Le presenti Condizioni Generali disciplinano i termini e le modalità di fornitura del servizio software erogato in modalità Software as a Service (SaaS) tramite la piattaforma denominata “Xeedom”, sviluppata e gestita da Startacrowd S.p.A. Società Benefit, con sede legale in Via Gino Capponi 24, Firenze (FI), CAP 50121, iscritta al Registro delle Imprese di Firenze, codice fiscale e partita IVA 07028380488 (di seguito anche “Startacrowd” o “Fornitore”).
Le presenti condizioni costituiscono parte integrante e sostanziale del contratto stipulato tra il Fornitore e il Cliente e disciplinano l’accesso e l’utilizzo della piattaforma Xeedom.
Ai fini del presente contratto si intende per:
Il presente contratto ha ad oggetto la fornitura da parte di Startacrowd del servizio SaaS relativo alla piattaforma Xeedom.
Il servizio consente al Cliente di utilizzare le funzionalità applicative della piattaforma tramite accesso remoto via Internet.
Il Cliente acquisisce esclusivamente un diritto d’uso limitato, non esclusivo, non trasferibile e temporaneo della piattaforma.
La proprietà del software e di tutti i diritti di proprietà intellettuale rimane in capo a Startacrowd.
In conformità al modello di responsabilità condivisa, Startacrowd assume il ruolo di Responsabile del Trattamento (o Cloud Service Provider - CSP) limitatamente alla gestione dell'infrastruttura e dei servizi applicativi. Il Cliente agisce come Titolare del Trattamento (o Cloud Service Customer - CSC) ed è responsabile della configurazione degli accessi, della gestione dei contenuti caricati e della conformità dei propri processi interni.
Startacrowd garantisce la nomina di personale autorizzato vincolato da obblighi di riservatezza.
Il servizio viene erogato tramite infrastrutture cloud gestite da Startacrowd o da provider cloud qualificati.
L’accesso alla piattaforma avviene tramite autenticazione mediante credenziali personali.
Startacrowd si impegna ad adottare misure tecniche e organizzative adeguate per garantire:
L’accesso al servizio richiede la creazione di un account cliente.
Il Cliente è responsabile:
Il Cliente si impegna a notificare immediatamente eventuali accessi non autorizzati.
Startacrowd garantisce che i dati del Cliente, inclusi i dati personali (PII), siano conservati e trattati esclusivamente presso i data center situati in Belgio. Ogni eventuale variazione della collocazione geografica sarà comunicata al Cliente con un preavviso di almeno 30 giorni.
Startacrowd si impegna a non trasferire i dati al di fuori dell'area stabilita senza il preventivo consenso scritto del Cliente, garantendo in ogni caso l'adozione delle Clausole Contrattuali Standard (SCC) o altri meccanismi di trasferimento validi.
L'accesso al Servizio è regolato da rigorose procedure di controllo degli accessi. Startacrowd implementa policy di password “strong” e supporta meccanismi di autenticazione a più fattori (MFA). La gestione delle identità (provisioning/de-provisioning) è responsabilità del Cliente, mentre Startacrowd garantisce che i processi di autenticazione amministrativa sui sistemi cloud siano protetti da tecniche di cifratura e monitoraggio continuo per prevenire accessi non autorizzati.
Il Cliente può autorizzare l’accesso alla piattaforma ai propri dipendenti o collaboratori.
Il Cliente rimane responsabile delle attività svolte dagli utenti autorizzati.
Il Cliente si impegna a utilizzare la piattaforma Xeedom nel rispetto della normativa vigente.
È vietato:
Startacrowd si impegna a garantire un elevato livello di disponibilità del servizio.
Il servizio potrà essere temporaneamente sospeso per:
Startacrowd adotta misure di protezione dei dati basate su tecnologie crittografiche conformi agli standard di settore, anche mediante l’utilizzo di infrastrutture cloud gestite.
In particolare:
Le soluzioni di cifratura e gestione delle chiavi sono implementate e mantenute dal provider cloud, in conformità alle proprie policy di sicurezza e agli standard internazionali applicabili.
Startacrowd adotta un approccio proporzionato e coerente con le caratteristiche del servizio, avvalendosi delle funzionalità di sicurezza offerte dall’infrastruttura cloud per garantire un adeguato livello di protezione dei dati.
Tutti i sistemi informatici del Fornitore coinvolti nell'erogazione del servizio utilizzano un riferimento temporale unico e sincronizzato tramite protocolli standard (es. NTP) verso server di tempo affidabili. Ciò garantisce la coerenza temporale dei log e delle evidenze forensi tra tutti i nodi dell'infrastruttura cloud.
Startacrowd potrà effettuare aggiornamenti e miglioramenti della piattaforma Xeedom al fine di:
Qualsiasi modifica tecnica o operativa al Servizio che possa impattare significativamente sulla postura di sicurezza o sulle modalità di trattamento dei dati sarà notificata al Cliente tramite Email. Il Fornitore manterrà una documentazione aggiornata delle modifiche per consentire al Cliente di valutare la continuità della conformità ai requisiti ISO 27017.
Startacrowd implementa misure tecniche e organizzative adeguate per garantire la protezione delle informazioni trattate tramite la piattaforma.
Le misure di sicurezza sono progettate per garantire:
La gestione della sicurezza delle informazioni avviene in conformità con standard internazionali riconosciuti.
Startacrowd si sottopone regolarmente ad audit indipendenti per verificare la conformità agli standard ISO 27001 e 27017. Su richiesta del Cliente, il Fornitore metterà a disposizione una sintesi dei rapporti di audit (es. certificato di conformità) e, in casi specifici previsti dalla legge, consentirà audit diretti o tramite terze parti indipendenti concordate.
Startacrowd adotta un ciclo di vita dello sviluppo software sicuro (S-SDLC). Gli ambienti di sviluppo, test e produzione sono logicamente separati all’interno dell’infrastruttura cloud. Le modifiche al codice seguono processi di revisione e test, inclusi controlli di sicurezza ove applicabile. Gli ambienti sono gestiti tramite servizi cloud (es. Google Cloud Run) che garantiscono isolamento logico tra ambienti e workload. Non vengono utilizzati dati reali del Cliente (PII) negli ambienti di test, salvo previa anonimizzazione, pseudonimizzazione o specifica autorizzazione.
Il trattamento dei dati personali avviene nel rispetto del Regolamento (UE) 2016/679 (GDPR); ciò include il divieto di utilizzare i dati del Cliente per finalità di marketing o profilazione commerciale senza consenso esplicito, e l'obbligo di notifica immediata in caso di data breach accertato che coinvolga i dati del Cliente. Qualora il Cliente utilizzi la piattaforma per il trattamento di dati personali, Startacrowd agirà quale Responsabile del trattamento.
Startacrowd adotta procedure di backup e misure di continuità operativa al fine di garantire la resilienza e la disponibilità del servizio.
Startacrowd esegue backup regolari dei dati del Cliente secondo una pianificazione definita mensile. I backup sono immutabili per prevenire attacchi Ransomware e sono replicati in siti geograficamente distanti per garantire la Business Continuity anche in caso di outage totale del data center primario.
Startacrowd esegue test periodici di ripristino per garantire l'integrità e la disponibilità dei dati in caso di disastro (Disaster Recovery).
Startacrowd garantisce l’isolamento logico dei dati e delle risorse tra clienti (multi-tenancy) attraverso i meccanismi di segregazione implementati dalla piattaforma applicativa e dall’infrastruttura cloud.
L’isolamento è ottenuto tramite controlli applicativi, gestione degli accessi e architettura dei servizi cloud, senza gestione diretta di hypervisor da parte di Startacrowd.
La gestione della rete fisica è demandata al provider cloud. Startacrowd utilizza i controlli di sicurezza messi a disposizione dall’infrastruttura cloud per garantire la protezione delle comunicazioni e dei servizi. Le comunicazioni avvengono esclusivamente tramite protocolli sicuri (HTTPS/TLS). Startacrowd configura e monitora i propri servizi in modo da ridurre l’esposizione a rischi di accesso non autorizzato.
Il contratto ha durata pari a quella indicata nell’offerta commerciale.
Salvo diversa indicazione, il contratto si rinnova automaticamente.
Startacrowd potrà sospendere l’accesso alla piattaforma qualora:
Startacrowd non potrà essere ritenuta responsabile per danni indiretti o perdite economiche derivanti dall’utilizzo del servizio.
La responsabilità complessiva del Fornitore non potrà eccedere l’importo corrisposto dal Cliente nei dodici mesi precedenti l’evento dannoso.
Startacrowd si avvale di provider cloud qualificati per l’erogazione del servizio. L'elenco aggiornato dei subfornitori e dei “Peer Cloud Services” utilizzati è disponibile su richiesta scrivendo a support@xeedom.com.
Startacrowd verifica che tali fornitori garantiscano adeguati livelli di sicurezza e conformità agli standard internazionali (es. ISO 27001, ISO 27017, ISO 27018). Resta inteso che il provider cloud opera secondo il modello di responsabilità condivisa, mentre Startacrowd mantiene la responsabilità dei servizi applicativi erogati al Cliente.
In caso di incidente di sicurezza o su richiesta motivata delle autorità, Startacrowd si impegna a fornire supporto nella raccolta delle evidenze digitali. Le procedure di logging e monitoraggio sono progettate per garantire l'integrità dei log, rendendoli idonei per eventuali analisi forensi, nel rispetto della riservatezza degli altri clienti.
Startacrowd registra e conserva i log relativi agli accessi degli utenti, alle attività amministrative e agli eventi di sicurezza. Tali log sono conservati per un periodo di 12 mesi o secondo quanto previsto dalle normative vigenti. L'accesso ai log è limitato a personale autorizzato e ogni attività sui log stessi è tracciata per prevenirne la manomissione.
Gli specifici livelli di servizio (SLA) sono definiti nell’offerta commerciale sottoscritta dal Cliente.
Il Cliente mantiene la piena proprietà e i diritti di proprietà intellettuale sui dati caricati nel Servizio. Startacrowd è proprietario del software, dei loghi e della documentazione tecnica.
Al Cliente viene concessa una licenza d'uso limitata e non esclusiva per l'utilizzo del Servizio durante la vigenza del contratto.
Le parti si impegnano a mantenere riservate tutte le informazioni confidenziali scambiate nell’ambito del rapporto contrattuale.
Alla cessazione del contratto, l’accesso del Cliente alla piattaforma viene disabilitato. Il Cliente può richiedere l’esportazione dei dati a lui riconducibili entro un periodo definito successivo alla cessazione.
Decorso tale periodo, i dati del Cliente potranno essere cancellati, resi non accessibili o disassociati dai riferimenti al Cliente, in funzione della loro natura e delle finalità del servizio, entro 90 giorni dalla cessazione. Resta inteso che i dati trattati nell’ambito dei servizi di Data Intelligence potranno essere mantenuti, aggregati o anonimizzati, nel rispetto della normativa applicabile.
Startacrowd non sarà responsabile per ritardi o inadempimenti dovuti a cause di forza maggiore.
Il presente contratto è regolato dalla legge italiana.
Per ogni controversia relativa all’interpretazione, esecuzione o validità del presente contratto sarà esclusivamente competente il Foro di Firenze.