Σ
OASI
Hermes Console
oasi · core.ai · hermes console
Hermes/Legal/dpa
compliance · dpa

Data Processing Agreement (template)

bozza per la stipula col cliente — review legale richiesta

DISCLAIMER: questa pagina è una bozza di template del Data Processing Agreement che OASI propone ai propri clienti. Non è un contratto firmato. La versione operativa è inviata su richiesta a hermes@oasi.systems e deve essere rivista dal legal counsel del cliente prima della sottoscrizione. Eventuali clausole che il cliente vuole personalizzare sono negoziate per ciascun rapporto.

Data Processing Agreement — Hermes Console

1. Parti

  • Titolare ("Controller"): il cliente che utilizza Hermes Console (di seguito "il Cliente").
  • Responsabile ("Processor"): OASI S.r.l. (di seguito "OASI"), con sede legale in Italia, fornitore del servizio Hermes Console.

2. Oggetto

Il presente accordo regola il trattamento dei dati che OASI compie per conto del Cliente nell'erogazione del servizio Hermes Console.

3. Tipologie di dati trattati

CategoriaSensibilitàFinalità
Codice sorgente del software del ClienteConfidenziale del ClienteAudit + remediation analysis
Artifact dell'analisi (StackReport, vuln, comprehension, remediation)Confidenziale del ClientePersistenza per consultazione, generazione Report
Eventuali PII contenute nel codice del Cliente (es. fixture con email)Personal dataTrattamento incidentale durante l'analisi
Metadati di utilizzo (login operatore, audit log, IP, user agent)OperativiSicurezza, compliance, audit
Metadati di billing (se piano a pagamento, via Stripe)OperativiFatturazione

4. Categorie di interessati

  • Operatori del Cliente che accedono a Hermes Console.
  • Eventuali soggetti i cui dati personali siano (volontariamente o inavvertitamente) presenti nel codice sorgente analizzato.

5. Durata

L'accordo è in vigore per la durata del contratto di servizio Hermes e si estende alla fase di restituzione/cancellazione dei dati al termine.

6. Misure tecniche e organizzative (Art. 32 GDPR)

OASI implementa le misure dettagliate nel Security Whitepaper (/legal/whitepaper) e nella SoA ISO27001:2022 aligned (/legal/iso27001-soa), incluso:

  • cifratura at-rest dei segreti (AES-256-GCM);
  • cifratura in transito (TLS 1.2+ obbligatorio);
  • isolamento multi-tenant a livello applicativo (FK + guards);
  • audit log indelebile (HermesAuditLog append-only);
  • accesso operatore solo via passkey WebAuthn (phishing-resistant);
  • minimizzazione del dato verso subprocessor (top-N file source);
  • cancellazione del clone temporaneo in finally{} (durata transitiva);
  • politica di rotazione delle chiavi di cifratura applicative.

7. Subprocessor

OASI utilizza i subprocessor elencati in /legal/subprocessors. Il Cliente autorizza in via generale l'utilizzo dei subprocessor in lista.

OASI notifica con preavviso ≥30 giorni ogni aggiunta o sostituzione di un subprocessor che tocca dati del Cliente. Il Cliente può obiettare per iscritto entro tale termine; in caso di obiezione, le Parti negozieranno in buona fede una soluzione alternativa (es. modalità "no LLM" o "on-prem"). Se non si raggiunge un accordo entro ulteriori 30 giorni, ciascuna Parte può risolvere il contratto con preavviso scritto.

7.ter On-prem deployment — Hermes come software, OASI come supporto (Sprint 4)

Quando il Cliente sceglie il deploy on-prem (deploy/onprem/) di Hermes, il modello contrattuale è strutturalmente diverso dal SaaS:

  • OASI è fornitore del software (licensing one-time) e fornitore del supporto (maintenance contract annuale).
  • Cliente è titolare ed esclusivo responsabile del trattamento per i dati che girano dentro la propria DMZ — il software Hermes è strumento, non servizio.
  • Nessun subprocessor OASI è attivo in modalità on-prem (OASI non vede il dato cliente — niente Anthropic-OASI, niente Stripe- OASI, niente hosting-OASI). I subprocessor dipendono dalle scelte del cliente:
    • LLM provider: cliente sceglie tra Anthropic SaaS (DPA cliente↔ Anthropic), AWS Bedrock (DPA cliente↔AWS), GCP Vertex (DPA cliente↔GCP), Ollama on-prem (nessun subprocessor).
    • VCS provider: cliente sceglie quali registrare; Hermes parla con quelli che il cliente abilita (vedi §7.bis).
  • OASI non ha accesso al dato cliente in modalità on-prem. Il supporto avviene su informazioni che il Cliente sceglie esplicitamente di condividere (es. log redatti incollati in un ticket via email hermes@oasi.systems).
  • GDPR Art. 28 non si applica al rapporto Cliente↔OASI per i dati operativi del Cliente nel software on-prem (perché OASI non è responsabile del trattamento). Resta applicabile per gli eventuali dati personali che il Cliente condivide volontariamente via il canale di supporto.
  • NIS2 supply chain: OASI fornisce Statement of Applicability (/legal/iso27001-soa) e SBOM (/legal/sbom) come prova della postura di sicurezza del software che il Cliente integra nel proprio perimetro NIS2.
  • Durata: licensing perpetuo (con maintenance opzionale per bugfix + minor upgrades). Maintenance terminata = il software resta funzionante ma senza patch security future; il Cliente è responsabile di rinnovare o pianificare migrazione.

Per il pacchetto on-prem di riferimento + runbook operatore vedere: [[deploy/onprem/README.md]] (incluso nella distribution Hermes).

7.bis Subprocessor Anthropic — esclusione condizionale (Sprint 2 §A)

Anthropic è subprocessor di OASI solo quando la Discovery del Cliente è eseguita usando la chiave Anthropic globale di OASI (env.ANTHROPIC_API_KEY).

Se il Cliente configura nel proprio tenant una chiave Anthropic propria (funzione "Bring Your Own Anthropic Key" — disponibile dal rb47, vedi /legal/privacy-llm §6.A):

  • la chiamata LLM CodeComprehender + RemediationPlanner viene eseguita usando la chiave del Cliente;
  • il trasferimento del codice ad Anthropic avviene sotto il contratto Cliente↔Anthropic (incluso eventuale Zero-Data-Retention agreement sottoscritto direttamente dal Cliente);
  • per quel tenant OASI non è più responsabile del trattamento verso Anthropic ai sensi Art. 28 GDPR — il Cliente è titolare e contraente diretto verso Anthropic;
  • OASI continua a essere responsabile del trattamento per la gestione tecnica della chiave (cifratura at-rest AES-256-GCM, uso esclusivo per le Discovery del tenant, mai restituita in chiaro, rotabile via API POST /api/hermes/tenants/[id]/anthropic-key e revocabile via DELETE).

Quando il Cliente revoca la propria chiave (DELETE), la Discovery torna a usare la chiave globale di OASI: Anthropic torna a essere subprocessor di OASI per quel tenant. La transizione è audit-loggata (tenant.delete_anthropic_key).

8. Trasferimento dati extra-UE

Per il subprocessor Anthropic (sede USA), quando opera sotto la chiave globale di OASI (§7.bis primo caso), il trasferimento avviene sulla base delle Standard Contractual Clauses (SCC) versione 2021 e dell'Anthropic DPA controfirmato da OASI, integrato — quando applicabile — dal Data Privacy Framework UE-USA (decisione di adeguatezza Commissione UE del 10 luglio 2023, se in vigore al momento del trasferimento).

Quando il Cliente utilizza la propria chiave Anthropic (§7.bis secondo caso), il trasferimento extra-UE è governato dalle SCC sottoscritte direttamente tra Cliente e Anthropic — OASI non è parte di tale trasferimento.

Il Cliente può inoltre richiedere l'attivazione della modalità "no LLM" (disattivazione ANTHROPIC_API_KEY lato server) o "on-prem" (LLM in EU-region o self-hosted) per evitare trasferimenti extra-UE — vedi /legal/privacy-llm §6.

9. Notifica di violazione (Data Breach)

OASI notifica al Cliente entro 24 ore dalla scoperta di ogni incidente di sicurezza che coinvolga dati del Cliente. La notifica contiene: descrizione dell'evento, dati interessati, misure di mitigazione adottate, recommendation per le notifiche del Cliente verso il Garante / interessati / NIS2 CSIRT (se applicabile).

10. Diritto di audit

Il Cliente ha diritto, con preavviso ragionevole (≥15 giorni lavorativi) e non più di una volta all'anno (salvo incident), di verificare la conformità di OASI agli obblighi contrattuali, tramite:

  • documentazione: /legal/* + report pen-test annuale (quando disponibile);
  • questionario di sicurezza compilato da OASI;
  • per Clienti con ARR ≥ €50k: audit on-site / remoto presso OASI con costi a carico del Cliente.

11. Restituzione e cancellazione

Al termine del contratto, OASI:

  • entro 7 giorni: cessa l'accesso del Cliente al servizio Hermes;
  • entro 30 giorni: cancella tutte le Discovery del tenant del Cliente da HermesDiscovery (irreversibile);
  • entro 90 giorni: cancella i metadati residui (audit log del tenant, configurazione, repos registrati);
  • i backup DB del provider hosting decadono automaticamente entro 90 giorni dalla cancellazione applicativa, per ciclo di rotazione backup del provider.

Il Cliente può richiedere prima del termine contrattuale un export dei propri dati in formato JSON (Discovery, audit log, repos) via API.

12. Responsabilità e indennizzo

Le responsabilità di ciascuna Parte sono regolate dal contratto di servizio principale. Resta inteso che ciascuna Parte risponde delle proprie violazioni del GDPR (Art. 82 GDPR).

13. Comunicazioni

  • Per OASI: privacy@oasi.systems (DPO) / security@oasi.systems (incidenti).
  • Per il Cliente: indirizzo PEC / email indicato nel contratto di servizio.

14. Legge applicabile e foro

Legge italiana. Foro esclusivo: Tribunale del luogo della sede di OASI S.r.l.

15. Allegati richiamati

  • Security Whitepaper (/legal/whitepaper)
  • Statement of Applicability ISO27001:2022 (/legal/iso27001-soa)
  • Data Flow Diagram (/legal/dfd)
  • Privacy notice — uso LLM (/legal/privacy-llm)
  • Subprocessor list (/legal/subprocessors)
  • NIS2 Art. 21 mapping (/legal/nis2-mapping)

Versione 1.0 — template. La versione personalizzata firmabile è prodotta su richiesta dal team commerciale OASI: hermes@oasi.systems.