Mappatura di Dora
Contesto
Le entità finanziarie dell’Unione europea (UE) e i loro fornitori di tecnologie di informazione e comunicazione (TIC) principali sono tenuti a conformarsi al Digital Operational Resilience Act (DORA, il regolamento europeo sulla resilienza operativa digitale) entro il 17 gennaio 2025. GoTo ha sviluppato il presente documento con l’intento di aiutare i suoi clienti di servizi finanziari a soddisfare i propri obblighi DORA.
Mappature dell’Articolo 30 (Disposizioni contrattuali chiave):
GoTo ha creato il presente documento con l’intento di aiutare i suoi clienti di servizi finanziari a valutare come i servizi che offre siano in linea con i requisiti dell’Articolo 30 del DORA. Il presente documento :
- delinea gli elementi contrattuali obbligatori di cui all’Articolo 30;
- dimostra come i nostri servizi e la nostra documentazione corrispondano a ciascun requisito; e
- fornisce indicazioni per aiutare gli utenti a capire come possono soddisfare i requisiti utilizzando i servizi GoTo e/o i documenti GoTo citati di seguito.
Si fa riferimento ai seguenti documenti:
- Termini di servizio di GoTo e Documentazione dell’ordine (costituisce l’Accordo per i servizi di GoTo o il Contratto per i servizi)
- Descrizioni dei servizi
- Condizioni integrative a livello regionale
- Misure tecniche e organizzative (TOM, in inglese)
- Comunicazione dei dati ai sub-responsabili del trattamento
- Addendum sul trattamento dei dati (DPA) di GoTo
- Codice deontologico ed etico
Si fa riferimento alle seguenti risorse GoTo:
- Trust & Privacy Center di GoTo, che comprende quanto segue: TOM specifiche per il prodotto, Informative per i sub-responsabili del trattamento, DPA eseguibile
- Supporto VIP*: contattare i nostri rappresentanti commerciali per maggiori informazioni https://www.goto.com/company/contact-us
*Nota: il Supporto VIP potrebbe non essere disponibile per tutti i prodotti e servizi - Pagina di stato: https://www.goto.com/company/trust/status
| N. | Standard | Quadro di riferimento | Descrizione | Indicazioni di GoTo | Riferimento e risorse per i contratti di GoTo |
|---|---|---|---|---|---|
| 1 | Contratto per i servizi | Articolo 30, § 1 | I diritti e gli obblighi dell’ entità finanziaria e del fornitore terzo di servizi TIC devono essere chiaramente ripartiti e specificati per iscritto. Il contratto in versione integrale deve includere gli accordi sui livelli di servizio ed essere redatto in un unico documento scritto e accessibile alle parti , su supporto cartaceo o su un documento in un altro formato scaricabile, durevole e accessibile. | I rispettivi diritti e obblighi delle
parti sono definiti per iscritto nel contratto dei Termini di servizio di GoTo
, completi delle Descrizioni dei servizi
ivi incorporate e della
documentazione dell’ordine e disponibili al
cliente al momento dell’acquisto o quando
richiesto. Al fine di gestire il rischio delle TIC, i clienti delle entità finanziarie possono acquistare il nostro Supporto VIP, che offre garanzie e documentazione sui tempi di risposta e di risoluzione, contattando i nostri rappresentanti commerciali per maggiori informazioni all’indirizzo https://www.goto.com/company/contact-us. I clienti possono rimanere aggiornati sulla disponibilità del servizio visitando la nostra pagina all’indirizzo https://www.goto.com/company/trust/status. |
Termini di servizio
Documentazione dell’ordine
Descrizioni dei servizi
Supporto VIP* Pagina di stato |
| 2 | Concessione in sub-licenza | Articolo 30, § 2(a) | Le disposizioni contrattuali sull’uso dei servizi TIC dovranno includere una descrizione dettagliata e trasparente di tutte le funzioni e i servizi TIC che il fornitore terzo di tali servizi è tenuto a fornire, indicando se è consentita la concessione in sub-licenza di un servizio TIC a supporto di una funzione essenziale o importante, o parti materiali della stessa, e, in tal caso, le condizioni che si applicano a tale concessione in sub-licenza. | L’Ordine stabilisce i servizi acquistati
e incorpora i Termini di servizio di GoTo
che includono un riferimento alla nostra Descrizione
dei servizi che descrive ogni
prodotto e/o servizio che offriamo. La sezione 4.2 dei Termini di servizio di GoTo prevede che le informazioni sul trattamento dei dati siano riportate in modo più dettagliato nel nostro Trust & Privacy Center (https://www.goto.com/company/trust) da cui è possibile consultare le sedi in cui i dati pertinenti vengono trattati e le Informative sui sub-responsabili del trattamento, nonché le informazioni specifiche al tipo di Servizio in merito alle misure di sicurezza tecniche e organizzative (presenti nella documentazione delle Misure tecniche e organizzative, note anche come “TOM”). |
Documentazione dell’ordine Termini di servizio Descrizioni dei servizi Informativa sui sub-responsabili del trattamento TOM |
| 3 | Sedi | Articolo 30, § 2(b) | Gli accordi contrattuali sull’uso dei servizi TIC devono includere le sedi, vale a dire le regioni o i Paesi, in cui le funzioni e i servizi TIC concessi in licenza o in sub-licenza devono essere forniti e in cui i dati saranno trattati, ivi compreso il luogo di archiviazione e l’obbligo per il fornitore terzo di servizi TIC di comunicare in anticipo all’entità finanziaria qualora preveda di cambiare tali sedi. | Le sedi dei sub-responsabili del trattamento di GoTo sono disponibili nel Trust & Privacy Center (https://www.goto.com/company/trust). Il DPA di GoTo descrive gli impegni e gli obblighi di GoTo relativamente ai suoi Sub-responsabili tra cui il processo di nomina, la comunicazione di modifiche e i diritti di obiezione. L’infrastruttura GoTo è stata progettata per aumentare l’affidabilità del servizio e ridurre il rischio di downtime. Come descritto nel DPA di GoTo, il Cliente può richiedere di essere avvisato in caso di modifica dei nostri Sub-responsabili o delle TOM dal Trust & Privacy Center di GoTo, all’indirizzo https://www.goto.com/company/trust. |
Comunicazione dei dati ai sub-incaricati DPA |
| 4 | Dati e sicurezza | Articolo 30, § 2(c) | Le disposizioni contrattuali sull’ uso dei servizi TIC dovranno includere provvedimenti su disponibilità, autenticità, integrità e riservatezza in materia di protezione dei dati, ivi compresi i dati personali. | Le TOM di GoTo prevedono che GoTo mantenga
solidi programmi globali in materia di privacy e sicurezza
e misure di tutela organizzative, amministrative e
tecniche progettate per: (i) garantire
la riservatezza, l’integrità e la disponibilità dei
Contenuti del cliente; (ii) proteggere
dalle minacce e dai pericoli per la sicurezza dei
Contenuti del cliente; (iii) proteggere da qualsivoglia
perdita, uso improprio, accesso non autorizzato, divulgazione,
alterazione e distruzione dei
Contenuti del cliente; e (iv) mantenere la conformità alle
leggi e ai regolamenti applicabili, ivi comprese le leggi sulla protezione dei
dati e sulla privacy. |
TOM |
| 5 | Dati e sicurezza | Articolo 30, § 2(d) | Le disposizioni contrattuali sull’uso dei servizi TIC dovranno includere provvedimenti per garantire l’accesso, il recupero e la restituzione, in un formato facilmente accessibile, dei dati personali, e non, trattati dall’entità finanziaria in caso di insolvenza, risoluzione o interruzione delle operazioni commerciali del fornitore terzo di servizi TIC, o in caso di risoluzione delle disposizioni contrattuali. | Il DPA di GoTo prevede che, previa richiesta scritta del Cliente e laddove consentito dalla legge, GoTo restituisca a quest’ultimo qualsiasi Contenuto del cliente o spieghi allo stesso come effettuare un’esportazione di dati in autonomia. Le TOM pertinenti di GoTo forniscono altresì tali informazioni (Cancellazione e restituzione del contenuto). I Termini di servizio di GoTo, Sezione 3.3, prevedono anche un periodo di tempo durante il quale il Cliente può recuperare il proprio Contenuto in caso di risoluzione del contratto. | DPA TOM Termini di servizio |
| 6 | Servizio e livello di servizio | Articolo 30, § 2(e) | Le disposizioni contrattuali sull’uso dei servizi TIC dovranno includere descrizioni dei livelli di servizio , ivi compresi gli aggiornamenti e le revisioni degli stessi. | Per gestire il rischio delle TIC, i clienti delle entità finanziarie
possono acquistare la nostra funzione di Supporto VIP, che offre garanzie e documentazione relativamente ai tempi di risposta e di risoluzione. Contattare i nostri rappresentanti commerciali per ulteriori informazioni https://www.goto.com/company/contact-us. I clienti possono rimanere aggiornati sulla disponibilità del servizio visitando la nostra pagina all’indirizzo https://www.goto.com/company/trust/status. |
Supporto VIP* Pagina di stato |
| 7 | Continuità commerciale e resilienza operativa | Articolo 30, § 2(f) | Le disposizioni contrattuali sull’uso dei servizi TIC devono includere l’obbligo del fornitore terzo di servizi TIC a fornire supporto all’entità finanziaria senza costi aggiuntivi, o a un costo che viene determinato preventivamente, laddove si verifichi un incidente TIC correlato al servizio TIC fornito all’entità finanziaria. | Il DPA di GoTo descrive il supporto che GoTo
fornirà, senza costi aggiuntivi, al cliente in caso di incidente
relativamente alle TIC. Specifica inoltre
l’obbligo di GoTo di informare il cliente qualora
si verifichi una tale eventualità. I clienti possono rimanere aggiornati sulla disponibilità del servizio visitando la nostra pagina all’indirizzo https://www.goto.com/company/trust/status. |
Pagina di stato DPA |
| 8 | Autorità di controllo | Articolo 30, § 2(g) | Le disposizioni contrattuali sull’uso dei servizi TIC dovranno includere l’obbligo del fornitore terzo di servizi TIC a collaborare pienamente con le autorità competenti e le autorità di risoluzione dell’entità finanziaria, nonché con le persone da esse nominate. | La Sezione 5 dei Termini di servizio di GoTo prevede
che, se necessario e nel rispetto delle leggi
in vigore, GoTo collaborerà con le autorità governative locali,
statali, federali e internazionali
relativamente ai Servizi. Inoltre, il DPA di GoTo prevede altresì che GoTo collabori pienamente con le autorità di controllo, di risoluzione e i rispettivi incaricati che esercitano i loro diritti di informazione e revisione nell’ambito dei Servizi. |
Termini di servizio DPA |
| 9 | Risoluzione | Articolo 30, § 2(h) | Le disposizioni contrattuali sull’uso dei servizi TIC dovranno includere i diritti di risoluzione e i relativi periodi minimi di preavviso per la risoluzione delle disposizioni contrattuali, in conformità con le aspettative delle autorità competenti e delle autorità di risoluzione . | I periodi di preavviso applicabili alla
risoluzione dei Servizi sono indicati nella
Sezione 3.1 dei nostri Termini di servizio di GoTo e
nelle Condizioni integrative a livello regionale incorporate, che includono i requisiti specifici del Paese in questione. |
Termini di servizio Condizioni integrative a livello regionale |
| 10 | Continuità commerciale e resilienza operativa | Articolo 30, § 2(i) | Le disposizioni contrattuali sull’uso dei servizi TIC dovranno includere le condizioni per la partecipazione dei fornitori terzi di servizi TIC ai programmi di sensibilizzazione per la sicurezza delle TIC degli enti finanziari e per la formazione sulla resilienza operativa digitale, in conformità all’Articolo 13, paragrafo 6. | Il DPA di GoTo specifica i nostri obblighi , responsabilità e doveri di formazione interni in relazione alla sicurezza e alla privacy. Le nostre TOM di GoTo forniscono informazioni sui programmi di sensibilizzazione sulla privacy e sulla sicurezza di GoTo e assicurano specificamente che i nuovi dipendenti, contraenti e stagisti siano debitamente informati sulle politiche di sicurezza e sul Codice deontologico ed etico di GoTo in sede di onboarding. Inoltre, tutti i dipendenti, contraenti e affiliati di GoTo devono esaminare e aderire al Codice deontologico ed etico di GoTo. | DPA TOM Codice deontologico ed etico |
| 11 | Servizio e livello di servizio | Articolo 30, § 3(a) | Le disposizioni contrattuali sull’uso dei servizi TIC a supporto di funzioni essenziali o importanti devono includere descrizioni dettagliate dei livelli di servizio, ivi compresi gli aggiornamenti e le revisioni degli stessi, completi di obiettivi precisi delle prestazioni quantitative e qualitative nell’ambito dei livelli di servizio concordati, al fine di consentire un monitoraggio efficace da parte dell’entità finanziaria dei servizi TIC e permettere di intraprendere azioni correttive appropriate , senza ritardi ingiustificati, quando i livelli di servizio concordati non sono soddisfatti. | Al fine di gestire il rischio delle TIC, i clienti delle entità finanziarie
possono acquistare il nostro Supporto VIP,
che offre garanzie e documentazione
sui tempi di risposta e risoluzione.
Contattare i nostri rappresentanti commerciali per ulteriori
informazioni
https://www.goto.com/company/contact-us. I clienti possono rimanere aggiornati sulla disponibilità dei servizi di GoTo visitando la nostra pagina all’indirizzo https://www.goto.com/company/trust/status. |
Supporto VIP* Pagina di stato |
| 12 | Monitoraggio e comunicazioni | Articolo 30, § 3(b) | Le disposizioni contrattuali sull’uso dei servizi TIC a supporto di funzioni essenziali o importanti devono includere i periodi di preavviso e gli obblighi di segnalazione da parte del fornitore terzo di servizi TIC all’entità finanziaria, ivi compresa la comunicazione di qualsivoglia sviluppo che potrebbe avere un impatto materiale sulla capacità del fornitore terzo di servizi TIC di fornire efficacemente tali servizi a supporto di funzioni e essenziali o importanti in linea con i livelli di servizio concordati | Le comunicazioni e gli avvisi relativi ai servizi sono pubblicati sulla nostra pagina all’indirizzo
https://www.goto.com/company/trust/status Altri obblighi di notifica sono indicati nel DPA di GoTo (comunicazioni dei sub-responsabili e incidenti di sicurezza relativi ai Contenuti del cliente). |
Pagina di stato DPA |
| 13 | Continuità commerciale e resilienza operativa | Articolo 30, § 3(c) | Le disposizioni contrattuali sull’
utilizzo dei servizi TIC
a supporto di funzioni critiche o importanti
dovranno includere requisiti per il fornitore terzo di servizi TIC per implementare e provare piani di emergenza aziendale e per disporre di misure, strumenti e politiche di sicurezza TIC che forniscano un livello di sicurezza adeguato per la fornitura di servizi da parte dell’entità finanziaria, in linea con il proprio quadro normativo. |
Il DPA di GoTo afferma che GoTo implementerà
e manterrà adeguate misure tecniche e
organizzative per la tutela della
sicurezza (ivi compresa la protezione in caso di
Incidente di sicurezza), della riservatezza e dell’integrità
dei Contenuti del cliente, come indicato nelle
Misure tecniche e organizzative
pertinenti (Allegato 4). Le TOM di GoTo prevedono che l’implementazione di misure di tutela, funzionalità e pratiche di GoTo comprenda: I. la creazione prodotti che tengano conto, in fase di progettazione e per impostazione predefinita, della sicurezza e della privacy, includendo ulteriori livelli di sicurezza per proteggere i Contenuti del cliente; II. il mantenimento di controlli organizzativi per rendere operative le politiche interne e le procedure relative alla conformità agli standard, alla gestione degli incidenti, alla sicurezza delle applicazioni, alla sicurezza del personale e ai programmi periodici di formazione; e III. l’adozione di pratiche di tutela della privacy per il trattamento e la gestione dei dati in conformità con le leggi in vigore, tra cui il GDPR, il CCPA, l’LGPD, nonché il nostro Addendum sul trattamento dei dati (DPA) e le politiche e gli impegni di GoTo applicabili . Integrando misure di tutela della sicurezza nel prodotto, ci impegniamo a proteggere i Contenuti del cliente di GoTo dalle minacce e a garantire che i controlli di sicurezza siano adeguati alla natura e alla portata dei Servizi. |
DPA TOM |
| 14 | Dati e sicurezza | Articolo 30, § 3(d) | Le disposizioni contrattuali sull’uso di servizi TIC a supporto di funzioni essenziali o importanti includeranno l’obbligo del fornitore terzo di servizi TIC a partecipare e collaborare pienamente al TLPT dell’entità finanziaria di cui agli Articoli 26 e 27. | Le TOM di GoTo specificano che, oltre ai test interni, GoTo stipula contratti con aziende esterne per condurre valutazioni sulla sicurezza periodiche e/o test di penetrazione. | TOM |
| 15 | Verifica, accesso, e informazioni | Articolo 30, § 3(e) | Le disposizioni contrattuali sull’uso di
servizi TIC
a supporto di funzioni essenziali o importanti
includono il diritto
di monitorare, su base continuativa,
le prestazioni del fornitore terzo di servizi TIC
che comporta
quanto segue: •
diritti illimitati di accesso,
ispezione e verifica da parte dell’entità finanziaria o del relativo revisore terzo designato, nonché da parte dell’autorità competente, e tali diritti non saranno limitati da
altre disposizioni contrattuali
o
politiche di implementazione; • diritto di concordare livelli di garanzia alternativi qualora altri diritti dei clienti siano influenzati; • obbligo del fornitore terzo di servizi TIC a collaborare pienamente durante le ispezioni in loco effettuate dalle autorità competenti, dal supervisore principale, dall’entità finanziaria o da una terza parte nominata; • obbligo a fornire dettagli sull’ambito e sulle procedure da seguire, nonché sulla frequenza di tali ispezioni e verifiche. |
Il DPA di GoTo, le Certificazioni di terze parti e le Verifiche prevedono che GoTo metta a disposizione del cliente le proprie certificazioni di terze parti e/o il cliente, o una relativa terza parte designata, può ragionevolmente richiedere una verifica. GoTo si impegna a eseguire una valutazione competente e indipendente, effettuata da terzi (quali un revisore accreditato AICPA o ISO), dei propri controlli di sicurezza pertinenti almeno annualmente, come ulteriormente specificato nella disposizione sulla Conformità agli standard delle TOM applicabili, e fornirà al Cliente una copia dei risultati di tale valutazione (o una prova della stessa) una volta per anno solare (a condizione che il Cliente non sia un concorrente diretto di GoTo e sia soggetto ad appropriati obblighi di riservatezza), su richiesta scritta del Cliente. | DPA TOM |
| 16 | Risoluzione | Articolo 30, § 3(f) | Le disposizioni contrattuali sull’uso di servizi TIC a supporto di funzioni essenziali o importanti devono includere strategie di recesso, in particolare la definizione di un periodo di transizione adeguato e obbligatorio: durante il quale il fornitore terzo di servizi TIC continuerà a fornire le rispettive funzioni o i servizi TIC con l’obiettivo di ridurre il rischio di interruzione dell’attività dell’entità finanziaria o di garantirne l’efficace risoluzione e ristrutturazione; • consentendo all’entità finanziaria di effettuare la migrazione verso un altro fornitore terzo di servizi TIC o di passare a soluzioni interne coerenti con la complessità del servizio fornito. | La Sezione 3.3. dei Termini di servizio prevede
che, su richiesta, GoTo fornisca un accesso limitato
ai Servizi per un periodo non
superiore a 30 giorni, in modo da consentire agli utenti di recuperare i propri
Contenuti dai Servizi.
Il DPA di GoTo prevede inoltre che, previa richiesta scritta del Cliente e laddove consentito dalla legge, GoTo restituisca a quest’ultimo qualsiasi Contenuto del cliente o spieghi allo stesso come effettuare un’esportazione di dati in autonomia. Inoltre, le TOM applicabili descrivono come un Cliente può richiedere supporto per la restituzione e/o l’eliminazione dei propri Contenuti del cliente. Tuttavia, se un’entità regolamentata desidera ricevere supporto, su richiesta, GoTo fornirà servizi di consulenza e implementazione per assistere nella procedura di migrazione dei carichi di lavoro o in altro modo nella transizione dell’uso dei Servizi. |
Termini di servizio
DPA TOM Supporto nella transizione |
| 17 | Verifiche | Articolo 30, § 3 | In deroga al punto (e), il fornitore terzo di servizi TIC e l’entità finanziaria, che è una microimpresa, possono concordare che i diritti di accesso, ispezione e verifica dell’entità finanziaria possono essere delegati a una terza parte indipendente, nominata dal fornitore terzo di servizi TIC, e che l’entità finanziaria è in grado di richiedere informazioni e garanzie sulle prestazioni del suddetto fornitore alla terza parte, in qualsiasi momento. | Il DPA di GoTo, le Certificazioni di terze parti e le Verifiche prevedono che GoTo metta a disposizione del cliente le proprie certificazioni di terze parti e/o il cliente, o una relativa terza parte designata, può ragionevolmente richiedere una verifica. GoTo si impegna a eseguire una valutazione competente e indipendente, effettuata da terzi (quali un revisore accreditato AICPA o ISO), dei propri controlli di sicurezza pertinenti almeno annualmente, come ulteriormente specificato nella disposizione sulla Conformità agli standard delle TOM applicabili, e fornirà al Cliente una copia dei risultati di tale valutazione (o una prova della stessa) una volta per anno solare (a condizione che il Cliente non sia un concorrente diretto di GoTo e sia soggetto ad appropriati obblighi di riservatezza), su richiesta scritta del Cliente. | DPA TOM |
Supporto aggiuntivo
Il presente documento è stato creato per illustrare come i nostri servizi soddisfano gli obblighi DORA degli utenti. Qualora gli utenti necessitassero di ulteriore supporto in merito ai propri obblighi DORA, anche per richiedere un addendum DORA firmato da accludere al Contratto di servizi, potranno contattare il proprio rappresentante per il Supporto GoTo per maggiori informazioni, all’indirizzo https://www.goto.com/company/contact-us.
