in particolare: 1. che gli amministratori ed i direttori tecnici in carica e quelli cessati nei 12 mesi antecedenti non hanno subito condanne penali, di non hanno procedimenti penali pendenti e non sono a conoscenza di procedimenti penali in corso a proprio carico; 2. che la Argo Software srl iscritta nel Registro Imprese della Camera di Commercio di Catania, Ragusa e Siracusa della Sicilia Orientale REA n. 70205 dal 20/03/1990; che la Argo Software srl non ha a suo carico procedure concorsuali in corso; 4. che la Argo Software srl non risulta essere inadempiente all'obbligo di versamento derivante dalla notifica di una o più cartelle di pagamento; 5. i requisiti di idoneità professionale; 6. la capacità economica e finanziaria; 7. le capacità tecniche e professionali. Di essere in regola con le norme che disciplinano il diritto al lavoro dei disabili (art.17 L. n. 68/1999). Che la Argo Software srl RISULTA REGOLARE ai fini del DURC in quanto: 1. è iscritta all’INPS, sede di Ragusa, con PC/matricola n. 6503686682; 2. risulta regolare con il versamento dei contributi alla data odierna; 3. è assicurata all'INAIL sede di Ragusa con PAT n. 93114472 e con Codice ditta n. 3646844; 4. risulta regolare con il versamento dei contributi alla data odierna; 5. Contratto di lavoro applicato: Metalmeccanici; 6. che non esistono inadempienze in atto e rettifiche notificate, non contestate e non pagate; 7. La Argo Software Srl non ha effettuato ne effettuerà subappalti in relazione all’ordinativo ricevuto. (92) GMT+01:00 Autocertificazione rev6 Zona Ind.le III Fase 97100 - RAGUSA Assist. Tel. 0932 666412 Indirizzi Internet: Member of CISQ Federation R.E.A. n. 70205 Fax. 0932 667551 e-mail: info@argosoft.it assist@argosoft.it Cert. 9001 n. 15682/06/S Cert. 27001 n. 556/19 CONTRATTO DI MANUTENZIONE, ASSISTENZA E CANONE ANNUALE Dati del Cliente Cod. Cliente: 418772 Cod. Portale: SC27312 ISTITUTO COMPRENSIVO C.F.: 97028290787 P.l.: ROSSANO 1 Cod.Min.: CSICBAM004 e-mail: CSICBAM004@ISTRUZIONE.IT VIA MARTUCCI, 18 87067 - ROSSANO (CS) Fatturazione unica con pagamento in unica soluzione a 30 gg d.f. NUMERO CIG: Z933055D8E Si rinnova il contratto di manutenzione e assistenza ai seguenti prodotti: Descrizione Tipo* Data inizio Data scadenza Canone annuale Importo ALUNNI WEB Scuole Obbligo TD 01/01/2021 31/12/2021 130,00 130,00 ARGO DIRIGO TD 01/01/2021 31/12/2021 90,00 90,00 ARGO F24 WEB TD 01/01/2021 31/12/2021 90,00 90,00 ARGO PA04 TD 01/01/2021 31/12/2021 50,00 50,00 ARGO SIDI ALUNNI WEB (4) {TD 01/01/2021 31/12/2021 0,00 0,00 ARGO SIDI PERSONALE TD 01/03/2021 31/12/2021 90,00 75,00 ARGO XML per AVCP TD 01/01/2021 31/12/2021 30,00 30,00 BILANCIO WEB Scuole Obbligo TD 01/01/2021 31/12/2021 150,00 150,00 CERTIFICAZIONE UNICA (4) {TD 01/01/2021 31/12/2021 0,00 0,00 EMOLUMENTI win Scuole Obbligo TI 01/01/2021 31/12/2021 120,00 120,00 GECODOC < 1000 ALUNNI TD 01/01/2021 31/12/2021 570,00 570,00 GECODOC MODULO MAD (4) {TD 01/01/2021 31/12/2021 0,00 0,00 INVENTARIO win TI 01/01/2021 31/12/2021 110,00 110,00 MODULO AMMIN.TRASP.INCLUSO (4) {TD 01/01/2021 31/12/2021 0,00 0,00 PERSONALE win Scuole Obbligo TI 01/01/2021 31/12/2021 120,00 120,00 SCUOLANEXT Obb.<1000 ALUNNI TD 01/01/2021 31/12/2021 800,00 800,00 SMS AREA DIDATTICA (4) {TD 01/01/2021 31/12/2021 0,00 0,00 (*) Programma a importo 0 perchè accessorio di altro prodotto. Totale importo € 2.495,00 Sconto progressivo: 2,50% Pari a €:62,25 TM = Totale contatti condivisi dai programmi sopra elencati: 55 | prezzi si intendono per l'intero periodo indicato e non sono frazionabili. Ragusa, li 27/01/2021 ARGO SOFTWARE s.r.. Prof. n Presti MOD. CS1/03 Rev. 05 del 25.11.2020 CONDIZIONI DEL CONTRATTO DI MANUTENZIONE E ASSISTENZA E RINNOVO CONTRATTO A TEMPO DETERMINATO 1 - PRESTAZIONI DEL SERVIZIO: Il servizio di assistenza e manutenzione viene fornito da Argo Software srl, o da un concessionario/rivenditore di zona, all'Utente intestatario del presente contratto, che nel seguito sarà denominato Utente. 1.1 - MANUTENZIONE: Il servizio di manutenzione è riservato ai soli prodotti sviluppati da Argo Software srl, e ha per oggetto la fornitura degli aggiornamenti (automatici nel caso di prodotti WEB, e mediante download gratuito, nel caso di prodotti client/server, dall’indirizzo www.argosoft.it'aggiornamenti) e la eliminazione di eventuali mal funzionamenti dei prodotti software concessi in uso dalla ditta Argo Software s.r.l. all'Utente. Il servizio di manutenzione viene erogato solo se il prodotto è ancora presente nel listino ufficiale, consultabile su www.argosoft.it alla sezione “Listini e Offerte”. In particolare il servizio comprende: + modifiche ai programmi derivanti da disposizioni di legge o provvedimenti amministrativi. Non è tuttavia compresa, nell'aggiornamento dei programmi, la modifica degli stessi, derivante da innovazioni normative, o di natura tecnica, integralmente innovative, che ne impongano la sostanziale sostituzione. In tal caso si tratterebbe di un nuovo software, e non di un aggiornamento. A tal fine i contraenti si danno reciprocamente atto che la circostanza, di cui sopra, ricorrerà ad insindacabile giudizio di Argo Software srl. + modifiche migliorative e/o aggiuntive delle prestazioni dei programmi, proposte autonomamente da Argo Software srl, o accettate dalla stessa. La scelta dei tempi e dei modi di realizzazione delle migliorie saranno esclusivamente di competenza di Argo Software srl. ‘ ripristino degli archivi danneggiati, installati presso i server dell'Utente, dietro invio della copia degli stessi da parte dell'Utente (i risultati sono dipendenti dallo stato degli archivi). 1.2 - ASSISTENZA: Il servizio di assistenza è riservato a tutti i prodotti, sia sviluppati in Argo Software srl, che commercializzati dalla stessa e comprende: ‘ assistenza online mediante il servizio ArgoHelp (raggiungibile dall’indirizzo https://secure.argosoft.it'argohelp/login) ‘ assistenza telefonica del servizio Help-Desk di ARGO, e/o del concessionario di zona. : teleassistenza mediante collegamento via internet Il servizio di assistenza relativo ai programmi in assistenza viene erogato mediante un numero limitato di “contatti”. Per “contatto” si intende ogni intervento “risolutivo”, che può essere composto anche da più telefonate/mail/lettera/fax. Il numero di contatti inclusi nel canone di assistenza viene calcolato in base al totale dei programmi in assistenza ed è da intendersi complessivo e quindi comune a tutti i programmi. Il numero di contatti associato al contratto è riportato alla voce _54_ [omissis] numero di contatti inclusi nel canone di assistenza, è possibile acquistare pacchetti aggiuntivi di “contatti” secondo i prezzi previsti in listino. Alla scadenza del periodo contrattuale i contatti residui inclusi nel canone di assistenza e non utilizzati verranno azzerati mentre i “contatti” acquistati con pacchetti aggiuntivi verranno mantenuti fino al loro esaurimento anche oltre la scadenza contrattuale. Nell’area riservata ai clienti del sito Argo potrà essere controllato, in tempo reale, il numero dei contatti utilizzati e di quelli residui. E’ possibile prenotare un intervento di assistenza tramite il servizio ArgoHelp, raggiungibile dal sito www.argosoft.it. Il tempo massimo di presa in carico della segnalazione è pari a 180 minuti lavorativi nell’ambito della stessa giornata. La prenotazione decade alla fine dell'orario di lavoro e non viene riportata al giorno successivo. Il cliente ha diritto ad un "contatto" gratuito per ogni evento di mancato rispetto del predetto limite. Gli orari di prenotazione e quello di presa in carico della segnalazione, sono disponibili al cliente su ArgoHelp accedendo come utente Supervisor. 1.3 - EROGAZIONE DEL SERVIZIO: Il servizio di manutenzione ed assistenza è attivo tutti i giorni feriali dal lunedì al venerdì dalle 8.30 alle 13.15, lunedì, mercoledì e venerdì dalle 15.00 alle 17.30 ed il sabato dalle 9.00 alle 13.00 (Il servizio nella giornata del sabato è attivo solamente nei mesi da Settembre a Giugno mediante ArgoHelp, fax, e-mail). Il servizio non è attivo nei periodi natalizio, pasquale ed estivo per chiusura aziendale. Le date di chiusura saranno pubblicate sul sito ufficiale aziendale www.argosoft.it almeno un mese prima di ciascun periodo di chiusura, che, in ogni caso, non potrà superare le due settimane consecutive. L'accessibilità ai servizi erogati via internet (SaaS) è garantita dal lunedì al venerdì dalle 08.00 alle 22.00 e il sabato dalle 08.00 alle 14.00 con una SLA del 95% calcolata su base mensile dal primo giorno all'ultimo di ciascun mese. Il calcolo della SLA viene reso disponibile nell’area clienti, cui è possibile accedere con le proprie credenziali. Nel caso in cui in un mese non si raggiunga il livello di SLA del 95% il cliente ha diritto alla restituzione della percentuale di canone non usufruita nel mese. Negli altri orari, e la domenica, il servizio è fruibile, ma non garantito, in quanto è possibile che venga interrotto senza preavviso per consentire le operazioni di manutenzione ordinarie e straordinarie. 2 — DURATA DEL CONTRATTO: Il presente contratto ha validità pari all'anno solare, cioè dal 1/1 al 31/12, fatta esclusione per i casi esplicitamente specificati, e non è consentito alle parti di recedere anticipatamente, tranne per gravi motivi. In tale evenienza la parte recedente dovrà darne contezza e preavviso tramite lettera raccomandata A.R. da effettuare almeno sei mesi prima del momento del recesso. Nel caso di recesso del cliente, nulla è dovuto per il periodo di servizio non usufruito. Alla scadenza l'accordo si intenderà concluso e non rinnovabile automaticamente. La Argo invierà una nuova proposta di contratto di assistenza che potrà essere esplicitamente accettata dall'Utente. 3 - PREZZI - FATTURAZIONE- PAGAMENTI : Il prezzo totale dell'accordo di assistenza e/o rinnovo contratto a tempo determinato, derivante dalla somma dei prezzi dell'assistenza e/o rinnovo La fattura relativa al servizio verrà emessa, di norma, in una unica soluzione per anno fiscale 1/1 - 31/12. Perle condizioni di pagamento si può optare per quattro rate trimestrali o per un'unica soluzione a 30 gg, d.f. La fatturazione degli interventi non compresi nel presente contratto, e delle eventuali spese di viaggio e di soggiorno effettuate dal fornitore del servizio di assistenza, sarà effettuata da ARGO SOFTWARE srl, in data immediatamente successiva alla esecuzione. Il pagamento dovrà essere effettuato entro 30 giorni dall'esecuzione. In caso di ritardo rispetto ai termini di pagamento sopra indicati, la Argo Software s.r.l. ha la facoltà di interrompere anche immediatamente, i servizi di ‘assistenza e manutenzione senza preventiva messa in mora. 4 - RESPONSABILITÀ : La Argo Software s.r.l. si impegna ad eliminare gli eventuali errori funzionali segnalati dall'utente nei tempi e nei modi individuati esclusivamente da Argo Software srl, ed a fornire funzioni di esportazione dei dati relativi ai propri programmi in formato aperto su file. Questi file hanno struttura e tracciato record definito esclusivamente da Argo Software srl e contengono tutti i dati inseriti dall'Utente nei database dei programmi di Argo Software srl, di cui possiede licenza d'uso. La Argo Software si impegna a garantire la sicurezza, vale a dire riservatezza, integrità e disponibilità di tutte le informazioni contenute nei database dei servizi web erogati in modalità cloud/SaaS ed in particolare dei dati personali, nel pieno rispetto della vigente normativa in materia di protezione delle informazioni personali. Tale impegno vale per i dati contenuti nei database in relazione ad operazioni eseguite esclusivamente mediante i programmi Argo deputati concessi in licenza d'uso. Per eseguire tali operazioni e le correlate operazioni di manutenzione ed assistenza sui database appartenenti ai servizi web, la Argo Software srl assume il ruolo di Responsabile del Trattamento, come previsto dall’articolo 28 del Regolamento UE 2016/679. Le garanzie di sicurezza offerte della Argo sono specificamente indicate nella policy dei servizi web Argo, disponibile all'indirizzo http://\www.argosofît.it/privacy.php, aggiornata periodicamente a seguito di revisione del sistema di protezione delle informazioni personali adottato e costituente parte integrale del presente contratto. La nomina di “Responsabile del trattamento”, costituente anch’essa parte integrante del presente contratto, è un prerequisito indispensabile per la fornitura del servizio: il Titolare, qualora non lo abbia gia fatto, è tenuto a nominare Argo Software s.r.l. «Responsabile del trattamento” dei dati necessari all'esecuzione dei servizi internet attivati. La Argo Software si riserva il diritto di interrompere la fornitura dei servizi nel caso di mancanza o irregolarità della nomina. E' possibile scaricare il modello di nomina dal portale Argo (www. portaleargo.it) . La nomina deve essere poi inviata a privacv@argosoft.it. Solo se in possesso del documento di nomina la Argo Software potrà fornire il servizio oggetto del presente contratto. Nel caso invece di database installati su macchine dell'utente (soluzioni client/server erogati in modalità on-premises), nel caso in cui l'Utente consenta l'accesso ai database suddetti a programmi di aziende diverse da Argo Software srl, sia in lettura che in scrittura, o a terzi mediante conoscenza/sottrazione delle proprie credenziali di accesso, l'Utente si assume piena responsabilità sull'integrità dei database e dei dati in essi contenuti e sulla eventuale sottrazione ed illecita diffusione degli stessi, sollevando la Argo Software srl da qualsiasi responsabilità di mantenimento e di ripristino dell'integrità e da qualsiasi obbligo di assistenza ai database ed ai dati in essi contenuti. La ARGO SOFTWARE s.r.l. declina ogni responsabilità per eventuali danni derivanti all'Utente e/o a terzi per: - Ritardi nella evasione degli interventi imputabili a cause di forza maggiore non controllabili dalla Argo Software s.r.l. - Uso improprio del prodotto fornito. - Uso improprio della Base Dati utilizzata dai programmi Argo Software srl da parte di prodotti di terze parti. La Argo Software, nel caso di fornitura di programmi on-premises (soluzioni client-server), per tutta la durata del contratto di manutenzione e assistenza, assume il ruolo di "Responsabile del trattamento" ai sensi dell'art. 28 del Regolamento UE 2016/679, limitatamente agli interventi di migrazione/accorpamento dati o manutenzione dei database con invio della copia degli stessi da parte dell'Utente. La nomina di “Responsabile del trattamento”, costituente anch'essa parte integrante del presente contratto, è un prerequisito indispensabile per la fornitura del servizio e deve essere predisposta secondo le regole previste per i servizi web sopra descritti. 5 - CESSAZIONE DEL CONTRATTO: In caso di cessazione del contratto di manutenzione ed assistenza, il cliente ha diritto a continuare ad utilizzare il software in suo possesso, nel caso di licenza d'uso a tempo indeterminato (codice T.I. Nella colonna “Tipo” nella proposta di contratto) pur non avendo più diritto a ricevere gli aggiornamenti e l'assistenza telefonica, mentre nel caso di licenza d'uso a tempo determinato (codice T.D. Nella colonna “Tipo” nella proposta di contratto) ha a disposizione un ulteriore mese di utilizzo del programma utile a scaricare i dati e a conservarli localmente e/o richiedere ad Argo Software l'esportazione degli stessi. Allo scadere del mese di proroga, il cliente non ha più diritto all'uso del programma e l'accesso allo stesso viene bloccato. | dati del cliente e le relative copie di backup vengono rimossi dai sistemi di produzione Argo o in alternativa anonimizzati, secondo le tempistiche definite nella policy dei servizi web Argo. 6 — REGISTRAZIONE E BOLLO: Il presente contratto è soggetto a registrazione in caso d’uso con l’applicazione dell'imposta in misura fissa ai sensi dell’art. 1 della tariffa, allegato A, parte seconda del D.P.R. 26/04/86 n. 131 ed è esente da bollo a norma dell'art. 24 della tabella, allegato A, parte seconda del D.P.R. 26/12/72 n. 642 7 —- FORO COMPETENTE: Per ogni controversia relativa al presente contratto, è esclusivamente competente il foro di Ragusa. Il pagamento a mezzo cambiali, tratte o ricevute bancarie non costituiscono deroga alla detta competenza. 8 — TRACCIABILITAÀ DEI FLUSSI FINANZIARI: La Argo Software srl si obbliga ad assolvere a tutti gli adempimenti previsti dalla legge n.136/2010 al fine di assicurare la tracciabilità dei movimenti finanziari relativi all'appalto. Ai sensi dell'art. 3 della medesima legge comunica gli estremi identificativi dei conti correnti dedicati” ai pagamenti CC dedicati IT 40 | 02008 17004 000500015535 presso UNICREDIT SPA - Ag. RAGUSA C.so Italia Fausto Vicari - VCRFST58T19H163D - nato Ragusa il 19/12/1958 — res Ragusa C.da Magazzinazzi sn comportamento dei dipendenti pubblici come da specifica dichiarazione consultabile sul sito www.argosofît.it Condizioni contratto digitale di manutenzione ed assistenza scuola rev 07 del 25.11.2020 Zona Ind.le III Fase 97100 - RAGUSA Assist. Tel. 0932 666412 Indirizzi Internet: Member of CISQ Federation R.E.A. n. 70205 Fax. 0932 667551 e-mail: info@argosoft.it assist@argosoft.it Cert. 9001 n. 15682/06/S Cert. 27001 n. 556/19 CONTRATTO DI MANUTENZIONE, ASSISTENZA E CANONE ANNUALE Dati del Cliente Cod. Cliente: 418772 Cod. Portale: SC27312 ISTITUTO COMPRENSIVO C.F.: 97028290787 P.I.: ROSSANO 1 Cod.Min.: CSICBAM004 e-mail: CSIC8BAM004@ISTRUZIONE.IT VIA MARTUCCI, 18 87067 - ROSSANO (CS) Fatturazione unica con pagamento in unica soluzione a 60 gg d.f. NUMERO CIG: ZE72BAF614 Si rinnova il contratto di manutenzione e assistenza ai seguenti prodotti: Prodotti inclusi nel calcolo tetto massimo canone assistenza _ | lP0* Data inizio Data scadenza | Canone annuale Importo Contatti ALUNNI WEB Scuole Obbligo — TD 01/01/2020 31/12/2020 130,00 130,00| 12 ARGO SIDI ALUNNI WEB (*) | TD 01/01/2020 31/12/2020 0,00 0,00 5 BILANCIO WEB Scuole Obbligo TD 01/01/2020 31/12/2020 120,00 120,00 12 CERTIFICAZIONE UNICA (*) [{TD 01/01/2020 31/12/2020 0,00 0,00 3 EMOLUMENTI win Scuole Obbligo TI 01/01/2020 31/12/2020 120,00 120,00 10 INVENTARIO win TI 01/01/2020 31/12/2020 150,00 150,00 15 PERSONALE win Scuole Obbligo TI 01/01/2020 31/12/2020 120,00 120,00 10 SMS AREA DIDATTICA (*) | TD 01/01/2020 31/12/2020 0,00 0,00 (*) Programma a importo 0 perchè accessorio di altro prodotto. Totale importo € 800,00 Prodotti esclusi dal calcolo tetto massimo Tipo* Data inizio Data scadenza | Canone annuale Importo Contatti ARGO DIRIGO o — TD 01/01/2020 31/12/2020 90,00 90,00 ARGO F24 WEB TD 01/01/2020 31/12/2020 90,00 90,00 8 ARGO PA04 TD 01/01/2020 31/12/2020 50,00 50,00 5 ARGO XML per AVCP TD 01/01/2020 31/12/2020 30,00 30,00 3 GECODOC PRO < 1500 ALUNNI TD 01/01/2020 31/12/2020 690,00 690,00 25 MODULO AMMIN.TRASP.INCLUSO (*) | TD 01/01/2020 31/12/2020 0,00 0,00 3 SCUOLANEXT Obb.<1500 ALUNNI TD 01/01/2020 31/12/2020 850,00 850,00 40 (*) Programma a importo 0 perchè accessorio di altro prodotto. Totale importi non cumulabili nel calcolo del tetto massimo € 1.800,00 | prezzi si intendono per l'intero periodo indicato e non sono frazionabili. Ragusa, li 30/01/2020 ARGO SOFTWARE s.r.l. Prof. n Presti MOD. CS1/03 Rev. 04 del 15.11.2019 CONDIZIONI DEL CONTRATTO DI MANUTENZIONE E ASSISTENZA E RINNOVO CONTRATTO A TEMPO DETERMINATO 1 - PRESTAZIONI DEL SERVIZIO: Il servizio di assistenza e manutenzione viene fornito da Argo Software srl, o da un concessionario/rivenditore di zona, all'Utente intestatario del presente contratto, che nel seguito sarà denominato Utente. 1.1 - MANUTENZIONE: Il servizio di manutenzione è riservato ai soli prodotti sviluppati da Argo Software srl, e ha per oggetto la fornitura degli aggiornamenti (automatici nel caso di prodotti WEB, e mediante download gratuito, nel caso di prodotti client/server, dall’indirizzo www.argosoft.it'aggiornamenti) e la eliminazione di eventuali mal funzionamenti dei prodotti software concessi in uso dalla ditta Argo Software s.r.l. all'Utente. Il servizio di manutenzione viene erogato solo se il prodotto è ancora presente nel listino ufficiale, consultabile su www.argosoft.it alla sezione “Listini e Offerte”. In particolare il servizio comprende: + modifiche ai programmi derivanti da disposizioni di legge o provvedimenti amministrativi. Non è tuttavia compresa, nell'aggiornamento dei programmi, la modifica degli stessi, derivante da innovazioni normative, o di natura tecnica, integralmente innovative, che ne impongano la sostanziale sostituzione. In tal caso si tratterebbe di un nuovo software, e non di un aggiornamento. A tal fine i contraenti si danno reciprocamente atto che la circostanza, di cui sopra, ricorrerà ad insindacabile giudizio di Argo Software srl. + modifiche migliorative e/o aggiuntive delle prestazioni dei programmi, proposte autonomamente da Argo Software srl, o accettate dalla stessa. La scelta dei tempi e dei modi di realizzazione delle migliorie saranno esclusivamente di competenza di Argo Software srl. ‘ ripristino degli archivi danneggiati, installati presso i server dell'Utente, dietro invio della copia degli stessi da parte dell'Utente (i risultati sono dipendenti dallo stato degli archivi). 1.2 - ASSISTENZA: Il servizio di assistenza è riservato a tutti i prodotti, sia sviluppati in Argo Software srl, che commercializzati dalla stessa e comprende: ‘ assistenza online mediante il servizio ArgoHelp (raggiungibile dall’indirizzo https://secure.argosoft.it'argohelp/login) ‘ assistenza telefonica del servizio Help-Desk di ARGO, e/o del concessionario di zona. : teleassistenza mediante collegamento via internet Il servizio di assistenza relativo a ciascun programma viene erogato mediante un numero limitato di “contatti. Per “contatto” si intende ogni intervento “risolutivo”, che può essere composto anche da più telefonate/mail/lettera/fax. Il numero di contatti inclusi nel canone di assistenza è riportato nella colonna “Contatti” in corrispondenza della riga del programma in assistenza. Il numero dei contatti è riferito ad ogni singolo programma e pertanto utilizzabile solo per esso. Solamente nel caso in cui venga raggiunto il tetto massimo per il canone di assistenza il numero di contatti indicato nel contratto è da intendersi complessivo e quindi comune a tutti i programmi. Esaurito il numero di contatti inclusi nel canone di assistenza, è possibile acquistare pacchetti aggiuntivi di “contatti” secondo i prezzi previsti in listino. Alla scadenza del periodo contrattuale i contatti residui inclusi nel canone di assistenza e non utilizzati verranno azzerati mentre i “contatti” acquistati con pacchetti aggiuntivi verranno mantenuti fino al loro esaurimento anche oltre la scadenza contrattuale. Nell’area riservata ai clienti del sito Argo potrà essere controllato, in tempo reale, il numero dei contatti utilizzati e di quelli residui. E’ possibile prenotare un intervento di assistenza tramite il servizio ArgoHelp, raggiungibile dal sito www.argosoft.it. Il tempo massimo di presa in carico della segnalazione è pari a 180 minuti lavorativi nell’ambito della stessa giornata. La prenotazione decade alla fine dell'orario di lavoro e non viene riportata al giorno successivo. Il cliente ha diritto ad un "contatto" gratuito per ogni evento di mancato rispetto del predetto limite. Gli orari di prenotazione e quello di presa in carico della segnalazione, sono disponibili al cliente su ArgoHelp accedendo come utente Supervisor. 1.3 - EROGAZIONE DEL SERVIZIO: Il servizio di manutenzione ed assistenza è attivo tutti i giorni feriali dal lunedì al venerdì dalle 8.30 alle 13.15, lunedì, mercoledì e venerdì dalle 15.00 alle 17.30 ed il sabato dalle 9.00 alle 13.00 (Il servizio nella giornata del sabato è attivo solamente nei mesi da Settembre a Giugno mediante ArgoHelp, fax, e-mail). Il servizio non è attivo nei periodi natalizio, pasquale ed estivo per chiusura aziendale. Le date di chiusura saranno pubblicate sul sito ufficiale aziendale www.argosoft.it almeno un mese prima di ciascun periodo di chiusura, che, in ogni caso, non potrà superare le due settimane consecutive. L'accessibilità ai servizi erogati via internet (SaaS) è garantita dal lunedì al venerdì dalle 08.00 alle 22.00 e il sabato dalle 08.00 alle 14.00 con una SLA del 95% calcolata su base mensile dal primo giorno all'ultimo di ciascun mese. Il calcolo della SLA viene reso disponibile nell’area clienti, cui è possibile accedere con le proprie credenziali. Nel caso in cui in un mese non si raggiunga il livello di SLA del 95% il cliente ha diritto alla restituzione della percentuale di canone non usufruita nel mese. Negli altri orari, e la domenica, il servizio è fruibile, ma non garantito, in quanto è possibile che venga interrotto senza preavviso per consentire le operazioni di manutenzione ordinarie e straordinarie. 2 — DURATA DEL CONTRATTO: Il presente contratto ha validità pari all'anno solare, cioè dal 1/1 al 31/12, fatta esclusione per i casi esplicitamente specificati, e non è consentito alle parti di recedere anticipatamente, tranne per gravi motivi. In tale evenienza la parte recedente dovrà darne contezza e preavviso tramite lettera raccomandata A.R. da effettuare almeno sei mesi prima del momento del recesso. Nel caso di recesso del cliente, nulla è dovuto per il periodo di servizio non usufruito. Alla scadenza l'accordo si intenderà concluso e non rinnovabile automaticamente. La Argo invierà una nuova proposta di contratto di assistenza che potrà essere esplicitamente accettata dall'Utente. 3 - PREZZI - FATTURAZIONE- PAGAMENTI : Il prezzo totale dell'accordo di assistenza e/o rinnovo contratto a tempo determinato, derivante dalla somma dei prezzi dell'assistenza e/o rinnovo La fattura relativa al servizio verrà emessa, di norma, in una unica soluzione per anno fiscale 1/1 - 31/12. Perle condizioni di pagamento si può optare per quattro rate trimestrali o per un'unica soluzione a 60 gg, d.f. La fatturazione degli interventi non compresi nel presente contratto, e delle eventuali spese di viaggio e di soggiorno effettuate dal fornitore del servizio di assistenza, sarà effettuata da ARGO SOFTWARE srl, in data immediatamente successiva alla esecuzione. Il pagamento dovrà essere effettuato entro 30 giorni dall'esecuzione. In caso di ritardo rispetto ai termini di pagamento sopra indicati, la Argo Software s.r.l. ha la facoltà di interrompere anche immediatamente, i servizi di ‘assistenza e manutenzione senza preventiva messa in mora. 4 - RESPONSABILITÀ : La Argo Software s.r.l. si impegna ad eliminare gli eventuali errori funzionali segnalati dall'utente nei tempi e nei modi individuati esclusivamente da Argo Software srl, ed a fornire funzioni di esportazione dei dati relativi ai propri programmi in formato aperto su file. Questi file hanno struttura e tracciato record definito esclusivamente da Argo Software srl e contengono tutti i dati inseriti dall'Utente nei database dei programmi di Argo Software srl, di cui possiede licenza d'uso. La Argo Software si impegna a garantire la sicurezza, vale a dire riservatezza, integrità e disponibilità di tutte le informazioni contenute nei database dei servizi web erogati in modalità cloud/SaaS ed in particolare dei dati personali, nel pieno rispetto della vigente normativa in materia di protezione delle informazioni personali. Tale impegno vale per i dati contenuti nei database in relazione ad operazioni eseguite esclusivamente mediante i programmi Argo deputati concessi in licenza d'uso. Per eseguire tali operazioni e le correlate operazioni di manutenzione ed assistenza sui database appartenenti ai servizi web, la Argo Software srl assume il ruolo di Responsabile del Trattamento, come previsto dall’articolo 28 del Regolamento UE 2016/679. Le garanzie di sicurezza offerte della Argo sono specificamente indicate nella policy dei servizi web Argo, disponibile all'indirizzo http://\www.argosofît.it/privacy.php, aggiornata periodicamente a seguito di revisione del sistema di protezione delle informazioni personali adottato e costituente parte integrale del presente contratto. La nomina di “Responsabile del trattamento”, costituente anch’essa parte integrante del presente contratto, è un prerequisito indispensabile per la fornitura del servizio: il Titolare, qualora non lo abbia gia fatto, è tenuto a nominare Argo Software s.r.l. «Responsabile del trattamento” dei dati necessari all'esecuzione dei servizi internet attivati. La Argo Software si riserva il diritto di interrompere la fornitura dei servizi nel caso di mancanza o irregolarità della nomina. E' possibile scaricare il modello di nomina dal portale Argo (www. portaleargo.it) . La nomina deve essere poi inviata a privacv@argosoft.it. Solo se in possesso del documento di nomina la Argo Software potrà fornire il servizio oggetto del presente contratto. Nel caso invece di database installati su macchine dell'utente (soluzioni client/server erogati in modalità on-premises), nel caso in cui l'Utente consenta l'accesso ai database suddetti a programmi di aziende diverse da Argo Software srl, sia in lettura che in scrittura, o a terzi mediante conoscenza/sottrazione delle proprie credenziali di accesso, l'Utente si assume piena responsabilità sull'integrità dei database e dei dati in essi contenuti e sulla eventuale sottrazione ed illecita diffusione degli stessi, sollevando la Argo Software srl da qualsiasi responsabilità di mantenimento e di ripristino dell'integrità e da qualsiasi obbligo di assistenza ai database ed ai dati in essi contenuti. La ARGO SOFTWARE s.r.l. declina ogni responsabilità per eventuali danni derivanti all'Utente e/o a terzi per: - Ritardi nella evasione degli interventi imputabili a cause di forza maggiore non controllabili dalla Argo Software s.r.l. - Uso improprio del prodotto fornito. - Uso improprio della Base Dati utilizzata dai programmi Argo Software srl da parte di prodotti di terze parti. La Argo Software, nel caso di fornitura di programmi on-premises (soluzioni client-server), per tutta la durata del contratto di manutenzione e assistenza, assume il ruolo di "Responsabile del trattamento" ai sensi dell'art. 28 del Regolamento UE 2016/679, limitatamente agli interventi di migrazione/accorpamento dati o manutenzione dei database con invio della copia degli stessi da parte dell'Utente. La nomina di “Responsabile del trattamento”, costituente anch'essa parte integrante del presente contratto, è un prerequisito indispensabile per la fornitura del servizio e deve essere predisposta secondo le regole previste per i servizi web sopra descritti. 5 - CESSAZIONE DEL CONTRATTO: In caso di cessazione del contratto di manutenzione ed assistenza, il cliente ha diritto a continuare ad utilizzare il software in suo possesso, nel caso di licenza d'uso a tempo indeterminato (codice T.I. Nella colonna “Tipo” nella proposta di contratto) pur non avendo più diritto a ricevere gli aggiornamenti e l'assistenza telefonica, mentre nel caso di licenza d'uso a tempo determinato (codice T.D. Nella colonna “Tipo” nella proposta di contratto) ha a disposizione un ulteriore mese di utilizzo del programma utile a scaricare i dati e a conservarli localmente e/o richiedere ad Argo Software l'esportazione degli stessi. Allo scadere del mese di proroga, il cliente non ha più diritto all'uso del programma e l'accesso allo stesso viene bloccato. | dati del cliente e le relative copie di backup vengono rimossi dai sistemi di produzione Argo o in alternativa anonimizzati, secondo le tempistiche definite nella policy dei servizi web Argo. 6 — REGISTRAZIONE E BOLLO: Il presente contratto è soggetto a registrazione in caso d’uso con l’applicazione dell'imposta in misura fissa ai sensi dell’art. 1 della tariffa, allegato A, parte seconda del D.P.R. 26/04/86 n. 131 ed è esente da bollo a norma dell'art. 24 della tabella, allegato A, parte seconda del D.P.R. 26/12/72 n. 642 7 —- FORO COMPETENTE: Per ogni controversia relativa al presente contratto, è esclusivamente competente il foro di Ragusa. Il pagamento a mezzo cambiali, tratte o ricevute bancarie non costituiscono deroga alla detta competenza. 8 — TRACCIABILITAÀ DEI FLUSSI FINANZIARI: La Argo Software srl si obbliga ad assolvere a tutti gli adempimenti previsti dalla legge n.136/2010 al fine di assicurare la tracciabilità dei movimenti finanziari relativi all'appalto. Ai sensi dell'art. 3 della medesima legge comunica gli estremi identificativi dei conti correnti dedicati” ai pagamenti CC dedicati IT 40 | 02008 17004 000500015535 presso UNICREDIT SPA - Ag. RAGUSA C.so Italia Fausto Vicari - VCRFST58T19H163D - nato Ragusa il 19/12/1958 — res Ragusa C.da Magazzinazzi sn comportamento dei dipendenti pubblici come da specifica dichiarazione consultabile sul sito www.argosofît.it Condizioni contratto digitale di manutenzione ed assistenza scuola rev 06 del 10.09.2019 Zona Ind.le III Fase 97100 - RAGUSA Assist. Tel. 0932 666412 Indirizzi Internet: Member of CISQ Federation R.E.A. n. 70205 Fax. 0932 667551 e-mail: info@argosoft.it assist@argosoft.it Cert. 9001 n. 15682/06/S Cert. 27001 n. 556/19 CONTRATTO DI MANUTENZIONE, ASSISTENZA E CANONE ANNUALE Dati del Cliente Cod. Cliente: 418772 Cod. Portale: SC27312 ISTITUTO COMPRENSIVO C.F.: 97028290787 P.l.: ROSSANO 1 Cod.Min.: CSICBAM004 e-mail: CSICBAM004@ISTRUZIONE.IT VIA MARTUCCI, 18 87067 - ROSSANO (CS) Fatturazione unica con pagamento in unica soluzione a 30 gg d.f. NUMERO CIG: Z2734D9594 Si rinnova il contratto di manutenzione e assistenza ai seguenti prodotti: Descrizione Tipo* Data inizio Data scadenza Canone annuale Importo ALUNNI WEB Scuole Obbligo TD 01/01/2022 31/12/2022 130,00 130,00 ARGO DIRIGO TD 01/01/2022 31/12/2022 90,00 90,00 ARGO F24 WEB TD 01/01/2022 31/12/2022 90,00 90,00 ARGO PA04 TD 01/01/2022 31/12/2022 50,00 50,00 ARGO SIDI ALUNNI WEB (4) {TD 01/01/2022 31/12/2022 0,00 0,00 ARGO XML per AVCP TD 01/01/2022 31/12/2022 30,00 30,00 BILANCIO WEB Scuole Obbligo TD 01/01/2022 31/12/2022 150,00 150,00 CERTIFICAZIONE UNICA (4) {TD 01/01/2022 31/12/2022 0,00 0,00 COMMISSIONE | CICLO TD 01/07/2022 31/12/2022 90,00 45,00 EMOLUMENTI win Scuole Obbligo TI 01/01/2022 31/12/2022 120,00 120,00 GECODOC < 1000 ALUNNI TD 01/01/2022 31/12/2022 570,00 570,00 GECODOC MODULO MAD (4) {TD 01/01/2022 31/12/2022 0,00 0,00 INVENTARIO win TI 01/01/2022 31/12/2022 110,00 110,00 MODULO AMMIN.TRASP.INCLUSO (4) {TD 01/01/2022 31/12/2022 0,00 0,00 PERSONALE WEB Scuole Obbligo TD 01/07/2022 31/12/2022 190,00 95,00 SCUOLANEXT Obb.<1000 ALUNNI TD 01/01/2022 31/12/2022 800,00 800,00 SIDI PERSONALE WEB TD 01/07/2022 31/12/2022 120,00 60,00 SMS AREA DIDATTICA (4) {TD 01/01/2022 31/12/2022 0,00 0,00 (*) Programma a importo 0 perchè accessorio di altro prodotto. Totale importo € 2.500,00 Sconto progressivo: 2,50% Pari a €:62,50 TM = Totale contatti condivisi dai programmi sopra elencati: 55 | prezzi si intendono per l'intero periodo indicato e non sono frazionabili. Ragusa, li 19/01/2022 ARGO SOFTWARE s.r.. Prof. n Presti MOD. CS1/03 Rev. 05 del 25.11.2020 CONDIZIONI DEL CONTRATTO DI MANUTENZIONE E ASSISTENZA E RINNOVO CONTRATTO A TEMPO DETERMINATO 1 - PRESTAZIONI DEL SERVIZIO: Il servizio di assistenza e manutenzione viene fornito da Argo Software srl, o da un concessionario/rivenditore di zona, all'Utente intestatario del presente contratto, che nel seguito sarà denominato Utente. 1.1 - MANUTENZIONE: Il servizio di manutenzione è riservato ai soli prodotti sviluppati da Argo Software srl, e ha per oggetto la fornitura degli aggiornamenti (automatici nel caso di prodotti WEB, e mediante download gratuito, nel caso di prodotti client/server, dall’indirizzo www.argosoft.it'aggiornamenti) e la eliminazione di eventuali mal funzionamenti dei prodotti software concessi in uso dalla ditta Argo Software s.r.l. all'Utente. Il servizio di manutenzione viene erogato solo se il prodotto è ancora presente nel listino ufficiale, consultabile su www.argosoft.it alla sezione “Listini e Offerte”. In particolare il servizio comprende: + modifiche ai programmi derivanti da disposizioni di legge o provvedimenti amministrativi. Non è tuttavia compresa, nell'aggiornamento dei programmi, la modifica degli stessi, derivante da innovazioni normative, o di natura tecnica, integralmente innovative, che ne impongano la sostanziale sostituzione. In tal caso si tratterebbe di un nuovo software, e non di un aggiornamento. A tal fine i contraenti si danno reciprocamente atto che la circostanza, di cui sopra, ricorrerà ad insindacabile giudizio di Argo Software srl. + modifiche migliorative e/o aggiuntive delle prestazioni dei programmi, proposte autonomamente da Argo Software srl, o accettate dalla stessa. La scelta dei tempi e dei modi di realizzazione delle migliorie saranno esclusivamente di competenza di Argo Software srl. ‘ ripristino degli archivi danneggiati, installati presso i server dell'Utente, dietro invio della copia degli stessi da parte dell'Utente (i risultati sono dipendenti dallo stato degli archivi). 1.2 - ASSISTENZA: Il servizio di assistenza è riservato a tutti i prodotti, sia sviluppati in Argo Software srl, che commercializzati dalla stessa e comprende: ‘ assistenza online mediante il servizio ArgoHelp (raggiungibile dall’indirizzo https://secure.argosoft.it'argohelp/login) ‘ assistenza telefonica del servizio Help-Desk di ARGO, e/o del concessionario di zona. : teleassistenza mediante collegamento via internet Il servizio di assistenza relativo ai programmi in assistenza viene erogato mediante un numero limitato di “contatti”. Per “contatto” si intende ogni intervento “risolutivo”, che può essere composto anche da più telefonate/mail/lettera/fax. Il numero di contatti inclusi nel canone di assistenza viene calcolato in base al totale dei programmi in assistenza ed è da intendersi complessivo e quindi comune a tutti i programmi. Il numero di contatti associato al contratto è riportato alla voce _75_ [omissis] numero di contatti inclusi nel canone di assistenza, è possibile acquistare pacchetti aggiuntivi di “contatti” secondo i prezzi previsti in listino. Alla scadenza del periodo contrattuale i contatti residui inclusi nel canone di assistenza e non utilizzati verranno azzerati mentre i “contatti” acquistati con pacchetti aggiuntivi verranno mantenuti fino al loro esaurimento anche oltre la scadenza contrattuale. Nell’area riservata ai clienti del sito Argo potrà essere controllato, in tempo reale, il numero dei contatti utilizzati e di quelli residui. E’ possibile prenotare un intervento di assistenza tramite il servizio ArgoHelp, raggiungibile dal sito www.argosoft.it. Il tempo massimo di presa in carico della segnalazione è pari a 180 minuti lavorativi nell’ambito della stessa giornata. La prenotazione decade alla fine dell'orario di lavoro e non viene riportata al giorno successivo. Il cliente ha diritto ad un "contatto" gratuito per ogni evento di mancato rispetto del predetto limite. Gli orari di prenotazione e quello di presa in carico della segnalazione, sono disponibili al cliente su ArgoHelp accedendo come utente Supervisor. 1.3 - EROGAZIONE DEL SERVIZIO: Il servizio di manutenzione ed assistenza è attivo tutti i giorni feriali dal lunedì al venerdì dalle 8.30 alle 13.15, lunedì, mercoledì e venerdì dalle 15.00 alle 17.30 ed il sabato dalle 9.00 alle 13.00 (Il servizio nella giornata del sabato è attivo solamente nei mesi da Settembre a Giugno mediante ArgoHelp, fax, e-mail). Il servizio non è attivo nei periodi natalizio, pasquale ed estivo per chiusura aziendale. Le date di chiusura saranno pubblicate sul sito ufficiale aziendale www.argosoft.it almeno un mese prima di ciascun periodo di chiusura, che, in ogni caso, non potrà superare le due settimane consecutive. L'accessibilità ai servizi erogati via internet (SaaS) è garantita dal lunedì al venerdì dalle 08.00 alle 22.00 e il sabato dalle 08.00 alle 14.00 con una SLA del 95% calcolata su base mensile dal primo giorno all'ultimo di ciascun mese. Il calcolo della SLA viene reso disponibile nell’area clienti, cui è possibile accedere con le proprie credenziali. Nel caso in cui in un mese non si raggiunga il livello di SLA del 95% il cliente ha diritto alla restituzione della percentuale di canone non usufruita nel mese. Negli altri orari, e la domenica, il servizio è fruibile, ma non garantito, in quanto è possibile che venga interrotto senza preavviso per consentire le operazioni di manutenzione ordinarie e straordinarie. 2 — DURATA DEL CONTRATTO: Il presente contratto ha validità pari all'anno solare, cioè dal 1/1 al 31/12, fatta esclusione per i casi esplicitamente specificati, e non è consentito alle parti di recedere anticipatamente, tranne per gravi motivi. In tale evenienza la parte recedente dovrà darne contezza e preavviso tramite lettera raccomandata A.R. da effettuare almeno sei mesi prima del momento del recesso. Nel caso di recesso del cliente, nulla è dovuto per il periodo di servizio non usufruito. Alla scadenza l'accordo si intenderà concluso e non rinnovabile automaticamente. La Argo invierà una nuova proposta di contratto di assistenza che potrà essere esplicitamente accettata dall'Utente. 3 - PREZZI - FATTURAZIONE- PAGAMENTI : Il prezzo totale dell'accordo di assistenza e/o rinnovo contratto a tempo determinato, derivante dalla somma dei prezzi dell'assistenza e/o rinnovo La fattura relativa al servizio verrà emessa, di norma, in una unica soluzione per anno fiscale 1/1 - 31/12. Perle condizioni di pagamento si può optare per quattro rate trimestrali o per un'unica soluzione a 30 gg, d.f. La fatturazione degli interventi non compresi nel presente contratto, e delle eventuali spese di viaggio e di soggiorno effettuate dal fornitore del servizio di assistenza, sarà effettuata da ARGO SOFTWARE srl, in data immediatamente successiva alla esecuzione. Il pagamento dovrà essere effettuato entro 30 giorni dall'esecuzione. In caso di ritardo rispetto ai termini di pagamento sopra indicati, la Argo Software s.r.l. ha la facoltà di interrompere anche immediatamente, i servizi di ‘assistenza e manutenzione senza preventiva messa in mora. 4 - RESPONSABILITÀ : La Argo Software s.r.l. si impegna ad eliminare gli eventuali errori funzionali segnalati dall'utente nei tempi e nei modi individuati esclusivamente da Argo Software srl, ed a fornire funzioni di esportazione dei dati relativi ai propri programmi in formato aperto su file. Questi file hanno struttura e tracciato record definito esclusivamente da Argo Software srl e contengono tutti i dati inseriti dall'Utente nei database dei programmi di Argo Software srl, di cui possiede licenza d'uso. La Argo Software si impegna a garantire la sicurezza, vale a dire riservatezza, integrità e disponibilità di tutte le informazioni contenute nei database dei servizi web erogati in modalità cloud/SaaS ed in particolare dei dati personali, nel pieno rispetto della vigente normativa in materia di protezione delle informazioni personali. Tale impegno vale per i dati contenuti nei database in relazione ad operazioni eseguite esclusivamente mediante i programmi Argo deputati concessi in licenza d'uso. Per eseguire tali operazioni e le correlate operazioni di manutenzione ed assistenza sui database appartenenti ai servizi web, la Argo Software srl assume il ruolo di Responsabile del Trattamento, come previsto dall’articolo 28 del Regolamento UE 2016/679. Le garanzie di sicurezza offerte della Argo sono specificamente indicate nella policy dei servizi web Argo, disponibile all'indirizzo http://\www.argosofît.it/privacy.php, aggiornata periodicamente a seguito di revisione del sistema di protezione delle informazioni personali adottato e costituente parte integrale del presente contratto. La nomina di “Responsabile del trattamento”, costituente anch’essa parte integrante del presente contratto, è un prerequisito indispensabile per la fornitura del servizio: il Titolare, qualora non lo abbia gia fatto, è tenuto a nominare Argo Software s.r.l. «Responsabile del trattamento” dei dati necessari all'esecuzione dei servizi internet attivati. La Argo Software si riserva il diritto di interrompere la fornitura dei servizi nel caso di mancanza o irregolarità della nomina. E' possibile scaricare il modello di nomina dal portale Argo (www. portaleargo.it) . La nomina deve essere poi inviata a privacv@argosoft.it. Solo se in possesso del documento di nomina la Argo Software potrà fornire il servizio oggetto del presente contratto. Nel caso invece di database installati su macchine dell'utente (soluzioni client/server erogati in modalità on-premises), nel caso in cui l'Utente consenta l'accesso ai database suddetti a programmi di aziende diverse da Argo Software srl, sia in lettura che in scrittura, o a terzi mediante conoscenza/sottrazione delle proprie credenziali di accesso, l'Utente si assume piena responsabilità sull'integrità dei database e dei dati in essi contenuti e sulla eventuale sottrazione ed illecita diffusione degli stessi, sollevando la Argo Software srl da qualsiasi responsabilità di mantenimento e di ripristino dell'integrità e da qualsiasi obbligo di assistenza ai database ed ai dati in essi contenuti. La ARGO SOFTWARE s.r.l. declina ogni responsabilità per eventuali danni derivanti all'Utente e/o a terzi per: - Ritardi nella evasione degli interventi imputabili a cause di forza maggiore non controllabili dalla Argo Software s.r.l. - Uso improprio del prodotto fornito. - Uso improprio della Base Dati utilizzata dai programmi Argo Software srl da parte di prodotti di terze parti. La Argo Software, nel caso di fornitura di programmi on-premises (soluzioni client-server), per tutta la durata del contratto di manutenzione e assistenza, assume il ruolo di "Responsabile del trattamento" ai sensi dell'art. 28 del Regolamento UE 2016/679, limitatamente agli interventi di migrazione/accorpamento dati o manutenzione dei database con invio della copia degli stessi da parte dell'Utente. La nomina di “Responsabile del trattamento”, costituente anch'essa parte integrante del presente contratto, è un prerequisito indispensabile per la fornitura del servizio e deve essere predisposta secondo le regole previste per i servizi web sopra descritti. 5 - CESSAZIONE DEL CONTRATTO: In caso di cessazione del contratto di manutenzione ed assistenza, il cliente ha diritto a continuare ad utilizzare il software in suo possesso, nel caso di licenza d'uso a tempo indeterminato (codice T.I. Nella colonna “Tipo” nella proposta di contratto) pur non avendo più diritto a ricevere gli aggiornamenti e l'assistenza telefonica, mentre nel caso di licenza d'uso a tempo determinato (codice T.D. Nella colonna “Tipo” nella proposta di contratto) ha a disposizione un ulteriore mese di utilizzo del programma utile a scaricare i dati e a conservarli localmente e/o richiedere ad Argo Software l'esportazione degli stessi. Allo scadere del mese di proroga, il cliente non ha più diritto all'uso del programma e l'accesso allo stesso viene bloccato. | dati del cliente e le relative copie di backup vengono rimossi dai sistemi di produzione Argo o in alternativa anonimizzati, secondo le tempistiche definite nella policy dei servizi web Argo. 6 — REGISTRAZIONE E BOLLO: Il presente contratto è soggetto a registrazione in caso d’uso con l’applicazione dell'imposta in misura fissa ai sensi dell’art. 1 della tariffa, allegato A, parte seconda del D.P.R. 26/04/86 n. 131 ed è esente da bollo a norma dell'art. 24 della tabella, allegato A, parte seconda del D.P.R. 26/12/72 n. 642 7 —- FORO COMPETENTE: Per ogni controversia relativa al presente contratto, è esclusivamente competente il foro di Ragusa. Il pagamento a mezzo cambiali, tratte o ricevute bancarie non costituiscono deroga alla detta competenza. 8 — TRACCIABILITAÀ DEI FLUSSI FINANZIARI: La Argo Software srl si obbliga ad assolvere a tutti gli adempimenti previsti dalla legge n.136/2010 al fine di assicurare la tracciabilità dei movimenti finanziari relativi all'appalto. Ai sensi dell'art. 3 della medesima legge comunica gli estremi identificativi dei conti correnti dedicati” ai pagamenti CC dedicati IT 40 | 02008 17004 000500015535 presso UNICREDIT SPA - Ag. RAGUSA C.so Italia Fausto Vicari - VCRFST58T19H163D - nato Ragusa il 19/12/1958 — res Ragusa C.da Magazzinazzi sn comportamento dei dipendenti pubblici come da specifica dichiarazione consultabile sul sito www.argosofît.it Condizioni contratto digitale di manutenzione ed assistenza scuola rev 07 del 25.11.2020 Member of CISO Federation ARGO SOFTWARE s.r.l. Recapiti telefonici Web Zona Ind.le III Fase 97100 Ragusa Assist. Tel. 0932.666412 www.argosoft.it R Ì < D TÀ R.E.A. n. 70205 Numero Fax 0932.667551 ammin@argosoft.it IRA software Cert. 9001 n. 15682/06/S Cert. 27001 n. 556/19 DICHIARAZIONI DI CUI AL [omissis] ai sensi del Patto di Integrità di cui al Piano Anticorruzione Oggetto dell'appalto: Contratto di Manutenzione e assistenza software anno 2022 n. 00838520880, iscritta nel registro delle imprese tenuto presso la Camera di Commercio di Ragusa, rappresentata legalmente dal [omissis] partecipante alla procedura di gara in oggetto indicata, SI IMPEGNA ESPRESSAMENTE: e ad osservare le regole comportamentali definite dal Codice di comportamento dei dipendenti pubblici approvato con DPR 16 aprile 2013, n. 62; e a segnalare all'Amministrazione qualsiasi tentativo di turbativa, irregolarità o distorsione nelle fasi di svolgimento della gara e/o durante l'esecuzione dei contratti, da parte di ogni interessato o addetto o di chiunque possa influenzare le decisioni relative alla gara in oggetto; * a rendere noti, su richiesta dell'Amministrazione tutti i pagamenti eseguiti e riguardanti il contratto eventualmente assegnato a seguito della gara in oggetto inclusi quelli eseguiti a favore di intermediari e consulenti; e aprendereatto e accettare che nel caso di mancato rispetto degli impegni anticorruzione assunti con questo Patto di integrità comunque accertato dall'Amministrazione, potranno essere applicate le seguenti sanzioni: e risoluzioneo perdita del contratto; e. esclusione del concorrente dalle gare indette dall’Amministrazione per 5 anni; e anonoffrire, accettare o richiedere somme di denaro o qualsiasi altra rcrompensa, vantaggio o beneficio, sia direttamente che indirettamente tramite intermediari, al fine dell'assegnazione del contratto e/o al fine di distorcerne la relativa corretta esecuzione. DICHIARA, altresì: e di non trovarsi in situazioni di controllo o di collegamento (formale e/o sostanziale) con altri concorrenti e che non si è accordata e non si accorderà con altri partecipanti alla gara; e di conoscere ed accettare che il presente Patto di Integrità e le relative sanzioni applicabili resteranno in vigore sino alla completa esecuzione del contratto assegnato a seguito della gara in oggetto; e di non intrattenere rapporti di lavoro o professionali con dipendenti dell'Amministrazione cessati dal servizio che hanno esercitato poteri autoritativi o negoziali negli ultimi tre anni di lavoro; e diconosceree accettare che ogni controversia relativa all'interpretazione, ed esecuzione del presente Patto di Integrità fra questa Amministrazione e i concorrenti e tra gli stessi concorrenti sarà risolta dall'Autorità Giudiziaria competente; e. di conoscere ed accettare che la mancata consegna della presente dichiarazione, debitamente sottoscritta dal titolare o rappresentante legale del soggetto concorrente, comporterà l'esclusione automatica dalla gara; e di conoscere e accettare che la presente dichiarazione costituisce parte integrante e sostanziale del contratto che si stipulerà tra le parti dopo l'avvenuta aggiudicazione definitiva. Ragusa, lì 20/07/2022 IL EGALE RAPPRESENTANTE (ora [omissis] GMT+01:00 Dichiarazione Anticorruzione rev6