Privacy App Sellby

Norme sulla privacy relative alle APP Zucchetti

ai sensi dell’art. 13 Regolamento Europeo per la protezione dei dati personali 2016/679 (GDPR)

Sellby e un applicazione per tablet Android per la gestione di attività commerciali/ristorazione. Permette al commerciante di gestire, accedendo tramite app ad un account riservato, le attività di cassa inerenti al negozio/ristorante. A titolo esemplificativo: emissione di scontrini e fatture

Responsabile del Trattamento

Titolare del trattamento dei dati personali, solo ed esclusivamente ai fini del download dell’applicazione, , ai sensi dell’art. 4 punto 7) del GDPR è Zucchetti Hospitality S.r.l con sede legale in Lodi, Piazza Mino Zucchetti 1, 26900 – e-mail ufficio.privacy@zucchetti.it. Legale rappresentante: Medea Srl nella persona di Angelo Guaragni

Struttura organizzativa

Divisione: Hospitality | Responsabile Divisione: Angelo Guaragni
Area Small CLient | Responsabile Reparto: Carlo Cambiotti

Incaricati del trattamento

Sviluppo, Controllo Qualità, Help Desk, Commerciali, Amministrativi

Dati di contatto

Responsabile del trattamento: Zucchetti Hospitality amministrazione.horeca@zucchetti.it | 03715941
Rresponsabile protezione dati (DPO): ZHolding dpo@zucchetti.it | 0371 5943191

Finalità del trattamento

La finalità del trattamento è quella di erogare i servizi di assistenza e manutenzione al Titolare.

Categoria interessati

Commercianti, Dipendenti dei commercianti, Rivenditori.

Categorie di dati personali

Dati log in: e-mail/username e password
Geolocalizzazione: funzionalità non attiva per questa app
Fotocamera:funzionalità non attiva per questa app
Accesso ai file contenuti nel device: funzionalità non attiva per questa app

Categoria di destinatari a sui i dati potranno essere comunicati

Altre società del Gruppo Zucchetti

Trasferimento dati all'estero

No.

Termini per la cancellazione dei dati

I dati conservati nella Dc di Zucchetti secondo le logiche dell’applicativo TieniIlConto, in uso al Titolare. I dati conservati nel Data Center Zucchetti saranno conservati per tutta la durata del contratto e per i 90 giorni successivi alla sua cessazione. Saranno conservati su supporti di backup per i successivi 12 mesi.

DESCRIZIONE GENERALE DELLE MISURE DI SICUREZZA TECNICHE E ORGANIZZATIVE

1. MISURE DI SICUREZZA IMPLEMENTATE NEI SOFTWARE
Le misure di sicurezza configurabili nel sistema applicativo sono:
- Gestione credenziali di accesso
• User name: l’accesso al sistema avviene solo attraverso l’identificazione univoca del soggetto che vi accede. Nel sistema c’è una credenziale amministrativa che viene consegnata al titolare e da questo utilizzabile sono in circostanze eccezionali. Il titolare deve predisporre una procedura organizzativa affinchè tale utenza sia assegnata ad un unico incaricato e sia gestita in conformità alle buone regole di gestione
• Password: le regole di complessità della password sono impostate di default all’interno del sistema; la password è configurata con le seguenti caratteristiche: Numerica
- Minimizzazione:
• Profili di autorizzazione: il Titolare può configurare l’accesso ai dati personali trattati nel sistema a seconda delle attività svolte dagli utenti.
- Identificazione di chi ha trattato i dati:
• Presenza di utenze di servizio per personale di assistenza: Coloro che eseguono assistenza e manutenzione sulla procedura hanno utenze nominali che dovranno essere attivate e disattivate dal Titolare in funzione della necessità.
- Tecniche di crittografia:
• Crittografia delle password: viene registrato un hash delle password con l’algoritmo sha512 aggiungendo un “salt”. Privacy by default
- Diritti degli interessati:
• Diritti degli interessati: per garantire agli interessati il diritto all’oblio, è sufficiente che inviino una richiesta al Titolare che farà le opportune valutazioni. Qualora il Titolare decida che i dati debbano essere cancellati dovrà inviare una richiesta di assistenza al fornitore, che in accordo con lo stesso, procederà alla cancellazione dei dati richiesti. Queste misure di sicurezza devono essere correttamente impostate da parte del Titolare.

2. RESPONSABILE DEL TRATTAMENTO: MISURE DI SICUREZZA IMPLEMENTATE PER I SERVIZI DI ASSISTENZA

ASSISTENZA ON SITE
Gli addetti Zucchetti accedono presso la struttura del Titolare per fare formazione od effettuare attività tecnica di manutenzione. In questo caso gli addetti Zucchetti lavorano come se facessero parte della struttura del Titolare ed adottano tutte le procedure di sicurezze implementate dallo stesso. I Titolari potranno generare utenze individuali per l’accesso ai loro sistemi, oppure potranno far accedere in affiancamento per formare il loro personale. Qualora durante l’attività di assistenza l’addetto Zucchetti abbia la necessità di prelevare archivi o DB di cui necessita per risolvere le problematiche evidenziate è necessario che informi il Titolare e registri tale attività sulla Nota di Intervento: Al termine dell’attività presso gli uffici Zucchetti sarà informato il Titolare sulla soluzione adottata e sulla successiva cancellazione dell’archivio. Qualora vi fosse la necessità di conservare gli archivi per il tempo necessario al collaudo della soluzione adottata, dovrà essere informato il Titolare sul tempo massimo di conservazione di tali archivi.

ASSISTENZA TELEFONICA Non presenta problemi da un punto di vista di trattamento di dati personali. Non sono trasmessi dati o archivi e la comunicazione rimane verbale.

ASSISTENZA TRAMITE EMAIL/TICKETS WEB Nell’assistenza tramite email i tecnici Zucchetti inseriranno sempre nel testo del messaggio il disclaimer per rendere edotto il Titolare dell’informativa sintetica e dei recapiti a cui potrà rivolgersi per esercitare i suoi diritti o i diritti dei suoi interessati. L’addetto Zucchetti non è autorizzato a farsi mandare le credenziali di accesso del Titolare via email né tantomeno potrà salvarle sullo strumento di ticketing. Qualora un Titolare invii le credenziali di accesso al suo ambiente senza richiesta del tecnico Zucchetti è necessario che lo stesso risponda che non è autorizzato ad accedere ai sistemi con credenziali di altri utenti in quanto questa modalità viola il GDPR. Quindi il tecnico Zucchetti dovrà richiedere credenziali individuali oppure collegamento da remoto tramite strumenti a ciò dedicati. I tecnici Zucchetti firmeranno ogni email con nome e cognome e l’informazione sarà salvata nello strumento di ticketing.

ASSISTENZA ATTRAVERSO LA RICEZIONE DI DATA BASE DEI CLIENTI Qualora per risolvere il problema segnalato dal Titolare fosse necessario farsi mandare la base dati o altri files o query contenenti dati personali è necessario comunicare al Titolare o l’area ftp su cui dovrà caricare i file oppure per i Titolari con l’ambiente installato sul ns. data center, richiedere l’autorizzazione per far effettuare la copia ai nostri sistemisti.

Area FTP L’area ftp sarà impostata affinché il Titolare veda solo l’upload. Il download sarà visualizzato solo dal gruppo di assistenza a cui la richiesta di assistenza è stata effettuata. Tre giorni dopo la data di pubblicazione una routine cancellerà i file caricati in area ftp.
Area SharePoint Essendo diventato Office 365 strumento aziendale anche di collaboration ogni utente Zucchetti ha a disposizione Sharepoint che può utilizzare anche tale strumento per la condivisione dei documenti e file in genere coi clienti. L’azienda al fine di tutelare la privacy del dipendente non entrerà nel merito dello sharepoint individuale, pertanto, una volta che il cliente ha scaricato i files, l’operatore avrà anche la responsabilità della relativa cancellazione.

Scaricamento archivi tramite wetransfer o link di collegamento su ambienti del Titolare In questo caso la gestione è in carico al Titolare che fornirà le credenziali per accedere all’ambiente dove risiedono gli archivi. L’assistenza dovrà scaricarli in dischi di rete non soggetti a backup e cancellarli al termine dell’attività come nelle altre ipotesi.

Autorizzazione di backup da parte dei nostri sistemisti L’archivio ricevuto viene scaricato su una directory del gruppo di assistenza non soggetta a backup. L’assistenza di primo livello trasmette il db all’assistenza di 2 livello. L’assistenza di 2 livello procederà alle analisi di cui il problema necessita e poi cancellerà gli archivi ricevuti. In ogni caso l’assistenza che ha in carico il problema, sia essa di primo o secondo livello, al termine dell’attività, cancellerà gli archivi ricevuti. L’assistenza che ha in carico la gestione, terminata l’attività dovrà cancellare gli archivi ricevuti dal disco condiviso e da eventuali supporti di memorizzazione locali. Qualora vi fosse la necessità di mantenere gli archivi sarà mandata una email al Titolare che ne darà l’autorizzazione. Gli archivi dei Titolari non potranno mai essere trasmessi a gruppi di lavoro differenti rispetto a quelli finalizzati alla risoluzione del problema segnalato dal Titolare. L’unica possibilità che i tecnici hanno per conservare gli archivi senza la previa autorizzazione del Titolare è l’anonimizzazione degli stessi.

ASSISTENZA ATTRAVERSO LA NECESSITÀ DI AVERE IL BACKUP DEI CLIENTI DI UN SERVIZIO DATA CENTER Qualora i dati personali del Titolare siano su sistema Zucchetti/Data center, in nessun caso l’assistenza di 1 livello potrà richiedere il backup ai sistemisti di Data Center se non previa autorizzazione del Titolare stesso. I sistemisti non potranno estrarre nessun backup dei Titolari per esigenze e finalità differenti rispetto al fornire assistenza agli stessi; ad esempio non potranno essere effettuati backup indirizzati alla produzione per l’esecuzione di test.
ASSISTENZA ATTRAVERSO COLLEGAMENTO DA REMOTO ATTRAVERSO STRUMENTI A CIO’ DEDICATI Questa modalità di collegamento sugli strumenti dei clienti garantisce la privacy in quanto:
• Il collegamento è sempre richiesto dal cliente
• Le credenziali di accesso sono sempre individuali
• Il cliente ci fa accedere ad un ambiente con profilo di autorizzazione da lui scelto per farci eseguire le attività di assistenza
• Il cliente può sconnetterci quando desidera.
Attraverso tali strumenti è possibile far accedere anche l’assistenza di 2 livello alla stessa sessione da noi aperta. In questo caso il cliente ne ha l’evidenza perché fornita dallo strumento e quindi accetta implicitamente tale modalità. È essenziale utilizzare i nostri strumenti in quanto licenziati e personalizzati con tutta la documentazione che deve essere prodotta dalla legge sul trattamento dei dati personali. Solo in casi eccezionali e dopo attenta valutazione del responsabile e dell’ufficio privacy è possibile utilizzare altri strumenti di connessione che si comportano in modo uguale. Si precisa che non sarà possibile registrare i collegamenti da remoto in diretta, qualora fosse strettamente necessario e solo su base progettuale, sarà possibile valutare con il responsabile eventuali eccezioni, previa sottoscrizione della relativa manleva.

ASSISTENZA ATTRAVERSO COLLEGAMENTO DA REMOTO SU IP PUBBLICI OPPURE TRAMITE VPN Qualora l’attività di assistenza debba essere svolta su sistemi cloud su IP pubblici oppure tramite VPN o accessi privati è necessario che gli addetti Zucchetti entrino nei sistemi dei Titolari:
• Previa autorizzazione del cliente
• Previa ricezione delle credenziali individuali e le stesse siano state attivate per il tempo necessario all’esecuzione delle attività richieste
• al termine dell’attività siano disattivate le credenziali da parte del Titolare Regole che riguardano gli ambienti dei Titolari, in qualsiasi forma di delivery (Saas/Paas/On Premise) riferite a:
• creazione utenze per consulenti applicativi;
• creazione utenze per personale di assistenza.

Consulenti applicativi Per effettuare tutte le attività di start up sull’ambiente del Titolare è necessario che venga appositamente creata un’utenza all’interno del sistema come di seguito indicato:
• ZU_+ prime 3 lettere del cognome + prime 3 lettere del nome
• nella descrizione (nome completo) apporre: Utente Zucchetti In questo modo il Cliente potrà riconoscere la provenienza dell’utenza stessa. Es: per il soggetto Rossi Mario dovrà essere creata l’utenza: ZU_ROSMAR Per la creazione dovrà essere coinvolto il Titolare, il quale dovrà essere guidato all’accesso e alla creazione dell’utenza precisando e condividendo con lui, i diritti che verranno assegnati a quest’ultima.

Personale di Help Desk La creazione dell’utenza deve essere richiesta solo al Titolare che, attraverso l’amministratore di applicazione, potrà creare il nuovo utente. Non deve mai essere utilizzato l’utente amministratore da parte degli operatori di assistenza. Anche in questo caso, per la creazione delle utenze, valgono le regole di creazione esplicitate per i consulenti applicativi Le utenze dovranno essere generate con la codifica: ZU_prime tre cognome_prime tre nome. Nella descrizione dovrà essere inserito Zucchetti Utente

CONVERSIONI E PROGETTI DI START UP Qualora si verifichino le seguenti casistiche: • Conversione o start up con contratto
• Conversioni o startup senza contratto Nel primo caso le attività sono finalizzate ad adempiere all’obbligazione contrattuale e pertanto lecite. In questo caso è necessario redigere un documento di progetto in cui si convengono con il Titolare le modalità operative di esecuzione delle attività tra cui:
• Dati personali, archivi, base dati di cui necessita l’esecuzione delle attività
• Dettaglio delle operazioni da eseguire sui dati
• Identificazione del periodo entro cui sarà terminata tale attività
• La previsione di un collaudo in cui il Titolare proverà la conversione I documenti che il Titolare ha sottoscritto per lo svolgimento di queste attività sono il contratto e la nomina a responsabile conferendo mandato a Zucchetti di svolgere tutte le attività necessarie all’erogazione del servizio. In questo caso non serve mandare al Titolare la lettera di incarico, in quanto la stessa viene fatta da Zucchetti, in qualità di responsabile, agli addetti Zucchetti. Qualora non vi sia il contratto invece è necessario inviare al Titolare la nomina a responsabile al trattamento. Nella nomina dovrà essere previsto un termine di svolgimento e portata a termine dell’attività. Zucchetti provvederà ad incaricare gli addetti in qualità di responsabile. Anche in questo caso è necessario prevedere una fase progettuale in cui condividere gli step sopra riportati. Al termine sarà anche in questo caso essenziale prevedere il collaudo. Con il documento di collaudo, che dovrà essere sottoscritto dal Titolare, lo stesso ci dichiarerà che le attività da noi effettuate sono corrette e quindi ci autorizzerà a cancellare i suoi archivi. Nel documento di collaudo dovranno essere inserite le seguenti indicazioni:
• Il lavoro svolto è conforme rispetto all’ambito contrattuale convenuto
• Il Titolare ha provato la conversione e dichiara che il prodotto funziona e tutte le funzioni sono state correttamente configurate e implementate
• Che non ci sono errori nei dati convertiti e che quindi potrà utilizzare il prodotto per le finalità per cui lo ha acquistato Inoltre il Titolare deve dichiarare che dalla data della firma del contratto non avrà nulla a pretendere rispetto all’attività di conversione svolta e prevista dal contratto e che autorizza Zucchetti a cancellare ogni dato, archivio, data base che è servito per portare a termine la fase di conversione. Solo qualora ci fosse la necessità di mantenere gli archivi del Titolare per finalità di cautela e verifica del lavoro da noi svolto, dobbiamo inviare una comunicazione con la quale il Titolare ci autorizza a conservare gli archivi per l’ulteriore periodo, terminato il quale gli archivi dovranno essere eliminati. Tutto l’iter autorizzativo dovrà essere inserito nel post vendita al fine di averne memoria. Tutti i documenti contenenti dati dei Titolari stampati non possono essere riutilizzati come carta da riciclo e devono essere immediatamente distrutti.

1. SUB - RESPONSABILE DEL TRATTAMENTO: MISURE DI SICUREZZA IMPLEMENTATE PER I SERVIZI DI ASSISTENZA

ASSISTENZA ON SITE Gli addetti accedono presso la struttura del Titolare per fare formazione od effettuare attività tecnica di manutenzione. In questo caso gli addetti Zucchetti Hospitality lavorano come se facessero parte della struttura del Titolare ed adottano tutte le procedure di sicurezze implementate dallo stesso. I Titolari potranno generare utenze individuali per l’accesso ai loro sistemi, oppure potranno far accedere in affiancamento per formare il loro personale. Qualora durante l’attività di assistenza l’addetto Zucchetti Hospitality abbia la necessità di prelevare archivi o db di cui necessita per risolvere le problematiche evidenziate è necessario che informi il Titolari e registri tale attività sulla Nota di intervento: Al termine dell’attività presso gli uffici Zucchetti sarà informato il Titolari sulla soluzione adottata e sulla successiva cancellazione dell’archivio. Qualora vi fosse la necessità di conservare gli archivi per il tempo necessario al collaudo della soluzione adottata, dovrà essere informato il Titolare sul tempo massimo di conservazione di tali archivi.

ASSISTENZA TELEFONICA Non presenta problemi da un punto di vista di trattamento di dati personali. Non sono trasmessi dati o archivi e la comunicazione rimane verbale.

ASSISTENZA TRAMITE EMAIL/TICKETS WEB/WHATSAPP Nell’assistenza tramite email i tecnici Zucchetti Hospitality inseriranno sempre nel testo del messaggio il disclaimer per rendere edotto il Titolare dell’informativa sintetica e dei recapiti a cui potrà rivolgersi per esercitare i suoi diritti o i diritti dei suoi interessati. L’addetto Zucchetti Hospitality non è autorizzato a farsi mandare le credenziali di accesso del Titolare via email/form/whatsapp né tantomeno potrà salvarle sullo strumento di ticketing. Qualora un Titolare invii le credenziali di accesso al suo ambiente senza richiesta del tecnico Zucchetti Hospitality è necessario che lo stesso risponda che non è autorizzato ad accedere ai sistemi con credenziali di altri utenti in quanto questa modalità viola il GDPR. Quindi il tecnico Zucchetti Hospitality dovrà accedere con le proprie credenziali di assistenza oppure collegamento tramite LogMeIn (o altro strumento di teleassistenza). I tecnici Zucchetti firmeranno ogni email con nome e cognome e l’informazione sarà salvata nel ticketing.

ASSISTENZA ATTRAVERSO LA RICEZIONE DI DATA BASE DEI CLIENTI Qualora per risolvere il problema segnalato dal Titolare fosse necessario farsi mandare la base dati o altri files o query contenenti dati personali è necessario comunicare al Titolare o l’area ftp/sftp/ftps su cui dovrà caricare i file oppure per i Titolari con l’ambiente installato sul ns. data center, richiedere l’autorizzazione per far effettuare la copia ai nostri sistemisti.

Area FTP/SFTP/FTPS L’area ftp sarà impostata affinché il Titolare veda solo l’upload. Il download sarà visualizzato solo dal gruppo di assistenza a cui la richiesta di assistenza è stata effettuata.

Scaricamento archivi tramite wetransfer/dropbox/gdrive o link di collegamento su ambienti del Titolare In questo caso la gestione è in carico al Titolare che fornirà le credenziali per accedere all’ambiente dove risiedono gli archivi. L’assistenza dovrà scaricarli in dischi di rete non soggetti a backup e cancellarli al termine dell’attività come nelle altre ipotesi.

ASSISTENZA ATTRAVERSO LA NECESSITÀ DI AVERE IL BACKUP DEI CLIENTI DI UN SERVIZIO DATA CENTER Qualora i dati personali del Titolare siano sul DC di AWS in nessun caso l’assistenza di 1 livello potrà richiedere il backup ai sistemisti di Data center se non previa autorizzazione del Titolare stesso. I sistemisti non potranno estrarre nessun backup dei Titolari per esigenze e finalità differenti rispetto al fornire assistenza agli stessi; ad esempio non potranno essere effettuati backup indirizzati alla produzione per l’esecuzione di test. ASSISTENZA ATTRAVERSO COLLEGAMENTO DA REMOTO LOGMEIN Questa modalità di collegamento sugli strumenti dei Titolari garantisce la privacy in quanto:
• Il collegamento è sempre richiesto dal Titolare
• Le credenziali di accesso sono sempre individuali
• Il Titolare fa accedere i tecnici Zucchetti Hospitality ad un ambiente con profilo di autorizzazione da lui scelto per far eseguire le attività di assistenza
• Il Titolare può disconnettere il tecnico quando desidera

Attraverso LogMeIn è possibile far accedere anche l’assistenza di 2 livello alla stessa sessione aperta. In questo caso il Titolare ne ha l’evidenza perché fornita dallo strumento e quindi accetta implicitamente tale modalità È essenziale utilizzare il LogMeIn Zucchetti Hospitality in quanto licenziato e personalizzato con tutta la documentazione che deve essere prodotta dalla legge sul trattamento dei dati personali. Solo in casi eccezionali e dopo attenta valutazione del responsabile e dell’ufficio privacy è possibile utilizzare altri strumenti di connessione che si comportano in modo uguale.

CONVERSIONI E PROGETTI DI START UP Qualora si verifichino le seguenti casistiche:
• Conversione o start up con contratto
• Conversioni o startup senza contratto
Nel primo caso le attività sono finalizzate ad adempiere all’obbligazione contrattuale e pertanto lecite. In questo caso è necessario redigere un documento di progetto in cui si convengono con il Titolare le modalità operative di esecuzione delle attività tra cui:
• Dati personali, archivi, base dati di cui necessita l’esecuzione delle attività
• Dettaglio delle operazioni da eseguire sui dati
• Identificazione del periodo entro cui sarà terminata tale attività
• La previsione di un collaudo in cui il Titolare proverà la conversione
I documenti che il Titolare ha sottoscritto per lo svolgimento di queste attività sono il contratto e la nomina a responsabile conferendo mandato a Zucchetti Hospitality di svolgere tutte le attività necessarie all’erogazione del servizio. In questo caso non serve mandare al Titolare la lettera di incarico, in quanto la stessa viene fatta da Zucchetti Hospitality, in qualità di responsabile, agli addetti Zucchetti Hospitality . Qualora non vi sia il contratto invece è necessario inviare al Titolare la nomina a responsabile al trattamento. Nella nomina dovrà essere previsto un termine di svolgimento e portata a termine dell’attività. Zucchetti Hospitality provvederà ad incaricare gli addetti in qualità di responsabile. Anche in questo caso è necessario prevedere una fase progettuale in cui condividere gli step sopra riportati. Al termine sarà anche in questo caso essenziale prevedere il collaudo. Con il documento di collaudo, che dovrà essere sottoscritto dal Titolare, lo stesso ci dichiarerà che le attività da noi effettuate sono corrette e quindi ci autorizzerà a cancellare i suoi archivi. Nel documento di collaudo dovranno essere inserite le seguenti indicazioni: Inoltre il Titolare deve dichiarare che dalla data della firma del contratto non avrà nulla a pretendere rispetto all’attività di conversione svolta e prevista dal contratto e che autorizza Zucchetti Hospitality a cancellare ogni dato, archivio, data base che è servito per portare a termine la fase di conversione. Solo qualora ci fosse la necessità di mantenere gli archivi del Titolare per finalità di cautela e verifica del lavoro da noi svolto, dobbiamo inviare una comunicazione con la quale il Titolare ci autorizza a conservare gli archivi per l’ulteriore periodo, terminato il quale gli archivi dovranno essere eliminati. Tutto l’iter autorizzativo dovrà essere inserito nel post vendita al fine di averne memoria.
Tutti i documenti contenenti dati dei Titolari stampati non possono essere riutilizzati come carta da riciclo e devono essere immediatamente distrutti.

3. MISURE DI SICUREZZA IMPLEMENTATE PER I SERVIZI SAAS e AL DATA CENTER

Il datacenter AWS implementa le seguenti misure di sicurezza Ispezione della rete progettata per rilevare e proteggere i carichi di lavoro da traffico dannoso o non autorizzato. Procedure automatica di rilevamento e protezione da malware e altre minacce rilevate sul sistema operativo o sull'host. Include AV, EDR, EPP, FIM e HIDS. Registrazione centralizzata, creazione di report e analisi dei log per fornire visibilità e approfondimenti sulla sicurezza. Controllo degli accessi e dell'identità di ogni addetto Zucchetti Hospitality Protezione da attacchi DDoS Il personale Zucchetti dotato di credenziali di accesso nominative e two step authentication. L’accesso alle macchine database è nettamente separato dalle macchine computazionali. Solo il personale che si occupa della mantainance dei database può accedere agli stessi. l servizio Saas viene erogato dai sistemi Cloud di Amazon Web Services (AWS), le cui sicurezze sono consultabili ai seguenti link: httPS://aws.amazon.com/it/compliance/gdpr-center/ httPS://aws.amazon.com/it/security/

Privacy Policy concerning Zucchetti APPs

provided pursuant to art. 13 of the European General Data Protection Regulation 2016/679 (GDPR)

Zucchetti Hospitality makes this Privacy Policy solely and exclusively for the purposes of downloading the "Zucchetti" Sellby application; furthermore, it does not concern the use of any other websites through which, for example, the User may access/or use the application.

Data Controller

The Data Controller, only for the purposes of downloading the app, pursuant to art. 4 paragraph 7 of the GDPR is Zucchetti Hospitality srl with registered office in Lodi, Piazza Mino Zucchetti 1, 26900 – e-mail zprivacy.officer@zucchetti.com;

Responsible for data protection

The data protection officer is Dr. Mario Brocca, whom you can contact by writing an e-mail to dpo@zucchetti.it.

Developer

The developer of the application is Zucchetti Hospitality, with registered office in Lodi, Piazza Mino Zucchetti 1, 26900 - ufficio.privacy@zucchetti.it.

Personal data collected

The services provided by the App, as well as its features and functions, do not require any form of User registration. However, we point out that the computer systems and software procedures used to operate the App (such as Apple Store, Google Play or App Gallery) acquire, during their normal operation, some data in any case referable to the User whose transmission is implicit. in the use of internet communication protocols, smartphones and devices used. This category of data includes, by way of example but not limited to, the geographical position, the identity of the telephone, the User's contacts, e-mails, credit card data. The User can consult the Privacy information available on the following sites:

Apple Store - httPS://www.apple.com/legal/privacy/en-ww/
Google Play - httPS://www.google.it/intl/en/policies/privacy/
App Gallery - httPS://consumer.huawei.com/en/privacy/privacy-policy/

Support procedures

Support procedures security are implementend for each one as follows.

Onsite Support

Zucchetti Hospitality employees access the client's facility to perform training or technical maintenance activities. In this case, Zucchetti employees work as if they were part of the client's facility and adopt all security proce-dures implemented by the client. Holders may generate individual users for access to their systems, or they may have side-by-side access to train their staff. If, during the service activity, the Zucchetti Hospitality employee needs to retrieve archives or db's that he/she needs to re-solve the highlighted issues, it is necessary that he/she informs the Holders and records this activity on the Inter-vention Note: upon completion of the activity at the Zucchetti Hospitality offices the client will be informed about the solution adopted and the subsequent deletion of the archive. If there is a need to keep the archives for the time necessary for the testing of the adopted solution, the client must be informed about the maximum retention time of these archives.

Telephone support

It presents no problems from a personal data processing point of view. No data or archives are transmitted and communication remains verbal.

Assistance via e-mail/web tickets

In email assistance, Zucchetti Hospitality technicians will always include in the text of the message the disclaimer to make the Holder aware of the summary information and the contact details he or she can contact to exercise his or her rights or the rights of his or her data subjects. The Zucchetti Hospitality employee is not authorized to have the client's login credentials emailed to him or her, nor will he or she be able to save them on the ticketing tool. If a client sends login credentials to his or her environment without a request from the Zucchetti Hospitality technician, it is necessary for the Zucchetti Hospitality technician to respond that he or she is not authorized to access the systems with oth-er users' credentials because this mode violates the GDPR. So the Zucchetti Hospitality technician will have to request indi-vidual credentials or connection via LogMeIn. Zucchetti Hospitality technicians will sign each email with first and last name and the information will be saved in ticketing.

Assistance Through Receipt Of Customer Data Base

If, in order to solve the problem reported by the client, it is necessary to have the database or other files or que-ries containing personal data sent to him/her, it is necessary to notify the client either of the ftp area to which he/she will have to upload the files or for clients with the environment installed on our data center, request permission to have our system engineers make the copy.

Assistance through the need to have clients back up a data center service

If the client's personal data is on a Zucchetti/Data center system, under no circumstances will 1-level support be able to request backups from Data center systemists unless authorized by the Holder himself. Systematists will not be able to extract any backups from Holders for needs and purposes other than providing support to Holders; for example, no backups directed to production for testing purposes may be made.

Assistance through remote connection LogMeIn

This mode of connection on the Holders' tools ensures privacy in that:

the connection is always requested by the Holder;
the access credentials are always individual;
the client gives Zucchetti Hospitality technicians access to an environment with an authorization profile chosen by the Holder to have support activities performed;
the Holder can disconnect the technician whenever he/she wishes.
Through LogMeIn it is also possible to have 2-level assistance access the same open session. In this case the Holder has the evidence because it is provided by the tool and therefore implicitly accepts this mode It is essential to use the Zucchetti LogMeIn as it is licensed and customized with all the documentation that must be produced by the law on the processing of personal data. Only in exceptional cases and after careful evaluation by the manager and the privacy office is it possible to use other connection tools that behave in the same way.

Assistance through remote connection on public IP or via VPN

If the assistance activity is to be carried out on cloud systems over public IPs or via VPN or private access, it is necessary for Zucchetti employees to enter the systems of the Holders:
upon customer authorization;
upon receipt of individual credentials and the credentials have been activated for the time necessary to perform the required activities;
upon completion of the activity the credentials are deactivated by the Holder.

Territorial scope of processing

The data provided will be processed in Italy.

Rights of Data Subjects

Relating to the processing of data in the context of downloading the App only, the user may exercise his rights by sending an email to ufficio.privacy@zucchetti.it, in in particular, you may request access to personal data concerning you, rectification or cancellation or you may re-quest limitation of processing and you may object to processing. Furthermore, you will have the right to data portability and if you wish to lodge a complaint you can also present it to the Guarantor authority for the protec-tion of personal data. For everything concerning the processing of data in the context of the use of the HR Portal application, the user must contact the Data Controller of the aforementioned Data Processing (Employer). Any re-quests of this type, received by Zucchetti, will be forwarded to the Data Controller.