Cookie preferences

YARDtwin uses essential cookies for authentication and session management. We don’t currently set analytics or marketing cookies, but our cookie policy categorises them ahead of any future change. Read our Privacy Policy, GDPR Policy, and Cookie Policy.

Accordo sul trattamento dei dati

Versione 3.0 · Ultimo aggiornamento: 9 maggio 2026 · Efficace immediatamente

1. Parti

Il presente Accordo sul trattamento dei dati ("DPA") è stipulato tra il Cliente ("Titolare del trattamento") e YARDtwin Ltd, registrata in Irlanda ("Responsabile del trattamento"), collettivamente le "Parti". Il presente DPA costituisce parte integrante dei Termini di servizio di YARDtwin ed è soggetto agli stessi Termini di Servizio.

2. Ambito e finalità

Il Responsabile tratta i dati personali per conto del Titolare esclusivamente ai fini della fornitura della piattaforma di gestione yard YARDtwin: pianificazione banchine, operazioni di gate, visualizzazione digital twin dello yard, gestione vettori e autisti, registro di audit conforme GMP, analisi e integrazioni. Il trattamento viene effettuato per la durata dell'abbonamento del Titolare e per qualsiasi periodo di conservazione richiesto dalla Sezione 11.

3. Categorie di interessati

  • Dipendenti e amministratori del Titolare (utenti nominati della piattaforma)
  • Autisti e personale logistico registrati ai gate del Titolare
  • Rappresentanti di vettori e contatti di spedizione
  • Personale di sicurezza ai gate e operatori di magazzino

4. Tipologie di dati personali

  • Dati identificativi: nomi, indirizzi e-mail, numeri di telefono, qualifica/mansione, ragione sociale e indirizzo aziendale
  • Dati di autenticazione: password con hash bcrypt (12 round), token di accesso e refresh JWT, timestamp di sessione, indirizzi IP, identificatori SSO (Google, Microsoft)
  • Dati operativi: appuntamenti, assegnazioni banchine, movimenti rimorchi, verbali di ispezione, documenti, assegnazioni di attività, targhe dei veicoli
  • Dati degli autisti: numeri di patente, immagini della patente, immagini del volto opzionali per la verifica biometrica al gate (dati di categoria speciale, art. 9 GDPR — trattati solo quando il Titolare ha abilitato la verifica biometrica al gate e ha acquisito il consenso esplicito al momento della raccolta)
  • Dati di audit: azioni degli utenti, timestamp, indirizzi IP, stringhe user-agent, differenze di valore precedente/nuovo, record contrassegnati GMP

5. Obblighi del Responsabile del trattamento

  • Trattare i dati personali solo sulla base di istruzioni documentate del Titolare (l'interfaccia utente e l'API della piattaforma costituiscono istruzioni documentate)
  • Garantire che le persone autorizzate al trattamento dei dati siano vincolate da accordi di riservatezza
  • Implementare misure di sicurezza tecniche e organizzative adeguate (art. 32) — cfr. Sezione 7
  • Non coinvolgere sub-processor senza previa autorizzazione scritta; fornire un preavviso di 30 giorni per qualsiasi nuovo sub-processor (diritto di opposizione)
  • Assistere il Titolare nelle richieste degli interessati (artt. 15–22) tramite gli endpoint DSAR descritti nella Sezione 9
  • Notificare al Titolare le violazioni dei dati personali senza ingiustificato ritardo e entro 72 ore (Sezione 8)
  • Cancellare o restituire tutti i dati personali alla cessazione dei servizi (Sezione 11)
  • Mettere a disposizione tutte le informazioni necessarie a dimostrare la conformità e supportare gli audit (Sezione 12)

6. Sub-responsabili del trattamento

Il Responsabile si avvale attualmente dei seguenti sub-responsabili, ciascuno operante in base a un Accordo sul Trattamento dei Dati e (ove applicabile) alle Clausole Contrattuali Standard 2021:

Sub-ProcessorFinalitàUbicazioneGaranzie
Microsoft AzureHosting (App Service, Postgres Flexible Server, Blob Storage, Key Vault, App Insights, Front Door + WAF)SEE — Svezia Centrale + Norvegia EstMicrosoft Online Services DPA + EU SCCs, ISO 27001, SOC 2 Type II, ISO 27018, EU Data Boundary
StripeFatturazione abbonamenti ed elaborazione pagamenti (nessun numero di carta memorizzato da YARDtwin)Stripe Irlanda (SEE), supporto parziale negli USAStripe DPA + EU SCCs + PCI DSS Level 1
ResendEmail transazionali (benvenuto, promemoria trial, risposte DSAR, avvisi di violazione)USA (Delaware)Resend DPA + EU SCCs (verifica delle misure supplementari FISA 702 in corso — cfr. GDPR Policy 11.6)
Google Cloud VisionOCR patente di guida (solo se il Titolare abilita la verifica della patente al varco)Regioni UEGoogle Cloud DPA + EU SCCs, ISO 27001, SOC 2
Google / Microsoft (OAuth SSO)Token di identità single sign-on per gli utenti che scelgono SSOSEE (Microsoft Entra ID) / Globale (Google Workspace)Microsoft / Google Cloud DPA
AnthropicClaude API per l'assistente AI integrato nel prodotto e il parsing del testo da OCR patenteUSA (California)Anthropic DPA + dichiarazione zero-retention + EU SCCs (verifica delle misure supplementari FISA 702 in corso)

I clienti vengono informati almeno 30 giorni prima dell'aggiunta di qualsiasi nuovo sub-responsabile, con il diritto di opporsi e recedere senza penali.

7. Misure di sicurezza (Art. 32)

  • Cifratura in transito: TLS 1.2+ su ogni endpoint; certificati gestiti da Microsoft Azure (DigiCert)
  • Cifratura a riposo: Transparent data encryption su Azure Postgres Flexible Server; cifratura Azure Blob Storage
  • Cifratura a livello di campo: AES-256-GCM per i dati biometrici (immagini patente di guida, immagini firma), chiavi conservate in Azure Key Vault
  • Hashing password: bcrypt, 12 round
  • Autenticazione: Token di accesso JWT (scadenza 1 ora) + refresh token (scadenza 7 giorni, rotazione all'uso); SSO tramite Google e Microsoft equivalente a MFA
  • Isolamento tenant: applicato su ogni route API, sottoposto a regression test mediante audit cross-tenant a 25 vettori ad ogni rilascio
  • Controllo degli accessi basato sui ruoli: sei ruoli (admin, ops_manager, gate_guard, warehouse_operator, carrier, super_admin), middleware a privilegi minimi
  • Web Application Firewall: Azure Front Door + WAF gestito (OWASP Core Rule Set, protezione bot, L7 DDoS)
  • Rate limiting: limiti per route, più restrittivi sugli endpoint di autenticazione; tracciamento tentativi in memoria e persistito
  • Audit trail: append-only a livello applicativo, conservazione 6 anni, voci rilevanti GMP contrassegnate separatamente, pseudonimizzate (non cancellate) in caso di cancellazione ex Art. 17 ai sensi dell'Art. 17(3)(b)
  • Monitoraggio continuo: Azure Application Insights, alert su deriva dello schema (finestra di 15 minuti), probe end-to-end /health/db-write, worker anomalie breach-monitor (picchi di login falliti, attacchi multi-IP, login da paese diverso, tasso 5xx)
  • Supply chain software: npm audit, Trivy, Semgrep, gitleaks, OWASP ZAP su ogni PR. Segreti: Azure Key Vault accessibile tramite managed identity di App Service; nessun segreto nel codice, nei file env o nelle immagini container

8. Notifica di Violazione dei Dati Personali

Il Responsabile del Trattamento notifica al Titolare del Trattamento senza ingiustificato ritardo e comunque entro 72 ore dal momento in cui è venuto a conoscenza di una violazione dei dati personali che interessa i dati del Titolare (Art. 33). La notifica include la natura della violazione, le categorie e il numero approssimativo di interessati coinvolti, le probabili conseguenze, le misure adottate o proposte e il riferimento al registro delle violazioni. Le anomalie rilevate vengono inoltrate al gruppo di azione Azure Monitor yardtwin-breach-actions; gli incidenti confermati sono tracciati nella tabella del registro delle violazioni con un conto alla rovescia DPC di 72 ore.

9. Diritti degli Interessati

Il Responsabile del Trattamento mette a disposizione del Titolare i seguenti endpoint per soddisfare i diritti degli interessati entro il termine di 30 giorni previsto dall'Art. 12(3):

  • POST /api/v1/dsar/export/by-email — esportazione in formato leggibile da macchina che copre l'Art. 15 (accesso) e l'Art. 20 (portabilità)
  • POST /api/v1/dsar/erase/by-email — pseudonimizzazione in tutte le tabelle contenenti dati personali, con conservazione del registro di audit ai sensi dell'Art. 17(3)(b)
  • Portale self-service per le richieste disponibile su /data-request

10. Trasferimenti Internazionali

I dati operativi sono archiviati all'interno dello Spazio Economico Europeo (Microsoft Azure, Sweden Central + Norway East). I trasferimenti verso sub-responsabili extra-SEE (Resend, Anthropic) sono disciplinati dalle Clausole Contrattuali Standard 2021 con Valutazioni d'Impatto sul Trasferimento documentate. Stripe opera tramite Stripe Ireland (sede principale SEE).

11. Durata, Risoluzione e Restituzione dei Dati

Il presente DPA rimane in vigore per tutta la durata del contratto di servizio. Alla risoluzione:

  • Il Titolare può esportare tutti i propri dati entro 30 giorni tramite le funzioni di esportazione integrate nel prodotto o su richiesta
  • Trascorsi 30 giorni, il Responsabile del Trattamento eliminerà tutti i dati personali operativi del Titolare
  • I registri di audit sono conservati per 6 anni dall'evento in forma pseudonimizzata, come richiesto da 21 CFR Part 11 / EU GMP Annex 11 (deroga per obbligo legale ai sensi dell'Art. 17(3)(b))
  • I backup vengono eliminati entro 7 giorni dalla cancellazione operativa, in linea con la finestra di ripristino point-in-time

12. Diritti di Audit

Il Responsabile del Trattamento mette a disposizione del Titolare tutte le informazioni necessarie a dimostrare la conformità all'Art. 28 GDPR. I clienti possono richiedere: copie delle certificazioni di sicurezza e dei rapporti di audit pertinenti (ove disponibili), il registro aggiornato dei sub-responsabili, l'ultimo rapporto di test di regressione sull'isolamento dei tenant, l'ultimo sommario del penetration test esterno (quando emesso, cfr. Policy GDPR 11.1) e le risposte a un questionario sulla sicurezza dei fornitori. Audit ragionevoli in loco o da remoto possono essere concordati con almeno 30 giorni di preavviso, condotti dal Titolare o da una terza parte indipendente vincolata da riservatezza. Il Responsabile del Trattamento darà priorità ai rapporti ISO 27001 / SOC 2 Type II come prove sostitutive una volta ottenute tali certificazioni.

13. Responsabilità e Legge Applicabile

La responsabilità ai sensi del presente DPA è soggetta alle limitazioni stabilite nel YARDtwin Termini di Servizio. Il presente DPA è disciplinato dalle leggi irlandesi e dal Regolamento Generale sulla Protezione dei Dati dell'UE (GDPR). Qualsiasi controversia è soggetta alla giurisdizione esclusiva dei tribunali irlandesi.

14. Contatti

Per domande sul presente DPA, per richiedere una copia controfirmata o per esercitare uno qualsiasi dei diritti sopra indicati, contattare admin@yardtwin.com oppure il Responsabile della Protezione dei Dati all'indirizzo dpo@yardtwin.com. È in corso la nomina di un DPO esterno in modalità fractional (Policy GDPR 11.2); fino alla nomina, la posta inviata a dpo@yardtwin.com viene instradata a admin@yardtwin.com.

Accettando, il Cliente acconsente a essere vincolato dal presente Accordo sul trattamento dei dati v3.0 in qualità di Titolare del trattamento.

Ciao! Inizia la tua prova gratuita in 2 minuti: ti aiuto a configurare tutto!