Memberof CISA Federation ARGO SOFTWARE s.r.l, Recapiti telefonici Web 7 Zona Ind.le III Fase 97100 Ragusa Assist. Tel. 0932.666412 www.argosoft.it | RI DIA Fi A) [Het | R.E.A. n. 70205 Numero Fax 0932.667551 ammin@argosoft.it Lc software C.S. € 200.000,00 i.v. assist@argosoft.it 180 9001-ISO/IEC 27001 Cert. 9001 n. 15682/06/S Cert. 27001 n. 556/19 Policy Argo Software in materia di protezione e disponibilità dei dati relativi ai servizi web Premessa Il presente documento descrive la policy della Argo Software in materia di sicurezza delle informazioni, continuità operativa e trattamento dei dati personali contenuti negli archivi e nei repository delle scuole fruitrici dei servizi web Argo. La Argo Software è impegnata costantemente nel migliorare l'efficacia e l'efficienza dei propri processi di gestione delle informazioni e dei servizi web offerti alle scuole, nell'ottica della salvaguardia dell'integrità e della riservatezza dei dati, della disponibilità dei servizi e delle informazioni in tempi adeguati e della continuità operativa dei servizi e dei sistemi. In questo contesto, Argo Software adotta tutti gli accorgimenti organizzativi, le soluzioni tecniche e procedurali idonee al mantenimento e ripristino delle condizioni di funzionamento e di operatività antecedenti ad eventuali eventi disastrosi ed è impegnata, con continuità, ad adottare tutte le misure di sicurezza che trovano fondamento e riferimento all'interno del quadro normativo italiano e europeo (Regolamento UE 2016/679, Linee guida AgiD per il Disaster Recovery, Circolare AgID nr. 2/2017 sulle misure minime di sicurezza ICT per le PP.AA. ) e dei più elevanti standard di sicurezza delle informazioni. Da Marzo 2019 la Argo Software è iscritta nell'elenco dei fornitori di servizi SaaS qualificati AgliD secondo la circolare N. 3 del 9 aprile 2018. Il Sistema di Gestione della Sicurezza delle Informazioni di Argo Software , nell'ambito dei servizi di progettazione, sviluppo, assistenza ed erogazione, in modalità cloud SaaS e on-premises, di software gestionale per le scuole di ogni ordine e grado e privati e di erogazione di servizi in modalità Cloud SaaS per la gestione di documenti digitali anche a fini di conservazione, è inoltre certificato secondo la norma UNI CEI EN Tipologia dei dati e delle informazioni gestiti dalla Argo Software I dati gestiti dalla Argo Software consistono nelle informazioni (generiche e personali) contenute negli archivi delle scuole e dei clienti fruitori dei medesimi servizi e nei profili degli utenti fruitori dei servizi web Argo. In riferimento alle informazioni contenute negli archivi, la natura dei dati varia in base alle caratteristiche del servizio attivato da ogni singola istituzione scolastica o cliente. Possono quindi essere conservate informazioni personali e, nel caso di servizi collegati alla gestione del personale e degli alunni, anche dati appartenenti alle categorie particolari di cui agli artt. 9 e 10 del Regolamento UE 2016/679 [specificamente quelle riepilogate nelle schede allegate al D.M. 305/2006, recante identificazione degli ex dati sensibili e giudiziari trattati e delle relative operazioni effettuate dal Ministero della pubblica istruzione]. I dati sono conservati all’interno dei database degli applicativi secondo la logica di raccolta e standardizzazione del singolo software ed etichettati secondo la classificazione delle informazioni del sistema di gestione. Pag. 1 di 10 Memberof CISA Federation ARGO SOFTWARE s.r.l, Recapiti telefonici Web — A Zona Ind.le IIl Fase 97100 Ragusa Assist. Tel. 0932.666412 www.argosoft.it DINA) | RI Fi ichet | R.E.A. n. 70205 Numero Fax 0932.667551 ammin@argosoîft.it Lc software ©-S- € 200.000,00 i.v. assist@argosoft.it ISO 9001-1SO/IEC 27007 Cert. 9001 n. 15682/06/S Cert. 27001 n. 556/19 I documenti sono raccolti e archiviati in appositi repository, secondo la logica di classificazione delle informazioni impostata dal cliente. Modello di responsabilità condivisa (shared responsibility) Argo Software lavora in qualità di fornitore di servizi in Cloud mettendo a disposizione applicativi in modalità SaaS e erogando i relativi servizi di assistenza e manutenzione. Si avvale di fornitori di servizi cloud (anche di conservazione) qualificati e certificati secondo la vigente normativa ed identifica nei propri contratti gli specifici ruoli attribuiti a ciascun fornitore del servizio. Per rappresentare in maniera completa la distribuzione dei ruoli e rendere gli utilizzatori dei servizi consapevoli delle loro responsabilità nell'uso del servizio cloud, la Argo ha elaborato un documento che rappresenta il modello di responsabilità condivisa, disponibile alla pagina https://www.argosoft.it/privacy.php Architettura del sistema informatico I database server, i repository di documenti e le relative copie di backup sono ospitati presso la piattaforma cloud AWS [omissis] . Il Cloud AWS è strutturato in "regioni", costituite da più "zone di disponibilità" (AZ), ognuna delle quali è una partizione completamente isolata dell'infrastruttura AWS, costituita da data center provvisti di alimentazione, rete e connettività ridondanti, ognuno in una propria struttura separata. Con la loro infrastruttura di alimentazione, le zone di disponibilità sono fisicamente separate tra loro da una distanza significativa di molti chilometri. | file dei documenti sono conservati negli storage (contenitori) di Amazon S3. I backup di database e file sono conservati negli storage di Amazon S3. Per i dati dei propri clienti, Argo Software ha scelto la regione Europa Irlanda, situata nella Repubblica d'Irlanda, composta da 3 zone di disponibilità e la regione Europa Milano, anch'essa composta da 3 zone di disponibilità. L'amministrazione dei servizi di gestione delle applicazioni e dei database è affidata esclusivamente a personale interno alla Argo Software. Gli addetti all'amministrazione delle applicazioni e dei database sono nominati amministratori di sistema. L'accesso ai servizi di amministrazione è eseguito attraverso utenze di dominio nominative adottando il meccanismo di autenticazione forte a due fattori secondo un approccio basato sull'analisi dei rischi. Con periodicità infrannuale, sulla base del piano degli audit interni, viene eseguito il monitoraggio sui log degli accessi degli amministratori di sistema da parte del personale all'uopo designato (auditor incaricato, DPO o responsabile del SGSI). I log degli accessi eseguiti dagli amministratori di sistema sono archiviati per un periodo di 18 mesi. Pag. 2 di 10 Memberof CISA Federation ARGO SOFTWARE s.r.l, Recapiti telefonici Web — A Zona Ind.le IIl Fase 97100 Ragusa Assist. Tel. 0932.666412 www.argosoft.it DINA) | RI Fi ichet | R.E.A. n. 70205 Numero Fax 0932.667551 ammin@argosoîft.it Lc software ©-S- € 200.000,00 i.v. assist@argosoft.it ISO 9001-1SO/IEC 27007 Cert. 9001 n. 15682/06/S Cert. 27001 n. 556/19 Modalità di gestione dei dati e di erogazione del servizio Tutti i dati archiviati sui dischi all'interno di cluster Amazon e tutti i backup in Amazon S3 sono protetti con la crittografia, mediante l'Advanced Encryption Standard AES-256. Il sistema di gestione delle istanze delle applicazioni e dei database adottato da Argo consente di avere una facile ridondanza e replicazione dei sistemi informatici e dei dati, preservando così i clienti da rischi di interruzione prolungata dei servizi e/o di perdita delle informazioni. Ogni cluster di database è formato da due tipi di istanze: primaria e replica. Per ogni istanza primaria, ci sono più repliche posizionate in zone di disponibilità differenti. L'istanza database primaria viene replicata in modo sincrono. Nel caso in cui l'istanza primaria non sia disponibile, viene eseguita automaticamente la commutazione su una replica. Backup e ripristino dei dati, garanzie di continuità operativa Per ogni istanza di database, il servizio Amazon RDS esegue uno snapshot giornaliero sul e conserva i log delle modifiche al database all'interno del periodo di "retention" che segue. La creazione degli snapshot non provoca alcuna interruzione delle operazioni di scrittura e lettura in quanto gli "snapshot" vengono eseguiti su una copia di standby. I log delle transazioni per le istanze database vengono caricate in Amazon S3 ogni 5 minuti. Per ciascuna istanza di database viene mantenuta una copia di backup giornaliera per 35 giorni (periodo di retention dei backup). Settimanalmente (domenica), è inoltre effettuata una ulteriore copia di tutti i dati, Durante questo periodo, è possibile eseguire il ripristino di una istanza di database a un punto temporale specifico. Decorso questo periodo, viene mantenuta una copia settimanale per ulteriori 25 giorni. Per offrire un pari livello di protezione anche ai documenti, la Argo ha attivato la funzione Versioning che consente di recuperare e ripristinare qualsiasi versione di ogni file di documento memorizzato nello storage Amazon S3. Il servizio di AWS garantisce una durabilità dei dati pari ad oltre il 99,9% perchè crea e mantiene automaticamente copie di tutti gli oggetti su più sistemi. Per tutelare i propri clienti, la Argo ha messo in funzione un piano di continuità operativa molto dettagliato, che mira a garantire il ripristino di tutte le informazioni contenute nelle repliche anche in caso di disastro, secondo i seguenti SLA: * RITO: il tempo massimo di recupero e ripristino delle informazioni è fissato in 4 ore dall'incidente. * RPO: il punto massimo di perdita di dati in caso di incidente è 24 ore (per via del backup giornaliero, se l'incidente avviene prima della copia, il massimo di dati persi è fino all'ultima esecuzione del backup del giorno precedente). I due SLA, combinati, mirano a garantire ai clienti dei servizi cloud che in caso di disastro, la Argo sarà in grado di ripristinare la disponibilità di tutti i dati, fatti salvi quelli registrati nelle ultime 24 ore, in un massimo di 4 ore. Pag. 3 di 10 Memberof CISA Federation ARGO SOFTWARE s.r.l, Recapiti telefonici Web — A Zona Ind.le IIl Fase 97100 Ragusa Assist. Tel. 0932.666412 www.argosoft.it DINA) | RI Fi ichet | R.E.A. n. 70205 Numero Fax 0932.667551 ammin@argosoîft.it Lc Cert. 9001 n. 15682/06/S Cert. 27001 n. 556/19 Gestione e Profilazione delle utenze La gestione e profilazione delle utenze degli applicativi web Argo, attraverso il portale Argo, è di esclusiva pertinenza della scuola. In fase di attivazione di una nuova utenza, viene richiesta l'indicazione di un'indirizzo mail, a cui saranno comunicati l'attivazione e i successivi reset password dell'utenza e, su richiesta, l'invio di notifiche relative agli accessi effettuati dall'utente all'area di gestione utenza del portale Argo. L'indirizzo mail può essere modificato in qualsiasi momento dal singolo utente dalla Gestione delle Utenze del Portale Argo, accedendo alla gestione “Anagrafe Utente”. Dietro esplicito consenso da parte dell'utente, l'indirizzo mail potrà essere utilizzato da parte della Argo Software per l'invio di comunicazioni di natura esclusivamente tecnica sull'utilizzo dei programmi Argo a cui l'utente risulta abilitato (faq, guide, videoguide, manuali d'uso, comunicazioni sulle novità riguardanti gli aggiornamenti, nuove soluzioni). L'opzione di scelta per l'invio delle suddette comunicazioni può essere modificata dall'utente in qualsiasi momento sempre dalla gestione "Anagrafe Utente". Accesso ai servizi web L'acceso da parte degli utenti ai servizi web Argo avviene usando il protocollo di autenticazione/autorizzazione OAuth2. Il token di accesso ha durata di 1 ora e nel caso l'utente abbia scelto di accedere con modalità Single Sign On (SSO), mettendo la spunta sull'opzione “Ricordami” nel pannello di login, questo viene rinnovato in automatico per 24 ore. Alla scadenza del token o in caso di logout, l'utente potrà riaccedere reinserendo le credenziali di accesso. La modalità SSO consente all'utente di accedere a tutti gli applicativi Argo sui cui l'utente è stato autorizzato, senza reimmettere le credenziali di accesso (nello stesso browser e sullo stesso dispositivo). L' utilizzo del SSO è vivamente sconsigliato in caso di postazione/dispositivo condiviso: in questo caso è bene ricordarsi di effettuare il logout dalla sessione corrente prima di allontanarsi definitivamente dalla postazione e di chiudere tutte le eventuali finestre di lavoro attive. L'accesso ai servizi può essere effettuato oltre che tramite le credenziali fornite dalla scuola, anche mediante SPID di livello 1 (se l'utente è stato abilitato dal gestore delle utenze della scuola e qualora la scuola abbia sottoscritto l'accordo di servizio per la registrazione in AglD) o mediante ArgolD. ArgolD è un servizio di accesso facilitato messo a disposizione direttamente da Argo agli utenti e serve a facilitare l'autenticazione, in presenza di più utenze, attraverso l'utilizzo di una unica coppia di credenziali. AIl'ArgolD vengono collegate tutte le singole utenze create dalle scuole. I dati richeisti per la creazione dell’ArgolD sono personali (nome, cognome, mail, codice fiscale ed eventualmente numero di telefono) e sono trattati dalla Argo Software srl in qualità di Titolare del Trattamento, come specificato nella informativa disponibile al link Gestione degli Argo ID. Pag. 4 di 10 Memberof CISA Federation ARGO SOFTWARE s.r.l, Recapiti telefonici Web — A Zona Ind.le IIl Fase 97100 Ragusa Assist. Tel. 0932.666412 www.argosoft.it DINA) | RI Fi ichet | C.F.-P.Iva e R.I. di RG 00838520880 Amm.ne Tel. 0932.667550 info@argosoft.it d SS R.E.A. n. 70205 Numero Fax 0932.667551 ammin@argosoîft.it Lc software ©-S- € 200.000,00 i.v. assist@argosoft.it ISO 9001-1SO/IEC 27007 Cert. 9001 n. 15682/06/S Cert. 27001 n. 556/19 Utilizzo delle utenze Argo per accesso ad altri servizi Attraverso l'utenza Argo docente o genitore o alunno è possibile accedere ai servizi di e- learning offerti da BSMART. L'autenticazione avviene utilizzando il protocollo di sicurezza OAuth2, il quale permette di accedere ai servizi forniti da applicazioni terze senza fornire a quest'ultime le credenziali di accesso (sulle quali quindi l'utente e Argo continuano ad avere esclusivo controllo). L'accesso ai servizi BSMART utilizzando le credenziali Argo è naturalmente facoltativo e in caso di accettazione da parte dell'utente, l'utente è reindirizzato dalla piattaforma BSMART ad un dominio Argo, unico punto di accesso da cui viene consentito trasmettere le proprie credenziali Argo. Al termine del processo di autenticazione, l'utente viene rimandato sul dominio del client | dati forniti a BSMART si riferiscono esclusivamente a nome, cognome, codice fiscale, indirizzo email, ruolo (docente, genitore o alunno). Le attività svolte da BSMART nell'erogazione dei servizi di e-learning, anche se accedute con credenziali Argo, sono agite in assoluta autonomia e sotto la responsabilità di BSMART che agisce in qualità di titolare del trattamento. Tracciamento dei log nei servizi web Ai fini della sicurezza, la Argo Software s.r.l. esegue il tracciamento degli "accessi" ai servizi web Argo e — per le applicazioni più critiche - delle "operazioni" effettuate dagli utenti all'interno degli stessi. In considerazione del volume e della eterogeneità dei log raccolti, che possono perdere di efficacia informativa se generalizzati tra applicativi, è attualmente in corso un progetto di ristrutturazione dei log delle operazioni finalizzato a raccogliere e conservare tutte e sole le informazioni utili in ogni applicativo, nel rispetto del principio di minimizzazione. Alla data di aggiornamento di questa policy, quindi, in attesa del completamento del progetto, sono disponibili e possono essere richiesti secondo la procedura che segue: - i log degli accessi agli applicativi per tutti gli utenti dei servizi web effettuati nell'arco degli ultimi 12 mesi mobili; - i log delle operazioni significative sui database, intesi come le query SQL lanciate sulle banche dati dei servizi web (es. inserimento, modifica, cancellazione) effettuati nell'arco degli ultimi 2 mesi mobili, al fine di analisi di bug di sistema o di segnalazioni che richiedono l'analisi di eventuali incidenti; - i log essenziali delle operazioni significative sopra citate, qualora ritenuti rilevanti per verifiche ulteriori rispetto a bug, incidenti, data breach, per un massimo di 12 mesi mobili. Per le eventuali richieste dei log da parte dei clienti, l'Azienda richiede la compilazione di apposita modulista da inviare tramite PEC all'indirizzo assistenza. argo@pec.ecert.it. La richiesta di log deve essere sottoscritta dal Dirigente Scolastico , circostanziata e motivata, onde consentire alla Argo di capire se la consegna degli stessi è richiesta dalle condizioni del contratto dei servizi web o se è da considerarsi extra contrattuale e quindi soggetta a preventivo. Pag. 5 di 10 Memberof CISA Federation ARGO SOFTWARE s.r.l, Recapiti telefonici Web — A Zona Ind.le IIl Fase 97100 Ragusa Assist. Tel. 0932.666412 www.argosoft.it DINA) | RI Fi ichet | C.F.-P.Iva e R.I. di RG 00838520880 Amm.ne Tel. 0932.667550 info@argosoft.it d SS R.E.A. n. 70205 Numero Fax 0932.667551 ammin@argosoîft.it Lc software ©-S- € 200.000,00 i.v. assist@argosoft.it ISO 9001-1SO/IEC 27007 Cert. 9001 n. 15682/06/S Cert. 27001 n. 556/19 Un eventuale prolungamento dei tempi di conservazione può aver luogo in relazione: * a particolari esigenze tecniche o di sicurezza; * all'obbligo di custodire o consegnare i dati per ottemperare ad una specifica richiesta dell'autorità giudiziaria o della polizia giudiziaria. Oltre ai suddetti dati, i sistemi informatici e le procedure software preposte al funzionamento dei servizi web Argo acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell'uso dei protocolli di comunicazione di Internet. Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati e che vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull'uso delle applicazioni e per controllarne il corretto funzionamento e vengono cancellati immediatamente dopo l'elaborazione. Procedure di verifica del sistema di protezione dei dati Con cadenza annuale vengono svolte da società terze, specializzate nel settore della sicurezza informatica, Penetration test e verifiche di Vulnerability Assessment. Per quanto riguarda l'aggiornamento delle misure di sicurezza, la Argo è iscritta ad un servizio di early warning per il monitoraggio continuo delle vulnerabilità. Criteri di selezione delle server farm La Argo Sofware si affida esclusivamente a server farm di comprovata affidabilità ed esperienza in materia di sicurezza informatica, e comunque previa verifica delle misure fisiche, logiche e organizzative poste in capo alle infrastrutture informatiche fornite. Ad ogni fornitore è richiesta come requisito la certificazione ISO 27001, la qualificazione come CSP presso AgiD, uno SLA di connettività di almeno il 95% su base annua ed una disponibilità dei servizi 24 ore su 24 per 365 giorni all'anno. Modalità di trasmissione dei dati I dati viaggiono sulla rete criptati, secondo il protocollo SSL che garantisce il massimo livello di sicurezza a protezione delle trasmissioni telematiche. Disponibilità dei dati Per gli applicativi web Argo relativi all'area didattica (Alunni, Scrutini, ScuolaNext, DidUP, Formazione classi prime) e contabile (Bilancio, Project), è possibile richiedere sempre una copia di backup in locale dei dati residenti presso i server Argo. La procedura, totalmente automatizzata, è disponibile all'interno dell'Area Clienti del sito Argo, e consente di scaricare una copia in locale dei dati della scuola residenti in remoto. Per motivi di sicurezza, la richiesta può essere inoltrata dalla suddetta area esclusivamente accedendo con le credenziali dell'amministratore dei servizi della scuola (Supervisor), nella persona del Dirigente scolastico o suo delegato. Una volta processata, i dati sono resi disponibili per lo scarico all'interno dell'area per un periodo di tempo limitato. Pag. 6 di 10 Memberof CISA Federation ARGO SOFTWARE s.r.l, Recapiti telefonici Web — A Zona Ind.le IIl Fase 97100 Ragusa Assist. Tel. 0932.666412 www.argosoft.it DINA) | RI Fi ichet | C.F.-P.Iva e R.I. di RG 00838520880 Amm.ne Tel. 0932.667550 info@argosoft.it d SS R.E.A. n. 70205 Numero Fax 0932.667551 ammin@argosoîft.it Lc software ©-S- € 200.000,00 i.v. assist@argosoft.it ISO 9001-1SO/IEC 27007 Cert. 9001 n. 15682/06/S Cert. 27001 n. 556/19 All'indirizzo mail comunicato in fase di richiesta, viene inviata la password posta a protezione del file di backup. Per la restituzione dei dati relative a piattaforme documentali (Gecodoc, Albo Pretorio Online, Amministrazione Trasparente) occorre fare richiesta all'indirizzo assistenza. argo@pec.ecert.it. I dati contenuti nei database e nei repository delle applicazioni per cui è stata fatta richiesta di esportazione, sono resi disponibili per lo scarico mediante un link comunicato per PEC. L'operazione di scarico è protetta da password comunicata per email all'indirizzo indicato dal cliente nel modulo di richiesta esportazione. Risoluzione dei contratti, restituzione, cancellazione e fruibilità dei dati In caso di risoluzione del contratto di licenza o di assistenza da parte della scuola di un servizio web Argo, la scuola — su richiesta del Dirigente scolastico — può optare per: - la restituzione e cancellazione/anonimizzazione dei dati (soluzione di default per legge); - la restituzione e mantenimento dei dati (a fronte di un pagamento di un canone). I dati ed i documenti vengono comunque restituiti, in formato aperto, nei tempi tecnici di esportazione sicura dei dati e tramite trasmissione sicura. Dalla data di cessazione, è inoltre consentito l'accesso all'applicazione web da parte degli utenti per un ulteriore periodo di 1 mese. | tempi tecnici occorrenti alla successiva cancellazione dei dati possono variare da 2 mesi a 12 mesi, più i tempi di retention del backup sopra indicati (35+25 gg=2 mesi), a seconda della natura delle informazioni coinvolte e delle applicazioni interessate. Il periodo è peraltro funzionale ad eventuali verifiche da parte del cliente sull’operazione di migrazione dati eseguita dal nuovo fornitore. Il tempo massimo di conservazione dei dati contenuti nei database dopo la cessazione del contratto e/o la richiesta di cancellazione dei dati è 12+2 mesi. Parimenti, il tempo massimo di conservazione dei documenti contenuti nei repository dopo la cessazione del contratto e/o la richiesta di cancellazione dei dati è 12+2 mesi, al termine dei quali la Argo procederà alla cancellazione logica dei files dai sistemi. L'attivazione del versioning nei repository richiede però anche una operazione di cancellazione fisica (manuale) da parte degli amministratori di sistema, che sarà effettuata con frequenza almeno annuale per tutti i contratti cessati. Di conseguenza, la Argo potrà conservare fisicamente i documenti caricati nelle applicazioni per un ulteriore periodo di massimo 12 mesi. Impegni e garanzie per la protezione dei dati personali La Argo Software garantisce che l'erogazione dei servizi avviene nel rispetto della normativa che regola il trattamento dei dati personali in outsourcing, ai sensi dell'art. 28 del Regolamento UE 2016/679. Per la fornitura dei servizi web, la Argo Software agisce in qualità di Responsabile del Trattamento dei dati, come specificato nei contratti di licenza di utilizzo del software, e di questo ruolo deve essere formalmente investito da parte del cliente anche in termini di garanzie ed istruzioni. Per la nomina a Responsabile del trattamento, in riferimento a Pag. 7 di 10 Memberof CISA Federation ARGO SOFTWARE s.r.l, Recapiti telefonici Web — A Zona Ind.le IIl Fase 97100 Ragusa Assist. Tel. 0932.666412 www.argosoft.it DINA) | RI Fi ichet | C.F.-P.Iva e R.I. di RG 00838520880 Amm.ne Tel. 0932.667550 info@argosoft.it d SS R.E.A. n. 70205 Numero Fax 0932.667551 ammin@argosoîft.it CO AEREI VET software ©-S- € 200.000,00 i.v. assist@argosoft.it ISO 9001-1SO/IEC 27007 Cert. 9001 n. 15682/06/S Cert. 27001 n. 556/19 quanto già definito nelle condizioni contrattuali, la Argo Software mette a disposizione dei clienti anche un modello scaricabile all'indirizzo: https://assistenza.argo.software/utilities/. In caso di assenza di designazione formale, la Argo Software si riserva il diritto di sospendere l'erogazione del servizio, nell'interesse reciproco delle parti di rispettare il dettato normativo, fino ad adempimento da parte del cliente, titolare del trattamento. Responsabile per la Protezione dei Dati (DPO) della Argo Software, è Chiara Delaini, raggiungibile all'indirizzo di posta elettronica ordinario dpo@argosoft.it o di posta elettronica certificata dpo-argosoft@ecert.it per qualsiasi richiesta di informazioni da parte dei clienti o degli interessati. In qualità di Responsabile del Trattamento dei Dati, la Argo Software s.r.l. assume in sintesi il compito e la responsabilità di: * adempiere a tutto quanto necessario per il rispetto delle disposizioni vigenti in materia e di osservare scrupolosamente quanto in essa previsto; * adottare le misure di protezione dei dati personali specificate in questa policy e mantenere in atto e migliorare continuamente, ove possibile, il Sistema di Gestione per la Sicurezza delle Informazioni certificato; * assistere l’Istituto Scolastico per l'adempimento delle misure tecniche ed organizzative atte a garantire l'esercizio dei diritti degli interessati; * restituire e successivamente cancellare i dati personali trattati alla cessazione del contratto, come sopra indicato, fatte salve diverse prescrizioni di legge; * metterea disposizione dell'Istituto Scolastico tutte le informazioni atte a dimostrare la conformità alla vigente normativa di fronte ad una richiesta della Autorità competente; e comunicare senza ingiustificato ritardo qualunque violazione di dati personali ai fini della conforme gestione dei data breach da parte del Titolare; * provvedere immediatamente, nel caso in cui un interessato si rivolgesse alla Argo per l'esercizio di un diritto o reclamando una violazione, a comunicarlo al Responsabile della Protezione dei Dati della scuola ed all’ Istituto Scolastico stesso senza rispondere all'interessato, salvo diversa istruzione della scuola; * autorizzare il personale dedicato al trattamento dei dati, istruendolo adeguatamente e vincolandolo alla riservatezza; * avvalersi, per l'erogazione dei servizi SaaS, di Cloud Service Providers che offrono adeguate garanzie, come sopra descritti, incaricandoli in qualità di subresponsabili del trattamento; * provvedere alla nomina dei concessionari in qualità di sub-responsabili del trattamento per le attività di assistenza ai software e manutenzione degli archivi dei sistemi informatici specificati nell'apposito contratto di licenza software, fornendo loro istruzioni scritte in merito alle misure di sicurezza da adottare e vincolandoli alla riservatezza dei dati; * contrattualizzare tali subresponsabili perché mantengano e migliorino le adeguate garanzie e prevedere il rispetto di tutti gli obblighi assunti con l'incarico; * vigilare costantemente sull'operato dei soggetti incaricati e dei sub-responsabili al fine di evitare che vengano disattese le misure tecniche ed organizzative atte a proteggere le informazioni personali; Pag. 8 di 10 Memberof CISA Federation ARGO SOFTWARE s.r.l, Recapiti telefonici Web — A Zona Ind.le IIl Fase 97100 Ragusa Assist. Tel. 0932.666412 www.argosoft.it DINA) | RI Fi ichet | C.F.-P.Iva e R.I. di RG 00838520880 Amm.ne Tel. 0932.667550 info@argosoft.it d SS R.E.A. n. 70205 Numero Fax 0932.667551 ammin@argosoîft.it Lc software ©-S- € 200.000,00 i.v. assist@argosoft.it ISO 9001-1SO/IEC 27007 Cert. 9001 n. 15682/06/S Cert. 27001 n. 556/19 * comunicare, in caso di modifica dei subresponsabili, la variazione tramite indicazione in questa Policy Web con almeno 30 giorni di anticipo, così da consentire al Titolare del trattamento le opportune verifiche ed approfondimenti; * rispettare, in relazione alle attività sistemistiche svolte sugli applicativi e sistemi utilizzati, il Provvedimento del 27 novembre 2008 sugli Amministratori di Sistema. Registro delle attività di trattamento Ad ogni scuola cliente viene garantita la possibilità di accedere al proprio registro delle attività di trattamento elaborato dalla Argo Software in qualità di Responsabile del Trattamento. La funzione è disponibile all'interno del portale Argo (www.portaleargo.it), nella gestione "Profilo scuola", accedendo come Supervisor. All'interno della medesima gestione sono inoltre presenti i campi relativi al Rappresentante legale, al Responsabile per la protezione dei dati e ai dati di contatto di quest'ultimo, compilabili da parte della scuola per consentire di adempiere agli obblighi di informazione intercorrenti tra titolare del trattamento e responsabile del trattamento. Valutazione dei rischi per la sicurezza delle informazioni La Argo Software mantiene aggiornate le proprie valutazioni dei rischi per la sicurezza delle informazioni e per la protezione dei dati personali, secondo quanto previsto dal Sistema di Gestione per la Sicurezza delle Informazioni certificato. Agendo in qualità di [omissis] Argo non ha proceduto ad effettuare alcuna valutazione di impatto ai sensi dell'articolo 25 del GDPR, ma collabora (tramite gli esiti delle valutazioni dei rischi di cui sopra) con i Titolari del Trattamento che decidessero di effettuare DPIA su trattamenti effettuati anche tramite gli applicativi web Argo. I DPO che volessero accedere alla metodologia ed ai dati riepilogativi delle valutazioni dei rischi o ricevere supporto per le DPIA possono rivolgersi al DPO della Argo Software. Comunicazione di eventuali incidenti o potenziali violazioni Qualunque incidente o potenziale incidente occorso tramite o durante l'utilizzo di un applicativo Argo, che contempli o meno la presenza di dati personali, deve essere immediatamente comunicato dalla scuola agli appositi canali di assistenza Argo (telefono, e-mail, o ArgoHelp). Il servizio assistenza Argo prende in ogni caso in carico la segnalazione ed effettua una verifica preliminare sull’incidente, che comprende anche l'immediato indirizzamento di una tempestiva correzione, laddove applicabile e necessaria. All'apertura effettiva di un incidente, terminata la verifica preliminare, il servizio assistenza segue la procedura interna per la gestione degli incidenti e la documenta secondo quanto previsto dal Sistema di Gestione per le Informazioni. Nel caso in cui l'incidente, accertato, riguardasse anche dati personali, l'Ufficio Privacy della Argo effettua tutti i passaggi, sostanziali e formali, per la verifica della sussitenza, consistenza e modalità di gestione di un eventuale data breach, con la collaborazione e la supervisione del DPO. Pag. 9 di 10 Hemberof CISO Foderation ARGO SOFTWARE s.r.l, Recapiti telefonici Web Zona Ind.le Ill Fase 97100 Ragusa Assist. Tel. 0932.666412 www.argosoft.it | Fà | q Fi dA I D G O R.E.A. n. 70205 Numero Fax 0932.667551 ammin@argosoft.it l_____ _°_ rr ____m Cert. 9001 n. 15682/06/S Cert. 27001 n. 556/19 In funzione del tipo e della gravità dell'incidente occorso ai dati personali, l'Ufficio Privacy documenta opportunamente il data breach nel Registro degli Incidenti Argo e procede alla comunicazione dello stesso al Titolare del Trattamento nel tempo massimo di 48 ore dalla avvenuta conoscenza ed analisi dell'incidente In dipendenza del tipo e della gravità dell’incidente occorso, quindi, l'Ufficio Privacy Argo può chiedere alla scuola segnalante la compilazione e trasmissione via PEC di apposita modulistica di segnalazione necessaria per la documentazione del data breach all’interno dei registri Argo e la eventuale comunicazione ad altri soggetti (Titolari o Responsabili del Trattamento) coinvolti nell'incidente. Disponibilità e aggiornamento del documento Il presente documento è disponibile sul sito Argo (www.argosoft.it) all'interno della sezione "Privacy" e viene aggiornato periodicamente in base all'evoluzione dei sistemi di sicurezza adottati, delle revisioni del Piano di Business Continuity della Argo Software e delle eventuali innovazioni normative. Ad ogni aggiornamento del documento, viene data comunicazione a tutte le scuole clienti mediante email o avviso sul portale argo. Ultimo aggiornamento 18/10/2022 Pag. 10 di 10