Se sei un’azienda specializzata nella sicurezza informatica e quindi nella protezione dei dati ed informazioni del clienti è fondamentale conoscere gli elementi essenziali da inserire nel contratto con il tuo cliente.
Il tuo core business potrebbe essere la protezione dei dati personali da violazioni, le attività di backup e ripristino, oppure la sicurezza potrebbe essere un asset rispetto ad altre attività di sviluppo software e manutenzione da remoto. In ogni caso, oltre a prestare assistenza nell’ambito della sicurezza informatica e telematica, devi gestire preventivamente la tua responsabilità contrattuale senza dimenticare il tuo ruolo privacy.
Il contratto di Disaster Recovery per un’azienda informatica
Il contratto di disaster recovery è un contratto tipicamente adottato da un’azienda dotata di struttura informatica, per proteggersi da eventi disastrosi (da qui il nome Disaster Recovery) come attacchi hacker, guasti dell’hardware, incendi, inondazioni, etc che comprometterebbero gravemente il regolare operare della società.
Le parti del contratto di ripristino della sicurezza
Questo contratto è stipulato tra:
- L’azienda Provider/Fornitrice di servizi di disaster recovery che potrebbe essere una software house che, tra gli altri, eroga, entro determinati limiti questo tipo di servizio.
- Una società dotata di una struttura informatica che ritiene importante garantire la continuità della propria struttura informatica, l’intervento immediato e non perdere dati ed informazioni.
Nel contratto vengono indicati i prodotti (struttura di rete) e i servizi (assistenza) che vengono messi a disposizione e forniti dal provider.
Se vuoi assicurarti di redigere i Registri dei trattamenti senza tralasciare aspetti rilevanti per la normativa privacy vigente possiamo avviare assieme il relativo processo di redazione. In questo modo puoi dotare la tua agenzia di comunicazione di tutti i presidi idonei a dimostrare la sua compliance privacy.
Perché il Contratto di Disaster Recovery?
Il documento contrattuale è fondamentale per descrivere in modo completo l’oggetto delle attività, ad esempio i prodotti (struttura di rete) e i servizi (assistenza) che vengono messi a disposizione e forniti dal provider, la durata del servizio e i tempi di intervento.
Gli eventi disastrosi possono infatti essere molto pericolosi per l’azienda che decide di rivolgersi ad una software house per un servizio di disaster recovery:
- perdita di dati personali di dipendenti, clienti, fornitori e quindi illecito trattamento;
- comunicazione non autorizzata di informazioni e quindi anche progetti, proposte, disegni industriali;
- diffusione di segreti aziendali e know how interno e quindi anche brevetti, invenzioni..;
Il rischio principale è che il danno si ripercuota sulla reputazione dell’azienda nei confronti dei clienti ma anche sull’attività aziendale in senso stretto a casa delle informazioni che potrebbero essere ottenute dai concorrenti.
Le attività qui esemplificate richiedono quindi alta professionalità e tempi di intervento immediati.
Quali sono gli elementi essenziali da inserire in un Contratto di Disaster Recovery?
Per esperienza, riteniamo che i principali elementi che devono essere inseriti in un contratto di disaster recovery siano:
- DESCRIZIONE DEI SERVIZI. Fondamentale specificare le attività, le singole fasi. Ad esempio, il servizio di assistenza e monitoraggio sarà anticipato dall’adozione di un disaster recovery plan, dall’acquisto da parte dell’azienda di software e hardware eventualmente necessari.
- TEMPI DI INTERVENTO, DI GESTIONE, DI EVASIONE DELLA RICHIESTA. L’indicazione delle tempistiche è fondamentale in questo tipo di contratto e altrettanto fondamentale è individuare esattamente cosa si intenda per “intervento”, “gestione della richiesta”, “evasione della richiesta” ecc.
- MODALITÁ DI INTERVENTO. ll cliente deve essere messo a conoscenza delle modalità di backup e di ripristino di dati ed informazioni, compresi i luoghi di stoccaggio.
- DATI PERSONALI, INFORMAZIONI CONFIDENZIALI, SEGRETI AZIENDALI. Altro profilo è gestire in modo diverso i tipi di informazioni per l’adeguato trattamento.
- SOSPENSIONE E INTERRUZIONI. Cosa accade in caso di mancato pagamento da parte del cliente? Come gestire una situazione che interviene durante una fase di manutenzione programmata?
Come gestire la responsabilità dell’azienda informatica nel contratto di disaster recovery
È innanzitutto fondamentale distinguere tra la responsabilità del provider a monte, del fornitore del servizio di Disaster Recovery (tu) e del cliente finale dotato di una struttura informatica.
Molto spesso non hai possibilità di contrattare le condizioni imposte dal provider ma devi accettarle direttamente. Questo comporta che nel rapporto con il tuo cliente devi prestare massima attenzione alla responsabilità che assumi, proprio per evitare che tu rimanga impigliato tra provider e cliente.
La responsabilità del fornitore del servizio di disaster recovery
Il Provider del servizio di Disaster Recovery è responsabile della corretta esecuzione dei servizi concordati nel contratto e quindi:
- RISK ASSESSMENT: studio approfondito dell’architettura informatica interna ed esterna e degli aspetti di criticità;
- DISASTER RECOVERY PLAN: pianificazione di strategie e tecniche per (i) la prevenzione della violazione (ii) il ripristino della sicurezza in caso di evento disastroso;
- ACTION PLAN: concreta implementazione delle misure di backup e ripristino, acquisto prodotti hardware e software necessari, adeguata formazione al personale.
La base della responsabilità è quindi connessa all’inadempimento rispetto al servizio promesso. Inadempimento che può discendere da:
- pianificazione non adeguata rispetto alle esigenze di sicurezza rappresentate dall’azienda
- tempi di intervento maggiori rispetto a quelli promessi;
- vizi degli strumenti adottati che emergono nel corso del collaudo;
La responsabilità del fornitore può essere limitata al corrispettivo versato dal cliente per il servizio.
La responsabilità del cliente in caso di violazione della sicurezza informatica
Come per ogni contratto, il cliente è tenuto alla diligenza e correttezza e potrà essere ritenuto responsabile secondo gli ordinari principi nel caso in cui la sua condotta abbia impedito al fornitore di svolgere la prestazione in modo esatto. Comprenderai che non è semplice la dimostrazione di tali fatti ed è per questo che insistiamo nella necessità di adottare un contratto scritto che descriva il ruolo del cliente.
E infatti, il cliente:
- deve collaborare in tutte le attività operative (fase di assement iniziale e fase di test finale ad esempio);
- deve fornire tutte le informazioni necessarie al fornitore per l’elaborazione del disaster recovery plan;
- deve mettere a disposizione le risorse (personale compreso) affinchè il piano di sicurezza possa essere concretamente messo in atto;
Comprenderai che questo tipo di contratto non è affatto una banalità ma anzi implica una responsabilità notevole che deve necessariamente previamente essere gestita e che qui ti abbiamo brevemente esemplificato sulla base della nostra esperienza.
Puoi richiederci un colloquio così da farci conoscere la tua posizione e valutare come possiamo esserti utili per il tuo contratto di intervento in caso di violazione della sicurezza informatica.
Foto di Jonathan Ford su Unsplash