Skip to main content

ALLEGATO SULLA SICUREZZA DEI SERVIZI DOCUSIGN

Data della versione: 20 settembre 2021

Il presente Allegato sulla sicurezza dei Servizi DocuSign (“Allegato sulla sicurezza”) stabilisce gli impegni di DocuSign in merito alla protezione dei Dati del Cliente ed è parte integrante del Contratto. Salvo diversamente definito nel presente Allegato sulla sicurezza, i termini in maiuscolo avranno il significato loro attribuito nel Contratto. 

1. DEFINIZIONI

Personale” indica tutti i dipendenti e gli agenti di DocuSign impegnati nell’esecuzione dei Servizi DocuSign al Cliente.  

Trattare” o “Trattamento” indica, in relazione al presente Allegato sulla sicurezza, qualsiasi operazione o insieme di operazioni eseguite sui Dati del Cliente, con o senza mezzi automatici, come la raccolta, la registrazione, l’organizzazione, l’archiviazione, l’adattamento o l’alterazione, il recupero, la consultazione, l’uso, la divulgazione tramite trasmissione, la diffusione o altrimenti la messa a disposizione, l’allineamento o l’abbinamento, il blocco, la cancellazione o la distruzione. 

Ambiente di Produzione” indica l’ambiente del Sistema in cui software, hardware, dati, processi e programmi vengono eseguiti per le operazioni progettate e previste dagli utenti finali dei Servizi DocuSign.

 “Subappaltatore” indica una terza parte che DocuSign ha incaricato dell’esecuzione di tutti o di parte dei Servizi DocuSign per conto di DocuSign. 

2. PROGRAMMA PER LA SICUREZZA DELLE INFORMAZIONI

2.1 Programma per la sicurezza delle informazioni. DocuSign mantiene e continuerà a mantenere un programma scritto per la sicurezza delle informazioni che include politiche, procedure e controlli che regolano il Trattamento dei Dati del Cliente attraverso i Servizi DocuSign (“Programma per la sicurezza delle informazioni”). Il Programma per la sicurezza delle informazioni è progettato per proteggere la riservatezza, l’integrità e la disponibilità dei Dati del Cliente utilizzando un approccio a più livelli, di controllo tecnico, procedurale e relativo alle persone, in conformità alle migliori pratiche del settore e alle leggi e alle normative applicabili.

2.2 Utilizzo consentito dei Dati del Cliente. DocuSign non tratterà i Dati del Cliente in alcun modo diverso da quanto consentito o richiesto dal Contratto. 

2.3 Accettazione delle responsabilità condivise. La sicurezza dei dati e delle informazioni accessibili, archiviati, condivisi o altrimenti trattati tramite i Servizi DocuSign sono responsabilità condivise tra DocuSign e il Cliente. DocuSign è responsabile dell’attuazione e del funzionamento del Programma per la sicurezza delle informazioni e delle misure di protezione descritte nel Contratto e nel presente Allegato sulla sicurezza. Il Cliente è responsabile della corretta attuazione dei controlli di accesso e utilizzo e della configurazione di determinate caratteristiche e funzionalità dei Servizi DocuSign che il Cliente può scegliere di utilizzare, nel modo che ritiene più opportuno per mantenere livelli adeguati di sicurezza, di protezione, di cancellazione e di backup dei Dati del Cliente. 

2.4 Applicabilità ai Dati del Cliente. Il presente Allegato sulla sicurezza e il Programma per la sicurezza delle informazioni si applicano specificamente ai Dati del Cliente trattati tramite i Servizi DocuSign e non si estendono ai dati conservati sui sistemi o negli ambienti del Cliente, o a qualsiasi soluzione in loco che possa essere offerta da DocuSign. Nella misura in cui il Cliente scambia dati e informazioni con DocuSign che non soddisfano la definizione di “Dati del Cliente”, DocuSign tratterà tali dati e informazioni in conformità ai termini di riservatezza stabiliti nel Contratto. 

3. GESTIONE DELLA SICUREZZA

3.1 Mantenimento del Programma per la sicurezza delle informazioni. DocuSign adotterà e implementerà misure tecniche e organizzative appropriate per proteggere i Dati del Cliente situati nei Servizi DocuSign e manterrà il Programma per la sicurezza delle informazioni in conformità agli standard ISO 27001 o ad altri standard alternativi sostanzialmente equivalenti a ISO 27001. DocuSign potrà aggiornare o modificare il Programma per la sicurezza delle informazioni di volta in volta, a condizione che tali aggiornamenti e modifiche non comportino il peggioramento della sicurezza generale dei Servizi DocuSign.

3.2 Controlli dei precedenti personali e formazione. DocuSign garantirà che vengano condotte indagini ragionevoli e appropriate su tutto il Personale in conformità alle leggi e alle normative applicabili. Il Personale deve soddisfare i requisiti di controllo dei precedenti personali di DocuSign prima di essere assegnato alle posizioni in cui avrà, o che secondo DocuSign presumibilmente avrà, accesso ai Dati del Cliente. DocuSign condurrà una formazione annuale obbligatoria sulla sensibilizzazione alla sicurezza per informare il proprio Personale sulle procedure e sulle politiche relative al Programma sulla sicurezza delle informazioni e sulle conseguenze della violazione di tali procedure e politiche. DocuSign condurrà una procedura di cessazione del rapporto di lavoro o di uscita, rispetto a qualsiasi membro del Personale al termine del rapporto di lavoro, che includerà la rimozione dell’accesso ai Dati del Cliente e ai sistemi e ai beni sensibili di DocuSign da parte del Personale sollevato dall’incarico. 

3.3 Subappaltatori. DocuSign valuterà tutti i Subappaltatori per garantire che questi mantengano adeguati controlli fisici, tecnici, organizzativi e amministrativi, in base al livello di rischio appropriato ai loro servizi subappaltati, che contribuiscano alla conformità di DocuSign ai requisiti del Contratto e del presente Allegato sulla sicurezza. DocuSign rimarrà responsabile per gli atti e le omissioni dei suoi Subappaltatori in relazione ai servizi prestati ai sensi del Contratto come se avesse eseguito gli atti o le omissioni essa stessa e qualsiasi esternalizzazione non ridurrà gli obblighi di DocuSign nei confronti del Cliente ai sensi del Contratto. 

3.4 Contatti della struttura di garanzia per i rischi e la sicurezza. Il team di gestione dell’account del Cliente presso DocuSign sarà il primo punto di contatto del Cliente per informazioni e supporto relativi al Programma sulla sicurezza delle informazioni. Il team di gestione degli account di DocuSign collaborerà direttamente con il Cliente per inoltrare le domande, i problemi e le richieste del Cliente ai team interni di DocuSign, se necessario.

4. MISURE DI SICUREZZA FISICA

4.1 Informazioni generali. DocuSign manterrà adeguate misure di sicurezza fisiche progettate per proteggere gli elementi tangibili, come sistemi informatici fisici, reti, server e dispositivi, che trattano i Dati del Cliente. DocuSign garantirà l’utilizzo di software e hardware di sicurezza di livello professionale, per proteggere i Servizi DocuSign e l’Ambiente di produzione. 

4.2 Accesso alla struttura. DocuSign garantirà che: (a) l’accesso alle strutture aziendali di DocuSign sia strettamente controllato attraverso, come minimo, l’identificazione della scheda di accesso fisico; (b) tutti i visitatori delle sue strutture aziendali si registrino, accettino gli obblighi di riservatezza e siano accompagnati dal Personale durante la loro permanenza in qualsiasi momento; e (c) i registri dei visitatori siano esaminati regolarmente dal team di sicurezza di DocuSign. DocuSign revocherà l’accesso fisico del Personale alle strutture aziendali di DocuSign al termine del rapporto di lavoro. 

4.3 Centri dati. DocuSign utilizzerà fornitori di servizi di centri dati di livello professionale per fornire i servizi DocuSign e garantirà che tutti i centri dati siano conformi alla certificazione ISO 27001 o a una certificazione equivalente. Come minimo, tutti i centri dati devono soddisfare i seguenti requisiti: 

  1. Devono essere mantenute le misure di sicurezza fisica a più fattori, compresi i meccanismi di entrata/uscita verificabili che registrano l’identità di qualsiasi individuo che entra ed esce dalla struttura.

  2. L’accesso deve essere limitato al personale autorizzato. I fornitori e gli ospiti di terze parti devono essere sempre accompagnati da personale autorizzato mentre si trovano nel centro dati.

  3. Devono essere in atto controlli di sicurezza ambientale, tra cui: (i) gruppi di continuità e alimentatori secondari su tutti i sistemi chiave; (ii) controlli della temperatura e dell’umidità per il riscaldamento, la ventilazione e gli impianti di aria condizionata; (iii) dispositivi di rilevamento del calore e del fumo e sistemi antincendio; e (iv) ispezioni periodiche da parte di un operatore antincendio o di un analogo funzionario di sicurezza.

5. SICUREZZA INFORMATICA

5.1 Controlli degli accessi. DocuSign manterrà una politica formale di controllo degli accessi e utilizzerà un sistema centralizzato di gestione degli accessi per controllare l’accesso del Personale all’Ambiente di produzione. 

  1. DocuSign garantirà che tutti gli accessi all’Ambiente di produzione siano soggetti a un’autenticazione a due fattori con esito positivo a livello generale, sia da sedi aziendali che remote, e che siano limitati al Personale autorizzato che dimostri una legittima necessità aziendale per tale accesso. DocuSign manterrà un processo integrato di controllo degli accessi per la revisione e l’attuazione delle richieste di accesso del Personale. DocuSign esaminerà regolarmente i diritti di accesso del Personale autorizzato e, in caso di modifica dell’ambito di impiego che richieda la rimozione o la cessazione del rapporto di lavoro, rimuoverà o modificherà tali diritti di accesso come appropriato.

  2. DocuSign monitorerà e valuterà l’efficacia delle restrizioni di accesso applicabili al controllo degli amministratori di sistema di DocuSign nell’Ambiente di produzione, che comporterà la generazione di informazioni sulle attività dei singoli amministratori di sistema e la conservazione di tali informazioni per un periodo di almeno dodici (12) mesi.

  3. DocuSign non utilizzerà i Dati del Cliente provenienti dall’Ambiente di produzione in ambienti non di produzione, senza l’esplicita autorizzazione del Cliente.

5.2 Verifica e registrazione. Per quanto riguarda la verifica e la registrazione del sistema nell’ambiente di produzione:

  1.  DocuSign utilizzerà e manterrà un meccanismo di controllo e di registrazione che, come minimo, acquisirà e registrerà gli accessi e le disconnessioni riusciti e non riusciti dell’utente (con data e ora, ID utente, nome dell’applicazione e indicatore passa/non passa). Le attività di accesso degli utenti saranno registrate e controllate periodicamente da DocuSign per rilevare gli accessi non autorizzati e per determinare possibili difetti nel sistema di controllo degli accessi di DocuSign.

  2. Tutti i componenti delle applicazioni che dispongono di funzionalità di registrazione (come sistemi operativi, database, server Web e applicazioni) saranno configurati per produrre un registro di controllo della sicurezza.

  3. I registri di controllo verranno configurati in base a una capacità di archiviazione sufficiente.

  4. Ogni registro sarà configurato in modo che non possa essere disabilitato senza appropriata autorizzazione, e invierà avvisi riguardo al successo o al fallimento di ogni evento passibile di verifica.

  5. L’accesso ai file del registro di sicurezza sarà limitato al Personale autorizzato.

5.3 Sicurezza della rete. DocuSign manterrà un approccio di difesa ben articolato per rafforzare l’Ambiente di produzione contro l’esposizione e gli attacchi. DocuSign manterrà un Ambiente di produzione isolato che include controlli di gestione della rete di livello professionale, come sistemi di bilanciamento del carico, firewall, sistemi di rilevamento delle intrusioni distribuiti su reti di produzione e protezioni da malware. DocuSign integrerà la struttura del proprio Ambiente di produzione con tecnologie di prevenzione e di rilevamento che monitorino tutte le attività generate e inviino avvisi basati sul rischio ai gruppi di sicurezza pertinenti.

5.4 Protezione da codice nocivo. DocuSign garantirà che: (a) i suoi sistemi informatici e le operazioni di trasferimento dei file dispongano di un software antivirus efficace e operativo; (b) tutti i software antivirus siano configurati per la distribuzione e l’aggiornamento automatico; e (c) il software antivirus pertinente sia integrato con i processi e in grado di generare avvisi automatici per il Team di risposta agli incidenti informatici di DocuSign, se viene rilevato un codice potenzialmente nocivo affinché lo indaghino e lo analizzino.

5.5 Revisioni del Codice. DocuSign manterrà un ciclo di vita formale di sviluppo del software che include pratiche di codifica sicure rispetto all’Open Web Application Security Project (OWASP) e agli standard correlati, ed eseguirà revisioni manuali e automatizzate del codice. I team di progettazione, sviluppo dei prodotti e gestione delle operazioni di prodotto di DocuSign esamineranno le modifiche incluse nei prodotti rilasciati per la distribuzione al fine di verificare che gli sviluppatori abbiano eseguito revisioni automatizzate e manuali del codice, progettate per ridurre al minimo i rischi associati. Nel caso in cui venga rilevato un problema significativo durante una revisione del codice, tale problema sarà portato all’attenzione della dirigenza senior di DocuSign e sarà attentamente monitorato fino alla risoluzione prima del rilascio nell’Ambiente di produzione.

5.6 Analisi delle vulnerabilità e test di penetrazione. DocuSign eseguirà l’analisi delle vulnerabilità interne ed esterne e le scansioni delle applicazioni. Le analisi esterne e i test di penetrazione per mettere alla prova i Servizi DocuSign e l’Ambiente di produzione saranno condotti da organizzazioni esterne qualificate, accreditate e riconosciute dal settore, con una frequenza determinata dal rischio ma, come minimo, su base annuale. DocuSign porrà rimedio alle vulnerabilità rilevate durante le scansioni e i test di penetrazione in modo ragionevole dal punto di vista commerciale e con tempistiche determinate in base al livello di gravità classificato e prioritario. DocuSign metterà a disposizione tutte le attestazioni di terze parti risultanti dalle analisi delle vulnerabilità e dai test di penetrazione sulla base di relazioni sulla verifica esterne indipendenti. A scanso di equivoci, in nessuna circostanza il Cliente sarà autorizzata a condurre analisi della vulnerabilità o test di penetrazione per mettere alla prova l’Ambiente di produzione.

6. ARCHIVIAZIONE, CRITTOGRAFIA E SMALTIMENTO

6.1 Conservazione e separazione. I Dati del Cliente saranno archiviati all’interno dell’infrastruttura fisica e informatica dei Servizi DocuSign presso le strutture di housing o di centri dati di DocuSign. Le eccezioni in fatto di archiviazione potranno essere consentite solo con l’autorizzazione scritta del Cliente per finalità specifiche, come, ad esempio, l’estrazione dei Dati del Cliente per l’archiviazione su supporti portatili crittografati. DocuSign separerà sistematicamente i Dati del Cliente situati nell’Ambiente di produzione dagli altri dati del Cliente DocuSign. 

6.2 Tecnologie di crittografia. DocuSign cripterà i Dati del Cliente in conformità alla Documentazione, utilizzando standard accettati dal settore, tecniche di crittografia avanzate e protocolli di sicurezza attuali. La trasmissione elettronica o lo scambio di Dati del Cliente con i Servizi DocuSign avverrà tramite mezzi sicuri.

6.3 Smaltimento. DocuSign attuerà processi e procedure approvati dal settore per la gestione delle apparecchiature e lo smaltimento sicuro dei supporti secondo gli orientamenti illustrati nelle Linee guida per la sanificazione dei supporti del National Institute of Standards, SP800-88. 

7. CONTINUITÀ OPERATIVA E RIPRISTINO IN CASO DI DISASTRO

7.1 Piano di continuità. DocuSign manterrà piani scritti di continuità operativa e di ripristino in caso di disastri che riguardano la disponibilità dei Servizi DocuSign (“Piani di continuità”). I Piani di continuità includeranno elementi quali: (a) gestione della crisi, attivazione del piano e del team, documentazione dell’evento e del processo di comunicazione; (b) ripristino dell’attività, sedi alternative e verifica dell’albero delle chiamate; e (c) infrastruttura, tecnologia, dettagli del/i sistema/i, attività di ripristino e individuazione del Personale e dei team necessari per tale ripristino. DocuSign condurrà, come minimo, una verifica del Piano di continuità su base annuale. I Piani di continuità di DocuSign dovranno prevedere la correzione di eventuali carenze rilevate durante i test del Piano di continuità entro tempi ragionevolmente commisurati al livello di rischio rappresentato dalla carenza. Le relazioni sulla verifica interne e indipendenti descritte nella Sezione 9.1 (Garanzie indipendenti) attesteranno o riporteranno l’esecuzione delle verifiche del Piano di continuità di DocuSign e qualsiasi azione correttiva risultante.

7.2 Continuità del servizio DocuSign. La struttura di produzione di DocuSign per i Servizi DocuSign è progettata per eseguire una replica sicura quasi in tempo reale su più sistemi attivi in centri dati, distribuiti a livello geografico e fisicamente sicuri. DocuSign garantirà che: (a) i sistemi infrastrutturali dei Servizi DocuSign siano stati progettati per eliminare i singoli fattori di errore e per ridurre al minimo l’impatto dei rischi ambientali previsti; (b) ogni centro dati che supporta i Servizi DocuSign dispone di un’infrastruttura completa di ridondanza e di resistenza ai guasti di sistemi elettrici, di raffreddamento e di rete; e (c) i server dell’Ambiente di produzione sono server di livello professionale con alimentazione ridondante per garantire massimi tempi di attività e di disponibilità dei servizi.

7.3 Ripristino in caso di disastro. In caso di guasto dei servizi critici o di interruzione sostanziale dell’attività, DocuSign si appellerà tempestivamente ai propri Piani di continuità e ripristinerà la funzionalità del servizio fondamentale e la funzionalità produttiva essenziale dell’infrastruttura informatica dei Servizi DocuSign (tra cui, a mero titolo esemplificativo, i centri dati, i sistemi hardware, software e di alimentazione, nonché i collegamenti cruciali per le comunicazioni vocale, per i dati e per l’e-commerce), e, salvo quanto diversamente previsto nel Piano di Continuità pertinente, DocuSign compirà ogni sforzo ragionevole dal punto di vista commerciale per informare tempestivamente del problema gli Amministratori dell’Account del Cliente. È responsabilità di DocuSign fare in modo che tutti i suoi Subappaltatori o fornitori esterni che svolgono attività che potrebbero influire sui processi essenziali dei Servizi DocuSign dispongano di piani che soddisfino gli stessi standard richiesti da DocuSign ai sensi del presente documento. Fatta salva qualsiasi disposizione contraria contenuta nel Contratto (incluso il presente Allegato sulla sicurezza) e senza limitare alcuna delle responsabilità di DocuSign ai sensi dello stesso, DocuSign non sarà tenuto a fornire al Cliente piani di continuità operativa o di ripristino in caso di disastri per le sue strutture di housing o di centro dati. Tuttavia, su richiesta, DocuSign fornirà informazioni e riferimenti pubblicamente disponibili sulle capacità di tali strutture di housing o di centro dati.

8. RISPOSTA E NOTIFICA IN CASO DI INCIDENTI SUI DATI

8.1 Disposizioni generali. DocuSign manterrà un programma collaudato di risposta agli incidenti, che sarà gestito ed eseguito dal Team globale di risposta agli incidenti di DocuSign, appositamente istituito. Il Team globale di risposta agli incidenti di DocuSign opererà secondo un quadro consolidato che include la gestione degli incidenti, le politiche di notifica delle violazioni e i processi associati. Il programma di risposta agli incidenti di DocuSign includerà, come minimo, il rilevamento iniziale; la risposta strategica iniziale; il briefing iniziale; il briefing sugli incidenti; la risposta accurata; la comunicazione e il messaggio; il contenimento formale; la segnalazione formale degli incidenti; e l’analisi retrospettiva/dell’andamento.

8.2 Notifica di incidente sui dati. DocuSign rispetterà tutte le leggi e i regolamenti applicabili in materia di notifica di violazione della sicurezza nella propria erogazione dei Servizi DocuSign e, in ogni caso, avviserà il Cliente senza indebito ritardo non appena venga a conoscenza di qualsiasi violazione della sicurezza di DocuSign che comporti la distruzione accidentale o illecita, la perdita, l’alterazione, la divulgazione non autorizzata dei Dati del Cliente o l’accesso ai sistemi gestiti da DocuSign (un “Incidente sui dati”). Senza limitare la generalità di quanto precede, le Parti riconoscono e convengono che gli Incidenti sui dati non includono tentativi non riusciti, avvisi di sicurezza quotidiani o altri eventi che non compromettono in modo sostanziale la sicurezza o la disponibilità dei Dati del Cliente, inclusi tentativi di accesso non riusciti, ping, scansioni delle porte, attacchi DoS di negazione del servizio e altri attacchi di rete su firewall o su sistemi di rete. La notifica di DocuSign di un Incidente sui dati, ai sensi della presente sezione, non costituisce ammissione da parte di DocuSign di qualsiasi colpa o responsabilità riguardo all’Incidente sui dati. 

8.3 Risposta agli Incidenti sui dati. DocuSign adotterà misure ragionevoli per attenuare la causa di qualsiasi Incidente sui dati e adotterà ragionevoli misure correttive per evitare che lo stesso Incidente sui dati si verifichi in futuro. Man mano che le informazioni vengono raccolte o diventano disponibili in altro modo per DocuSign e, salvo se proibito dalla legge, DocuSign fornirà informazioni, che vengano ragionevolmente richieste, riguardanti la natura e le conseguenze dell’Incidente sui dati, per consentire al Cliente di informare le persone interessate, le agenzie governative e/o le agenzie di credito. A causa della configurazione della crittografia e dei controlli di sicurezza associati ai Servizi DocuSign, DocuSign potrebbe non avere accesso o non conoscere la natura delle informazioni contenute nei Dati del Cliente e, pertanto, le Parti riconoscono che a DocuSign potrebbe non essere possibile fornire al Cliente una descrizione della tipologia delle informazioni o l’identità delle persone che potrebbero essere interessate da un Incidente sui dati. Il Cliente è l’unico responsabile della decisione di informare o meno le persone interessate e di fornire tale notifica, nonché di stabilire se gli enti normativi o le commissioni esecutive applicabili al Cliente, o all’uso dei Servizi DocuSign del Cliente, devono essere informati di un Incidente sui dati.

9. GARANZIE E VERIFICHE INDIPENDENTI

9.1 Garanzie indipendenti. DocuSign utilizza revisori esterni indipendenti per verificare l’adeguatezza del proprio Programma sulla sicurezza delle informazioni. DocuSign fornirà o metterà a disposizione del Cliente attestazioni, certificazioni e rapporti di terze parti pertinenti alla creazione, all’attuazione e al controllo del Programma sulla sicurezza delle informazioni, compresi, ove applicabile, le certificazioni ISO 27001, quelle PCI DSS e i rapporti sui controlli dell’organizzazione dei servizi (Service Organization Controls, SOC).

9.2 Requisiti aggiuntivi. Nella misura in cui il Cliente richieda ulteriori informazioni di verifica o assistenza da parte di DocuSign oltre a quelle stabilite nella Sezione 9.1 (Garanzie indipendenti) come richiesto dalle leggi e dai regolamenti applicabili, il Cliente potrà inviare al suo rappresentante di gestione dell’account la propria richiesta per tali informazioni e assistenza aggiuntive, che dovrà includerà informazioni riguardanti le leggi o i regolamenti applicabili che costituiscono il fondamento della richiesta. DocuSign collaborerà con il Cliente per definire di comune accordo i termini in merito all’ambito, alla tempistica, alla durata e ad altri dettagli relativi a tali ulteriori informazioni e assistenza richieste.

9.3 Verifica degli Incidenti sui dati. A seguito di un Incidente sui dati, DocuSign incaricherà, entro un termine ragionevole, un revisore indipendente terzo, selezionato da DocuSign e a spese di DocuSign, per condurre una verifica in loco del Programma sulla sicurezza delle informazioni di DocuSign. Su richiesta, DocuSign fornirà o renderà disponibile una relazione di tale verifica al Cliente.

9.4 Condizioni di verifica.

  1. Qualsiasi verifica condotta ai sensi del presente Allegato sulla sicurezza deve: (i) essere condotta in tempi ragionevoli ed essere di durata ragionevole; (ii) non interferire in modo ingiustificato con le operazioni quotidiane di DocuSign; e (iii) essere condotta in base a termini stabiliti di comune accordo e in conformità alle politiche e alle procedure di sicurezza di DocuSign. DocuSign si riserva il diritto di limitare una verifica delle impostazioni di configurazione, dei sensori, dei monitor, dei dispositivi e delle apparecchiature di rete, dei file o di altri elementi se DocuSign, a sua ragionevole discrezione, determina che tale verifica possa compromettere la sicurezza dei Servizi DocuSign o i dati di altri clienti DocuSign. I diritti di verifica del Cliente non includono all’interno del loro ambito test di penetrazione o valutazioni di vulnerabilità attive dell’Ambiente di produzione o dei Sistemi DocuSign.

  2. Nel caso in cui il Cliente conduca una verifica tramite un appaltatore indipendente terzo, tale appaltatore indipendente deve stipulare un accordo di non divulgazione contenente disposizioni di riservatezza sostanzialmente simili a quelle stabilite nel Contratto per proteggere le informazioni riservate di DocuSign.

  3. Il Cliente è tenuto a fornire tempestivamente a DocuSign tutti i verbali di verifica, di valutazione della sicurezza, di valutazione della conformità e i relativi risultati preparati da esso stesso o dai suoi appaltatori terzi per ottenere commenti e suggerimenti prima della formalizzazione e/o della condivisione di tali informazioni con terzi.

9.5 Tempistica del rimedio e della risposta. Qualora una verifica eseguita ai sensi del presente Allegato sulla sicurezza riveli o individui una qualsiasi non conformità da parte di DocuSign dei propri obblighi ai sensi del Contratto e del presente Allegato sulla sicurezza, allora (a) DocuSign lavorerà per correggere tali problemi; e (b) per non più di sessanta (60) giorni dalla data in cui tale verifica è stata condotta, il Cliente potrà richiedere feedback e informazioni riguardanti le azioni correttive e di rimedio intraprese in relazione a tale verifica.