AXIOS Axios Italia Service Srl Informativa ai sensi dell'articolo 13 del D. Lgs. n. 196/2003 Ai sensi ed agli effetti del 'Codice in materia di protezione dei dati personali' - D.Lgs. 30 giugno 2003 n.196 - la Axios Italia Service Srl., (di seguito, per brevità, Axios) in qualità di [omissis] informa che i suoi dati personali sono trattati esclusivamente per le finalità strettamente attinenti alla gestione e/o esecuzione dei rapporti contrattuali in base a quanto previsto dal Testo unico in materia di trattamento dei dati personali. Axios dichiara che i suoi dati personali sono raccolti presso la sede a seguito della ricezione di proposte d'acquisto effettuate mediante rete internet e/o mediante personale dei propri rivenditori e che, in ogni caso, tali dati personali sono trattati nel pieno rispetto degli obblighi di correttezza, liceità e trasparenza imposti dalla citata normativa a tutela della sua riservatezza e suoi diritti. Premesso che ai fini del Codice per: “trattamento” si intende, qualunque operazione o complesso di operazioni, effettuate anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati, anche se non registrati in una banca dati; ”dato personale” si intende, qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; “dati sensibili” si intendono, i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazione a carattere religioso, filosofico, politico o sindacale, i dati personali idonei a rivelare lo stato di salute e Ja vita sessuale; “dati giudiziari” si intendono, i dati personali idonei a rivelare provvedimenti di cui all’art. 3, comma 1, lettere da a) a 0) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli artt. 60 e 61 del c.p.p., y=800.396.396 Via E. Filiberto, 190 - 00185 Roma - Tel 06.777.231 Fax 06.777.23.456 Fax 178.224.68.79 PI/CF-06331261005 AXIOS Finalità del trattamento: I suci dati personali sono trattati per l'esclusivo assolvimento degli obblighi contrattuali e per finalità strettamente connesse e strumentali alla gestione dei contratti. Axios intende raccogliere, mantenere e trattare i suoi dati personali esclusivamene per le seguenti finalità: - Fornire servizi di assistenza alla clientela, come il rilascio dei codici di attivazione dei programmi, visualizzazione dello status degli ordini inevasi, di quelli già forniti e la relativa fatturazione. - Fornire servizi di assistenza on line alla clientela. - Avere la sua opinione relativamente a prodotti e servizi Axios e condurre indagini relative agli stessi; - Facilitare e soddisfare le sue ricerche e richieste di informazioni su prodotti e servizi Axios. - Fornirle informazioni relativamente ai prodotti e servizi Axios più recenti, ivi inclusi aggiornamenti e offerte speciali alle quali lei potrebbe essere interessato. - Inviarle, tramite posta elettronica, informazioni sugli aggiornamenti dei prodotti software. - Organizzare offerte promozionali. - Valutare la possibilità di assumerla in Axios. Natura del conferimento dei dati e modalità di raccolta: La informiamo, inoltre, che il conferimento dei dati personali richiesti è facoltativo e che, ai sensi delle vigenti disposizioni, il mancato conferimento dei dati non consente di potere legittimamente adempiere gli obblighi contrattuali. Axios può raccogliere i dati dei suoi clienti in diversi modi. Ad esempio, potremmo chiederle i suoi dati/riferimenti quando invia corrispondenza ad Axios, chiama Axios per effettuare acquisti o richiedere assistenza, registra il prodotto da lei acquistato per l’assistenza post- vendita. Qui di seguito troverà alcuni tipici esempi di come Axios raccoglie i suoi dati personali. - Quando acquista un prodotto o un servizio Axios, raccogliamo il suo nome, indirizzo e il nome del prodotto o del modello, etc.. - Quando si rivolge al nostro servizio clienti per ricevere assistenza, registriamo il suo nome, il/i prodotto/i da lei acquistato/i, le specifiche tecniche, ed il consiglio che le è stato dato, etc. - Quando acquista da noi un prodotto, o fa una richiesta di acquisto, registriamo il suo nome, i suoi riferimenti per contattarla, i prodotti che intendete acquistare o ha acquistato e la richiesta che ci ha formulato. I dati raccolti online possono inoltre essere uniti ai dati da lei forniti ad Axios in altre occasioni. Per esempio, durante le registrazioni dei prodotti, le chiamate ai nostri call centers o in occasione di pubblici eventi come fiere e manifestazioni commerciali. I dati personali forniti ad Axios in questi casi possono essere combinati con banche dati esistenti e immagazzinati, al fine di semplificare i nostri sistemi di gestione dei dati dei clienti. Modalità di trattamento dei dati: In relazione alle finalità indicate, il trattamento dei dati personali è prevalentemente effettuato con strumenti informatici, con logiche strettamente correlate alle finalità stesse e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati stessi in base alle prescrizioni dettate dal disciplinare tecnico del D.Lgs. n.196/2003 in ordine alle misure minime di sicurezza, con un sistema operativo ed applicativo interno nonchè con l'applicazione di tutte le procedure interne previste dal Documento Programmatico sulla Sicurezza del Trattamento dei dati personali. y=800.396.396 Via E. Filiberto, 190 - 00185 Roma - Tel 06.777.231 Fax 06.777.23.456 Fax 178.224.68.79 PI/CF-06331261005 AXIOS Ambito di comunicazione: La informiamo che i suoi dati personali potranno essere comunicati a collaboratori e rivenditori Axios presenti sull’intero territorio nazionale e che tali comunicazioni assolvono al precipuo fine del miglioramento dei servizi offerti. Axios non divulgherà dati personali a terze parti (“Terzi”) che non siano rivenditori autorizzati Axios, senza il suo consenso, ad eccezione dei seguenti casi: Potranno essere divulgati a Terzi sub-contraenti per consentire l'esecuzione di contratti di cui lei è controparte come, ad esempio: - la consegna di pacchi, - l’invio di posta ed e-mail, - la fornitura di assistenza marketing e la fornitura di servizi ai clienti. Tali società avranno accesso ai dati personali necessari all'esecuzione di tali funzioni, ma non potranno utilizzare tali dati per altri scopi e dovranno trattare i dati medesimi in conformità alle leggi applicabili. La informiamo che Titolare del Trattamento dei dati personali è: Axios, Via Emanuele Filiberto 190, 00185 Roma e che in tale luogo si esplica il trattamento dei dati personali. Di seguito si riportano in sintesi le finalità per cui sono usatii suoi dati: - Adempimenti di obblighi fiscali o contabili; - [omissis] ività (pianificazione e monitoraggio dei compiti, del volume di lavoro e delle prestazioni lavorative); - Gestione della clientela (amministrazione dei clienti, amministrazione dei contratti, ordini, spedizioni e fatture, controllo dell'affidabilità e solvibilità); - Gestione dei fornitori (amministrazione dei fornitori, amministrazione dei contratti, ordini, arrivi e fatture, selezioni in rapporto alle necessità dell'impresa); - Gestione del contenzioso (inadempimenti contrattuali, diffide, transazioni, recupero crediti, arbitrati, controversie giudiziarie); - Servizi di controllo interno (della sicurezza, della produttività, della qualità dei servizi, dell'integrità del patrimonio); - Vendita, direct marketing ecc. con sistemi tradizionali: corrispondenza, cataloghi, depliants o per telefono con intervento di un operatore; - Vendita, direct marketing ecc. con sistemi non tradizionali: telefono senza l'intervento di un operatore, fax, posta elettronica, MMS, SMS o comunicazioni elettroniche di altro tipo; - Marketing (analisi ed indagini di mercato); - Rilevazione del grado di soddisfazione della clientela; - Registrazione degli estremi delle chiamate telefoniche al fine di fornirLe assistenza e monitorare internamente la qualità del servizio erogato. (stefano.rocchi@axiositalia.com) per far valere i diritti di cui all'art. 7 del D.Lgs n.196/2003 sottoriportato. Diritto di accesso ai dati personali ed altri diritti In riferimento all’art. 7 del Codice, linteressato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. L'interessato ha diritto di ottenere l'indicazione: a) dell'origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo y=800.396.396 Via E. Filiberto, 190 - 00185 Roma - Tel 06.777.231 Fax 06.777.23.456 Fax 178.224.68.79 PI/CF-06331261005 AXIOS 5, comma 2; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati 0 che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati. 3. L'interessato ha diritto di ottenere: a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. 4. L'interessato ha diritto di opporsi, in tutto © in parte: a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorchè pertinenti allo scopo della raccolta; b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale. Integrazione informativa dati relativi a minorenni Axios non richiede o raccoglie intenzionalmente dati personali da o relativi a minorenni. Qualora Axios dovesse divenire consapevole che una persona che fornisce i dati personali, attraverso una qualsiasi parte di un sito web Axios, è un minorenne, Axios compirà ogni ragionevole sforzo per cancellare, il prima possibile, tali dati personali dai suoi files. Axios compirà inoltre ogni ragionevole sforzo per assicurare che questi dati personali non siano utilizzati per qualsiasi finalità, né siano divulgati a terze parti. Considerato che Axios non intende raccogliere dati personali relativi a minorenni, e che Axios cancellerà qualsiasi dato raccolto inavvertitamente non appena individuato, Axios non tratterà mai dati relativi a minorenni che potrebbero essere modificati o cancellati. In ogni caso, se qualcuno richiedesse la modifica o la cancellazione di dati relativi ad un minorenne prima che Axios abbia individuato ed eliminato tali dati, Axios provvederà senz’ altro a soddisfare immediatamente tale richiesta. Integrazione informativa assistenza remota Axios c/o il cliente Axios utilizza lo strumento di assistenza remota per i propri clienti solo su richiesta di questi ultimi e solo se la risoluzione del problema fornita per telefono non porta ad alcun risultato positivo. Il collegamento con il computer dell’utente può avviene solo ed esclusivamente previa fornitura da parte del cliente dei un codice utente e di una password che cambiano ad ogni collegamento. Le operazioni eseguite dai tecnici Axios che sono visibili e controllabili dal video del cliente, vengono comunque registrate all’interno dell’eventuale sistema di gestione di log delle operazioni presente presso il cliente, ed in nessun caso i dati rimangono all’interno dei computer Axios. I prodotti utilizzati per effettuare l’assistenza remota sono TeamViewer e/o CrossLoop, un estratto della scheda di sicurezza degli stessi è allegato alla presente. Integrazione informativa assistenza tecnica su archivi dei clienti c/o Axios Axios utilizza gli archivi del cliente presso la propria sede solo su richiesta del cliente ed esclusivamente in questi casi: - qualora qualsiasi altra tipologia di intervento sia risultata inefficace; - qualora debba essere effettuata una “migrazione” dati da una base dati ad un’altra; - qualora debba essere effettuata una “fusione” in caso di accorpamento di diverse base dati: y=800.396.396 Via E. Filiberto, 190 - 00185 Roma - Tel 06.777.231 Fax 06.777.23.456 Fax 178.224.68.79 PI/CF-06331261005 Gli archivi gestiti con il software Axios vengono inviati alla sede Axios tramite internet in modo criptato e protetto da password. Gli archivi del cliente rimangono all’interno dei computer Axios solo per il tempo strettamente necessario ad eseguire l'operazione richiesta. Tali archivi sono trattati solo ed esclusivamente da personale Axios incaricato e fino alla risoluzione del problema esposto dal cliente, dopo di che sono immediatamente distrutti. Integrazione informativa prodotti Axios Tutti i prodotti Axios sono sviluppati in tecnologia client-server e quindi la base dati utilizzata è presente all’interno della sede del cliente ed in nessun modo conoscibile da esterni se non previa autorizzazione del cliente stesso. Axios non ha mai la possibilità di accedere, per sua iniziativa, dall'esterno alla base dati del cliente. Integrazione informativa servizio invio SMS Il cliente può effettuare tramite i programmi Axios invio di SMS di varia natura e per diversi scopi. Il servizio di invio SMS avviene tramite 1 servizi offerti dalla società Mobyt Srl - Via Aldighieri,10 - 44100 Ferrara. Per informazioni sulla politica di privacy della Mobyt Srl: http://www.mobyt.it/mobyt_privacy.pdf. I dati utilizzati per l’invio ed il contenuto stesso degli SMS non sono in alcun modo a conoscenza di Axios che in nessun modo può accedere a tali dati che sono memorizzati all’interno della base dati presente all’interno del server della scuola. La cadenza di invio, 1 destinatari ed il contenuto degli SMS sono decisi dal cliente tramite 1 programmi installati presso la propria sede. Per usufruire di questo servizio è necessario ed obbligatorio scaricare e rinviare firmata per posta (Axios Via Emanuele Filiberto 190, 00185 Roma) oppure via fax (06/777.23.456), l'informativa particolare http://www.axiositalia.com/documenti_pdf/informativa%20mobyt-axios.pdf Integrazione informativa accesso al sito axiositalia.com Axios sl impegna a proteggere la sua privacy su Internet. In generale chiunque può liberamente visitare il sito internet di Axios senza essere in alcun modo obbligato a fornire alcuna informazione personale che non intende svelare. E’ altresì evidente che per la fruizione di alcuni servizi facoltativi, ad esempio iscrizione nella nostra mailing list, alcuni dati verranno richiesti in quanto indispensabili per effettuare il servizio richiesto. Nello sforzo di rendere la sua visita al nostro sito più efficiente e sicura, tutti gli scambi di informazioni personali saranno sottoposti ai rigorosi standard di sicurezza internet predisposti da Axi0s. Occasionalmente il nostro sito potrà contenere collegamenti elettronici ad altri siti internet. Nel caso lei dovesse decidere di collegarsi a questi siti, si applicheranno 1 loro standard e la loro politica sulla privacy. Se lei dovesse ritenere che il sito internet di Axios Italia non stia tenendo fede alla sua politica sulla privacy, scriva a webmaster@axiositalia.com o spedisca le sue rimostranze a Axios, Via Emanuele Filiberto 190, 00185 Roma. = P-,800.396.396 Via E. Filiberto, 190 - 00185 Roma - Tel 06.777.231 Fax 06.777.23.456 Fax 178.224.68.79 PI/CF-06331261005 AXIOS Integrazione informativa Axios SissiWeb La Axios precisa che il servizio internet SissiWeb può utilizzare il protocollo di protezione SSL (Secure Socket Layer) ovvero il protocollo di sicurezza supportato dai browser di maggiore diffusione. La tecnologia SSL prevede che le informazioni riservate viaggino sulla rete Internet solo in forma criptata, ovvero codificate secondo un complesso algoritmo matematico che ne garantisce l'illeggibilità da parte di terze persone. Il server web su cui opera SissiWeb è anche certificato da VeriSign una delle aziende più importanti al mondo nel campo della certificazione di sicurezza. Tutti i dati gestiti tramite il servizio SissiWeb risiedono presso i computer del cliente, non sono mai memorizzati sui server Axios, non sono quindi conoscibili in alcun modo dal personale di Axios e sono accessibili solo da chi sia autorizzato dal cliente e solo per i dati di propria pertinenza. Tutti i codici di accesso e i diritti di accesso ai dati tramite il prodotto SissiWeb sono registrati all’interno degli archivi del cliente e solo da quest’ultimo possono essere letti e gestiti. Axios non conosce e non ha alcun modo di conoscere tali codici di accesso e password. Integrazione informativa Axios SIDI Axios precisa che Axios SIDI è un programma software finalizzato al trasferimento al SIDI dei diversi dati richiesti dal MIUR alle scuole clienti nell’esercizio delle loro funzioni istituzionali. I dati vengono trasferiti in maniera automatica direttamente dagli archivi presenti sul server della scuola al sito del MIUR senza che questi transitino in alcun modo su nessun server gestito da Axios, in altre parole il prodotto Axios SIDI è definibile solo come un browser internet finalizzato alla trasmissione dei dati in maniera automatica dalla scuola al SIDI. Integrazione informativa invio email e/o fax commerciali/informativi L'art. 130 del codice della privacy (196/2003) prevede l'obbligo della previa acquisizione del consenso dell'interessato per inviare messaggi pubblicitari o comunicazioni commerciali utilizzando la posta elettronica (email) e/o il fax. Tale obbligo, tuttavia, decade (comma 4) se tali comunicazioni avvengono tramite informazioni già in possesso, di chi invia l'email e/o il fax, a causa di precedenti contatti economico/commerciali o di altra natura o se le informazioni sono ricavate da elenchi pubblici. Se riceverete nostre email/fax sarà perché ci avrete fornito il vostro consenso oppure perché saremo in possesso del vostro indirizzo di posta elettronica e/o numero di fax in seguito alla ricezione di vostre email/fax, in seguito a transazioni commerciali o vostra pubblicità sul web o altri mezzi, o dalla partecipazione a manifestazioni ed eventi, o da elenchi e servizi di pubblico dominio, registri, atti o documenti conoscibili da chiunque o pubblicati su Internet, riviste, quotidiani ecc. dove, riteniamo, vi sia stato vostro esplicito e preventivo consenso all'atto della pubblicazione. In ogni caso nessuna ricerca sarà stata condotta da Axios per accedere e/o elaborare queste informazioni. Nel pieno rispetto del Codice, potrete comunque esercitare il vostro diritto, ai sensi dell'art. 7 del D.Lgs 196/2003, a non ricevere più nostre comunicazioni, semplicemente rispondendo ad una nostra email/fax e indicando gli indirizzi/numeri da rimuovere. La vostra richiesta sarà tempestivamente da noi soddisfatta. y=800.396.396 Via E. Filiberto, 190 - 00185 Roma - Tel 06.777.231 Fax 06.777.23.456 Fax 178.224.68.79 PI/CF-06331261005 Scheda sicurezza TeamViewer (download dal sito del produttore) TeamViewer - Instant Desktop Sharing Qualitàts-Siegel Sigillo di qualità AI TeamViewer è stato conferito il sigillo di qualità a cinque stelle (massimo riconoscimento) dal Bundesverband der IT- Sachverstindigen und Gutachter e.V. (BISG e.V. — Associazione tedesca degli esperti e periti IT). Gli esperti indipendenti del BISG e.V. controllano i prodotti di produttori qualificati per verificarne le caratteristiche di qualità, sicurezza ed assistenza. Certificazione qualità ISO 9001 :2000 La TeamViewer GmbH è una delle poche società presenti sul mercato del controllo remoto con un sistema di gestione qualità ISO 9001. E° un ulteriore garanzia che il nostro sistema qualità risponde a norme accettate a livello internazionale. Verificazione tecnica de sicurezza FIDUCIA IT AG AFIDUCIA TeamViewer è stato assogettato la verificazione tecnica di sicurezza Ihr If-Partmer dell' azienda tedesca Fiducia IT AG e liberato il riporto al posto dei banchi. Cifratura TeamViewer opera con cifratura completa sulla base di un RSA Public- /Private Key Exchange e un AES (256 Bit) Session Encoding. Questa tecnica viene impiegata anche con https/SSL ed in base allo standard attuale della tecnica viene considerato estremamente sicuro. Poiché la Private Key non abbandona mai il computer del client, tramite questo procedimento si garantisce l’impossibilità tecnica di decodifica del flusso di dati su Internet da parte dei computer intermedi, ciò vale anche per il TeamViewer Routingserver. Firma cifrata Come ulteriore funzione di sicurezza tutti i nostri programmi vengono firmati con VeriSign Code Signing. E’ in tal modo sempre possibile verificare in modo affidabile la provenienza del software. Anche i tool QuickSupport Custom Design prodotti dall’utente vengono firmati in modo dinamico al momento della predisposizione. Accesso sicuro Oltre alla PartnerID generata automaticamente, il TeamViewer crea una password dinamica per la sessione, che ad ogni avvio si modifica nell’impostazione standard, offrendo quindi maggiore sicurezza nei confronti di accessi al sistema non autorizzati. Funzioni aggiuntive importanti come il trasferimento di dati richiedono un’ulteriore conferma manuale da parte dell’utente. Inoltre, in genere non è possibile controllare un computer senza essere visti, poiché per motivi di tutela dei dati l’utente del computer a distanza deve essere informato in merito all’accesso. P-\ 800.396.396 Via E. Filiberto, 190 - 00185 Roma - Tel 06.777.231 Fax 06.777.23.456 Fax 178.224.68.79 PI/CF-06331261005 Scheda sicurezza CrossLoop (download dal sito del produttore) Security - Details CrossLoop has been designed and implemented with security in mind.This includes all aspects of the website, the server and the clients. The purpose of this section is to cover the CrossLoop security model. Website The CrossLoop website provides HTML pages which describe the product, tells how it works, allow you to track your sessions, be able to promote yourself and your profile, contact helpers, address frequently asked questions and give you information about the company and how to contact us. When you login to the site, we use SSL to ensure that your login credentials are secured. Client Download When you download the client application from the CrossLoop website using the "FREE DOWNLOAD" button you should see an Internet Explorer (or FireFox equivalent, etc.) Security Warning - File Download - Security Warming [esa] Do you want to run or save this file? E I Mame: crossloopsetup.exe LI Type: Application, 2.07MB From: download.crossloop.com Bun || save | Cancel | aa While files from the Intemet can be useful, this file type can \D potentially harm your computer. If you do not trust the source, do not “2° run or save this software. Vhat's the risk? It is important to confirm that the download is from the crossloop.com domain. If the crossloopsetup.exe is not from the crossloop.com domain, your access to the CrossLoop website has been compromised. When you select "Run" you should see an Internet Explorer (or FireFox equivalent, etc.) second Security Warning - Internet Explorer- Security Warning a Do you want to run this software? CÒ] Name: crossloopsetup.exe in Publisher: CrossLoop, Inc [£) More options Run__| ® While files from the Internet can be useful, this file type can potentially harm 2 your computer, Only run software from publishers you trust. What the risk? The crossloopsetup.exe is a signed executable module for download. The display of CrossLoop, Inc. as the Publisher verifies that we are the signers of that code. If you do not see this message, your access to the CrossLoop website has been compromised. The Publisher: CrossLoop. Inc. is a link which you can click to view the publisher's digital signature. n P-,800.396.396 Via E. Filiberto, 190 - 00185 Roma - Tel 06.777.231 Fax 06.777.23.456 Fax 178.224.68.79 PI/CF-06331261005 AIXIOS Digital Signature Details Ea Genera |Advanced] =5, Digital Signature Information #21. This digital signature is OK. Signer information Name: [Crosstoop, ine Email ftomr @crossloop.com Signing time: Tuesday, Apri 03, 2007 6:34:02 PM Mew Certificate Countersignatures Name of signer: |. E-mall address: Tmestamp Comodo Time St... Notavalable -—Tuesday, Aprl03, 2 You should be able to confirm that, “This digital signature is OK." Clicking on "View Certificate" you will see ihe following Certification Information - Certificate Information This certificate is intended for the following purpose(s): + Ensures software came from softvare pubisher » Protects softare from alteration after publication = Refer to the certification authors statement for details. Issued to: CrossLoop, Inc Issued by: UTN-USERFrst-Object Valid from 10/31/2006 to 11/1/2007 Leam more about certiicates fici) fo] Confirming the validity of the digital signature on the downloaded executable module is important because it verifies the origin of digital content and the fact that it hasn'i changed since it was signed. If you trust the source {CrossLoop, Inc.), then you can trust the application because it comes from a verified source. After the code-signed file (crossloopsetup.exe) is downloaded from the website, ihe browser extracts the certificate from the file, and checks an internal list ot certificate authorities (CAs) and their public keys to verify the signature in the certificate. If the signed software is tampered with in any way, the digital signature will break and aleri you that the code has been altered and is not trusiworihy. Client Access Code Unlike remote control software (GoToMyPC, pcAnywhere, LogMeln, etc.) which enable you to remotely control an unattended computer, CrossLoop requires the presence of a person at both ine Share and Access computers for a connection to be made. This is a key element ot the CrossLoop security model. n P800.396.396 Via E. Filiberto, 190 - 00185 Roma - Tel 06.777.231 Fax 06.777.23.456 Fax 178.224.68.79 PI/CF-06331261005 CSIXIOS Italia The Share computer which shares control with the Access computer must have a person who gives the Access Code to the person on the Access computer. Once the rendezvous is completed between the Share and Access computers, the Share is asked to allow or deny a session with the identified Access computer. TomRolander. ITER ULI EU EI LI [omissis] ua When the person at the Share computer has clicked the "Connect" button and is waiting for the person at Access computer, the Share computer will timeout in 2 minutes in the absence of a Access computer connection. Thus, it is not possible to leave a Share computer unattended waiting for a Access computer. A person must be present on both computers in order to initiate a CrossLoop screen sharing session. When the person at the Share computer clicks "Connect" a timer is shown in the dialog which counts down from 2:00 minutes. A disconnect is automatically made when the timer reaches 0:00. TN ek; Tell'a Friend|your Access Code VE 01:51 LITTERI 2374 9419 5454 Disconnect When the CrossLoop client is executed and the Share tab is selected, a randomly generated 12-digit Access Code is displayed on the client. This 12-digit Access Code is generated on the client and is a product of several variables, examples of which could include: the current system time; the contents of uninitialized memory; the user / computer name; the amount of disk free space on the client computer, etc. The CrossLoop server is not involved in the generation of this code and does not have any access to the 12-digit Access Code or the variables used by the Share to generate the Access Code. The Access Code on the Share is passed out of band to the person on the Access computer. Typically this is done over a telephone, using VolP (Skype, Vonage, etc.), or with a secure chat / instant messaging program. Each time that the CrossLoop client is executed, a new Access Code is generated for the Share. Since there is no single repeatable Access Code for a Share, there must be communication between the persons at the Share and Access computer to exchange the new Access Code. The 12-digit Access Code is used as the input to a one-way hashing algorithm {MD5) to produce a 128-bit symmetric key for the Blowfish encryption. Blowfish is used to encrypt all communication between the Share and Access computers. The CrossLoop server never has access to the Blowfish encryption key. Client User Experience ZGTESE Via E. Filiberto, 190 - 00185 Roma - Tel 06.777.231 Fax 06.777.23.456 Fax 178.224.68.79 PI/CF-06331261005 The user experience for the CrossLoop clients has been designed to promote security by facilitating a disconnect and also to make the person on the Share computer aware that their screen is being viewed by the person on the Access computer. At any time the person on the Share computer can hit "Disconnect" to end a session There is no "Confirm" on the disconnect so that it will take place immediately The Share client dialog is always on top so that the person on the Share computer is aware that the computer is being watched During a time of inactivity, or if minimized, the dialog is periodically brought back to the top Client Rendezvous The CrossLoop server is used as a rendezvous point to connect the Share and Access parties. This rendezvous is accomplished by matching Session IDs between the Share and Access computer. The 32-bit Session ID used in the rendezvous is generated by obfuscating the 128-bit symmetric key generated from the one-way hash of the Access Code. When a match is found between Share and Access Session IDs, a known plaintext message is encrypted with Blowfish at the Share using its 128-bit symmetric encryption key and sent to the Access computer. The Access computer decrypts the encrypted message with Blowfish using its 128- bit symmetric key and will only be allowed to continue if the decrypted message matches the known plaintext message. Once the rendezvous for the Share and Access parties is completed CrossLoop attempts a direct peer-to-peer (P2P) connection between the Share and Access computers. This is usually possible and is successful in about 85% of the connections. If not, CrossLoop relays all of the messages between the Share and Access computers through the CrossLoop relay server. CrossLoop sometimes fails to make P2P connections when a poorly behaved router is involved in the connection, or when UDP packets are blocked. Blowfish Encryption All of the data transferred between the Share and Access computers is encrypted / decrypted using the Blowfish symmetric encryption algorithm developed by Bruce Schneier (http://www.schneier.com/). Blowfish is a variable-length key block cipher. The key length used by CrossLoop is 128-bits and the algorithm is a 64-bit block cipher. Blowfish is a block-encryption algorithm designed to be fast (it encrypts data on large 32-bit microprocessors at a rate of 26 clock cycles per byte), compact (it can run in less than 5K of memory), simple (the only operations it uses are addition, XOR, and table lookup on 32-bit operands), secure (Blowfish's key length is variable and can be as long as 448 bits), and robust (unlike DES, Blowfish's security is not diminished by simple programming errors). The Blowfish block-cipher algorithm, which encrypts data one 64-bit block at a time, is divided into key-expansion and a data- encryption parts. Key expansion converts a key of at most 448 bits into several subkey arrays totaling 4168 bytes. Data encryption consists of a simple function iterated 16 times. Each iteration, called a "round," consists of a key-dependent permutation and a key- and data-dependent substitution. Summary Security is extremely important to us at CrossLoop. A key part of our security model is that we require the presence of a person at both the Share and Access computers in order to conduct a screen sharing session. A Share computer cannot be remotely controlled with CrossLoop unless you are present at your Share computer and accept a connection. We have endeavored in the design of CrossLoop to provide you with Simple Secure Screen Sharing and thereby earn your trust. = P-,800.396.396 Via E. Filiberto, 190 - 00185 Roma - Tel 06.777.231 Fax 06.777.23.456 Fax 178.224.68.79 PI/CF-06331261005