Docusign
Informativa sull’utilizzo di DocuSign
CONDIZIONI GENERALI DI SERVIZIO (“CGS”)
PER L’UTILIZZO DELLA FIRMA ELETTRONICA AVANZATA (“FEA”)
Art. 1 – Il servizio di Firma Elettronica Avanzata di Safilo
SAFILO - Società Azionaria Fabbrica Italiana Lavorazione Occhiali - S.p.A. con sede legale in via Settima Strada n. 15, Padova e P.IVA 02952600241, soggetta alla direzione e al coordinamento di Safilo Group S.p.A., società di diritto italiano, P.IVA 03032950242, (“Safilo”) intende offrire ai propri clienti e fornitori (“Sottoscrittore”) la possibilità di firmare i documenti contrattuali mediante sistemi di firma elettronica, in linea, inter alia, con (i) il Regolamento UE 910/2014 (“eIDAS”), (ii) il Codice dell'Amministrazione Digitale (D.Lgs. 07 marzo 2005 n. 82 e successive modificazioni; di qui in avanti, “CAD”) e (iii) le Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali di cui al DPCM 22 febbraio 2013 (“Regole Tecniche”). In particolare, il Sottoscrittore che aderisce al servizio potrà firmare i documenti, tra l’altro, con firma elettronica avanzata (“FEA”).
Ai sensi della normativa italiana ed europea, una firma elettronica si configura come FEA allorché la stessa è ottenuta mediante un processo che garantisca:
l’identificazione del firmatario del documento;
la connessione univoca della firma al firmatario;
il controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma medesima;
la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma;
la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto;
l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati;
la connessione univoca della firma al documento sottoscritto.
I documenti sottoscritti mediante FEA avranno l’efficacia giuridica e probatoria riconosciuta dall’ordinamento italiano ai sensi dell’art. 2702 del Codice Civile.
Il servizio di FEA è offerto da Safilo per il tramite del proprio fornitore Docusign Inc. (“Docusign”). Le caratteristiche del sistema FEA atte a garantire il rispetto di quanto indicato ai precedenti punti (a) - (g) e le tecnologie utilizzate nell’ambito di tale sistema sono consultabili nell’Allegato A alle presenti CGS.
Il Sottoscrittore, preso atto e visionate attentamente le presenti CGS (disponibili nella versione sempre aggiornata sul sito www.safilogroup.com), dichiara di aderire e aderisce al servizio FEA mediante accettazione delle presenti CGS.
Per quanto non espressamente disciplinato dalle presenti CGS, si rinvia a quanto stabilito dalle disposizioni dell’eIDAS, del CAD e delle Regole Tecniche.
Art. 2 – Termini e condizioni del servizio
Per l’adesione al servizio FEA, l’ordinamento richiede la verifica dell’identità del Sottoscrittore.
L’identificazione del Sottoscrittore, dotato dei necessari poteri, avviene, per tramite di un valido documento di riconoscimento del Sottoscrittore, secondo quanto specificato all’art. 3 che segue.
Art. 3 – Attivazione e utilizzo del servizio
Il Sottoscrittore può aderire al servizio FEA fornito da Safilo accedendo (mediante click sul tasto “Firma Documento”) al link trasmesso a mezzo e-mail all’indirizzo di posta elettronica comunicato dal Sottoscrittore a Safilo.
Il link condurrà ad una pagina web, all’interno della quale verrà richiesto al Sottoscrittore di accettare le presenti CGS e compilare un modulo di identificazione per verificare la sua identità. Si richiede di inserire le informazioni riguardanti l'ID: dove viene rilasciato (il paese) ed il tipo di ID (passaporto o ID con foto). Dopodiché, è necessario caricare il documento tramite cellulare o caricando il file (entrambi i lati) seguendo le indicazioni sul sito. Una volta concluso il processo di identificazione, il Sottoscrittore potrà procedere con la sottoscrizione del documento.
Per procedere è necessario accettare, dopo attenta lettura, le presenti CGS cliccando sul campo Visualizza e poi sul campo Accetta; l’accettazione, secondo le modalità sopra descritte, delle presenti CGS costituisce espressa dichiarazione di integrale accettazione delle medesime ai sensi e per gli effetti dell’art. 57 comma 1, lett. a) delle Regole Tecniche. Una volta accettate le presenti CGS, il Sottoscrittore potrà usufruire del servizio FEA e procedere con l’apposizione della FEA sul documento cliccando sul campo Firma.
Per finalizzare il processo della FEA, il Sottoscrittore deve controllare i suoi dati ed accettare i termini e le condizioni delle presenti CGS relative all’utilizzo del servizio di FEA fornito da Docusign (selezionando Firma, si accetta di firmare il documento/documenti contenuti nella busta identificata dall'ID ‘XYZ’, confermando che il nome e l'indirizzo email del firmatario sono corretti ed accettando i termini delle presenti CGS).
Art. 4 – Revoca del consenso all’utilizzo del servizio FEA
Il Sottoscrittore potrà revocare in qualsiasi momento il proprio consenso all’uso della FEA chiedendo a Safilo di firmare il documento in formato su carta.
Nel caso in cui il Sottoscrittore volesse revocare definitivamente la possibilità di utilizzare la FEA potrà richiederlo a Safilo scrivendo all’indirizzo docusign@safilo.com.
La revoca del consenso al servizio FEA comporta l’impossibilità da parte del Sottoscrittore di accedere ed utilizzare il servizio di sottoscrizione di documenti tramite FEA.
Art. 5 – Ambito di utilizzo
Il Sottoscrittore potrà utilizzare la FEA esclusivamente nei rapporti intercorrenti tra Safilo ed il Sottoscrittore stesso.
Art. 6 - Conservazione del documento informatico sottoscritto. Conservazione di ulteriore documentazione
DocuSign provvede all’archiviazione digitale dei documenti sottoscritti dal Sottoscrittore con FEA. DocuSign provvede inoltre all’archiviazione della dichiarazione di accettazione delle presenti CGS e del documento di riconoscimento trasmesso dal Sottoscrittore per un periodo di almeno 20 anni, in ottemperanza a quanto prescritto dalle previsioni normative. Il Sottoscrittore potrà chiedere gratuitamente copia del documento di riconoscimento di cui al paragrafo precedente e delle presenti CGS accettate dal Sottoscrittore inviando apposita richiesta all’indirizzo docusign@safilo.com.
Art. 7 - Copertura assicurativa
Al fine di proteggere i titolari della FEA e i terzi da eventuali danni cagionati da inadeguate soluzioni tecniche, Safilo, ai sensi dell’art. 57 comma 2 delle Regole Tecniche, si è dotata di idonea copertura assicurativa per la responsabilità civile stipulata con primaria compagnia assicurativa abilitata ad esercitare nel campo dei rischi industriali.
Art. 8 Trattamento dei dati personali
Safilo informa che non è previsto alcun trattamento dei dati personali dei soggetti coinvolti nel processo di FEA. Safilo utilizzerà DocuSign quale provider del servizio ed erogazione della piattaforma che gestirà tutto il flusso di firma. Per quanto riguarda la fase di verifica del documento d’identità durante il flusso di FEA, DocuSign è pertanto considerato quale Titolare del Trattamento dei Dati autonomo. Per qualsiasi informazione, richiesta o per esercitare i propri diritti, è possibile fare riferimento alla sezione Privacy accessibile al seguente link.
Art. 9 Servizio di assistenza
Per ogni ulteriore informazione, è, comunque, possibile contattare Safilo al seguente indirizzo: docusign@safilo.com.
Art. 10 Foro Competente
Ferme la competenza inderogabile di cui all’art. 66bis D.lgs. 6 settembre 2005, n. 206 (Codice del Consumo), per la risoluzione delle controversie relative all’interpretazione delle presenti CGS, nonché all’esecuzione del servizio di FEA, si individua quale foro esclusivo quello di Padova.
ALLEGATO A - CARATTERISTICHE TECNICHE[LP1]
DocuSign è la piattaforma che Safilo ha scelto per il servizio di firma elettronica dei documenti. Identificato come uno dei Provider tra i più affidabili e utilizzati a livello mondiale, grazie a DocuSign è possibile accedere in qualsiasi momento ai documenti firmati, inviandoli senza correre il rischio di perderli. DocuSign è un servizio di facile utilizzo che permette la riservatezza dei dati che vengono crittografati in maniera sicura, inoltre la versatilità e l’aderenza alle normative rendono il processo di firma elettronica legalmente accettato in tutto il mondo.
DocuSign implementa un modello di firma elettronica avanzata con l’ID verifica(la verifica del documento di riconoscimento del firmatario) gestito all’interno del servizio che viene richiesto prima della firma poiché consente di autenticare il firmatario in modo sicuro. DocuSign supporta la firma elettronica avanzata (remota) nelle modalità descritte di seguito. Ulteriori informazioni circa le caratteristiche tecniche del servizio di firma elettronica fornito da Docusign sono consultabili a questo link.
Identificazione univoca del firmatario
DocuSign consente di utilizzare la verifica di un documento di riconoscimento in corso di validità (“ID”) per verificare automaticamente l'identità del Sottoscrittore e fornire FEA ai sensi del eIDAS. Grazie alla verifica del ID, DocuSign è in grado di associare in maniera univoca il Sottoscrittore alla FEA.
Cosa viene verificato sul ID? DocuSign verificherà che:
L'ID non è scaduto
Il nome corrisponde alla busta come specificato dal mittente
Le MRZ (‘machine readable zones’), come il codice a barre, vengono decodificate in informazioni coerenti con il resto dell'ID
Le caratteristiche visive/ologrammi sono coerenti con l'aspetto che dovrebbe avere quel tipo di ID
Non ci sono prove di manomissioni dei caratteri, spaziatura delle lettere, buchi o altri difetti nell'ID
Non vengono effettuate chiamate ai database governativi, poiché molti richiedono privilegi dedicati
Se un ID non viene riconosciuto automaticamente, il Sottoscrittore non sarà in grado di accedere ai documenti. Il team specificato che gestisce la FEA in Safilo può rivedere manualmente gli ID come opzione di riserva. Dopo che il team ha verificato ed accettato l'ID, il Sottoscrittore può accedere e firmare il documento. In caso contrario, il Sottoscrittore non può accedere ai documenti e sarà necessario modificare i requisiti di verifica per il Sottoscrittore.
Crittografando come BLOB (Binary Large Object), il sistema DocuSign protegge l'integrità dei documenti (inclusa la verifica dell'ID) e dei tag mentre i dati sono at rest. Oltre alla crittografia BLOB, protegge i dati in transito abilitando le connessioni TLS all'interno delle API eSignature e delle applicazioni web. In più, ha implementato i certificati SSL (Secure Socket Layer) emessi da DigiCert (un'autorità di certificazione considerata attendibile dai sistemi operativi / browser web). DocuSign fornisce la crittografia end-to-end che copre sia i dati at rest che i dati in transito. Inoltre, utilizza l'hashing dei dati SHA-2 per il controllo dell'integrità all'interno del nostro sistema.
Archiviazione di documenti
DocuSign provvede all’archiviazione della dichiarazione di accettazione delle CGS accettate dal Sottoscritto e del documento di riconoscimento trasmesso dal Sottoscrittore per un periodo di almeno 20 anni, in ottemperanza a quanto prescritto dalle previsioni normative. Tutti i dati vengono archiviati nei data center dell'UE. I dati possono essere recuperati tramite API ID Evidence Rest, che utilizza la crittografia TLS (Transport Layer Security) affidabile e il protocollo HTTPS sulla porta 443.
Inserimento di un sigillo nel documento firmato (per rilevare eventuali modifiche ai dati)
Una volta apposta la firma elettronica sui documenti, DocuSign inserisce nei documenti un sigillo di antimanomissione (attraverso il metodo “hash” e la crittografia) utilizzando un certificato digitale globale di firma.
Procedure consigliate in caso di controversie
In caso di controversie riguardanti un contratto stipulato per via elettronica, DocuSign garantisce la raccolta e la conservazione di molti elementi che possono risultare determinanti in caso di controversia per impedire eventuali disconoscimenti di una firma. Di seguito l’elenco completo degli elementi disponibili a tale scopo:
Itinerario di controllo con contrassegno di ora/data di tutte le azioni svolte dal Sottoscrittore.
Crittografia protetta che consente di leggere e firmare i documenti solo agli utenti designati.
Firme univoche create da ciascun utente, accessibili solo dagli utenti corrispondenti (team specifico che gestisce la FEA in Safilo) e memorizzate online in maniera protetta.
Aree di firma (Stick-eTab) richieste, che consentono al Sottoscrittore di apporre le iniziali e la firma su parti specifiche del documento.
Intenzione di apporre la firma
Nei documenti cartacei la collocazione precisa della firma è un criterio importante per stabilire l’intenzione del Sottoscrittore. DocuSign consente tale trasposizione anche nella forma elettronica.
Elementi di protezione della firma
I documenti firmati tramite la piattaforma DocuSign hanno una protezione completa in quanto viene tenuta traccia delle persone che hanno firmato, del tipo di autenticazione con i suoi dati, dell’ora e della data in cui le firme sono state apposte. Tale processo di controllo è definito “certificato di completamento”: il certificato di completamento e i documenti firmati in maniera digitale con sigillo di garanzia sono gli elementi chiave per eseguire un corretto processo di FEA.
Ammissibilità in sede probatoria
Gli Stati membri dell’Unione Europea, tra cui anche l’Italia, prevedono l’ammissibilità in sede probatoria dei record elettronici e delle riproduzioni di questi ultimi.
Nel caso della Firma Elettronica Avanzata, il CAD stabilisce che, in caso di disconoscimento, con l’adozione di tale metodologia di firma, risulti fondamentale dimostrare ai tribunali quanto segue:
L’identificazione del Sottoscrittore e la connessione univoca dello stesso al documento firmato;
Tale connessione è creata utilizzando dei mezzi sui quali il Sottoscrittore può conservare il controllo esclusivo;
La possibilità di rilevare se i dati sono stati modificati successivamente all’apposizione della firma elettronica avanzata.
Il documento informatico sottoscritto con firma elettronica avanzata che garantisca i requisiti di cui sopra, ha l’efficacia prevista dall’articolo 2702 del codice civile, il quale stabilisce che: “La scrittura privata fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta”.
Datacenter
La piattaforma DocuSign eroga il servizio in modalità Software as a Service (SaaS) in regime di Business Continuity attraverso i datacenter ridondati localizzati in Parigi (Francia), Amsterdam (Olanda) e Francoforte (Germania). I dati trattati all’interno del servizio offerto sono dunque memorizzati esclusivamente all’interno del territorio dell’Unione Europea. Tutti i datacenter sono oggetto di certificazione ISO 27001, 27017, 27018, PCI DSS e SSAE 18.