1. Oggetto del contratto
Le presenti Condizioni Generali disciplinano l’erogazione, da parte di IT Solution Srl (di seguito “Fornitore”), dei servizi di Managed Services (MSP) a favore del cliente finale (di seguito “Cliente”).
I servizi MSP comprendono, a titolo esemplificativo e non esaustivo: gestione e monitoraggio infrastrutturale, amministrazione di sistemi e reti, gestione endpoint, servizi di sicurezza informatica, backup e disaster recovery, supporto tecnico continuativo, gestione ambienti cloud e ibridi, secondo quanto definito nell’offerta commerciale e nella documentazione tecnica allegata.
2. Riferimenti normativi e standard di sicurezza
Il Fornitore dichiara di adottare un sistema di gestione della sicurezza delle informazioni conforme alla ISO/IEC 27001 e di applicare, ove pertinenti, i controlli specifici previsti da:
- ISO/IEC 27017 – controlli di sicurezza per servizi cloud, in relazione ai servizi MSP che insistono su infrastrutture cloud o ibride
- ISO/IEC 27018 – protezione dei dati personali nei servizi cloud, qualora il Fornitore tratti dati personali per conto del Cliente
- Regolamento (UE) 2016/679 (GDPR) e normativa nazionale applicabile.
I controlli di sicurezza sono applicati in modo proporzionato alla tipologia di servizio MSP erogato e al modello di responsabilità concordato.
3. Modello di responsabilità condivisa
In conformità agli standard ISO sopra richiamati, le parti riconoscono un modello di responsabilità condivisa, secondo cui:
- il Fornitore è responsabile della corretta erogazione dei servizi MSP, delle attività di gestione affidate e delle misure di sicurezza di propria competenza
- il Cliente rimane responsabile delle decisioni strategiche, delle policy aziendali, della legittimità dei dati trattati e dell’uso delle risorse IT, salvo diversa pattuizione scritta.
Le responsabilità operative sono dettagliate nel perimetro dei servizi e negli SLA.
4. Perimetro dei servizi MSP
I servizi MSP sono erogati esclusivamente entro il perimetro tecnico e organizzativo definito contrattualmente.
Eventuali attività non espressamente incluse (es. progetti straordinari, interventi evolutivi, modifiche architetturali) sono escluse e soggette a specifica quotazione.
Il Fornitore non assume obblighi di risultato, ma di mezzi, operando secondo le migliori pratiche di settore.
5. Accessi e credenziali
Il Cliente autorizza il Fornitore ad accedere ai sistemi informativi necessari all’erogazione dei servizi MSP, secondo il principio del minimo privilegio, come previsto dalla ISO/IEC 27001 e ISO/IEC 27017.
Il Cliente si impegna a:
- fornire informazioni corrette e aggiornate
- informare tempestivamente il Fornitore di variazioni rilevanti
- adottare misure adeguate alla protezione delle proprie credenziali.
6. Sicurezza delle informazioni
Il Fornitore adotta misure tecniche e organizzative adeguate al rischio, includendo:
- controllo e tracciamento degli accessi amministrativi
- monitoraggio degli eventi di sicurezza
- gestione delle vulnerabilità e degli aggiornamenti
- segregazione degli ambienti gestiti
- procedure formalizzate di gestione degli incidenti.
Il Cliente prende atto dell’esistenza di un rischio residuo coerente con lo stato dell’arte tecnologico.
7. Gestione degli incidenti e supporto
Il Fornitore gestisce incidenti, anomalie e richieste di supporto secondo le modalità e le priorità definite negli SLA. In caso di incidente di sicurezza rilevante:
- il Fornitore attiva le procedure di contenimento
- informa il Cliente nei tempi congrui alla gravità dell’evento
- collabora alle attività di ripristino e analisi.
8. Continuità operativa e disponibilità
I servizi MSP sono progettati per garantire continuità operativa compatibilmente con il perimetro affidato.
RTO, RPO e livelli di disponibilità sono definiti contrattualmente.
Interruzioni temporanee possono verificarsi per manutenzioni programmate, aggiornamenti di sicurezza o cause di forza maggiore.
9. Protezione dei dati personali
Qualora, nell’ambito dei servizi MSP, il Fornitore tratti dati personali per conto del Cliente, le parti disciplinano il rapporto mediante accordo di nomina a Responsabile del trattamento ai sensi dell’art. 28 GDPR.
Il Cliente resta titolare del trattamento e responsabile della base giuridica e delle finalità del trattamento.
10. Backup e responsabilità sui dati
Salvo diversa previsione contrattuale:
- il Cliente resta responsabile della strategia di backup e della verifica periodica dei dati
- i servizi di backup gestito sono erogati secondo le specifiche tecniche concordate.
Il Fornitore non risponde di perdite di dati causate da configurazioni errate, informazioni incomplete o comportamenti imputabili al Cliente.
11. Limitazioni di responsabilità
Nei limiti consentiti dalla legge:
- il Fornitore non risponde di danni indiretti, perdita di profitto, interruzione dell’attività o danni reputazionali
- la responsabilità complessiva del Fornitore è limitata ai corrispettivi versati dal Cliente per i servizi MSP nei dodici mesi precedenti l’evento.
12. Durata, rinnovo e cessazione
La durata dei servizi MSP è definita nel contratto o nell’offerta. Alla cessazione del rapporto:
- il Fornitore cessa gli accessi ai sistemi
- il Cliente è responsabile della presa in carico dell’infrastruttura e dei dati
- eventuali attività di passaggio di consegne sono soggette a specifico accordo.
13. Modifiche e aggiornamenti
Il Fornitore si riserva la facoltà di aggiornare le presenti Condizioni Generali per adeguamenti normativi, tecnologici o organizzativi, dandone comunicazione al Cliente.
14. Legge applicabile e foro competente
Il presente contratto è regolato dalla legge italiana.
Per ogni controversia è competente in via esclusiva il Foro di Rovigo, salvo norme inderogabili.