Security & Accountability Memo

Il presente documento fornisce una sintesi delle principali misure organizzative, tecniche e di governance adottate da Fees S.r.l. (“FEES”) in relazione ai servizi digitali erogati ai propri clienti business, enterprise e regulated.

Il presente Memo ha finalità informativa e di accountability e può essere utilizzato come documento di supporto in contesti di:

• vendor onboarding;

• due diligence privacy e sicurezza;

• procurement;

• qualifica fornitori;

• audit documentali preliminari.

Il presente documento non sostituisce:

• il contratto principale;

• il Data Processing Agreement;

• il TOMs / Security Annex;

• la documentazione tecnica di dettaglio.

1. Profilo societario

Fees S.r.l. sviluppa ed eroga servizi digitali di intelligent document processing, gestione documentale, OCR, data extraction e integrazione applicativa.

L’offerta FEES comprende:

• servizi diretti tramite fees App e fees Pro;

• servizi fees Can per use case API, white-label, embedded, integration layer ed enterprise;

• configurazioni adattabili a contesti business e regulated.

FEES opera con approccio Italia/UE-first, con possibilità di configurazioni dedicate per clienti che richiedano assetti più restrittivi in termini di privacy, sicurezza, deployment o data residency.

2. Modello privacy e accountability

FEES adotta un modello di governance che distingue chiaramente:

• i trattamenti svolti come Titolare del trattamento;

• i trattamenti svolti come Responsabile del trattamento per conto dei clienti.

Nei servizi enterprise e nei progetti fees Can, FEES opera normalmente come Responsabile del trattamento, trattando i dati secondo le istruzioni del cliente e secondo quanto previsto dal contratto, dal DPA e dalla documentazione tecnica applicabile.

FEES ha nominato un Responsabile della Protezione dei Dati (DPO) e mantiene un assetto documentale che include, a seconda del contesto:

• Privacy Policy;

• Cookie Policy;

• T&C / Master Terms;

• DPA;

• Subprocessor List;

• TOMs / Security Annex;

• documentazione tecnica e di servizio.

3. Architettura di alto livello

L’architettura FEES comprende, a seconda del servizio attivato:

• app mobile nativa;

• webapp;

• backoffice amministrativo;

• API applicative;

• componenti OCR/document processing;

• database relazionali;

• object storage documentale;

• sistemi di logging e monitoring;

• componenti AI/Copilot ove attive.

L’architettura è basata, in via standard, su un modello multi-tenant con segregazione logica dei dati e dei ruoli.
Per clienti enterprise o regulated, FEES può offrire:

• configurazioni dedicate;

• tenant separati;

• personalizzazioni infrastrutturali;

• deployment custom;

• assetti con maggiore controllo su data residency e subfornitori.

4. Data residency e infrastruttura

La configurazione standard FEES è orientata a infrastrutture e risorse collocate in UE, con hosting principale e componenti chiave in area europea.

In particolare, FEES dichiara di poter supportare assetti con:

• hosting principale in UE;

• data residency UE;

• configurazioni dedicate per clienti regulated, ove concordato contrattualmente.

Alcune funzionalità o integrazioni opzionali possono tuttavia coinvolgere fornitori situati o operanti anche fuori dal SEE. In tali casi FEES gestisce il tema dei trasferimenti internazionali tramite il proprio assetto contrattuale e documentale e, per clienti enterprise o regulated, può prevedere restrizioni o alternative dedicate.

5. Sicurezza dei dati

FEES adotta misure tecniche e organizzative orientate a proteggere:

• riservatezza;

• integrità;

• disponibilità;

• resilienza;

• capacità di ripristino;

• tracciabilità.

Le misure includono, in via generale:

• cifratura in transito;

• cifratura a riposo;

• controllo accessi basato su ruoli;

• logging e monitoring;

• backup e restore;

• segregazione ambienti;

• incident response;

• processi di secure development.

5.1 Cifratura

FEES applica:

• cifratura delle comunicazioni tramite protocolli sicuri;

• cifratura a riposo delle componenti documentali e di storage;

• cifratura applicativa di campi sensibili nel database;

• gestione distinta delle chiavi per ambiente.

5.2 Protezione dei documenti

I documenti sono gestiti in ambienti con accesso controllato.
L’accesso ai documenti non avviene tramite link pubblici permanenti, ma mediante URL temporanei o meccanismi equivalenti generati on demand e soggetti a scadenza.

6. Controlli di accesso

FEES applica controlli di accesso orientati al principio del least privilege e del need to know.

Le principali misure includono:

• account amministrativi nominativi;

• differenziazione dei ruoli;

• tracciamento degli accessi amministrativi;

• processi di autorizzazione per accessi privilegiati;

• MFA ove previsto;

• processi di onboarding/offboarding accessi;

• limitazione degli accessi di terzi per ruolo e finalità.

L’accesso al contenuto integrale dei documenti è limitato a soggetti autorizzati e solo nei casi consentiti da esigenze di legge, supporto autorizzato, sicurezza o amministrazione del servizio.

7. Logging e monitoraggio

FEES adotta sistemi di logging e monitoring per finalità di:

• sicurezza;

• auditabilità;

• continuità operativa;

• gestione errori e anomalie.

A seconda del servizio, possono essere registrati:

• accessi;

• eventi applicativi;

• attività amministrative;

• eventi di sicurezza;

• errori e anomalie;

• operazioni rilevanti su documenti o dati.

  
  

I log sono gestiti in forma centralizzata, accessibili a personale autorizzato e soggetti a politiche di conservazione coerenti con finalità di sicurezza e compliance.

Sono inoltre presenti meccanismi di alerting per eventi anomali o rilevanti sotto il profilo della sicurezza.

8. Segregazione ambienti e secure development

FEES mantiene ambienti separati per:

• sviluppo;

• test;

• staging;

• produzione.

Sono adottati processi di:

• controllo accessi al codice;

• revisione e approvazione delle modifiche;

• change management;

• patching;

• gestione dipendenze;

• hardening;

• secure development;

• privacy by design e security by design.

I moduli AI o specializzati possono essere soggetti a controlli dedicati e a processi separati rispetto al resto della piattaforma.

9. Backup, ripristino e continuità operativa

FEES esegue backup periodici dei sistemi rilevanti, inclusi, ove applicabile:

• database;

• documenti;

• configurazioni;

• log.

Le misure di resilienza includono:

• backup cifrati;

• separazione dei backup dall’ambiente di produzione;

• test di ripristino;

• obiettivi interni di RPO/RTO;

• business continuity;

• disaster recovery.

I dettagli tecnici e operativi sono ulteriormente descritti nei documenti di sicurezza e negli allegati contrattuali dedicati.

10. Vulnerability management

FEES adotta attività periodiche di verifica e miglioramento della sicurezza, che includono:

• vulnerability scanning;

• patch management;

• dependency monitoring;

• hardening;

• penetration test;

• gestione delle vulnerabilità critiche secondo priorità di rischio.

FEES ha inoltre evidenze documentali di assessment di sicurezza e penetration test eseguiti tramite soggetti qualificati.

11. Incident response e data breach management

FEES dispone di processi formalizzati di:

• incident response;

• data breach management;

• escalation interna;

• registrazione degli incidenti;

• valutazione e contenimento degli eventi di sicurezza.

  
  

Per clienti enterprise o regulated, FEES può:

• notificare incidenti rilevanti entro tempi contrattuali;

• fornire supporto documentale nella gestione di eventi di sicurezza;

• mettere a disposizione referenti dedicati per sicurezza e privacy/compliance.

12. Gestione dei fornitori

FEES si avvale di fornitori e subfornitori per componenti infrastrutturali, documentali, OCR, billing, logging, monitoring, autenticazione, AI o servizi accessori.

L’azienda adotta processi di:

• qualifica dei fornitori critici;

• definizione dei ruoli privacy;

• controllo degli accessi dei terzi;

• documentazione dei sub-responsabili;

• aggiornamento dell’elenco dei fornitori rilevanti;

• gestione delle modifiche rilevanti nei contesti enterprise.

Per clienti regulated, FEES può offrire:

• subprocessor list dedicata;

• diritto di opposizione ragionevole a nuovi sub-responsabili;

• notifica preventiva di modifiche rilevanti;

• restrizioni su alcuni fornitori o geografie.

13. AI e data reuse

FEES adotta una posizione prudente sull’uso dei dati per training o riuso generalizzato.

In particolare:

• nei servizi enterprise e fees Can, il riuso dei dati del cliente per training o miglioramento generalizzato è escluso di default, salvo diverso accordo scritto;

• per banche, assicurazioni e clienti regulated, la regola standard è no training / no reuse salvo accordo scritto specifico;

• le funzionalità AI eventualmente attive sono descritte nei documenti di servizio e nella documentazione privacy applicabile.

14. Supporto a clienti enterprise e regulated

FEES può supportare clienti enterprise e regulated attraverso:

• DPA dedicato;

• TOMs / Security Annex;

• Subprocessor List;

• Security & Accountability Memo;

• documentazione tecnica e di servizio;

• supporto ad audit documentali;

• questionari privacy/security;

• clausole contrattuali su incidenti, exit, deletion e handover;

• deployment e configurazioni dedicate.

Per clienti regulated, FEES può rendere contrattualizzabili, ove concordato:

• SLA specifici;

• uptime target;

• supporto con tempi dedicati;

• incident response dedicata;

• audit support;

• exit procedure più strutturate.

15. Maturità documentale e controlli disponibili

FEES dichiara di disporre, allo stato, di documentazione e presidi quali:

• policy interne di sicurezza e governance;

• security overview / executive summary;

• risk assessment;

• registro trattamenti;

• penetration test report;

• processi interni di autorizzazione e formazione.

FEES non dichiara attualmente una certificazione ISO/IEC 27001 formalmente conseguita, ma mantiene un assetto di controlli dichiarato come allineato a principi e pratiche compatibili con tale standard.

16. Posizionamento complessivo

FEES si posiziona come fornitore:

• privacy-aware;

• security-aware;

• enterprise-ready;

• configurabile per contesti regulated.

• 
  

L’approccio FEES combina:

• architettura documentale separata e coerente;

• distinzione chiara dei ruoli privacy;

• misure tecniche e organizzative documentate;

• possibilità di assetti contrattuali e tecnici dedicati per clienti con requisiti elevati.

17. Contatti

Per richieste relative a privacy, sicurezza o documentazione di accountability:

Fees S.r.l.

Email privacy: privacy@fees.world
PEC: fees@pec.it

DPO: Monteluna Srl
Email: fabio@adelyon.it
PEC: montelunasrls@pec.it