Il presente Allegato descrive le principali misure tecniche e organizzative adottate da Fees S.r.l. (“FEES”) in relazione ai trattamenti di dati personali effettuati per conto del Cliente nell’ambito dei servizi business, enterprise e regulated, inclusi i servizi fees Can e gli eventuali servizi documentali, API, white-label, embedded o di integrazione.

Il presente Allegato costituisce parte integrante del Data Processing Agreement (“DPA”) e del rapporto contrattuale tra le Parti.

1. Ambito di applicazione

Le misure descritte nel presente Allegato si applicano ai trattamenti di dati personali svolti da FEES in qualità di Responsabile del trattamento, nella misura in cui tali misure siano pertinenti rispetto:

• alla natura del servizio erogato;

• alle categorie di dati trattati;

• al modello di deployment;

• alle configurazioni standard o dedicate applicabili al Cliente.

Le misure possono essere integrate, adattate o rafforzate in funzione:

• del progetto specifico;

• del settore del Cliente;

• di esigenze enterprise o regulated;

• di istruzioni specifiche del Titolare formalizzate per iscritto.

2. Principi generali di sicurezza

FEES adotta misure tecniche e organizzative volte a garantire, in relazione al rischio e alla natura del trattamento:

• riservatezza;

• integrità;

• disponibilità;

• resilienza dei sistemi e dei servizi;

• capacità di ripristino;

• tracciabilità delle attività rilevanti;

• protezione dei dati by design e by default.

Le misure sono progettate tenendo conto:

• dello stato dell’arte;

• dei costi di attuazione;

• della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento;

• della probabilità e gravità dei rischi per i diritti e le libertà delle persone fisiche.

3. Governance della sicurezza e accountability

FEES ha implementato un assetto organizzativo che comprende, in funzione del proprio modello operativo:

• ruoli interni di responsabilità per sicurezza, privacy e compliance;

• processi di autorizzazione e controllo accessi;

• policy interne su accessi, MFA, backup, logging, incident response, vendor management, retention, privacy by design e AI governance;

• formazione interna su privacy e sicurezza;

• istruzioni e autorizzazioni per il personale che può accedere a dati o sistemi rilevanti;

• processi di qualifica e gestione dei fornitori critici.

FEES mantiene inoltre documentazione interna a supporto delle attività di sicurezza e accountability, inclusi, ove applicabili:

• registro dei trattamenti;

• risk assessment;

• executive summary o security overview;

• esiti di penetration test;

• registro degli incidenti.

4. Architettura e segregazione degli ambienti

FEES utilizza un’architettura applicativa e infrastrutturale che può comprendere:

• app mobile;

• webapp;

• backoffice;

• API applicative;

• componenti OCR/document processing;

• database relazionali;

• object storage documentale;

• servizi di logging, monitoring e sicurezza;

• moduli AI/Copilot ove attivi.

Gli ambienti sono segregati per finalità operative, con separazione tra:

• sviluppo;

• test;

• staging;

• produzione.

FEES adotta controlli di accesso e processi di rilascio finalizzati a limitare l’accesso agli ambienti e a contenere i rischi di modifica non autorizzata o di interferenza tra ambienti.

Per clienti enterprise o regulated, FEES può offrire:

• configurazioni dedicate;

• tenant o ambienti separati;

• deployment personalizzati;

• fornitori o assetti infrastrutturali dedicati.

5. Controlli di accesso e gestione delle identità

FEES adotta misure finalizzate a limitare l’accesso ai dati e ai sistemi ai soli soggetti autorizzati secondo il principio del least privilege e del need to know.

In particolare:

• gli account amministrativi sono nominativi;

• i ruoli e i permessi sono differenziati in base alle funzioni;

• l’accesso a funzioni privilegiate è soggetto a controlli rafforzati;

• gli accessi amministrativi sono tracciati;

• sono previsti processi di onboarding e offboarding per accessi interni ed esterni;

• gli accessi dei terzi sono nominativi, tracciati e limitati per ruolo;

• FEES può adottare meccanismi MFA per accessi amministrativi e, ove applicabile, per utenti o specifiche configurazioni di progetto.

L’accesso al contenuto integrale dei documenti è limitato ai soli soggetti autorizzati e per i soli casi consentiti da esigenze legittime di legge, sicurezza, supporto o amministrazione del servizio, secondo processi interni di autorizzazione.

6. Autenticazione e protezione dell’accesso

FEES adotta misure di autenticazione e protezione dell’accesso che possono includere:

• autenticazione utente gestita tramite sistemi dedicati;

• meccanismi MFA, ove attivati;

• bot protection su login o registrazione, ove attivata;

• gestione sicura delle sessioni;

• controlli di validità e revoca delle credenziali;

• registrazione degli eventi di accesso rilevanti.

Le credenziali e i token sono gestiti secondo processi tecnici e organizzativi finalizzati a ridurre i rischi di compromissione.

7. Cifratura e protezione dei dati

FEES adotta misure di cifratura in transito e a riposo adeguate al rischio e coerenti con l’architettura del servizio.

7.1 Cifratura in transito

Le comunicazioni tra client, servizi, API e componenti infrastrutturali avvengono, ove applicabile, tramite protocolli sicuri (es. TLS/HTTPS).

7.2 Cifratura a riposo

FEES utilizza, a seconda del componente:

• cifratura applicativa dei campi sensibili;

• cifratura a riposo gestita dai fornitori infrastrutturali;

• protezione dei token e delle credenziali di integrazione con chiavi dedicate.

7.3 Gestione delle chiavi

La gestione delle chiavi può essere:

• demandata al cloud provider per specifici componenti;

• gestita da FEES per la cifratura applicativa;

• distinta per ambiente.

FEES adotta processi di gestione e rotazione delle chiavi coerenti con il rischio e con l’architettura del servizio.

8. Protezione dei documenti e accesso ai file

Per i documenti e i file trattati dal servizio:

• l’archiviazione avviene su sistemi con accesso limitato;

• l’accesso documentale non avviene tramite link pubblici permanenti;

• l’accesso ai documenti condivisi o scaricati può essere mediato da URL temporanei o meccanismi equivalenti generati on demand;

• sono adottate misure per limitare l’esposizione non necessaria dei documenti;

• l’accesso ai documenti è soggetto ai controlli autorizzativi dell’applicazione e dei sistemi sottostanti.

Per clienti enterprise, FEES può prevedere configurazioni più restrittive o dedicate.

9. Logging, monitoring e tracciabilità

FEES implementa sistemi di logging e monitoring finalizzati a:

• sicurezza;

• continuità operativa;

• auditabilità;

• gestione degli errori;

• analisi degli eventi anomali.

• 
  

A seconda del perimetro del servizio, possono essere registrati:

• accessi e autenticazioni;

• eventi applicativi rilevanti;

• attività amministrative;

• eventi di sicurezza;

• errori e anomalie;

• upload, download, esportazioni o eventi documentali rilevanti.

  
  

I log:

• sono centralizzati;

• sono accessibili solo a personale autorizzato;

• sono protetti da alterazioni non autorizzate nei limiti dell’architettura adottata;

• sono conservati secondo politiche di retention coerenti con finalità di sicurezza, audit e compliance.

  
  

FEES adotta inoltre meccanismi di alerting per eventi anomali o di sicurezza, ove previsti dalla configurazione operativa.

10. Sicurezza applicativa e secure development

FEES adotta processi di sviluppo e rilascio volti a ridurre il rischio di vulnerabilità e modifiche non controllate.

Le misure possono includere:

• controllo accessi ai repository e al codice sorgente;

• revisione del codice;

• approvazione delle modifiche;

• change management;

• pratiche di secure development;

• privacy by design e security by design;

• separazione degli ambienti;

• processi di hardening;

• monitoring delle dipendenze software;

• patch management.

I moduli AI o componenti specializzati possono essere soggetti a controlli separati o ulteriori, in funzione della loro natura e del loro impatto sul servizio.

11. Vulnerability management e test di sicurezza

FEES adotta attività periodiche di verifica e rafforzamento della sicurezza, che possono includere:

• vulnerability scanning;

• patch management;

• dependency monitoring;

• hardening;

• verifiche di sicurezza applicativa;

• penetration test eseguiti internamente o tramite soggetti esterni qualificati.

  
  

FEES gestisce le vulnerabilità critiche secondo priorità coerenti con il rischio e con la continuità del servizio.

Per clienti enterprise o regulated, FEES può condividere informazioni o sintesi documentali sui controlli di sicurezza svolti, nei limiti compatibili con sicurezza, riservatezza e obblighi contrattuali.

12. Backup, continuità operativa e disaster recovery

FEES adotta misure di backup e resilienza volte a garantire:

• disponibilità dei dati e dei sistemi;

• capacità di recupero;

• continuità operativa.

Tali misure possono includere:

• backup periodici di database, documenti, configurazioni e log, ove applicabile;

• cifratura dei backup;

• separazione dei backup dall’ambiente di produzione;

• test di ripristino;

• obiettivi interni di RPO/RTO;

• piano di business continuity;

• disaster recovery plan.

La frequenza e il dettaglio delle misure possono variare in funzione del servizio e del deployment applicato.

13. Incident response e data breach management

FEES ha adottato processi interni di gestione degli incidenti e delle violazioni di dati personali, finalizzati a:

• identificare tempestivamente eventi di sicurezza;

• valutarne la gravità e l’impatto;

• attivare escalation interne;

• contenere e mitigare gli effetti dell’incidente;

• documentare l’evento;

• supportare le attività di notifica, ove richieste.

FEES mantiene un registro incidenti e adotta tempi interni di valutazione ed escalation coerenti con la natura dell’incidente.

Nei rapporti enterprise, FEES può notificare al Cliente incidenti o violazioni che lo riguardino entro i tempi contrattualmente definiti.

14. Gestione dei fornitori e sub-responsabili

FEES adotta processi di selezione, qualifica e gestione dei fornitori critici e dei sub-responsabili, che possono includere:

• valutazione iniziale del fornitore;

• definizione dei ruoli privacy;

• limitazione e tracciamento degli accessi;

• obblighi contrattuali di sicurezza e riservatezza;

• aggiornamento della documentazione sub processor;

• verifica periodica della rilevanza del fornitore nel servizio.

Per clienti enterprise o regulated, FEES può prevedere:

• sub process list dedicata;

• diritto di opposizione ragionevole a nuovi sub-responsabili;

• notifica preventiva delle modifiche rilevanti;

• restrizioni specifiche su alcuni fornitori o geografie.

15. Trasferimenti internazionali e data residency

FEES privilegia, ove possibile, configurazioni con dati e infrastrutture in UE/SEE.

Tuttavia, alcune componenti del servizio o alcuni fornitori possono comportare trasferimenti o accessi extra SEE. In tali casi FEES adotta o richiede l’adozione di meccanismi idonei ai sensi del GDPR, quali:

• decisioni di adeguatezza;

• clausole contrattuali standard;

• ulteriori garanzie appropriate ove applicabili.

Per clienti regulated, FEES può offrire:

• data residency dedicata;

• deployment personalizzati;

• restrizioni su specifici fornitori;

• configurazioni con maggiore controllo sulle geografie di trattamento.

16. Supporto ai diritti degli interessati

FEES adotta processi organizzativi per:

• ricevere e tracciare richieste privacy;

• verificare il corretto canale di gestione;

• supportare il Titolare nella gestione delle richieste, nei limiti del ruolo di Responsabile;

• inoltrare senza ritardo al Titolare le richieste ricevute direttamente, quando FEES non sia il soggetto competente a rispondere nel merito.

17. Restituzione, cancellazione e fine rapporto

Alla cessazione del rapporto contrattuale, FEES gestisce i dati secondo:

• le istruzioni del Titolare;

• il DPA;

• il Contratto Principale;

• le politiche di retention e le esigenze tecniche di backup e cancellazione.

In funzione del progetto, FEES può prevedere:

• restituzione dati;

• esportazione;

• cancellazione dai sistemi attivi;

• deletion confirmation;

• supporto alla transizione o handover.

I dati cancellati dai sistemi attivi possono permanere nei backup fino al normale ciclo di sovrascrittura, senza essere più oggetto di trattamento ordinario.

18. Configurazioni dedicate per enterprise e regulated

Per clienti enterprise, banche, assicurazioni o altri contesti regolati, FEES può prevedere, su richiesta e secondo disponibilità tecnica e contrattuale:

• configurazioni dedicate;

• retention dedicate;

• disattivazione training;

• restrizioni sui subfornitori;

• data residency dedicata;

• ambienti separati;

• supporto audit documentale;

• security contact e privacy/compliance contact dedicati;

• clausole rafforzate su incidenti, exit, handover e no reuse.

19. Aggiornamento delle misure

Le misure descritte nel presente Allegato possono essere aggiornate nel tempo in ragione di:

• evoluzioni tecnologiche;

• sviluppo del servizio;

• modifiche normative;

• risultanze di audit o risk assessment;

• miglioramenti organizzativi o infrastrutturali.

  
  

FEES si impegna a mantenere un livello di sicurezza adeguato al rischio e compatibile con il servizio erogato.

20. Contatti

Per temi relativi a sicurezza, privacy o al presente Allegato:

privacy@fees.world
fees@pec.it

DPO FEES:Monteluna Srl
Email: fabio@adelyon.it
PEC: montelunasrls@pec.it