demi
+49 176 4294 8750

Misure Tecniche e Organizzative (MTO)

demi Technologies GmbH | Allegato al contratto di co-sviluppo | Aggiornato al: 3 maggio 2026

1. Attività di trattamento

Attività di trattamentoFinalità
Operazioni della piattaforma e alta disponibilità
  • - Hosting e archiviazione (DB, file, back-up)
  • - Esecuzione della logica applicativa/backend (incl. inferenza IA, richieste API)
  • - Integrazioni e-mail, calendario e altre API
  • - Servizi di messaggistica transazionale (e-mail di sistema, webhook, notifiche push)
  • - Replica dei dati e failover regionale
Garantire la funzionalità, le prestazioni, l'alta disponibilità e il debug della piattaforma
Sicurezza, autenticazione e conformità
  • - Autenticazione utente / SSO / gestione dei token
  • - Registrazione e monitoraggio (log, metriche)
  • - Crittografia e gestione delle chiavi (KMS, TLS, rotazione delle chiavi)
  • - Scansione di contenuti/malware, log di abusi/limitazione della velocità
  • - Gestione del consenso e delle preferenze e-mail
Controllo degli accessi, sicurezza informatica, prevenzione delle frodi, evidenza delle misure tecniche/organizzative e conformità marketing
Supporto e diritti degli interessati
  • - Sistema di supporto/ticket
  • - Registrazione del flusso di lavoro DSAR
  • - Esportazione dei dati e fornitura tramite API (JSON/CSV, webhook)
Risoluzione dei problemi, supporto agli utenti, portabilità dei dati, adempimento/documentazione dei diritti degli interessati (artt. 15–20 GDPR)
Fatturazione ed esecuzione del contratto
  • - Aggregazione dei dati di fatturazione e utilizzo (misurazione API, contatori di sessione)
  • - Gestione di licenze e ruoli
Fatturazione basata sul consumo, audit trail, esecuzione del contratto
Sviluppo del prodotto e analisi
  • - Analisi dell'utilizzo e della telemetria (aggregata/anonimizzata)
  • - Test di usabilità, benchmarking, addestramento di modelli IA
Miglioramento del prodotto, pianificazione della capacità, garanzia della qualità
Risposta agli incidenti e prova legale
  • - Snapshot di incidenti/forensici, copie di log
  • - Back-up crittografati passivamente
Indagine sugli incidenti di sicurezza, difesa legale, produzione di prove (artt. 33/34 GDPR)
Hosting e archiviazione di database, file e backupGestione dei servizi della piattaforma, sicurezza dei dati, debug
Funzioni di ricerca e analisi (Customer Search, Channel Search)
  • - Interrogazione di fonti pubbliche
  • - Aggregazione e preparazione assistita da IA
  • - Archiviazione temporanea all'interno dell'istanza della piattaforma
Ricerca di mercato e aziendale; supporto alle attività commerciali del partner di co-sviluppo
Arricchimento dei dati
  • - Trasmissione a servizi terzi specializzati (sub-responsabili) dei dati di contatto e aziendali caricati dal partner di co-sviluppo
  • - Integrazione con dati di contatto, qualifiche professionali, appartenenza aziendale e risultati di validazione
  • - Restituzione dei dati arricchiti all'istanza della piattaforma
Qualificazione e arricchimento dei contatti commerciali; supporto alle attività di vendita e marketing del partner di co-sviluppo; validazione delle e-mail per evitare mancati recapiti

2. Misure MTO ai sensi dell'Art. 32 GDPR

Categoria di misuraDescrizione
Controllo dell'accesso fisicoMisure per impedire l'accesso fisico non autorizzato alle strutture di trattamento dei dati (data center, sale server)
Controllo dell'accesso ai sistemiMisure per impedire l'uso non autorizzato dei sistemi di trattamento dei dati (autenticazione, politiche sulle password, MFA, SSO)
Controllo dell'accesso ai datiMisure per garantire che gli utenti autorizzati possano accedere solo ai dati a loro assegnati (RBAC, privilegio minimo, log di audit)
Controllo del trasferimentoMisure per impedire la lettura, la copia, la modifica o la cancellazione non autorizzate durante la trasmissione elettronica (TLS 1.2+, VPN, crittografia)
Controllo degli inserimentiMisure per garantire la tracciabilità di chi ha inserito, modificato o cancellato quali dati e quando (audit trail, versionamento)
Controllo degli incarichiMisure per garantire che i dati personali vengano trattati solo in conformità alle istruzioni del titolare del trattamento (DPA, controllo dei sub-responsabili)
Controllo della disponibilitàMisure per proteggere i dati personali da distruzione o perdita (backup, ridondanza, disaster recovery, failover regionale)
SeparabilitàMisure per il trattamento separato dei dati raccolti per finalità diverse (separazione dei tenant, separazione logica dei dati per tenant)
PseudonimizzazioneOve possibile: trattamento dei dati personali in modo che non possano più essere attribuiti a una persona specifica senza l'uso di informazioni aggiuntive
CrittografiaCrittografia dei dati personali a riposo (AES-256) e in transito (TLS 1.2+); gestione delle chiavi tramite KMS
Resilienza dei sistemiLa capacità dei sistemi di ripristinare rapidamente la disponibilità e l'accesso ai dati personali in caso di incidente tecnico
Revisione periodicaProcedure per la revisione, la valutazione e la verifica periodiche dell'efficacia delle misure tecniche e organizzative (penetration test, audit di sicurezza)