1.1 DESCRIZIONE GENERALE DEI SERVIZI SAAS DI GIES

1.2 INFRASTRUTTURA

1.4 SCOPE DELLE OPERAZIONI

2.1 PRINCIPI DI SICUREZZA DELLE INFORMAZIONI

Al fine di garantire la sicurezza dei dati in ogni fase dell'utilizzo dell'applicazione, GIES ha messo in atto determinate misure.

Le comunicazioni da/verso il servizio cloud avvengono all’interno di un canale sicuro TLS, con queste caratteristiche:

• Algoritmo della firma sha256;
• Chiave pubblica RSA 2048 bit

 
Il controllo degli accessi al sistema di gestione e configurazione della piattaforma avviene esclusivamente con le credenziali a doppio sistema di autenticazione ad esclusivo utilizzo di operatori selezionati di GIES.
L’adeguata piattaforma di trasferimento di informazioni, tramite canale sicuro FTPS in area dedicata, oppure altro metodo alternativo con pari grado di sicurezza.
La pubblicazione del servizio, la protezione dei dati e la gestione dei backup vengono eseguite nell’osservanza delle policy aziendali, fornibili a richiesta.
Il prodotto software mette a disposizione adeguati strumenti per la protezione degli account utente, dell’accesso al sistema (es. protezione da attacchi brute force) e di tutela delle PII in caso di sospetta compromissione delle credenziali di accesso (es. a seguito della loro presunta divulgazione involontaria).

Gli ambienti di sviluppo di GIES sono segregati e accessibili solo al personale autorizzato.
Lo sviluppo del software segue le linee guida di sviluppo sicuro, atte ad assicurare che vengano rispettati i principi di Security by Design e di Privacy by Design, pubblicate da AGID.
Per le attività di sviluppo e di test è garantito un ambiente sicuro e separato da quello di produzione.

2.1.1 BACKUP

2.1.2 SICUREZZA OPERATIVA

GIES riconosce che la gestione delle vulnerabilità tecniche dei sistemi informatici sia una delle attività fondamentali per garantire la sicurezza e la piena operatività dei propri servizi.
A tal fine sono stati predisposti un team e delle risorse che si occupano di ricercare, gestire e risolvere le vulnerabilità tecniche individuate.
Qualora siano riscontrate gravi vulnerabilità tecniche non risolvibili (0-day) sul sistema cloud, GIES informerà il cliente tramite comunicazione documentata.

2.2 MODELLO DI RESPONSABILITÀ CONDIVISA (SSRM)

Il SSRM definisce chiaramente le aree di responsabilità tra il fornitore e il cliente.
Il fornitore è responsabile della sicurezza dell’infrastruttura cloud, mentre il cliente gestisce la sicurezza delle applicazioni e dei dati caricati.
Il modello è conforme alle linee guida di ISO/IEC 27001:2022 e ISO/IEC 27018:2019.

MODELLO SSRM (SHARED SECURITY RESPONSIBILITY MODEL) PER FORNITORE DI SERVIZI SaaS
Il presente capitolo/paragrafo disciplina le responsabilità condivise tra GIES e i propri clienti in merito alla gestione della sicurezza delle informazioni, della privacy dei dati e della conformità normativa, in conformità alle best practice del settore.

RESPONSABILITÀ DEL FORNITORE SaaS

1 Sicurezza dell'infrastruttura 
Gestione e protezione dei data center, dei server fisici e delle reti utilizzate per fornire il servizio.
Implementazione di misure di sicurezza fisica e logica, inclusi firewall, IDS/IPS, e protezione DDoS.

2 Crittografia dei dati
Crittografia dei dati in transito e a riposo utilizzando algoritmi avanzati (es. AES-256).
Gestione sicura delle chiavi di crittografia, a meno che diversamente specificato.

3 Patch e aggiornamenti
Applicazione regolare di patch di sicurezza e aggiornamenti del software per garantire la protezione contro vulnerabilità note.

4 Backup e Disaster Recovery
Esecuzione di backup automatici e implementazione di piani di Disaster Recovery con tempi di recupero garantiti.

5 Conformità normativa
Garantire la conformità agli standard di sicurezza riconosciuti a livello nazionale.
Supportare il Cliente nel rispetto delle normative nazionali (con specifico riferimento a quelle per la PA).

6 Monitoraggio e logging
Fornire strumenti di monitoraggio delle attività e accesso ai log di sicurezza.
Segnalazione tempestiva di incidenti di sicurezza rilevati sull'infrastruttura.

RESPONSABILITÀ DEL CLIENTE
Il Cliente è responsabile della gestione e protezione dei propri dati e dell'uso sicuro del servizio SaaS, come segue:

1 Gestione degli accessi e delle identità
Configurare correttamente i controlli di accesso e le politiche di sicurezza interne.
Utilizzare funzionalità proprie di autenticazione a più fattori (MFA) e Single Sign-On (SSO).

2 Protezione dei dati

Garantire che i dati caricati nel sistema siano conformi alle normative vigenti.
Effettuare backup periodici dei dati specifici, se non coperti dal Fornitore.

4 Monitoraggio delle attività
Monitorare le attività degli utenti e rispondere tempestivamente a eventuali anomalie di utilizzo degli utenti.

5 Conformità normativa
Assicurare la conformità normativa nella gestione dei dati propri e dei propri clienti, in particolare rispetto al GDPR.

RESPONSABILITÀ CONDIVISE

Alcuni aspetti della sicurezza richiedono a volte la collaborazione tra Fornitore e Cliente:

1 Gestione delle chiavi di crittografia
In scenari dove il Cliente gestisce le proprie chiavi (es. Bring Your Own Key - BYOK), entrambe le parti devono collaborare per garantire la sicurezza.

2 Gestione degli incidenti
Collaborazione nella rilevazione, gestione e risoluzione di incidenti di sicurezza.
Comunicazione tempestiva di eventuali violazioni dei dati entro i termini previsti dalla normativa.

3 Audit e valutazioni di Sicurezza
Possibilità di condurre audit congiunti o di fornire documentazione comprovante la conformità a standard di sicurezza.

4 Formazione sulla sicurezza
Il Fornitore fornisce risorse e strumenti per la formazione, mentre il Cliente è responsabile della formazione continua dei propri utenti.

LIMITAZIONI DI RESPONSABILITÀ

Il Fornitore SaaS non sarà ritenuto responsabile per:

• Incidenti di sicurezza derivanti da una configurazione errata da parte del Cliente.
• Accessi non autorizzati dovuti a credenziali deboli o condivise.
• Perdite di dati derivanti da errori del Cliente nel backup o nella gestione delle informazioni.

RISOLUZIONE DELLE CONTROVERSIE

MODIFICHE AL CONTRATTO

Eventuali modifiche al presente SSRM devono essere concordate per iscritto tra le parti e allegate al contratto principale.

2.2.1 SEGREGAZIONE DELLE RISORSE

GIES mette in atto adeguate politiche al fine di ottenere l’isolamento delle risorse in cui sono presenti dati dei clienti.
Dove possibile, vengono messi in atto automatismi per eliminare le informazioni create a seguito di altre elaborazioni.
L’accesso da parte di personale aziendale ai dati, anche in sola lettura, è regolamentato secondo il criterio “least privilege” per il quale ad ogni operatore è concesso il privilegio minimo necessario per poter svolgere i propri compiti.

2.2.2 MULTITENANCY E ACCESSO ALLE RISORSE DEL CLIENTE

Le caratteristiche di tenancy dell'ambiente SaaS fornito da GIES sono definite tra queste modalità:

• Ambiente single-tenant:

- Il cliente è proprietario in esclusiva di una porzione delle risorse hardware fornite da GIES;

- l'ambiente software è dedicato esclusivamente al cliente;

• Ambiente multi-tenant:

- l'ambiente è in condivisione con più utenti;

- la separazione delle risorse avviene a livello software: ogni utente è separato dagli altri da ACL di accesso che isolano i vari tenant tra di loro;

Le persone che possono accedere alle risorse del cliente sono quelle individuate nel team di lavoro dedicato.
Il requisito del Regolamento Cloud è gestito correttamente da GIES rispettivamente per i servizi SaaS, garantendo al cliente la possibilità di censire e mappare i diversi profili e le diverse autorizzazioni per l’accesso corretto ai servizi.
Inoltre, per una maggiore comprensione dei diversi utenti e privilegi sono stati redatti appositi manuali per i diversi servizi erogati.
Per maggiori informazioni sulle caratteristiche del servizio SaaS, è possibile attivare una richiesta di supporto al Canale di Assistenza Tecnica (vedere l'apposita sezione "Contatti" di questo whitepaper).

2.3 COMPLIANCE CON ISO/IEC 27001 E ISO/IEC 27018

Il servizio è certificato ISO/IEC 27001:2022 per la gestione della sicurezza delle informazioni e ISO/IEC 27018 per la protezione dei dati personali nel cloud. Inoltre, il fornitore è certificato ISO/IEC 20000-1 per garantire la fornitura di servizi IT di alta qualità.
Gli audit annuali confermano l'adesione a questi standard.

3.1 POLITICHE E PROCEDURE

3.2 STANDARD ISO/IEC 20000

Le procedure sono conformi agli standard ISO/IEC 20000 e ai controlli ISO/IEC 27001:2022, garantendo che ogni modifica sia gestita in modo da minimizzare l'impatto sui servizi e sugli utenti finali.

3.3 COMUNICAZIONE DEI CAMBIAMENTI

La comunicazione include i dettagli del cambiamento, l’impatto previsto e le azioni richieste.

4.1 LOGGING

Il log dettagliato degli accessi e delle operazioni eseguite nel sistema, sia amministrative che operative, viene storicizzato su sistema fisicamente separato in modalità criptata (AES-256) non esposto e non modificabile, accessibile a specifici operatori

• La retention massima dei log è 1 anno mentre la retention minima dei log è 6 mesi;
• Salvo dove non altrimenti possibile, sono messe in atto azioni al fine di evitare l’inclusione di PII all’interno dei log.

4.2 COMPLIANCE CON ISO/IEC 27017

Il servizio implementa pratiche di logging e monitoring conformi a ISO/IEC 27017, garantendo la protezione e l'integrità delle informazioni gestite nel cloud.

5.1 PIANO DI GESTIONE DEGLI INCIDENTI

GIES ha definito controlli e procedure per poter permettere un approccio organizzato e regolato alla gestione degli incidenti come parte della propria strategia di sicurezza delle informazioni.
Qualora si verifichino incidenti relativi alla sicurezza informatica di gravità tale che sia presente un rischio elevato per i diritti e le libertà fondamentali degli interessati, GIES si occuperà di comunicare l’accaduto al cliente nel minor tempo possibile.
Il piano di gestione degli incidenti si basa su un approccio proattivo e reattivo, garantendo che eventuali problemi vengano identificati, gestiti e risolti tempestivamente. Viene implementata una classificazione degli incidenti basata sulla loro criticità – e l’individuazione dei processi o le funzioni vitali in base al loro business aziendale per determinare le priorità di intervento.

5.2 NOTIFICA E COMUNICAZIONE AGLI STAKEHOLDERS

In caso di incidente, i clienti vengono notificati entro un periodo massimo di 72 ore dal rilevamento dell'evento.
Le notifiche includono informazioni dettagliate sull’incidente, le azioni correttive adottate e il tempo stimato per la risoluzione.
La comunicazione avviene attraverso canali sicuri e predefiniti.
Il canale utilizzato per la comunicazione e le caratteristiche di quest’ultima saranno definite da GIES in base alla tipologia di violazione.
Il referente che sarà contattato da GIES in caso di incidente è il RUP dell’ente, definito all’interno del contratto.
Il referente di GIES da contattare per la segnalazione di eventuali incidenti o per ottenere un aggiornamento su segnalazioni precedenti è il Capo Reparto di pertinenza del prodotto utilizzato (vedere sezione contatti all’interno di questo documento).

5.3 RIFERIMENTI ALLA NORMA ISO/IEC 27001

Le procedure di gestione degli incidenti sono allineate alla norma ISO/IEC 27001:2022 e al Regolamento (UE) 679/2016 (GDPR), garantendo un approccio sistematico e standardizzato alla rilevazione, analisi, contenimento e recupero dagli incidenti.
Tutti i dettagli relativi alla gestione degli incidenti sono presenti nelle policy aziendali, producibili avanzando apposita richiesta tramite il Canale di Assistenza Tecnica (vedere la sezione Contatti di questo whitepaper).

6.1 MODALITÀ DI AUDIT

Il cliente ha il diritto di richiedere audit periodici per verificare la conformità ai termini dello SLA e alle normative applicabili.
Gli audit possono includere verifiche dei sistemi, processi e infrastrutture utilizzate per l’erogazione del servizio.

6.2 REQUISITI NORMATIVI E STANDARD ISO/IEC 27001 E 27018

Il fornitore è certificato secondo gli standard ISO/IEC 27001:2022 e ISO/IEC 27018, che garantiscono la conformità a elevati livelli di sicurezza per i servizi cloud. Gli audit possono essere condotti da enti terzi qualificati o direttamente dal cliente previa notifica scritta.

7.1 REGISTRAZIONE E DE REGISTRAZIONE

• Il RUP, o un responsabile da esso nominato, si occuperà di fornire la lista di utenti ai quali abilitare l'accesso al servizio SaaS; GIES potrà creare nuovi accessi al servizio SaaS solo se convalidati in forma scritta dal suddetto responsabile;
• Le richieste di creazione di nuove credenziali di accesso ai servizi SaaS devono pervenire via e-mail all'indirizzo assistenza@gies.sm oppure tramite la pagina https://www.gies.sm/credenziali/.
  GIES si impegna a processare le richieste di nuovi accessi ai servizi SaaS entro 7 giorni lavorativi;

È compito del Cliente prendere in carico le credenziali di primo accesso e procedere immediatamente con la variazione della relativa password.

È dovere del Cliente attuare tutte le buone norme sulla conservazione in sicurezza delle credenziali di accesso ai servizi SaaS GIES.

Qualora si avesse il sospetto della compromissione delle credenziali di accesso, il Cliente è tenuto a eseguire tempestivamente la variazione della password in autonomia o aprendo una richiesta di supporto tramite il Canale di Assistenza Tecnica (vedere l'apposita sezione "Contatti" di questo whitepaper).

GIES non sarà tenuta responsabile per qualsiasi inconveniente derivato dall'utilizzo non autorizzato delle sue credenziali di accesso ai servizi SaaS GIES.

È possibile, qualora sia definito all'interno del contratto, abilitare il Cliente alla creazione autonoma di ulteriori accessi alla piattaforma SaaS.

In questo caso sarà responsabilità del cliente la corretta creazione, gestione, comunicazione ed eventuale eliminazione di queste credenziali di accesso.

La deregistrazione degli utenti dal servizio SaaS di GIES può avvenire in una delle seguenti forme:

• Alla cessazione del contratto, vengono contestualmente disattivati gli account SaaS utilizzati dal Cliente;

Per maggiori informazioni vedere il punto 7.2 - POLITICHE DI DISMISSIONE;

• Dopo richiesta scritta da parte del Cliente, convalidata per iscritto dal RUP o da un responsabile da esso nominato;

In questo caso GIES si impegna a processare le richieste di deregistrazione dai servizi SaaS entro 7 giorni lavorativi;

Le richieste di deregistrazione delle credenziali di accesso ai servizi SaaS devono pervenire via e-mail all'indirizzo assistenza@gies.sm oppure tramite la pagina https://www.gies.sm/richiesta-assistenza
Per maggiori informazioni sul processo di registrazione degli utenti alla piattaforma SaaS di GIES, è possibile attivare una richiesta di supporto al Canale di Assistenza Tecnica (vedere l'apposita sezione "Contatti" di questo whitepaper).

7.2 POLITICHE DI DISMISSIONE

Il processo di disattivazione parziale o totale del servizio si attiva automaticamente decorsi 30gg dal termine contrattuale o a seguito di esplicita richiesta del Cliente.
Alla cessazione del contratto, il fornitore si impegna a garantire la disponibilità dei dati del cliente per un periodo di almeno 30 giorni al fine di consentire una transizione agevole.
I dati vengono eliminati definitivamente al termine del periodo di conservazione, in conformità con le linee guida di ISO/IEC 27001.
Il proprietario esclusivo dei dati raccolti e memorizzati nell’archivio dell’applicativo è il cliente.

7.3 PORTABILITÀ DEI DATI

Il cliente ha il diritto di richiedere una copia completa dei propri dati in un formato standard e interoperabile, garantendo la facilità di migrazione verso altri fornitori. Il processo di portabilità viene effettuato secondo le best practices di ISO/IEC 27001.
Al termine del contratto tra GIES e il cliente, quest’ultimo riceverà copia completa dei dati a chiusura del servizio, in formati concordati con il cliente (es. CSV, MDB, SQL Server, ecc..).

7.4 BEST PRACTICES DI ISO/IEC 27001

Le politiche di cessazione e portabilità rispettano le best practices descritte in ISO/IEC 27001:2022 per la sicurezza delle informazioni e la continuità operativa, assicurando un processo di transizione sicuro e trasparente.

GIES garantisce al cliente la possibilità di estrarre in qualsiasi momento una copia completa di dati, metadati e documenti memorizzati dal servizio SaaS in formati pubblici e aperti.

Allo scopo di consentire la migrazione da un altro Fornitore SaaS o servizio SaaS, GIES garantisce al cliente la possibilità di importare i dati all’interno del servizio SaaS tramite formati pubblici e aperti.

GIES si rende disponibile alla pubblicazione della documentazione a richiesta del Cliente di appositi manuali di gestione delle interfacce API.

8.1 ADOZIONE DI STANDARD APERTI

• OpenAPI per la documentazione e l’integrazione delle API;
• JSON e XML per la formattazione dei dati;
• ODF (Open Document Format) per documenti elaborati.

Questi standard assicurano la flessibilità e riducono i costi legati alla migrazione e all’integrazione.

8.2 LINEE GUIDA AGID

In linea con le Linee Guida AgID di interoperabilità, il servizio integra meccanismi per:

• Promuovere la resilienza operativa;
• Garantire l’accesso continuo ai dati in caso di incidenti;
• Promuovere la resilienza operativa;

GIES è responsabile delle PII che risiedono su suoi servizi SaaS e sarà sua responsabilità garantire la loro protezione, integrità e disponibilità.

GIES assicura che tutti coloro che operano nell’ambito dell’erogazione dei servizi siano adeguatamente selezionati e formati al fine di poter raggiungere la consapevolezza dell’importanza delle informazioni trattate.

A tutti i dipendenti e collaboratori che operano con le informazioni del cliente e i servizi forniti, GIES richiede la firma di una NDA e il rispetto delle relative politiche aziendali.

Sono inoltre pianificati programmi periodici di formazione e verifica interna del personale.

9.1 PROTEZIONE DEI DATI PERSONALI

• Crittografia dei dati a riposo e in transito;
• Controlli di accesso basati sui ruoli (RBAC) per limitare l’accesso alle informazioni sensibili;
• Valutazioni di impatto sulla protezione dei dati (DPIA), in conformità con l’articolo 35 del GDPR, per identificare e mitigare rischi associati al trattamento dei dati.
• Osservanza dei principi di Privacy By Design & By Default per adottare tutte le misure più adeguate al contesto ex ante ed ex post il trattamento.

9.2 COMPLIANCE CON GDPR E ISO/IEC 27001

Il servizio è pienamente conforme ai requisiti del GDPR e certificato ISO/IEC 27001:2022. Questo include:

• Procedure trasparenti per la gestione dei diritti degli interessati (accesso, rettifica, cancellazione, portabilità);
• Processi di audit periodici per garantire il rispetto delle normative;
• Trattamento dei dati personali in accordo con principi di minimizzazione e proporzionalità.

• SLA di disponibilità del Servizio. GIES ha definito che gli applicativi SaaS sono disponibili con availability del 99.5 % su base mensile.
• SLA di rispetto dei tempi di presa in carico e risposta.

GIES si impegna a dare una prima risposta, nell'ambito dei canonici orari di ufficio (dal lunedì al venerdì, dalle 09 alle 13 e dalle 14.30 alle 17.30, esclusi i festivi), ai quesiti avanzati dal Cliente con queste tempistiche

	Tipologia	Tempo di presa in carico	Tempo di risposta
	Intero sistema indisponibile	2 ore	3 ore
	Funzionalità critiche indisponibili, con immediato impatto sull’operatività degli utenti	4 ore	12 ore
	Funzionalità non critiche indisponibili, senza immediato impatto sull’operatività degli utenti	12 ore	36 ore
	Richiesta di assistenza generica / chiarimenti	16 ore	48 ore

Per maggiori informazioni sulle modalità di contatto dell'assistenza, fare riferimento all'apposita sezione di questo Whitepaper.

I KPI associati agli SLA sono costantemente monitorati da GIES tramite strumenti e software dedicati.

In nessun caso saranno prese in considerazione misurazioni dei KPI effettuate tramite strumenti diversi dai sistemi predisposti da GIES.

Nell'ambito dei KPI si fa presente che non saranno conteggiati i tempi di indisponibilità dovuti a interventi di manutenzione programmati da GIES.

Al fine di verificare il rispetto degli SLA da parte di GIES, il Cliente può richiedere un report riepilogativo dettagliato dei dati relativi al monitoraggio dei KPI di proprio interesse.

La richiesta deve pervenire attraverso il Canale di Assistenza Tecnica (vedere la sezione Contatti di questo Whitepaper).

GIES si impegna a inviare il report entro 7 giorni lavorativi dal momento di ricezione della richiesta.

Dal momento dell'invio del report, il Cliente ha 10 giorni per avanzare notifiche per presunti casi di mancato raggiungimento degli SLA, rispondendo tramite il medesimo canale.

Alla ricezione della notifica di mancato raggiungimento degli SLA, GIES attiverà una verifica dei dati in proprio possesso per valutare la fondatezza della contestazione; al termine della verifica GIES comunicherà al Cliente l'esito di tale verifica e di conseguenza la possibilità o meno di accettare la contestazione.

GIES conferma la presenza di copertura assicurativa in grado di coprire i danni verso il cliente/infrastrutture e, in aggiunta, l’adozione di garanzie specifiche per singoli contratti.

È possibile visionare lo status in tempo reale dei servizi SaaS di GIES facendo riferimento alla pagina: https://whitepaper.gies.it/status/

• ACN - Agenzia per la cybersicurezza nazionale.
• AGID - Agenzia per l'Italia digitale.
• API (Application Programming Interface): Interfacce che permettono l’interazione tra diverse applicazioni software.
• ARUBA - Aruba S.p.A.
• CSP – Cloud Service Provider, fornitore di servizi Cloud.
• DPIA (Data Protection Impact Assessment): Strumento per valutare gli impatti del trattamento dei dati personali.
• GIES – Gruppo Informatica e Servizi G.I.E.S. S.r.l.
• KPI - Key Performance Indicators: parametri oggettivi atti a monitorare il rispetto dello SLA.
• NDA - Non Disclosure Agreements, accordo di riservatezza.
• NTP – Network Time Protocol, protocollo per la sincronizzazione degli orologi dei server.
• PII - Personally Identifiable Information, ovvero informazioni relativi alla persona fisica.
• RBAC (Role-Based Access Control): Modello di sicurezza che assegna permessi agli utenti in base ai loro ruoli.
• RPD/DPO - Responsabile della Protezione dei Dati/Data Protection Officer
• RUP – Referente Unico del Progetto.
• SaaS – Software as a Service: è un modello di distribuzione del software applicativo dove un produttore di software sviluppa, opera e gestisce un'applicazione che mette a disposizione dei propri clienti via Internet.
• SLA - Service Level Agreement.

• Il Canale di Assistenza Tecnica di GIES è fruibile tramite la pagina: https://gies.bitrix24.it/online/assistenzatecnica
• Il responsabile della configurazione e del funzionamento in produzione del sistema è il RO Sistemi sistemi@gies.sm.
• Per richieste sui dati contenuti nel sistema, contattare:
• Per il Patrimonio, info@gies.sm;
• Per il Turismo, giesturismo@gies.sm;
• Per informazioni sul trattamento dei dati, inviare una mail all’indirizzo privacy@gies.sm o al numero di telefono 0549 999497.
• In caso di necessità di segnalazioni di presunta violazione della altrui proprietà intellettuale, inviare una mail all’indirizzo: info@gies.sm
• Per richieste relativi ad audit o riesami relativi alla sicurezza delle informazioni, contattare il RO Sistemi via e-mail: sistemi@gies.sm
• Per richieste relative a incidenti di sicurezza, contattare:
• Per il Patrimonio, info@gies.sm;
• Per il Turismo, giesturismo@gies.sm;
• Ai sensi del Regolamento EU n. 679/2016 (GDPR), GIES ha indicato come DPO: ICTLC S.p.A. contattabile tramite questi mezzi:
• Telefono: 0284247194
• E-mail: DPO-outsourcing@ictlc.com
• PEC: ictlc@pec.it.
• La presente informativa e tutte le policy relative alla sicurezza delle informazioni sono conservate da GIES per un periodo minimo di 5 anni.
• Il Responsabile del trattamento è GRUPPO INFORMATICA E SERVIZI G.I.E.S. S.r.l.