Versione 5, in vigore dal 30 dicembre 2022

Cloudflare, Inc. ("Cloudflare") e la controparte che accetta questi termini ("Cliente") hanno stipulato un Contratto di abbonamento aziendale, un Contratto di abbonamento self-service o un altro contratto scritto o elettronico per i Servizi forniti da Cloudflare (il "Contratto principale"). Il presente Addendum sul trattamento dei dati, comprese le appendici (il "DPA"), costituisce parte integrante dell'Accordo principale.

Il presente DPA entrerà in vigore, e sostituirà e surroga tutti i termini precedentemente applicabili relativi al loro oggetto (compresi eventuali emendamenti al trattamento dei dati, accordi o addendum relativi ai Servizi), a partire dalla data in cui il Cliente ha firmato o le parti hanno altrimenti concordato il presente DPA ("Data di entrata in vigore del DPA").

Se accettate il presente DPA per conto del Cliente, garantite che: (a) di avere la piena autorità legale per vincolare il Cliente al presente DPA; (b) di aver letto e compreso il presente DPA; e (c) di accettare, per conto del Cliente, il presente DPA. Se non si dispone dell'autorità legale per vincolare il Cliente, si prega di non accettare il presente DPA.

TERMINI DI TRATTAMENTO DEI DATI

La presente DPA si applica laddove Cloudflare elabora i Dati personali in qualità di Processore (o sub-Processore, a seconda dei casi) per conto del Cliente per fornire i Servizi e tali Dati personali sono soggetti alle Leggi sulla protezione dei dati applicabili (come definite di seguito).

Le parti hanno concordato di stipulare il presente DPA al fine di garantire l'adozione di adeguate misure di salvaguardia per la protezione di tali dati personali in conformità alle leggi applicabili in materia di protezione dei dati. Di conseguenza, Cloudflare accetta di rispettare le seguenti disposizioni in relazione a qualsiasi Dato personale che tratta in qualità di Processore (o sub-Processore, a seconda dei casi) per conto del Cliente.

1. Definizioni

1.1 Nel presente DPA vengono utilizzate le seguenti definizioni:

a) "Adequate Country" indica un paese o un territorio che, ai sensi delle leggi europee sulla protezione dei dati, è riconosciuto come in grado di fornire una protezione adeguata dei Dati personali.

b) "Affiliate" indica, con riferimento a una parte, qualsiasi entità societaria che, direttamente o indirettamente, controlla, è controllata da, o è sottoposta a controllo comune con tale parte (ma solo finché esiste tale controllo).

c) "Leggi applicabili in materia di protezione dei dati" indica tutte le leggi e i regolamenti applicabili al trattamento dei Dati personali ai sensi dell'Accordo principale, comprese le Leggi europee in materia di protezione dei dati e le Leggi statunitensi in materia di protezione dei dati.

d) "Cloudflare Group" indica Cloudflare e qualsiasi sua Affiliata.

e) "Controller" indica un'entità che determina le finalità e i mezzi del trattamento dei Dati personali, e include "controller", "business" o termini analoghi come definiti dalle Leggi applicabili sulla protezione dei dati.

f) "Gruppo di Clienti" indica il Cliente e qualsiasi sua Affiliata.

g) "Leggi europee sulla protezione dei dati" indica tutte le leggi e i regolamenti dell'Unione Europea, dello Spazio Economico Europeo, dei loro Stati membri, della Svizzera e del Regno Unito applicabili al trattamento dei Dati Personali ai sensi dell'Accordo Principale (incluso, ove applicabile, (i) il Regolamento 2016/679 del Parlamento Europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al Trattamento dei Dati Personali e alla libera circolazione di tali dati (Regolamento Generale sulla Protezione dei Dati) (il "GDPR UE" ); (ii) il GDPR dell'UE come salvato nel diritto del Regno Unito in virtù dell'articolo 3 dell'European Union (Withdrawal) Act 2018 del Regno Unito e del Data Protection Act 2018 del Regno Unito (il "GDPR del Regno Unito" ); (iii) la Legge federale svizzera sulla protezione dei dati del 19 giugno 1992 e le relative ordinanze ("LPD svizzera"); (iv) la Direttiva e-Privacy dell'UE (Direttiva 2002/58/CE); e (v) tutte le leggi nazionali applicabili in materia di protezione dei dati fatte in base a, ai sensi di o che si applicano in combinazione con uno qualsiasi dei punti (i), (ii), (iii), (iv).

h) "Dati Personali" indica tutti i dati che sono definiti come "dati personali", "informazioni personali", o "informazioni di identificazione personale" (o termine analogo) ai sensi delle Leggi Applicabili sulla Protezione dei Dati.

i) "trattamento", "interessato" e "autorità di controllo" hanno il significato loro attribuito dalla normativa europea sulla protezione dei dati.

j) "Processore" indica un'entità che elabora i Dati personali per conto del Titolare del trattamento, inclusa un'entità a cui un'altra entità divulga le informazioni personali di una persona fisica per uno scopo commerciale in base a un contratto scritto che richiede all'entità che riceve le informazioni di conservare, utilizzare o divulgare le informazioni sui Dati personali solo allo scopo di fornire i Servizi, e include "processore", "fornitore di servizi" o un termine analogo definito ai sensi delle Leggi applicabili sulla protezione dei dati.

k) "Servizi" si riferisce a tutte le soluzioni basate sul cloud offerte, commercializzate o vendute da Cloudflare o dai suoi partner autorizzati che sono progettate per aumentare le prestazioni, la sicurezza e la disponibilità delle proprietà, delle applicazioni e delle reti Internet, insieme a qualsiasi software, kit di sviluppo software e interfacce di programmazione delle applicazioni ("API") resi disponibili in relazione a quanto sopra.

l) "EUSCCs" indica le clausole contrattuali allegate alla Decisione di esecuzione 2021/914 della Commissione Europea del 4 giugno 2021 sulle clausole contrattuali tipo per il trasferimento di Dati Personali verso paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio.

m) "Trasferimento limitato" significa: (i) laddove si applichi il GDPR dell'UE o la Legge federale svizzera sulla protezione dei dati, un trasferimento di Dati personali dallo Spazio economico europeo o dalla Svizzera (a seconda dei casi) a un paese al di fuori dello Spazio economico europeo o della Svizzera (a seconda dei casi) che non è soggetto a una determinazione di adeguatezza da parte della Commissione europea o del Commissario federale svizzero per la protezione dei dati e l'informazione (a seconda dei casi); e (ii) laddove si applichi il GDPR del Regno Unito, un trasferimento di Dati personali dal Regno Unito a qualsiasi altro paese che non si basa su regolamenti di adeguatezza ai sensi della sezione 17A dello United Kingdom Data Protection Act 2018.

n) "UK Addendum" indica l'International Data Transfer Addendum (Versione B1.0) emesso dall'Information Commissioner's Office ai sensi della s.119(A) del UK Data Protection Act 2018, come aggiornato o modificato di volta in volta.

o) "United States Data Protection Laws" indica tutte le leggi e i regolamenti degli Stati Uniti applicabili al trattamento dei Dati Personali ai sensi dell'Accordo Principale, tra cui (a) il California Consumer Privacy Act del 2018, come modificato dal California Privacy Rights Act del 2020 (Cal. Civ. Code § 1798.100 - 1798.199, 2022) e i relativi regolamenti di attuazione (collettivamente, il "CCPA"), (b) il Virginia Consumer Data Protection Act, una volta entrato in vigore, (c) il Colorado Privacy Act e i relativi regolamenti di attuazione, una volta entrato in vigore, (d) lo Utah Consumer Privacy Act, una volta entrato in vigore; e (e) il Connecticut SB6, An Act Concerning Personal Data Privacy and Online Monitoring, una volta entrato in vigore.

1.2 Un'entità "controlla" un'altra entità se: (a) detiene la maggioranza dei diritti di voto in essa; (b) ne è membro o azionista e ha il diritto di rimuovere la maggioranza del consiglio di amministrazione o dell'organo di gestione equivalente; (c) ne è membro o azionista e controlla, da sola o in base a un accordo con altri azionisti o membri, la maggioranza dei diritti di voto in essa; (d) ha il diritto di esercitare un'influenza dominante su di essa ai sensi dei suoi documenti costituzionali o di un contratto; e due entità sono considerate in "controllo comune" se una delle due controlla l'altra (direttamente o indirettamente) o entrambe sono controllate (direttamente o indirettamente) dalla stessa entità.

1.3 Ai fini del presente DPA, per "fornire" o "fornire" i Servizi si intende la fornitura dei Servizi come definiti nel Contratto principale;

2. Stato delle parti

2.1 Il tipo di Dati Personali trattati ai sensi della presente DPA e l'oggetto, la durata, la natura e le finalità del trattamento, nonché le categorie di interessati, sono descritti nell'Allegato 1.

2.2 Ciascuna parte garantisce, in relazione ai Dati personali, che rispetterà e fornirà lo stesso livello di protezione della privacy richiesto dalle Leggi applicabili in materia di protezione dei dati. Tra le parti, il Cliente è l'unico responsabile dell'accuratezza, della qualità e della legalità dei Dati personali e dei mezzi con cui il Cliente ha acquisito i Dati personali.

2.3 Per quanto riguarda i diritti e gli obblighi delle parti ai sensi della presente DPA in merito ai Dati personali, le parti riconoscono e concordano che il Cliente è il Titolare del trattamento (o un Responsabile del trattamento dei Dati personali per conto di un Titolare terzo) e Cloudflare è un Responsabile del trattamento (o un sub-Processore, a seconda dei casi).

2.4 Se l'Utente è un Responsabile del trattamento, l'Utente garantisce a Cloudflare che le istruzioni e le azioni dell'Utente in relazione ai Dati personali, compresa la nomina di Cloudflare come altro Responsabile del trattamento e, se del caso, la stipula delle SCC UE (anche come possono essere modificate nelle clausole 6.2(b) e (c) di seguito), sono state (e continueranno ad essere, per tutta la durata del presente DPA) autorizzate dal relativo Responsabile del trattamento di terze parti.

3. Obblighi di Cloudflare

3.1 In relazione a tutti i Dati Personali che tratta in qualità di Responsabile o sub-Processore, Cloudflare garantisce che:

(a) trattare i Dati personali solo per lo scopo commerciale limitato e specificato della fornitura dei Servizi e in conformità con: (i) le istruzioni scritte del Cliente come indicato nell'Accordo Principale e nel presente DPA, a meno che non sia richiesto dal diritto dell'Unione o degli Stati membri a cui Cloudflare è soggetta, e (ii) i requisiti delle Leggi Applicabili sulla Protezione dei Dati. ​​Nel caso in cui Cloudflare sia tenuta a trattare i Dati personali ai sensi delle Leggi sulla protezione dei dati applicabili, Cloudflare informerà il Cliente di tale requisito legale prima del trattamento, a meno che tale legge non vieti tali informazioni per importanti motivi di interesse pubblico;

(b) non utilizzare i Dati personali a fini di marketing o pubblicità;

(c) implementare misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento dei Dati personali, in particolare la protezione contro la distruzione accidentale o illegale, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai Dati personali. Tali misure comprendono, a titolo esemplificativo e non esaustivo, le misure di sicurezza di cui all'Allegato 2 ("Misure di sicurezza"). L'Utente riconosce che le Misure di sicurezza sono soggette al progresso tecnico e allo sviluppo e che Cloudflare può aggiornare o modificare le Misure di sicurezza di volta in volta, a condizione che tali aggiornamenti e modifiche non degradino o diminuiscano la sicurezza complessiva del Servizio;

(d) garantire che solo il personale autorizzato abbia accesso a tali Dati personali e che le persone che autorizza ad accedere ai Dati personali siano soggette a obblighi contrattuali o legali di riservatezza;

(e) notificare al Cliente, senza indebito ritardo, qualsiasi violazione della sicurezza che comporti la distruzione accidentale o illegale, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai Dati Personali trasmessi, memorizzati o altrimenti trattati allo scopo di fornire i Servizi al Cliente da parte di Cloudflare, dei suoi sub-Processori, o qualsiasi altra terza parte identificata o non identificata (una "Violazione dei Dati Personali") e fornire al Cliente una ragionevole cooperazione e assistenza in relazione a tale Violazione dei Dati Personali, comprese tutte le informazioni ragionevoli in possesso di Cloudflare in merito a tale Violazione dei Dati Personali nella misura in cui riguarda i Dati Personali;

(f) non fare alcun annuncio pubblico su una violazione dei dati personali (un "Breach Notice") senza il previo consenso scritto del Cliente, a meno che non sia richiesto dalla legge applicabile;

(g) nella misura in cui Cloudflare è in grado di verificare che un soggetto interessato sia associato al Cliente, notificare tempestivamente al Cliente se riceve una richiesta da parte di un soggetto interessato di esercitare qualsiasi diritto di protezione dei dati (compresi i diritti di accesso, rettifica o cancellazione) in relazione ai Dati personali di tale soggetto (una "Richiesta del soggetto interessato"). Cloudflare non risponderà a una richiesta di dati personali senza il previo consenso scritto del Cliente, tranne che per confermare che tale richiesta si riferisce al Cliente, cosa che il Cliente accetta;

(h) nella misura in cui Cloudflare è in grado, e in linea con la legge applicabile, di fornire un'assistenza ragionevole al Cliente nel rispondere a una richiesta dell'interessato di esercitare qualsiasi diritto di protezione dei dati ai sensi delle Leggi applicabili in materia di protezione dei dati (compresi i diritti di accesso, rettifica o cancellazione) in relazione ai Dati personali dell'interessato, se il Cliente non ha la capacità di affrontare una richiesta dell'interessato senza l'assistenza di Cloudflare. Il Cliente è tenuto a verificare che il richiedente sia l'interessato ai cui dati personali si riferisce la richiesta. Cloudflare non si assume alcuna responsabilità per le informazioni fornite in buona fede all'Utente in base a questa sottosezione. Il Cliente dovrà coprire tutti i costi sostenuti da Cloudflare in relazione alla fornitura di tale assistenza;

(i) ad eccezione della misura richiesta per conformarsi alla legge applicabile, a seguito della risoluzione o della scadenza del Contratto principale o del completamento del Servizio, a scelta del Cliente, cancellare o restituire tutti i Dati personali (comprese le relative copie) trattati ai sensi della presente DPA;

(j) tenendo conto della natura del trattamento e delle informazioni a disposizione di Cloudflare, fornire al Cliente l'assistenza ragionevolmente richiesta dal Cliente in relazione agli obblighi di Cloudflare ai sensi delle Leggi Applicabili sulla Protezione dei Dati in relazione a:

(i) le valutazioni d'impatto sulla protezione dei dati e le consultazioni preventive (come tali termini sono definiti nelle leggi applicabili sulla protezione dei dati);

(ii) notifiche all'autorità di vigilanza ai sensi delle leggi applicabili sulla protezione dei dati e/o comunicazioni agli interessati da parte del Cliente in risposta a qualsiasi violazione dei dati personali; e

(iii) il rispetto da parte del Cliente degli obblighi previsti dalle Leggi applicabili in materia di protezione dei dati in relazione alla sicurezza del trattamento;

a condizione che il Cliente copra tutti i costi sostenuti da Cloudflare in relazione alla fornitura di tale assistenza; e

(k) notificare all'Utente se, a giudizio di Cloudflare, qualsiasi istruzione fornita dall'Utente ai sensi della clausola 3.1(a) viola le Leggi Applicabili sulla Protezione dei Dati, o se Cloudflare determina in altro modo che non può più soddisfare i propri obblighi ai sensi delle Leggi Applicabili sulla Protezione dei Dati

3.2 Nella misura in cui Cloudflare elabora i Dati personali per conto del Cliente nell'ambito del CCPA, Cloudflare assume i seguenti impegni aggiuntivi nei confronti del Cliente: Cloudflare non conserverà, utilizzerà o divulgherà tali Dati personali per scopi diversi da quelli stabiliti nell'Accordo principale e nel presente DPA e come consentito dal CCPA, inclusa qualsiasi esenzione per "vendita". Cloudflare non "venderà" o "condividerà" tali Dati personali, come questi termini sono definiti nel CCPA. La presente clausola 3.2 non limita o riduce alcun impegno di protezione dei dati che Cloudflare assume nei confronti del Cliente nel Contratto principale o nel presente DPA.

3.3 Cloudflare certifica di aver compreso e di rispettare gli obblighi e le restrizioni di cui alle clausole 2 e 3 e le Leggi applicabili in materia di protezione dei dati.

4. Sottoelaborazione

4.1 Cloudflare divulgherà i Dati personali ai sub-incaricati solo per lo scopo specifico di fornire i Servizi.

4.2 Cloudflare farà in modo che qualsiasi subprocessore da essa ingaggiato per fornire un aspetto del Servizio per suo conto in relazione al presente DPA lo faccia solo sulla base di un contratto scritto che imponga a tale subprocessore termini (ad esempio, obblighi di protezione dei dati) che non siano meno protettivi dei Dati personali di quelli imposti a Cloudflare nel presente DPA (i "Termini rilevanti"). Cloudflare dovrà assicurare l'esecuzione da parte di tale subprocessore dei Termini rilevanti e sarà responsabile nei confronti del Cliente per qualsiasi violazione da parte di tale subprocessore di uno qualsiasi dei Termini rilevanti.

4.3 Il Cliente concede un'autorizzazione generale scritta: (a) a Cloudflare per nominare altri membri del Gruppo Cloudflare come subprocessori, e (b) a Cloudflare e ad altri membri del Gruppo Cloudflare per nominare operatori di data center di terze parti, e fornitori di servizi commerciali, ingegneristici e di assistenza clienti come subprocessori per supportare le prestazioni del Servizio.

4.4 Cloudflare manterrà un elenco di sub-processori all'indirizzo https://www.cloudflare.com/gdpr/subprocessors/. e aggiungerà i nomi dei subincaricati nuovi e sostitutivi all'elenco almeno trenta (30) giorni prima della data in cui tali subincaricati inizieranno a trattare i Dati personali. Se l'Utente si oppone a un subprocessore nuovo o sostitutivo per motivi ragionevoli legati alla protezione dei dati, dovrà notificare a Cloudflare tali obiezioni per iscritto entro dieci (10) giorni dalla notifica e le parti cercheranno di risolvere la questione in buona fede. Se Cloudflare è ragionevolmente in grado di fornire il Servizio al Cliente in conformità al Contratto principale senza utilizzare il subprocessore e decide a sua discrezione di farlo, il Cliente non avrà ulteriori diritti ai sensi della presente clausola 4.4 in relazione all'uso proposto del subprocessore. Se Cloudflare, a sua discrezione, richiede l'uso del subprocessore e non è in grado di soddisfare l'obiezione dell'Utente in merito all'uso proposto del subprocessore nuovo o sostitutivo, l'Utente può rescindere il Modulo d'ordine applicabile a partire dalla data in cui Cloudflare inizia a utilizzare tale subprocessore nuovo o sostitutivo esclusivamente in relazione al Servizio (o ai Servizi) che utilizzerà il nuovo subprocessore proposto per il trattamento dei Dati personali. Se l'Acquirente non si oppone tempestivamente a un subincaricato nuovo o sostitutivo in conformità alla presente clausola 4.4, si riterrà che l'Acquirente abbia acconsentito al subincaricato e abbia rinunciato al diritto di opporsi.

5. Audit e registrazioni

5.1 Cloudflare, in conformità con le Leggi applicabili in materia di protezione dei dati, metterà a disposizione dell'Utente le informazioni in possesso o sotto il controllo di Cloudflare che l'Utente potrà ragionevolmente richiedere al fine di dimostrare la conformità di Cloudflare agli obblighi dei Responsabili del trattamento ai sensi delle Leggi applicabili in materia di protezione dei dati in relazione al trattamento dei Dati personali.

5.2 Cloudflare può soddisfare il diritto di verifica del Cliente ai sensi delle Leggi sulla protezione applicabili in relazione ai Dati personali, fornendo:

(a) un rapporto di revisione non più vecchio di tredici (13) mesi, preparato da un revisore esterno indipendente che dimostri che le misure tecniche e organizzative di Cloudflare sono sufficienti e conformi a uno standard di revisione del settore accettato;

(b) informazioni aggiuntive in possesso o sotto il controllo di Cloudflare a un'autorità di controllo della protezione dei dati quando questa richiede o ha bisogno di informazioni aggiuntive in relazione al trattamento dei Dati personali effettuato da Cloudflare ai sensi della presente DPA; e

(c) Nella misura in cui i Dati personali del Cliente sono soggetti alle SCC dell'UE e le informazioni rese disponibili ai sensi della presente clausola 5.2 non sono sufficienti, secondo il ragionevole giudizio del Cliente, a confermare la conformità di Cloudflare ai suoi obblighi ai sensi del presente DPA o delle Leggi applicabili in materia di protezione dei dati, allora Cloudflare consentirà al Cliente di richiedere un audit in loco per periodo annuale durante il Periodo di validità (come definito nell'Accordo principale) per verificare la conformità di Cloudflare ai suoi obblighi ai sensi del presente DPA in conformità alla clausola 5.3.

5.3 Le seguenti condizioni aggiuntive si applicano agli audit richiesti dal Cliente:

(a) L'Utente deve inviare qualsiasi richiesta di revisione dei rapporti di audit di Cloudflare a customer-compliance@cloudflare.com.

(b) A seguito della ricezione da parte di Cloudflare di una richiesta di audit ai sensi dell'articolo 5.2(c), Cloudflare e il Cliente discuteranno e concorderanno in anticipo la data di inizio ragionevole, l'ambito, la durata e i controlli di sicurezza e riservatezza applicabili a qualsiasi audit ai sensi dell'articolo 5.2(c). Quando possibile, le prove per tale audit saranno limitate alle prove raccolte per l'audit di terze parti più recente di Cloudflare.

(c) Cloudflare può addebitare una tariffa (basata sui costi ragionevoli di Cloudflare) per qualsiasi verifica ai sensi dell'articolo 5.2(c). Cloudflare fornirà all'Utente ulteriori dettagli su qualsiasi tariffa applicabile e sulla base del suo calcolo, prima di qualsiasi verifica. Il Cliente sarà responsabile di qualsiasi tariffa addebitata da qualsiasi revisore nominato dal Cliente per eseguire tale revisione.

(d) Cloudflare può opporsi per iscritto a un revisore nominato dall'Utente per condurre qualsiasi audit ai sensi dell'articolo 5.2(c) se il revisore, secondo la ragionevole opinione di Cloudflare, non è adeguatamente qualificato o indipendente, è un concorrente di Cloudflare o altrimenti manifestamente inadatto (cioè, un revisore il cui incarico può avere un impatto dannoso sull'attività di Cloudflare paragonabile agli aspetti sopra menzionati). Qualsiasi obiezione di questo tipo da parte di Cloudflare richiederà al Cliente di nominare un altro revisore o di condurre l'audit stesso. Qualora si applichino le norme del Codice di Autoregolamentazione dell'Unione Europea (anche nella forma in cui possono essere modificate nelle clausole 6.2 (a) e (b) che seguono), nulla di quanto contenuto nella presente clausola 5.3 varia o modifica le norme del Codice di Autoregolamentazione dell'Unione Europea né pregiudica i diritti dell'autorità di controllo o dell'interessato ai sensi delle norme del Codice di Autoregolamentazione dell'Unione Europea.

6. Trasferimenti di dati da SEE, Svizzera e Regno Unito

6.1 In relazione al Servizio, le parti prevedono che Cloudflare (e i suoi subprocessori) possa trattare al di fuori dello Spazio Economico Europeo ("SEE"), della Svizzera e del Regno Unito, alcuni Dati Personali protetti dalle Leggi Europee sulla Protezione dei Dati rispetto ai quali l'Utente o un membro del Gruppo di Clienti può essere un Controllore (o un Processore per conto di un Controllore terzo, a seconda dei casi).

6.2 Le parti concordano che quando il trasferimento di Dati personali protetti dalle Leggi europee sulla protezione dei dati dal Cliente o da qualsiasi membro del Gruppo del Cliente a Cloudflare è un Trasferimento limitato, allora sarà soggetto alle appropriate SCC dell'UE come segue:

(a) Trasferimenti UE: in relazione ai Dati personali protetti dal GDPR UE, le SCC UE si applicheranno completate come segue:

(i) Il Modulo Due si applicherà nel caso in cui l'Acquirente (o il relativo membro del Gruppo di Acquirenti) sia un Controllore e il Modulo Tre si applicherà nel caso in cui l'Acquirente (o il relativo membro del Gruppo di Acquirenti) sia un Elaboratore;

(ii) nella clausola 7, si applicherà la clausola di attracco opzionale;

(iii) nella Clausola 9, si applicherà l'opzione 2 e il periodo di tempo per la notifica preventiva delle modifiche al subprocessore sarà quello stabilito nella Clausola 4.3 del presente DPA;

(iv) nella clausola 11, la lingua opzionale non si applica;

(v) nella clausola 17, si applicherà l'opzione 2 e, se lo Stato membro dell'esportatore di dati non consente diritti di terzi beneficiari, si applicherà la legge della Germania;

(vi) nella Clausola 18(b), le controversie saranno risolte davanti ai tribunali della giurisdizione che regola l'Accordo principale tra le parti o, se tale giurisdizione non è uno Stato membro dell'UE, ai tribunali di Monaco, Germania. In ogni caso, la Clausola 17 e la Clausola 18 (b) saranno coerenti nel senso che la scelta del foro e della giurisdizione ricadrà sul paese della legge applicabile;

(vii) l'allegato I delle SCC dell'UE si considera completato con le informazioni di cui all'allegato 1 del presente DPA; e

(viii) L'allegato II delle SCC dell'UE si considera completato con le informazioni di cui all'allegato 2 del presente DPA.

(b) Trasferimenti nel Regno Unito: in relazione ai Dati personali protetti dal GDPR del Regno Unito, le SCC dell'UE si applicheranno come indicato sopra nella clausola 6.2(a) del presente DPA, si applicheranno ai trasferimenti di tali Dati personali, ad eccezione di:

(i) Gli SCC UE saranno considerati modificati come specificato dall'Addendum UK, che sarà considerato eseguito tra il Cliente cedente (o il membro pertinente del Gruppo di Clienti) e Cloudflare;

(ii) Qualsiasi conflitto tra i termini delle SCC dell'UE e l'Addendum del Regno Unito sarà risolto in conformità alla Sezione 10 e alla Sezione 11 dell'Addendum del Regno Unito;

(iii) Ai fini dell'addendum per il Regno Unito, le tabelle da 1 a 3 della parte 1 dell'addendum per il Regno Unito si considerano completate utilizzando le informazioni contenute negli allegati del presente DPA; e

(iv) La Tabella 4 della Parte 1 dell'Addendum per il Regno Unito si considera compilata selezionando "nessuna delle due parti".

(c) Trasferimenti dalla Svizzera: in relazione ai Dati Personali protetti dalla Legge Federale Svizzera sulla Protezione dei Dati (come modificata o sostituita), le SCC dell'UE, completate come indicato nella clausola 6.2(a) della presente DPA, si applicheranno ai trasferimenti di tali Dati Personali, ad eccezione di:

(i) l'autorità di controllo competente in relazione a tali Dati personali sarà l'Incaricato federale della protezione dei dati e delle informazioni della Svizzera;

(ii) nella Clausola 17, il diritto applicabile sarà quello della Svizzera;

(iii) i riferimenti allo "Stato membro" o agli "Stati membri" nelle CPUE devono essere interpretati come riferiti alla Svizzera e le persone interessate situate in Svizzera hanno il diritto di esercitare e far valere i loro diritti ai sensi delle CPUE in Svizzera; e

(iv) i riferimenti al "Regolamento generale sulla protezione dei dati", al "Regolamento 2016/679" o al "GDPR" nelle SCC dell'UE devono essere intesi come riferimenti alla Legge federale svizzera sulla protezione dei dati (come modificata o sostituita).

(d) I seguenti termini si applicano alle SCC UE (anche nella misura in cui possono essere modificati ai sensi delle clausole 6.2 (b) e (c) di cui sopra):

(i) il Cliente può esercitare il proprio diritto di revisione ai sensi degli SCC dell'UE come indicato nella clausola 5 del presente DPA e nel rispetto dei requisiti in essa contenuti; e

(ii) Cloudflare può nominare subprocessori come indicato nelle clausole 4 e 6.3 del presente DPA, e nel rispetto dei requisiti di tali clausole, e l'Utente può esercitare il proprio diritto di opporsi ai subprocessori ai sensi degli SCC dell'UE nel modo indicato nella clausola 4.3 del presente DPA.

(e) Nel caso in cui una qualsiasi disposizione del presente DPA sia in contrasto, direttamente o indirettamente, con i CSA dell'UE (e con l'Addendum del Regno Unito, a seconda dei casi), questi ultimi prevarranno.

6.3 Per quanto riguarda i Trasferimenti limitati effettuati a Cloudflare ai sensi della clausola 6.2, Cloudflare non parteciperà a (né consentirà ad alcun subincaricato di partecipare a) ulteriori Trasferimenti limitati di Dati personali (sia come "esportatore" che come "importatore" dei Dati personali), a meno che tale ulteriore Trasferimento limitato non sia effettuato in piena conformità con le leggi europee sulla protezione dei dati e ai sensi degli SCC dell'UE implementati tra l'esportatore e l'importatore dei Dati personali o si applichi un Meccanismo di trasferimento alternativo (come definito nella clausola 6.5) adottato dall'importatore.

6.4 Nel caso in cui l'Utente cerchi di condurre una valutazione dell'adeguatezza delle SCC dell'UE per i trasferimenti verso particolari paesi o regioni, Cloudflare fornirà, nella misura in cui è in grado, una ragionevole assistenza all'Utente ai fini di tale valutazione, a condizione che l'Utente copra tutti i costi sostenuti da Cloudflare in relazione alla fornitura di tale assistenza.

6.5 Nella misura in cui Cloudflare adotta un meccanismo alternativo di esportazione dei dati (inclusa qualsiasi nuova versione o successore del Privacy Shield adottato ai sensi delle leggi europee sulla protezione dei dati applicabili) per il trasferimento dei Dati personali non descritto nel presente DPA ("Meccanismo di trasferimento alternativo" ), il Meccanismo di Trasferimento Alternativo si applicherà al posto di qualsiasi meccanismo di trasferimento applicabile descritto nel presente DPA (ma solo nella misura in cui tale Meccanismo di Trasferimento Alternativo sia conforme alle Leggi Europee sulla Protezione dei Dati e si estenda ai territori verso i quali i Dati Personali sono trasferiti), e il Cliente accetta di eseguire tali altri e ulteriori documenti e di intraprendere tali altre e ulteriori azioni che potrebbero essere ragionevolmente necessarie per dare effetto legale a tale Meccanismo di Trasferimento Alternativo.

7. {Richieste di accesso ai dati da parte di terzi

7.1 Se Cloudflare viene a conoscenza di un procedimento legale di terzi che richiede i Dati Personali che Cloudflare tratta per conto del Cliente in qualità di Processore o sub-Processore (a seconda dei casi), Cloudflare provvederà a:

(a) notificare immediatamente al Cliente la richiesta, a meno che tale notifica non sia vietata dalla legge;

(b) informare il terzo che è un Elaboratore o un sub-incaricato (a seconda dei casi) dei Dati personali e non è autorizzato a divulgare i Dati personali senza il consenso del Cliente;

(c) comunicare alla terza parte i dati minimi di contatto del Cliente necessari per consentire alla terza parte di contattare il Cliente e istruire la terza parte a indirizzare la sua richiesta di dati al Cliente; e

(d) nella misura in cui Cloudflare fornisce l'accesso o divulga i Dati personali in risposta a un procedimento legale di terzi con l'autorizzazione dell'Utente o a causa di una costrizione legale obbligatoria, allora Cloudflare divulgherà la quantità minima di Dati personali nella misura in cui è legalmente richiesto di farlo e in conformità con il procedimento legale applicabile.

7.2 Nel ruolo di Cloudflare come Processore o sub-Processore, a seconda dei casi, può essere soggetto a procedimenti legali di terzi emessi da un'autorità governativa (inclusa un'autorità giudiziaria) e che richiedono l'accesso o la divulgazione dei Dati personali. Se Cloudflare viene a conoscenza di un procedimento legale di terzi emesso da un'autorità governativa (inclusa un'autorità giudiziaria) che richiede i Dati personali che Cloudflare elabora per conto dell'Utente in qualità di Processore o sub-Processore (a seconda dei casi), nella misura in cui Cloudflare esamina la richiesta con sforzi ragionevoli e di conseguenza è in grado di identificare che tale procedimento legale di terzi che richiede i Dati personali solleva un conflitto di legge, Cloudflare:

(a) intraprendere tutte le azioni indicate nella clausola 7.1 di cui sopra;

(b) perseguire i rimedi legali prima di produrre i Dati Personali fino al livello di corte d'appello; e

(c) non divulgare i Dati personali fino a quando (e solo nella misura in cui) ciò sia richiesto dalle norme procedurali applicabili.

7.3 Le clausole 7.1 e 7.2 non si applicano nel caso in cui Cloudflare ritenga in buona fede che la richiesta governativa sia necessaria a causa di un'emergenza che comporta il pericolo di morte o di gravi lesioni fisiche per un individuo. In tal caso, Cloudflare notificherà al Cliente la divulgazione dei dati il prima possibile dopo la divulgazione e fornirà al Cliente tutti i dettagli della stessa, a meno che tale divulgazione non sia legalmente vietata.

7.4 Cloudflare fornirà al Cliente aggiornamenti regolari sui processi legali di terze parti che richiedono i Dati personali sotto forma di Rapporto di trasparenza semestrale di Cloudflare, disponibile all'indirizzo https://www.cloudflare.com/transparency/.

7.5 Alla data in cui il Cliente ha stipulato il presente DPA con Cloudflare, Cloudflare assume gli impegni elencati di seguito. Cloudflare aggiornerà questi impegni come richiesto a https://www.cloudflare.com/transparency/:

(a) Cloudflare non ha mai ceduto le proprie chiavi di crittografia o di autenticazione o le chiavi di crittografia o di autenticazione dei propri clienti a nessuno.

(b) Cloudflare non ha mai installato software o apparecchiature per le forze dell'ordine in nessuna parte della nostra rete.

(c) Cloudflare non ha mai fornito alle forze dell'ordine un feed dei contenuti dei nostri clienti che transitano sulla nostra rete.

(d) Cloudflare non ha mai indebolito, compromesso o sovvertito la propria crittografia su richiesta delle forze dell'ordine o di terzi.

8. Disposizioni generali

8.1 Il presente DPA non pregiudica i diritti e gli obblighi delle parti ai sensi dell'Accordo principale, che continuerà ad avere piena validità ed efficacia. In caso di conflitto tra i termini della presente DPA e i termini dell'Accordo principale, prevarranno i termini della presente DPA nella misura in cui l'oggetto riguarda il trattamento dei Dati personali.

8.2 La responsabilità di Cloudflare ai sensi di o in relazione al presente DPA, anche ai sensi degli SCC dell'UE, è soggetta alle esclusioni e limitazioni di responsabilità contenute nell'Accordo principale. In nessun caso Cloudflare limita o esclude la propria responsabilità nei confronti degli interessati o delle autorità competenti per la protezione dei dati.

8.3 Fatta eccezione per i casi e i limiti espressamente previsti dalle SCC dell'UE o richiesti dalle leggi applicabili in materia di protezione dei dati, il presente DPA non conferisce alcun diritto di terzi beneficiari; è destinato esclusivamente alle parti e ai rispettivi successori e cessionari autorizzati e non è a beneficio di, né alcuna disposizione del presente documento può essere applicata da, qualsiasi altra persona.

8.4 Il presente DPA e qualsiasi azione ad esso correlata saranno disciplinati e interpretati in conformità con le leggi specificate nell'Accordo principale, senza applicare alcun principio di conflitto di leggi. Le parti acconsentono alla giurisdizione personale e al foro competente dei tribunali specificati nell'Accordo principale.

8.5 Se una disposizione del presente DPA è, per qualsiasi motivo, ritenuta non valida o non applicabile, le altre disposizioni del DPA rimarranno applicabili. Senza limitare la generalità di quanto sopra, il Cliente conviene che la clausola 8.2 (Limitazione di responsabilità) rimarrà in vigore nonostante l'inapplicabilità di qualsiasi disposizione del presente DPA.

8.6 Il presente DPA costituisce l'accordo finale, completo ed esclusivo delle parti in relazione all'oggetto dello stesso e sostituisce e fonde tutte le discussioni e gli accordi precedenti tra le parti in relazione a tale oggetto.

Allegato 1

Descrizione dell'elaborazione dei dati

Il presente Allegato 1 fa parte del DPA e descrive il trattamento che Cloudflare eseguirà per conto dell'Utente.

A. ELENCO DELLE PARTI

Allegato 2

Misure di sicurezza tecniche e organizzative

Cloudflare ha implementato e manterrà un programma di sicurezza delle informazioni conforme agli standard ISO/IEC 27000. Il programma di sicurezza di Cloudflare deve includere:

Misure di cifratura dei dati personali

Cloudflare implementa la crittografia per proteggere adeguatamente i Dati Personali utilizzando:

• protocolli di crittografia all'avanguardia progettati per fornire una protezione efficace contro gli attacchi attivi e passivi con risorse note alle autorità pubbliche;

• autorità e infrastrutture di certificazione a chiave pubblica affidabili;

• algoritmi di crittografia e parametrizzazione efficaci, come ad esempio una lunghezza minima delle chiavi di 128 bit per la crittografia simmetrica e almeno 2048 bit di RSA o 256 bit di ECC per gli algoritmi asimmetrici.

Misure per garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione.

Cloudflare migliora la sicurezza dei sistemi e dei servizi di elaborazione negli ambienti di produzione grazie a:

• impiegando un processo di revisione del codice per aumentare la sicurezza del codice utilizzato per fornire i Servizi e testando il codice e i sistemi per individuare eventuali vulnerabilità prima e durante l'utilizzo;

• mantenere un programma di bug bounty esterno;

• utilizzare controlli per convalidare l'integrità dei dati crittografati e

• impiegando il rilevamento preventivo e reattivo delle intrusioni.

Cloudflare distribuisce sistemi ad alta disponibilità su data center geograficamente distribuiti.

Cloudflare implementa misure di controllo in ingresso per proteggere e mantenere la riservatezza dei Dati personali, tra cui:

• una politica di autorizzazione per l'inserimento, la lettura, la modifica e la cancellazione dei dati;

• autenticare il personale autorizzato utilizzando credenziali di autenticazione uniche (password) e hard token;

• disconnessione automatica degli ID utente dopo un periodo di inattività;

• proteggere l'inserimento dei dati, nonché la lettura, l'alterazione e la cancellazione dei dati memorizzati; e

• richiedere che le strutture di elaborazione dati (le stanze che ospitano l'hardware informatico e le relative apparecchiature) siano tenute chiuse e sicure.

Misure per garantire la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati personali in caso di incidente fisico o tecnico.

Cloudflare implementa misure per garantire che i Dati Personali siano protetti da distruzione o perdita accidentale, anche mantenendo:

• piani e procedure di disaster-recovery e continuità operativa;

• centri dati geograficamente distribuiti;

• infrastruttura ridondante, compresi gli alimentatori e la connettività Internet;

• backup conservati in siti alternativi e disponibili per il ripristino in caso di guasto dei sistemi primari; e

• procedure di gestione degli incidenti regolarmente testate.

Processi per testare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Le misure tecniche e organizzative di Cloudflare sono regolarmente testate e valutate da revisori esterni di terze parti come parte del Programma di conformità alla sicurezza & Privacy di Cloudflare. Questi possono includere audit annuali ISO/IEC 27001, AICPA SOC 2 Type II, PCI DSS Level 1 e altri audit esterni. Le misure sono inoltre regolarmente verificate da audit interni e da valutazioni del rischio annuali e mirate.

Misure per l'identificazione e l'autorizzazione degli utenti

Cloudflare implementa misure efficaci per l'autenticazione degli utenti e la gestione dei privilegi attraverso:

• applicare una politica di controllo degli accessi e di autenticazione obbligatoria;

• applicare un modello di identificazione e autorizzazione a fiducia zero;

• autenticare il personale autorizzato utilizzando credenziali di autenticazione uniche e una forte autenticazione a più fattori, anche richiedendo l'uso di token fisici;

• assegnare e gestire privilegi appropriati in base al ruolo, alle approvazioni e alla gestione delle eccezioni; e

• applicando il principio del minor privilegio di accesso.

Misure per la protezione dei dati durante la trasmissione

Cloudflare implementa misure efficaci per proteggere i Dati Personali dalla lettura, dalla copia, dall'alterazione o dalla cancellazione da parte di soggetti non autorizzati durante la trasmissione, incluso da:

• utilizzando protocolli di crittografia del trasporto all'avanguardia, progettati per fornire una protezione efficace contro gli attacchi attivi e passivi con risorse note alle autorità pubbliche;

• utilizzando autorità e infrastrutture di certificazione a chiave pubblica affidabili;

• implementare misure di protezione contro gli attacchi attivi e passivi ai sistemi di invio e ricezione che forniscono la crittografia del trasporto, come firewall adeguati, crittografia TLS reciproca, autenticazione API e crittografia per proteggere i gateway e le pipeline attraverso cui viaggiano i dati, oltre a verificare la presenza di vulnerabilità del software e di possibili backdoor;

• impiegando algoritmi di crittografia e parametri efficaci, come ad esempio una lunghezza minima delle chiavi di 128 bit per la crittografia simmetrica e una lunghezza delle chiavi RSA o ECC di almeno 2048 bit per gli algoritmi asimmetrici;

• utilizzando software implementato e mantenuto correttamente, coperto da un programma di gestione delle vulnerabilità e testato per verificarne la conformità tramite audit;

• applicare misure di sicurezza per generare, gestire, conservare e proteggere in modo affidabile le chiavi di crittografia; e

• registrazione di audit, monitoraggio e tracciamento delle trasmissioni di dati.

Misure per la protezione dei dati durante la conservazione

Cloudflare implementa misure efficaci per proteggere i Dati Personali durante l'archiviazione, controllando e limitando l'accesso ai sistemi di elaborazione dei dati, e da:

• utilizzando protocolli di crittografia all'avanguardia progettati per fornire una protezione efficace contro gli attacchi attivi e passivi con risorse note alle autorità pubbliche;

• utilizzando autorità e infrastrutture di certificazione a chiave pubblica affidabili;

• verifica dei sistemi di archiviazione dei dati alla ricerca di vulnerabilità del software e di possibili backdoor;

• impiegando algoritmi di crittografia e parametrizzazione efficaci, ad esempio richiedendo che tutti i dischi che memorizzano i Dati personali siano crittografati con AES-XTS utilizzando una lunghezza della chiave di 128 bit o superiore.

• utilizzando software implementato e mantenuto correttamente, coperto da un programma di gestione delle vulnerabilità e testato per verificarne la conformità tramite audit;

• applicare misure di sicurezza per generare, gestire, conservare e proteggere in modo affidabile le chiavi di crittografia;

• identificare e autorizzare i sistemi e gli utenti che hanno accesso ai sistemi di elaborazione dati;

• disconnessione automatica degli utenti dopo un periodo di inattività; e

• registrazione degli audit, monitoraggio e tracciamento degli accessi ai sistemi di elaborazione e archiviazione dei dati.

Cloudflare implementa controlli di accesso a specifiche aree dei sistemi di elaborazione dei dati per garantire che solo gli utenti autorizzati siano in grado di accedere ai Dati personali nell'ambito e nella misura coperta dal rispettivo permesso di accesso (autorizzazione) e che i Dati personali non possano essere letti, copiati o modificati o rimossi senza autorizzazione. Questo obiettivo sarà raggiunto con diverse misure, tra cui:

• le politiche e la formazione dei dipendenti in merito ai diritti di accesso di ciascun dipendente ai Dati personali;

• applicare un modello di identificazione e autorizzazione degli utenti a fiducia zero;

• autenticare il personale autorizzato utilizzando credenziali di autenticazione uniche e una forte autenticazione a più fattori, anche richiedendo l'uso di token fisici;

• monitorare le azioni di coloro che sono autorizzati a cancellare, aggiungere o modificare i Dati personali;

• rilasciare i dati solo alle persone autorizzate, inclusa l'assegnazione di diritti di accesso e ruoli differenziati; e

• controllo dell'accesso ai dati, con distruzione controllata e documentata dei dati.

Misure per garantire la sicurezza fisica dei luoghi in cui vengono trattati i Dati personali

Cloudflare mantiene e implementa politiche e misure efficaci di controllo degli accessi fisici al fine di impedire a persone non autorizzate di accedere alle apparecchiature di elaborazione dei dati (in particolare server di database e applicazioni e relativo hardware) in cui vengono elaborati o utilizzati i Dati personali, anche da parte di:

• creare aree sicure;

• proteggere e limitare i percorsi di accesso;

• stabilire le autorizzazioni di accesso per i dipendenti e i terzi, compresa la relativa documentazione;

• tutti gli accessi ai centri dati in cui sono ospitati i dati personali sono registrati, monitorati e tracciati; e

• i centri dati in cui sono ospitati i Dati personali sono protetti da sistemi di allarme e da altre misure di sicurezza adeguate.

Misure per garantire la registrazione degli eventi

Cloudflare ha implementato un programma di registrazione e monitoraggio per registrare, monitorare e tracciare l'accesso ai dati personali, anche da parte degli amministratori di sistema, e per garantire che i dati vengano elaborati in conformità alle istruzioni ricevute. Questo obiettivo viene raggiunto attraverso varie misure, tra cui:

• autenticare il personale autorizzato utilizzando credenziali di autenticazione uniche e una forte autenticazione a più fattori, anche richiedendo l'uso di token fisici;

• applicare un modello di identificazione e autorizzazione degli utenti a fiducia zero;

• mantenere elenchi aggiornati dei dati identificativi degli amministratori di sistema;

• adottare misure per rilevare, valutare e rispondere alle anomalie ad alto rischio;

• conservare per dodici mesi registri di accesso all'infrastruttura di elaborazione sicuri, accurati e non modificati; e

• verificare la configurazione dei registri, il sistema di monitoraggio, gli avvisi e il processo di risposta agli incidenti almeno una volta all'anno.

Misure per garantire la configurazione del sistema, compresa la configurazione di default

Cloudflare mantiene le linee di base della configurazione per tutti i sistemi che supportano l'ambiente di elaborazione dei dati di produzione, compresi i sistemi di terze parti. Le linee di base della configurazione dovrebbero essere in linea con le best practice del settore, come i benchmark di livello 1 del Center for Internet Security (CIS). È necessario utilizzare meccanismi automatizzati per applicare le configurazioni di base ai sistemi di produzione e per impedire modifiche non autorizzate. Le modifiche alle linee di base sono limitate a un numero ristretto di personale Cloudflare autorizzato e devono seguire i processi di controllo delle modifiche. Le modifiche devono essere verificabili e controllate regolarmente per individuare le deviazioni dalle configurazioni di base.

Cloudflare configura le linee di base per il sistema informativo utilizzando il principio del minimo privilegio. Per impostazione predefinita, le configurazioni di accesso sono impostate su "deny-all" e le password predefinite devono essere modificate per soddisfare le politiche di Cloudflare prima dell'installazione del dispositivo sulla rete Cloudflare o immediatamente dopo l'installazione del software o del sistema operativo. I sistemi sono configurati per sincronizzare gli orologi temporali del sistema in base al Tempo Atomico Internazionale o al Tempo Universale Coordinato (UTC) e l'accesso alla modifica dei dati temporali è limitato al personale autorizzato.

Misure per la governance e la gestione interna dell'IT e della sicurezza IT

Cloudflare mantiene politiche interne sull'uso accettabile dei sistemi IT e sulla sicurezza generale delle informazioni. Cloudflare richiede a tutti i dipendenti di seguire una formazione generale sulla sicurezza e sulla privacy almeno ogni anno. Cloudflare limita e protegge il trattamento dei Dati Personali e ha documentato e implementato:

• un sistema formale di gestione della sicurezza delle informazioni (ISMS) per proteggere la riservatezza, l'integrità, l'autenticità e la disponibilità dei dati e dei sistemi informativi di Cloudflare e per garantire l'efficacia dei controlli di sicurezza sui dati e sui sistemi informativi che supportano le operazioni; e

• un sistema formale di gestione delle informazioni sulla privacy (PIMS) al fine di proteggere la riservatezza, l'integrità, l'autenticità e la disponibilità delle politiche e delle procedure che supportano la rete gestita a livello globale di Cloudflare, sia come elaboratore che come controllore delle informazioni dei clienti.

Cloudflare conserverà la documentazione delle misure tecniche e organizzative in caso di audit e per la conservazione delle prove. Cloudflare adotterà misure ragionevoli per garantire che le persone da essa impiegate e le altre persone sul luogo di lavoro interessato siano a conoscenza delle misure tecniche e organizzative di cui al presente Allegato 2 e le rispettino.

Misure per la certificazione/assicurazione di processi e prodotti

L'implementazione dell'ISMS di Cloudflare e i relativi processi di gestione del rischio di sicurezza sono stati certificati esternamente secondo lo standard industriale ISO/IEC 27001. L'implementazione del PIMS completo di Cloudflare è stata certificata esternamente secondo lo standard industriale ISO/IEC 27701, sia come processore che come controllore delle informazioni dei clienti.

Cloudflare mantiene la conformità PCI DSS di livello 1, per la quale Cloudflare viene sottoposto a un audit annuale da parte di un valutatore di sicurezza qualificato di terze parti. Cloudflare ha intrapreso altre certificazioni, come la certificazione AICPA SOC 2 Type II in conformità con i criteri AICPA Trust Service, e i dettagli di queste e altre certificazioni che Cloudflare può intraprendere di volta in volta saranno resi disponibili sul sito web di Cloudflare.

Per i trasferimenti a (sub)incaricati del trattamento, descrivere anche le specifiche misure tecniche e organizzative che il (sub)incaricato del trattamento deve adottare per poter fornire assistenza al responsabile del trattamento (e, per i trasferimenti da un incaricato del trattamento a un subincaricato, all'esportatore dei dati).