Skip to content Skip to footer
Richiedi una demo
Contattaci
Contattaci
Close

Termini e condizioni d’uso del Servizio Cloud Askme (SaaS)

Scarica il file PDF [359,60 kb]

1. Premessa

Il presente documento stabilisce i termini e le condizioni di utilizzo del Servizio Cloud (Saas) messo a disposizione da Lascaux S.r.l. (il “Provider”). La mancata osservanza di quanto indicato può comportare la sospensione o cessazione del Servizio.

1.1 DEFINIZIONI

Ai fini del presente documento, valgono le seguenti definizioni:

  1. “Account”: profilo del Cliente/Utilizzatore a cui è associata una User Name e Password (Credenziali).
  2. “Autorità”: qualsiasi ente, autorità, anche giudiziaria, ufficio, amministrazione.
  3. “Cliente”: qualsiasi persona fisica o giuridica che utilizza il Servizio nell’ambito della propria attività professionale.
  4. “Piattaforma”: sito web destinato all’utilizzo del Servizio.
  5. “Policy di utilizzo”: documento che regolamenta l’utilizzo dei Servizi Cloud disponibile su apposita sezione del Portale.
  6. “Parti”: Cliente/Utilizzatore e Provider quando indicati congiuntamente.
  7. “Portale”: portale clienti Lascaux, disponibile al sito customer.lascaux.it.
  8. “Provider”: Lascaux S.r.l.
  9. “Servizio/i”: il/i servizio/i offerto/i ed erogato/i dal Provider.
  10. “Utilizzatore”: qualsiasi persona che utilizza, in qualità di utente, il Servizio Cloud messo a disposizione del Cliente.

2. USO DEL SERVIZIO

Il Cliente/Utilizzatore non potrà né utilizzare il Servizio in modo che interferisca con il normale funzionamento dei servizi del Provider né fare un uso improprio delle risorse di sistema quale, a titolo esemplificativo e non esaustivo, l’utilizzo di software che saturino la capacità prestazionale della rete, del sistema disco e della CPU su piattaforma condivisa (ad esempio cloud, hosting, posta elettronica, etc.) per tempi prolungati.

Il Provider potrà richiedere di ripristinare il livello di normalità qualora tale utilizzo non conforme confligga con l’utilizzo degli altri utenti. Il Provider non presta alcuna garanzia circa la compatibilità degli apparati e dei programmi (hardware e software) utilizzati dal Cliente/Utilizzatore con il Servizio, essendo tutte le relative verifiche a carico esclusivo del Cliente/Utilizzatore.

3. VIOLAZIONI

È vietato l’uso della rete e dei Servizi del Provider per porre in essere e/o promuovere comportamenti illegali, abusivi o irresponsabili, tra cui:

  • l’accesso o l’uso non autorizzato di dati, sistemi o reti, ivi incluso ogni tentativo di sondare, esaminare o testare la vulnerabilità di un sistema o di una rete o di violare le misure di sicurezza o di autenticazione senza l’espressa autorizzazione del proprietario del sistema o della rete;
  • il porre in essere o rendersi parte di attività che rechino interferenze con l’utilizzo dei Servizi a qualsiasi utente del medesimo, compresi, a titolo esemplificativo ma non esaustivo, attacchi mediante software pirata, cracks, keygenerators, serials, attacchi informatici di ogni tipologia ivi compresi gli attacchi DOS, virus o altri componenti dannosi o tentativi deliberati di sovraccaricare un sistema di trasmissione;
  • creare situazioni di pericolo e/o di instabilità e/o altri problemi di natura tecnica a seguito di attività di programmazione e/o modalità di utilizzo che impattino sulla qualità del Servizio del Cliente o di altri Clienti arrecando danno ai medesimi, al Provider e/o a terzi;
  • la raccolta o l’utilizzo di indirizzi e-mail, nomi o altri identificativi senza il consenso della persona interessata (inclusi, senza limitazione, spamming, phishing, truffe internet, furto di password, spidering);
  • la raccolta o l’utilizzo di informazioni di terzi senza il consenso del proprietario delle informazioni;
  • l’uso e/o la diffusione di qualsiasi informazione falsa, fuorviante, ingannevole anche, a titolo esemplificativo ma non esaustivo, mediante e-mail o newsgroup;
  • l’utilizzo del Servizio per la distribuzione di software che raccolga fraudolentemente informazioni su un utente o trasmetta fraudolentemente informazioni sull’utente;
  • l’utilizzo del Servizio per la distribuzione di software c.d. “adware” a meno che non:
    1. sia in possesso di consenso esplicito dell’utente al download e all’installazione del software sulla base di un avviso chiaro e ben visibile sulla natura del software;
    2. si tratti di software facilmente removibile con l’uso di strumenti standard per tale scopo, inclusi nei principali sistemi operativi;
  • l’installazione di applicazioni reperibili in rete che possano creare destabilizzazioni al Servizio o all’infrastruttura;
  • offrire informazioni al pubblico (testuali o grafiche) nocive dell’immagine del Provider tramite i Servizi messi a disposizione;
  • utilizzare i Servizi del Provider per offrire sistemi di comunicazione anonima, senza un adeguato mantenimento delle identità secondo quanto richiesto dalla legislazione vigente, quali, a titolo esemplificativo ma non esaustivo, c.d. “TOR” o “anonymizer”.

4. TEST DI VULNERABILITÀ

Il Cliente/Utilizzatore non potrà in alcun modo tentare di sondare, esaminare, penetrare o testare la vulnerabilità del sistema di rete del Provider o di violare la sicurezza del Provider o delle relative procedure di autenticazione, sia con tecniche passive che invasive, senza l’espresso consenso scritto del Provider, né, allo stesso modo, potrà effettuare dette attività mediante il Servizio fornito dal Provider nei confronti delle reti e/o delle informazioni di Terzi senza il loro esplicito consenso.

5. CONTENUTI OFFENSIVI

È vietato pubblicare, trasmettere o memorizzare su o tramite il Servizio del Provider qualsiasi contenuto o link a contenuti che il Provider ritenga ragionevolmente:
  • costituire, raffigurare, favorire, promuovere o riferirsi in qualsiasi modo alla pedofilia, al razzismo, al fanatismo, o a qualsiasi contenuto di pornografia;
  • essere eccessivamente violenti, incitare alla violenza, contenere minacce, molestie o espressioni di odio;
  • essere sleali o ingannevoli in relazione alle leggi di tutela dei consumatori di qualsiasi giurisdizione, inclusi lettere a catena e schemi a piramide;
  • essere diffamatorio o violare la privacy di una persona;
  • creare un rischio per la sicurezza della persona o della salute, un rischio per la sicurezza pubblica o la salute pubblica, compromettere la sicurezza nazionale o interferire con indagini dell’Autorità giudiziaria;
  • divulgare in modo improprio segreti commerciali o altre informazioni riservate o di proprietà di terzi;
  • avere lo scopo di aiutare terzi ad eludere diritti di copyright;
  • violare il copyright di terzi, i marchi, i brevetti o altro diritto di proprietà altrui;
  • riferirsi (o presentare collegamenti) a gioco d’azzardo e/o casinò on-line, promuovere droghe illegali, violare le leggi sul controllo delle esportazioni, si riferiscano al gioco d’azzardo illegale o al traffico illegale di armi;
  • essere altrimenti illegali o sollecitare un comportamento illegale secondo le leggi applicabili nella relativa giurisdizione, del Cliente/Utilizzatore o del Provider;
  • essere altrimenti dannosi, fraudolenti o poter portare ad azioni legali contro il Provider.

Per contenuto “pubblicato o trasmesso” tramite il Servizio del Provider si includono contenuti Web, e-mail, chat e qualsiasi altro tipo di pubblicazione o trasmissione che si basi sulla rete Internet.

6. MATERIALE COPERTO DA COPYRIGHT

È vietato l’uso del Servizio del Provider per scaricare, pubblicare, distribuire, copiare o utilizzare in qualsiasi modo qualsiasi opera di testo, musica, software, arte, immagine o altro protetto dal diritto d’autore ad eccezione del caso in cui:
  • sia stato espressamente autorizzato dal titolare del diritto;
  • sia altrimenti consentito dalle vigenti leggi sul copyright nella pertinente giurisdizione.

7. TRATTAMENTO DELLE INFORMAZIONI

Le informazioni affidate al Provider vengono trattate secondo quanto previsto dalla giurisdizione di riferimento che è quella europea ed italiana. Solo ed esclusivamente per le finalità contrattualizzate, a meno di specifici ed espliciti accordi con il Cliente stesso. In particolare, il Provider si impegna a non utilizzare le informazioni per finalità diverse da quelle previste sul Documento di Informativa Privacy senza autorizzazione esplicita del Cliente e dichiara che tale autorizzazione non è mai precondizione necessaria all’erogazione dei propri Servizi.
Le informazioni risiedono in Italia in uno o più dei Datacenter Aruba S.p.A. (a meno di differenti specifici ed espliciti accordi con il Cliente).
I trattamenti vengono effettuati esclusivamente da personale qualificato, formalmente incaricato ai sensi delle normative Privacy ed istruito in tal senso.

7.1 INTELLIGENZA ARTIFICIALE E UTILIZZO DI SERVIZI CLOUD

Nell’erogazione dei Servizi, il Provider si avvale di tecnologie di Intelligenza Artificiale fornite da OpenAI e di infrastrutture cloud (Private Cloud Aruba). I Dati Personali saranno trattati elettronicamente attraverso sistemi IT secondo la seguente architettura: i dati del prompt inserito dall’utente per la generazione della risposta sono trasmessi ai server di OpenAI esclusivamente per finalità tecniche connesse al funzionamento del Servizio, mentre i dati applicativi e le conversazioni sono trasmessi e storicizzati nei server di Aruba S.p.A. in Italia, secondo la retention definita dal Cliente (Titolare del trattamento).

Il Cliente prende atto che l’erogazione delle funzionalità basate su IA dipende anche dal funzionamento delle infrastrutture del fornitore sopra indicato. Eventuali interruzioni o malfunzionamenti, inclusi quelli dei modelli linguistici di grandi dimensioni (LLM), non potranno essere imputati al Provider.
Maggiori informazioni sono disponibili nella privacy policy di OpenAI.

8. DIFFUSIONE DELLE INFORMAZIONI

In caso di richiesta di consegna da parte di Autorità Giudiziarie o Amministrative (es. Polizia, Carabinieri, Guardia di Finanza, Magistratura), delle informazioni affidate al Provider dal Cliente, il Provider fornirà al Cliente tempestiva notifica di tale richiesta, tranne nei casi di divieto da parte dell’Autorità stessa.

9. NOTIFICA DEGLI INCIDENTI

Il Provider si impegna a notificare tempestivamente al Cliente gli incidenti di sicurezza informatica (data-breach) che implichino o consistano di:

  • Accessi non autorizzati;
  • Perdita di dati;
  • Alterazione di dati;
  • Diffusione indebita di dati;

e che possono venire rilevati tramite strumenti di monitoraggio e controllo o da segnalazioni.

La notifica avverrà prontamente a seguito della rilevazione dell’incidente. Successivamente, alla chiusura dell’incidente, sarà inviato al Cliente l’Incident Report descrittivo dell’accaduto e delle azioni intraprese. Il Cliente può segnalare tramite il Portale customer.lascaux.it eventuali anomalie riscontrate nei Servizi. Il Provider sarà tenuto a risolvere le problematiche segnalate.

10.TRASFERIMENTO O RESTITUZIONE DELLE INFORMAZIONI O RIMOZIONE A FINE CONTRATTO

Il trasferimento delle informazioni ad altro provider, oppure la riconsegna delle stesse al Cliente, sono garantite dal Provider che indirizzerà su base progettuale qualsiasi richiesta del Cliente in tal senso, stimando tempi e costi delle operazioni e sottoponendone proposta al Cliente. L’esecuzione delle attività è subordinata all’accet-tazione della proposta, e in tutti i casi è seguita dalla cancellazione sicura. A fine contratto ed in assenza di richieste di trasferimento delle informazioni oppure di riconsegna come sopra descritte, il Provider provvede puntualmente alla cancellazione sicura dei Dati del Cliente, fatta salva l’eventuale conservazione nei casi e per i termini previsti dalla legge.

11.UTILIZZO DI SUB-FORNITORI

Ad eccezione dei servizi infrastrutturali di Data Center offerti da Aruba S.p.A., il Provider non prevede il ricorso ad altri sub-fornitori nell’erogazione dei servizi in Cloud.

L’eventuale utilizzo di sub-fornitori nell’erogazione dei servizi contrattualizzati è vincolato al consenso esplicito del Cliente (lettera firmata), al quale devono essere resi noti:

  • il nome del sub-Provider;
  • la/e nazione/i nella quale vengono operati i trattamenti delle informazioni;

Nel richiedere tale consenso il Provider garantisce di aver esteso al sub-Provider (o al “peer” service provider) le informazioni necessarie al rispetto delle norme per la sicurezza delle informazioni e che il sub-Provider si sia impegnato a rispettarle.

12.BACKUP E RESTORE

Il backup dei dati Cliente è finalizzato a consentire il ripristino in caso di eventi avversi. Il servizio di backup/restore è sempre dovuto dal Provider al Cliente tranne nei casi in cui, per natura del servizio o per esplicitazione contrattuale, è il Cliente stesso a provvedere autonomamente. Il backup dei dati Cliente, qualora dovuto, viene garantito in duplice copia per tutti i dati, viene eseguito in modalità incrementale dal lunedì al venerdì e in modalità full il sabato e la domenica. Eventuali deroghe richieste dal Cliente possono riguardare ambienti o dati “non di produzione”. Originali e copie dei backup vengono conservati in locazioni differenti e il trasferimento dei dati in sede diversa avviene solo sotto protezione crittografica, in caso di trasporto su supporti magnetici. A meno di differenti accordi contrattuali, l’inizio dell’attività di restore dei dati in caso di incidente è sempre garantita, nel caso peggiore, nell’arco del giorno lavorativo successivo all’evento che rende necessario il ripristino. La durata complessiva dell’attività di restore è funzione del volume di dati da ripristinare.

13.LOGGIN

I Servizi di collezione e conservazione dei log a norma di legge sono sempre dovuti dal Provider al Cliente tranne nei casi in cui, per esplicitazione contrattuale, è il Cliente stesso a provvedere autonomamente. I log vengono resi disponibili al Cliente in forma di report “spot”, effettuato su richiesta estemporanea del Cliente oppure, se concordato tra i servizi contrattualizzati, in forma di report periodico, o garantendo l’accesso in visione ai dati via rete. In tutti i casi viene garantita la riservatezza delle informazioni nel senso che ogni Cliente ha visibilità esclusivamente dei log relativi a sistemi/servizi di sua pertinenza.

14.PROPRIETÀ INTELLETTUALI

I software come qualsiasi altro diritto di autore o altro diritto di proprietà intellettuale sono di proprietà esclusiva di Lascaux e/o dei suoi danti causa; pertanto, Il Cliente non acquista nessun diritto o titolo al riguardo ed è tenuto all’utilizzo degli stessi soltanto nel periodo di vigenza contrattuale. Nel caso di Licenze e Servizi forniti da terzi fornitori per il tramite di Lascaux, il Cliente, per sé e/o per i terzi cui ha consentito di utilizzare il Servizio e la Licenza, da atto di aver preso visione dei termini e si impegna ad utilizzarli secondo le modalità indicate sui rispettivi siti esclusivamente per proprio uso personale. Il Cliente si impegna ad accettare e rispettare i diritti di proprietà intellettuale e/o industriale secondo quanto indicato nel presente documento. Il Cliente dichiara, inoltre, di essere a conoscenza del fatto che le Licenze ed i Servizi intercorrono fra il Cliente ed il titolare dei diritti di copyright sulle stesse con esclusione di qualsiasi responsabilità di Lascaux. È fatto espresso divieto al Cliente di commercializzare il Software, il Servizio e/o la Licenza quale agente o rivenditore o concessionario o distributore o licenziatario Lascaux o in qualsiasi altra veste e, comunque, di commercializzarli ovvero utilizzarli quali servizi Lascaux. è fatto, inoltre, divieto di utilizzare i marchi e/o le immagini e/o il materiale promo pubblicitario di Lascaux e comunque più in generale qualsiasi diritto di proprietà intellettuale e/o industriale da essa di fatto utilizzato o di cui la stessa è titolare.

15. PROTEZIONE E SICUREZZA DELLE INFORMAZIONI DEL CLIENTE NELL’AMBITO DEI SERVIZI CLOUD

15.1 CONDIVISIONE DI RESPONSABILITÀ

Per quanto riguarda l’assunzione di responsabilità in merito ai ruoli che garantiscono la sicurezza delle informazioni, in particolare per le attività (ove applicabili) relative ad:

  • Hardening di sistemi e apparati;
  • Backup;
  • Controlli crittografici;
  • Gestione delle vulnerabilità tecniche;
  • Gestione degli incidenti;
  • Segregazione degli ambienti;
  • Monitoraggio del Servizio e Raccolta delle registrazioni (log);
  • Protezione delle informazioni al termine del contratto;
  • Autenticazione e controllo degli accessi.

Si concorda che Cliente e Provider sono entrambi responsabili, ciascuno per le aree di propria competenza, che sono desumibili contrattualmente.

In linea generale vale la regola secondo cui l’onere di effettuare le attività che garantiscono la sicurezza delle informazioni spetta a chi detiene le password degli account con privilegi di amministrazione degli ambienti da mettere in sicurezza.

15.1 GARANZIE

Il Provider garantisce ai propri Clienti, oltre all’applicazione delle idonee misure per la protezione dei dati personali e particolari previste dalla normativa vigente UE 679/2016, anche l’applicazione di una serie di misure idonee alla protezione di tutti i dati, tra cui l’adozione, l’applicazione e la certificazione di conformità alla norma di sicurezza volontaria ISO/IEC 27001:2022 “Information technology – Security techniques – Code of practice for information security management” ed il rispetto delle linee guida:

  • ISO/IEC 27017:2015 “Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services”;
  • ISO/IEC 27018:2019 “Information technology – Security techniques – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors”.

Si forniscono maggiori informazioni con particolare riferimento ai seguenti controlli:

a) Autenticazione e controllo degli accessi

L’Accesso al Servizio erogato dal Provider è garantito attraverso credenziali personali degli Utilizzatori. Le credenziali scelte devono rispettare i criteri di sicurezza imposti dal sistema e vengono mantenute sulla base dati del Provider attraverso opportuni meccanismi di crittografia che ne garantiscono la riservatezza.
All’utenza associata a tali credenziali vengono garantiti i permessi strettamente necessari alla visualizzazione e alla modifica dei dati di competenza dell’Utilizzatore.

b) Controlli crittografici

Il transito dei dati dal browser dell’utilizzatore al server del Provider che eroga il Servizio, è protetto tramite protocollo HTTPS. Se nell’erogazione del servizio vengono individuati in modo esplicito campi che contengono dati sensibili o particolari, potranno essere definiti opportuni meccanismi di crittografia at-rest. Tutti i criteri qui menzionati sono validi per gli ambienti di Produzione su cui è installato il servizio. Di conseguenza, gli ambienti di test non devono essere utilizzati per memorizzare dati personali reali.

c) Gestione delle vulnerabilità tecniche

Le vulnerabilità tecniche vengono gestite ciclicamente tramite un processo di individuazione strumentale delle vulnerabilità sugli asset (la frequenza è proporzionale al livello di esposizione degli asset stessi), gli input dei vendor e dei gruppi di interesse in contatto con i competence center tecnici oltre che da possibili inneschi provenienti da strumenti di monitoring o da segnalazioni utente.
La comunicazione ed il fixing delle vulnerabilità tecniche segue sempre un iter concordato tra le parti e da definire in fase di transition (change management) ed è comunque in funzione della gravità delle vulnerabilità stesse.

d) Hardening delle macchine virtuali

Le attività di hardening delle macchine virtuali saranno effettuate dal Provider secondo le proprie policy interne.

e) Condivisione di ruoli e responsabilità

I ruoli e le responsabilità in merito all’erogazione dei Servizi offerti dal Provider vengono descritti sul documento contrattuale del Provider.

f) Segregazione degli ambienti

La segregazione dei dati tra i diversi tenant gestiti dal Servizio e gli accessi consentiti agli utilizzatori del Servizio è garantita attraverso opportune logiche di controllo, definite secondo le policy di sviluppo del Provider.

g) Monitoraggio del Servizio

Per garantire il corretto funzionamento del servizio l’applicativo e tutte le risorse ad esso allocate sono costantemente tenute sono monitoraggio al fine di verificare il rispetto degli SLA e di poter intervenire repentinamente qualora si verificassero interruzioni del Servizio.

h) Sicurezza delle reti fisiche e virtuali

La sicurezza delle reti fisiche e virtuali utilizzate per l’erogazione del Servizio è garantita dal possesso delle certificazioni ISO 27001.
Il Provider rafforza tale livello di sicurezza garantendo l’utilizzo di una rete virtuale dedicata per ogni tipologia di Servizio SaaS.

i) Conservazione dei dati

Il Provider garantisce la conservazione sicura dei dati degli Utilizzatori e, come disciplinato da GDPR, provvede alla loro cancellazione quando sono esaurite le finalità per le quali tali dati sono stati raccolti.

16.PROPRIETÀ INTELLETTUALI

Il Cliente/Utilizzatore accetta che qualora gli indirizzi IP pubblici assegnati al proprio account vengano inseriti all’interno di una black-list (database di abuso), si incorrerà nella automatica violazione su quanto espresso nel presente documento e conseguentemente, il Provider potrà adottare tutti i provvedimenti ritenuti opportuni per proteggere i propri IP, ivi compresa la sospensione e/o cessazione del servizio, indipendentemente dal fatto che gli IP siano stati segnalati/inseriti in black-list per causa imputabile al Cliente/Utilizzatore.
Il Cliente/Utilizzatore accetta che possano essere messi in quarantena o cancellati i dati memorizzati su un sistema condiviso qualora i suddetti dati siano infettati da un virus o altrimenti corrotti, e abbiano, ad insindacabile giudizio del Provider, un potenziale per infettare o danneggiare il sistema o i dati di altri Clienti/Utilizzatori che vengano immessi sulla stessa infrastruttura.

Contattaci
Close
Contattaci
Close
Available Conversation Modes
The way conversations are handled depends on the level of human involvement and AI integration. Below are the available options, ranging from purely manual control to fully automated solutions, including various hybrid and AI-assisted approaches.
Full Human Managed
Conversations are managed entirely by a human operator, from creation to resolution.
AI-Enhanced Managed
Conversations are guided by pre-coded, navigable procedures powered by intent detection.
Full AI Managed
Conversations are handled end-to-end by the virtual agent.
AI Hybrid Mode
Conversations are managed using a hybrid approach, combining automated response generation with intent-based navigation for configured flow segments.
AI / Human Managed
Conversations are managed in a hybrid mode, with the capability to perform a seamless handoff to a human agent triggered by specific intent detection.