Documenti contrattuali – Servizi SaaS & IT (CH) – B2B & B2C

Parte A – Condizioni Generali (CG)

1. Ambito di applicazione

Queste CG si applicano a tutti i servizi del Fornitore, in particolare (i) Software-as-a-Service basato su cloud ('SaaS') così come (ii) servizi IT (supporto, manutenzione, consulenza, progetti e servizi in loco). Condizioni divergenti del Cliente si applicano solo se il Fornitore accetta esplicitamente la loro validità per iscritto.

2. Conclusione del contratto

Un contratto è concluso mediante (a) registrazione online e attivazione di un abbonamento, (b) accettazione di un'offerta, (c) ordine scritto o elettronico (email è sufficiente), o (d) fornitura implicita di servizi. Il Fornitore può rifiutare ordini per motivi oggettivi (es. abuso, conformità).

3. Descrizione dei servizi

3.1 SaaS

Il Fornitore mette a disposizione del Cliente l'applicazione SaaS handel-it Services per l'uso via Internet. L'ambito specifico delle funzioni risulta dalla descrizione del servizio/piano (es. 'Basic/Pro/Enterprise').

Non sono dovuti, in particolare, i collegamenti Internet/rete del Cliente, i dispositivi finali, così come i sistemi di terzi al di fuori della sfera di influenza del Fornitore.

3.2 Servizi

I servizi sono generalmente forniti come contratto di servizio (dovere di diligenza, nessuna garanzia di successo), a meno che non sia espressamente concordato un contratto d'opera (successo definito/collaudo).

4. Disponibilità, Manutenzione & Modifiche (SaaS)

I valori target e i crediti di servizio sono regolati nello SLA. La manutenzione pianificata sarà annunciata in anticipo se possibile; modifiche critiche per la sicurezza possono avvenire con breve preavviso.

5. Obblighi di cooperazione del Cliente

Il Cliente è tenuto a fornire tempestivamente:

• informazioni, dati e referenti corretti,
• gli accessi/account/approvazioni necessari,
• comunicare le modifiche ai sistemi, volumi, interfacce o requisiti di sicurezza,
• rispettare i requisiti di sicurezza (es. MFA, password, ruoli).

Sforzi aggiuntivi e ritardi derivanti da cooperazione mancante/tardiva sono a carico del Cliente e sono soggetti a remunerazione in base alla spesa.

6. Prezzi, Fatturazione & Pagamento

I prezzi risultano dall'offerta, dal listino prezzi o dal pagamento online. Gli abbonamenti SaaS sono fatturati periodicamente in anticipo. I servizi sono fatturati in base alla spesa o a forfait.

• Termine di pagamento: 30 giorni netto (salvo accordi diversi)
• Mora: Interessi di mora secondo il Codice delle obbligazioni svizzero; il Fornitore può sospendere i servizi in caso di mora significativa
• B2B: Nessun diritto di ritenzione o compensazione, per quanto legalmente ammissibile
• B2C: Prezzi incl. IVA, se applicabile; i diritti speciali dei consumatori rimangono inalterati

7. Diritti d'uso & Proprietà intellettuale

7.1 Uso SaaS

Il Cliente riceve un diritto non esclusivo, non trasferibile e limitato nel tempo di utilizzare il SaaS nell'ambito del contratto. Nessun diritto al rilascio del codice sorgente.

7.2 Risultati del progetto

Componenti preesistenti, framework, strumenti, modelli e know-how generico rimangono di proprietà del Fornitore. I risultati specifici per il cliente (es. configurazioni, documentazione, codice specifico per il cliente) sono concessi al Cliente come semplice diritto d'uso per uso interno, salvo accordi diversi. Il Fornitore può riutilizzare know-how, metodi e parti non specifiche per il cliente.

8. Dati, Protezione dei dati & Subappaltatori cloud

I dati del Cliente rimangono di proprietà del Cliente. Il Fornitore tratta i dati personali come responsabile del trattamento, per quanto applicabile. I dettagli sono regolati nel DPA. L'hosting può avvenire tramite AWS e/o Microsoft Azure (regioni UE/CH).

9. Garanzia

Il Fornitore gestisce il SaaS secondo lo stato dell'arte, ma non garantisce l'assenza assoluta di errori. I difetti devono essere segnalati immediatamente.

• B2B: La garanzia è esclusa nella misura consentita dalla legge; la priorità è data alla rettifica.
• B2C: I diritti di garanzia legali obbligatori rimangono inalterati.

10. Responsabilità

Il Fornitore è responsabile per danni diretti tipici del contratto. La responsabilità per danni indiretti, danni conseguenti, mancato guadagno, interruzione dell'attività e perdite puramente finanziarie è esclusa, nella misura consentita dalla legge.

11. Durata & Risoluzione

Gli abbonamenti SaaS decorrono secondo il periodo selezionato (mensile/annuale) e si rinnovano automaticamente salvo disdetta nei termini. Periodo di preavviso: 30 giorni per la fine del periodo (salvo accordi diversi). Le condizioni Enterprise sono regolate nell'Addendum Enterprise.

12. Blocco, Abuso, Conformità

In caso di abuso, incidenti di sicurezza o violazioni legali, il Fornitore può bloccare temporaneamente l'accesso nella misura necessaria per scongiurare il pericolo. Il Cliente deve essere informato del blocco se possibile.

13. Riservatezza

Entrambe le parti trattano le informazioni riservate come confidenziali a tempo indeterminato. Eccezioni: generalmente noto, legittimamente ricevuto o obblighi legali di divulgazione.

14. Modifiche alle CG

Il Fornitore può adattare le CG. Le modifiche significative saranno annunciate. B2B: Obiezione entro 30 giorni, altrimenti le modifiche sono considerate accettate. B2C: Modifiche solo per motivi oggettivi; in caso di modifica significativa, esiste un diritto speciale di risoluzione.

15. Disposizioni finali

Legge applicabile: Svizzera. Foro competente: Cantone di Zugo (B2C: fori obbligatori riservati). Qualora singole disposizioni dovessero essere invalide, il contratto rimane efficace per il resto (Clausola di salvaguardia).

Parte B – SLA (Service Level Agreement)

Allegato alle CG – si applica salvo diversi accordi contrattuali.

1. Definizioni

• Disponibilità: Quota di tempo in cui il SaaS è utilizzabile in modo produttivo (esclusi i tempi di esclusione).
• Finestra di manutenzione: finestre temporali annunciate per aggiornamenti/manutenzione.
• Crediti di servizio: Crediti su tariffe future (nessun pagamento in contanti).

2. Disponibilità target

3. Esclusioni (non conteggiate)

• Finestre di manutenzione pianificate
• Interruzioni dovute a forza maggiore
• Interruzioni/Incidenti AWS o Azure fuori dal controllo del Fornitore
• Colpa del Cliente o di terzi (rete, provider di identità, configurazione errata)
• Abuso, attacchi, blocco per scongiurare pericoli

4. Orari di supporto

5. Priorità & Tempi di reazione

6. Crediti di servizio

Massimo 20 % per mese di fatturazione. I crediti di servizio sono il rimedio esclusivo per le violazioni della disponibilità, nella misura consentita dalla legge.

7. Cooperazione

Il Cliente fornisce le informazioni necessarie entro un termine ragionevole (per P1 il più immediatamente possibile). I ritardi causati dalla mancanza di cooperazione del cliente sospendono le scadenze dello SLA di conseguenza.

Parte C – DPA (Data Processing Agreement)

GDPR + LPDrev – Allegato alle CG / Contratto principale

1. Parti & Ruoli

Titolare: Cliente

Responsabile: handel gmbh, Grabenstrasse 15a, 6340 Baar, Svizzera

2. Oggetto, Durata, Istruzioni

Oggetto è il trattamento di dati personali nell'ambito dei servizi SaaS e IT. La durata corrisponde alla durata del contratto. Il Fornitore tratta i dati esclusivamente su istruzione documentata del Cliente, salvo obbligo di legge.

3. Natura e scopo del trattamento

• Hosting, gestione e fornitura del SaaS
• Supporto, manutenzione, analisi incidenti
• Backup/Ripristino secondo la descrizione del servizio
• Monitoraggio sicurezza/Logging (minimo necessario)

4. Categorie di interessati / Dati

A seconda dell'uso: Dipendenti, clienti finali, partner; categorie di dati secondo input cliente e dati di sistema (log).

5. TOM (Breve descrizione)

Il Fornitore attua misure tecniche e organizzative appropriate, in particolare:

• Controllo accessi (RBAC), MFA ove possibile
• Crittografia trasporto (TLS), crittografia dati a riposo se disponibile/configurato
• Gestione patch e vulnerabilità
• Backup, processi di ripristino, monitoraggio
• Isolamento tenant secondo architettura

6. Subappaltatori / Cloud Provider

7. Trasferimenti verso paesi terzi

Se avvengono trasferimenti fuori CH/UE eccezionalmente, ciò avviene solo sulla base di garanzie appropriate (es. SCC, misure aggiuntive), secondo GDPR/LPDrev.

8. Assistenza ai diritti degli interessati

Il Fornitore supporta il Cliente in modo appropriato per accesso, rettifica, cancellazione, limitazione e portabilità, per quanto possibile all'interno dei sistemi.

9. Notifica violazioni dati

Il Fornitore segnala le violazioni di dati rilevanti al Cliente immediatamente, al più tardi entro 72 ore dopo esserne venuto a conoscenza (se le informazioni sono disponibili), e supporta l'analisi.

10. Cancellazione / Restituzione a fine contratto

A fine contratto: Esportazione/restituzione come concordato; successivamente cancellazione dopo un periodo ragionevole, salvo obblighi di conservazione legali.

11. Audit & Prova

B2B/Enterprise: Audit max. 1x all'anno, previo preavviso, durante orario d'ufficio, senza interruzioni. In alternativa, possono essere accettati certificati/attestazioni dei cloud provider e prove del Fornitore.

12. Responsabilità

Si applica la regolamentazione della responsabilità del contratto principale/CG, per quanto legalmente consentito.

Parte D – Addendum Enterprise

Si applica solo se esplicitamente designato e concordato come 'Enterprise' nel contratto.

1. Durata & Risoluzione

• Durata minima: 12–36 mesi (secondo contratto)
• Periodo di preavviso: 3–6 mesi per fine periodo
• Rinnovo: annuale, salvo disdetta

2. SLA aumentati (opzionale)

Aggiustamento opzionale per contratto: Disponibilità target 99,7–99,9 %, tempi di reazione più brevi, supporto 24/7.

3. Opzioni di responsabilità

Il cap standard rimane, salvo accordi diversi per iscritto. Opzionale: cap più alto per supplemento / pacchetto di servizio superiore / assicurazione.

4. Sicurezza & Conformità

• Documentazione di sicurezza estesa (es. policy, panoramica architettura, processo risposta incidenti)
• Diritto di audit come descritto nel DPA, alternativamente prove (es. attestazioni cloud provider)

5. Escrow (opzionale)

Escrow del codice sorgente solo per sistemi critici e accordo separato (trigger: insolvenza, cessazione permanente del servizio).

6. Gestione delle modifiche

Per adeguamenti specifici per il cliente: Richieste di modifica, stima dell'impegno, approvazione, prioritarizzazione; documentazione nello strumento ticket/progetto.

Parte E – Allegato Sicurezza (TOM compatti)

1. Principi base

• Minimo privilegio / Controllo accessi basato sui ruoli (RBAC)
• Difesa in profondità
• Secure-by-Default (ove possibile)
• Logging & Monitoraggio secondo necessità

2. Identità & Accesso

• MFA per account admin
• Regole password forti / SSO se concordato
• Processi di provisioning/deprovisioning

3. Crittografia

• TLS per dati in transito
• Crittografia dati a riposo, se disponibile/attivato (es. Cloud KMS)
• Gestione chiavi in AWS/Azure (KMS/Key Vault) a seconda del setup

4. SDLC Sicuro

• Code Reviews & Protezione Branch
• Scansioni dipendenze/SCA (ove implementato)
• Gestione vulnerabilità & Processi patch

5. Operazione, Logging, Monitoraggio

• Monitoraggio (Uptime, Performance, Tassi errore)
• Logging con protezione accesso; Ritenzione log secondo policy/contratto
• Processo risposta incidenti incl. comunicazione

6. Backup & Ripristino

• Backup secondo descrizione servizio
• Ripristino su base best effort, salvo RTO/RPO contrattualmente assicurato

7. Test di penetrazione (opzionale)

Per Enterprise opzionale: pen test periodici da terze parti previo accordo (ambito, finestra temporale, regole).

8. Obblighi del Cliente (Sicurezza)

• Protezione credenziali, attivare MFA, assegnare ruoli correttamente
• Sicurezza dispositivi / Protezione endpoint
• Nessun test di sicurezza non autorizzato senza approvazione

Parte F – Modello di prezzo & Fatturazione

1. Abbonamenti SaaS

Esempi (sostituire/adattare):

2. Tariffe basate sull'uso (opzionale)

• es. per utente, per tenant, per GB storage, per 1.000 chiamate API, per transazione
• Le eccedenze sono fatturate secondo listino prezzi

3. Servizi

4. Spese & Tempo di viaggio

Il tempo di viaggio e le spese possono essere addebitati, a meno che non siano esplicitamente inclusi nel prezzo. Spese in base alla spesa (treno/aereo/hotel) su ricevute o forfait, se concordato.

5. Modifiche prezzi

I listini prezzi possono essere adeguati. Per abbonamenti in corso, si applica un periodo di preavviso (es. 30–90 giorni). B2C: diritto speciale di risoluzione in caso di aumento prezzi.

Parte G – Playbook di negoziazione (Redlines & Risposte)

1. 'Non negoziabile' (le tue linee rosse)

• Nessun danno illimitato; la responsabilità deve rimanere limitata.
• Nessuna responsabilità per danni indiretti / mancato guadagno.
• Nessun trasferimento IP completo automatico (il codice sorgente rimane al Fornitore).
• Nessuna garanzia di assenza di errori; SLA via crediti, non via penali.
• Nessun audit cliente non annunciato senza quadro (tempo, ambito, frequenza).

2. 'Buone leve di negoziazione' (dare vs. prendere)

3. Risposte standard (Copia/Incolla)

4. Controllo Deal (Enterprise)

• Livello SLA e orari supporto chiari?
• Cap + esclusioni chiari?
• DPA firmato, subappaltatori accettati?
• Requisiti Ruoli/SSO/MFA documentati?
• Processo modifiche & prezzi scritti?