1) Premesse
Art. 1.1. Il presente Contratto (come definito di seguito per brevità il “Contratto”) è stipulato in Italia tra ELMI Srl, (di seguito “ELMI”), CF e P.IVA 03286320829 , con sede legale in Via A. De Gasperi 81, 90146 Palermo (Pa), in persona del Legale rappresentante pro tempore e il Cliente (congiuntamente le “Parti”), identificato con i dati forniti compilando l’apposita scheda anagrafica o form web, il quale per il tramite del suo Rappresentante Legale o comunque di un procuratore autorizzato alla stipula del presente Contratto in nome e per conto del soggetto che rappresenta, aderisce al presente Contratto (di seguito, il “Cliente”).
2) Servizio offerto e durata
Art. 2.1. Il servizio di scansione e verifica della “vulnerabilità dei sistemi del Cliente” (definito in seguito Test) richiesto tramite form web dal titolo “Vulnerability Assessment – Test Gratuito” è da considerarsi prestato a titolo gratuito e senza alcun vincolo di acquisto del servizio. Il servizio, con riferimento all’Art. 32 del Regolamento UE 2016/679 (GDPR), consente al Cliente di verificare l’affidabilità dei sistemi oggetto del Test e la adeguatezza delle misure di sicurezza poste in essere. Il servizio di Test sarà erogato secondo le seguenti fasi:
Art. 2.1.1. Il Cliente riceverà un Agent da installare sui sistemi (Asset).
I Security Analyst Elmi hanno predisposto un pacchetto da installare sui dispositivi windows che il Cliente vorrà utilizzare per il Test;
Art. 2.1.2. Installazione Agent.
L’Agent è installabile mediante Software Distribution, Active Directory o manualmente. Saranno forniti dai Security Analist Elmi manuali per supportare il cliente nella fase di setup dell’agent.
Art. 2.1.3. Periodo di acquisizione dei dati.
Il Test avrà una durata di 5 gg lavorativi, nei quali l’Agent comunicherà con la piattaforma di analisi di vulnerabilità di ELMI.
Art. 2.1.4. Report finale.
Completato il periodo di Test, il team Elmi produrrà 3 report automatici ed 1 custom report con i risultati delle analisi e suggerimenti alla remediation. I report saranno inviati in formato compresso (.zip, .rar) protetto da password. Questa verrà comunicata via SMS al numero di cellulare indicato in fase di sottoscrizione.
Art. 2.1.5. Trascorsi i 5 gg lavorativi e prodotti i report automatici e custom, la ELMI provvederà a cancellare dai propri sistemi tutti i dati relativi al Test effettuato sui dispositivi del Cliente.
Art. 2.2. Con l’invio del file contenente i report delle vulnerabilità si riterrà concluso il Test richiesto dal Cliente.
Art. 2.3. Il Cliente ha diritto a richiedere il Test una sola volta, salvo diversi accordi a discrezione di ELMI.
Art. 2.4. Il Cliente autorizza ELMI:
Art. 2.4.1. ad eseguire una scansione di sicurezza per riscontrare vulnerabilità informatiche degli endpoint (computer / server) nei quali viene installato l’agent (non più di 50 endpoint);
Art. 2.4.2. ad inviargli gratuitamente e periodicamente comunicazioni email in merito bollettini informativi relativi alle vulnerabilità informatiche e alle migliori pratiche per la sicurezza; il Cliente potrà in ogni momento cancellare la propria sottoscrizione al servizio email tramite link di cancellazione all’interno di ciascun messaggio;
Art. 2.4.3. a contattarlo via email o telefonicamente per:
- a) concordare le attività di verifica della proprietà deiserver,host o servizi oggetto del servizio di Test
- b) l’invio del rapporto sulle vulnerabilità riscontrate dal serviziodi Test;
- c) l’eventuale successiva definizione di un contratto di servizio;
3) Responsabilità del Cliente
Art. 3.1. Il Cliente dichiara che:
Art. 3.1.1. tutte le informazioni fornite per l’esecuzione del servizio di Test richiesto sono reali e corrette;
Art. 3.1.2.L’endpoint o gli endpoint indicato/i nei quali verrà installato l’agent per l’esecuzione del servizio è di propria proprietà o comunque di essere autorizzato all’esecuzione di scansioni di sicurezza dei server, host o servizi;
Art. 3.1.3. è consapevole che il servizio di Test è un servizio di scansione e che l’eventuale evidenza di vulnerabilità non potrà essere imputata al servizio stesso;
Art. 3.1.4. nel caso fosse necessario, avviserà debitamente eventuali partner e/o fornitori correlati ai server, host o servizi da sottoporre al servizio di Test.
4) Limitazioni di responsabilità
Art. 4.1. Premesso che, prima di lanciare l’iniziativa del “Vulnerability Assessment – Test Gratuito” ELMI ha condotto, a mente dell’art. 35 del GDPR, una Valutazione d’impatto al fine valutare eventuali rischi per i diritti e le libertà delle persone fisiche, ELMI sarà da considerarsi manlevata da qualsiasi responsabilità correlata agli effetti dell’esecuzione del servizio di Test, tra i quali si citano:
- a) disservizio temporaneo o permanente;
- b) sovraccarico deiserver,host o servizi oggetto della scansione;
- c) traffico elevato nel tratto di connessione deiserver,host o servizi oggetto della scansione;
- d) è possibile che vengano create quantità eccessive di log generando un consumo eccessivodi spazio discosui file di log;
- e) una scansione può attivare allarme nei sistemi diintrusiondetection;
- f) le nuove minacce alla sicurezza sono in continua evoluzione e ciò comporta che nessun servizio progettato per fornire protezione dalle minacce alla sicurezza sarà in grado di rendere le risorse di rete non vulnerabili da tali minacce alla sicurezza né sarà in grado di assicurare che tale servizio abbia identificato tutti i rischi, le esposizioni e le vulnerabilità.
- g)effetti riconducibiliad informazioni errate o non veritiere da parte del Cliente.
Art. 4.2 Elmi non offre alcuna garanzia, espressa o implicita o assume alcuna responsabilità legale per l’accuratezza, completezza e utilità delle informazioni fornite come parte del servizio e per le azioni intraprese o meno sulla base dei servizi eseguiti;
Art. 4.3 Nel caso di rilevazione di vulnerabilità, ELMI non sarà tenuta ad eseguire alcuna attività di supporto alla risoluzione delle vulnerabilità riscontrate a meno di accordi successivi intercorsi con il Cliente;
Art. 4.4 Il servizio di Test prevede, di default, l’analisi delle utenze di sistema attraverso un plug-in denominato User Management. Il Cliente potrà richiedere ad Elmi, prima dell’esecuzione del test, la disattivazione del plug-in sopra indicato, dato il maggior impatto sulla privacy e la possibilità accordata all’agent di trattare i dati dell’utente. Elmi, comunque, conferma che i dati personali eventualmente acquisiti saranno trattati in conformità a quanto prescritto dal GDPR, non saranno comunicati ad alcuno tranne che al Cliente, nella qualità di Titolare del trattamento, e non saranno diffusi. In coda viene riportato l’allegato “User management Family for Nessus”, parte integrante del presente contratto, con l’elenco dei check opzionabili effettuati dall’agent.
5) Recesso
Art. 5.1. Il Cliente potrà recedere in qualsiasi momento e per qualsiasi motivo dal presente contratto, interrompendo preventivamente le attività previste dal servizio di Test, previa comunicazione email all’indirizzo security@elmisoftware.com o comunicazione telefonica al numero +39 0915567533. ELMI, nonostante si adopererà per essere il più efficace ed efficiente possibile, non potrà garantire la tempestiva interruzione del servizio se la comunicazione di recesso non giungesse per tempo, cioè almeno 1 giorno prima dalla programmazione delle attività previste dal servizio di Test.
Art. 5.2. ELMI potrà recedere in qualsiasi momento e per qualsiasi motivo dal presente contratto e quindi interrompere preventivamente le attività previste dal servizio Test, previa comunicazione via email, all’indirizzo indicato dal Cliente.
Allegato – Elenco dei check opzionabili
Il dettaglio dei check opzionabili è consultabile al seguente indirizzo: Windows : User management Plugins | Tenable®
Windows : User management Family for Nessus
Microsoft Windows SAM user enumeration |
INFO |
|
SMB Use Host SID to Enumerate Local Users Without Credentials |
MEDIUM |
|
Microsoft Windows SMB : Obtains the Password Policy |
INFO |
|
Microsoft Windows – Local Users Information : Passwords Never Expire |
INFO |
|
Microsoft Windows – Local Users Information : User Has Never Logged In |
INFO |
|
Microsoft Windows – Local Users Information : Never Changed Passwords |
INFO |
|
Microsoft Windows – Local Users Information : Disabled Accounts |
INFO |
|
Microsoft Windows – Local Users Information : Can’t Change Password |
INFO |
|
Microsoft Windows – Local Users Information : Automatically Disabled Accounts |
INFO |
|
Microsoft Windows Local User Information |
INFO |
|
Microsoft Windows ‘Domain Administrators’ Group User List |
INFO |
|
Microsoft Windows Guest Account Belongs to a Group |
HIGH |
|
Microsoft Windows ‘Replicator’ Group User List |
INFO |
|
Microsoft Windows ‘Print Operators’ Group User List |
INFO |
|
Microsoft Windows ‘Backup Operators’ Group User List |
INFO |
|
Microsoft Windows ‘Server Operators’ Group User List |
INFO |
|
Microsoft Windows ‘Administrators’ Group User List |
INFO |
|
Microsoft Windows ‘Account Operators’ Group User List |
INFO |
|
Microsoft Windows – Users Information : Passwords Never Expire |
INFO |
|
Microsoft Windows – Users Information : User Has Never Logged In |
INFO |
|
Microsoft Windows – Users Information : Never Changed Password |
INFO |
|
Microsoft Windows – Users Information : Disabled Accounts |
INFO |
|
Microsoft Windows – Users Information : Can’t Change Password |
INFO |
|
Microsoft Windows – Users Information : Automatically Disabled Accounts |
INFO |
|
Microsoft Windows User Groups List |
INFO |
|
Microsoft Windows User Aliases List |
INFO |
|
Microsoft Windows Domain User Information |
INFO |
|
SMB Use Host SID to Enumerate Local Users |
INFO |
|
SMB Use Domain SID to Enumerate Users |
INFO |