Art. 1 Definizioni
- Fornitore
- ERA Soluzioni Srl, con sede in Ponte di Piave (TV), titolare della piattaforma Floora® e del relativo servizio API, P.IVA [●].
- Utilizzatore
- La persona giuridica (Pubblica Amministrazione, ente o soggetto privato autorizzato) o fisica che accede alle API, direttamente o tramite applicazioni proprie.
- API Open Data
- Le interfacce applicative ad accesso pubblico che espongono dati aperti, documentate nel catalogo OpenAPI pubblico della piattaforma.
- API Riservate
- Le interfacce applicative ad accesso autenticato, riservate agli Utilizzatori titolari di un contratto di servizio Floora® in essere, che espongono dati e funzionalità applicative non pubbliche.
- Credenziali
- L’insieme di identificativi, chiavi API e token di autenticazione (JWT) rilasciati dal Fornitore per l’accesso alle API Riservate.
- Documentazione
- Le specifiche tecniche delle API pubblicate dal Fornitore in formato OpenAPI/Swagger, comprensive di schemi, codici di errore e politiche di throttling.
Art. 2 Oggetto e ambito di applicazione
I presenti Termini di Servizio disciplinano l’accesso e l’utilizzo delle API esposte dalla piattaforma Floora®, in entrambe le modalità di erogazione:
- API Open Data — accessibili senza autenticazione, destinate al riutilizzo dell’informazione del settore pubblico secondo la licenza indicata all’Art. 10;
- API Riservate — accessibili esclusivamente previa autenticazione, riservate agli Utilizzatori contrattualizzati e soggette alle condizioni del contratto di servizio principale, che prevale in caso di conflitto con i presenti Termini.
L’utilizzo delle API, anche solo in modalità Open Data, comporta l’accettazione integrale dei presenti Termini. Per le Pubbliche Amministrazioni, l’accesso avviene nel rispetto dei principi di interoperabilità di cui all’art. 50 e seguenti del CAD (D.Lgs. 82/2005) e delle Linee Guida AgID sull’interoperabilità tecnica (modello ModI).
Art. 3 Quadro normativo e certificazioni
Il servizio API Floora® è erogato nell’ambito di un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) certificato e di un servizio cloud qualificato per la Pubblica Amministrazione italiana. Il quadro di riferimento è il seguente:
| Riferimento | Ambito |
|---|---|
| ISO/IEC 27001:2022 | Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) certificato del Fornitore. |
| ISO/IEC 27017:2015 | Controlli di sicurezza per i servizi cloud. |
| ISO/IEC 27018:2019 | Protezione dei dati personali (PII) nei cloud pubblici. |
| ISO 9001:2015 | Sistema di Gestione per la Qualità. |
| Determinazione ACN n. 307/2022 e ss.mm.ii. (Regolamento Cloud per la PA) | Qualificazione del servizio cloud Floora® al livello QC1, idoneo al trattamento di dati ordinari della Pubblica Amministrazione. |
| Regolamento (UE) 2016/679 (GDPR) e D.Lgs. 196/2003 e ss.mm.ii. | Protezione dei dati personali. |
| D.Lgs. 82/2005 (CAD) e Linee Guida AgID sull’interoperabilità tecnica (ModI), incluse le Linee Guida su tecnologie e standard per la sicurezza dell’interoperabilità tramite API | Interoperabilità e sicurezza delle API per la PA. |
| D.Lgs. 36/2006 e ss.mm.ii. | Riutilizzo dell’informazione del settore pubblico (open data). |
Nota: gli estremi della certificazione ISO/IEC 27001 (ente certificatore, numero di certificato) e della qualificazione ACN (identificativo nel catalogo dei servizi cloud qualificati su acn.gov.it) devono essere riportati qui: [● estremi certificato], [● ID qualificazione ACN].
L’ambito del servizio QC1 è limitato al trattamento di dati ordinari. È vietato all’Utilizzatore conferire tramite le API dati classificati come critici o strategici ai sensi del Regolamento Cloud ACN, salvo diverso accordo scritto e corrispondente livello di qualificazione.
Art. 4 Registrazione, credenziali e autenticazione
4.1 API Open Data
L’accesso non richiede registrazione. Il Fornitore si riserva la facoltà di richiedere in futuro una chiave identificativa gratuita per finalità di monitoraggio e contrasto agli abusi.
4.2 API Riservate
- Le Credenziali sono rilasciate dal Fornitore esclusivamente agli Utilizzatori contrattualizzati, sono nominative o riferite a una specifica applicazione e non sono cedibili a terzi.
- L’autenticazione avviene tramite token JWT con scadenza limitata; tutte le comunicazioni avvengono esclusivamente su canale cifrato TLS 1.2 o superiore.
- L’Utilizzatore è responsabile della custodia delle Credenziali e adotta misure adeguate alla loro protezione (es. vault di segreti, divieto di inserimento in codice sorgente, repository o log).
- In caso di sospetta compromissione delle Credenziali, l’Utilizzatore ne dà comunicazione immediata al Fornitore ai recapiti di cui all’Art. 14; il Fornitore procede alla revoca e alla riemissione.
- Il Fornitore può revocare o sospendere le Credenziali in caso di violazione dei presenti Termini, di rischio per la sicurezza del servizio o degli altri Utilizzatori, o di cessazione del contratto di servizio.
Art. 5 Condizioni d’uso consentito e vietato
5.1 Uso consentito
- Integrazione delle API nelle applicazioni dell’Utilizzatore per le finalità istituzionali o contrattuali previste;
- riutilizzo dei dati Open Data nel rispetto della licenza di cui all’Art. 10;
- memorizzazione in cache dei dati nei limiti tecnici indicati nella Documentazione.
5.2 Uso vietato
È espressamente vietato, a titolo esemplificativo e non esaustivo:
- eludere o tentare di eludere i meccanismi di autenticazione, autorizzazione o rate limiting;
- effettuare scansioni di vulnerabilità, test di intrusione o attività assimilabili senza autorizzazione scritta del Fornitore;
- introdurre codice malevolo, effettuare scraping massivo non conforme ai limiti dell’Art. 6 o azioni che degradino la disponibilità del servizio;
- utilizzare le API per finalità illecite, contrarie all’ordine pubblico o in violazione di diritti di terzi;
- rivendere, sublicenziare o esporre a terzi le API Riservate o le Credenziali;
- conferire tramite le API categorie di dati non previste dal contratto di servizio o eccedenti l’ambito QC1 di cui all’Art. 3.
Art. 6 Rate limiting e fair use
Per garantire equità di accesso e stabilità del servizio, le API sono soggette a limiti di utilizzo (throttling), comunicati nella Documentazione e tramite gli header standard di risposta (es. 429 Too Many Requests e Retry-After).
| Tipologia | Limite richieste | Burst |
|---|---|---|
| API Open Data | [● req/min per IP] | [●] |
| API Riservate | [● req/min per credenziale] | [●] |
- Il superamento sistematico dei limiti, o pattern di traffico anomali, può comportare la limitazione temporanea o la sospensione dell’accesso, previa comunicazione ove tecnicamente possibile.
- Esigenze di volumi superiori possono essere concordate per iscritto con il Fornitore.
- I client devono implementare logiche di retry con backoff esponenziale e rispettare l’header
Retry-After.
Art. 7 Livelli di servizio, continuità operativa e disaster recovery
Il servizio è erogato da infrastruttura cloud qualificata con regione primaria e regione secondaria di disaster recovery situate nell’Unione Europea (territorio italiano).
| Parametro | Valore | Note |
|---|---|---|
| Disponibilità mensile (API Riservate) | [● %] | Esclusa la manutenzione programmata. |
| RTO (Recovery Time Objective) | [● ore] | Conforme ai requisiti dichiarati in sede di qualificazione ACN QC1. |
| RPO (Recovery Point Objective) | [● ore] | Backup cifrati con retention immutabile (WORM). |
| Finestre di manutenzione | [● giorno/fascia oraria] | Comunicate con preavviso minimo di [● giorni]. |
Le API Open Data sono erogate secondo il principio del miglior sforzo (best effort), salvo diversa previsione contrattuale. Lo stato del servizio e le manutenzioni programmate sono pubblicati su [● URL status page].
Art. 8 Sicurezza delle informazioni (ISO/IEC 27001 — ACN QC1)
8.1 Impegni del Fornitore
- Mantenere attivo un SGSI certificato ISO/IEC 27001:2022, con controlli estesi ai servizi cloud (ISO/IEC 27017) e alla protezione dei dati personali (ISO/IEC 27018);
- mantenere i requisiti di sicurezza, qualità e localizzazione dei dati previsti dalla qualificazione ACN QC1, con trattamento e conservazione dei dati nel territorio dell’Unione Europea;
- applicare cifratura dei dati in transito (TLS) e a riposo, gestione centralizzata dei segreti, monitoraggio di sicurezza continuativo e gestione delle vulnerabilità;
- sottoporre le API a verifiche di sicurezza periodiche (analisi statica e dinamica del codice, vulnerability assessment);
- gestire gli incidenti di sicurezza secondo procedure documentate, con notifica agli Utilizzatori interessati senza ingiustificato ritardo e, ove applicabile, alle autorità competenti nei termini di legge.
8.2 Impegni dell’Utilizzatore
- Adottare misure tecniche e organizzative adeguate alla protezione delle proprie applicazioni client, delle Credenziali e dei dati scaricati tramite le API;
- mantenere aggiornati i componenti software che interagiscono con le API;
- segnalare tempestivamente al Fornitore vulnerabilità, anomalie o incidenti di sicurezza riscontrati, ai recapiti di cui all’Art. 14, astenendosi dal divulgarli pubblicamente prima della risoluzione (divulgazione responsabile);
- collaborare con il Fornitore nelle attività di gestione degli incidenti che coinvolgano le proprie utenze.
8.3 Tracciamento
Gli accessi alle API sono registrati (log applicativi e di sicurezza) e conservati per il periodo di [● mesi], in conformità alle politiche del SGSI e alla normativa applicabile, per finalità di sicurezza, audit e adempimento di obblighi di legge.
Art. 9 Trattamento dei dati personali (GDPR)
- I dati esposti dalle API Open Data non contengono dati personali, ovvero contengono esclusivamente dati resi pubblici in conformità alla normativa vigente.
- Per le API Riservate, ove il Fornitore tratti dati personali per conto dell’Utilizzatore titolare del trattamento, il trattamento è disciplinato dall’accordo di nomina a responsabile ex art. 28 del Regolamento (UE) 2016/679 (DPA), allegato al contratto di servizio principale, che prevale sui presenti Termini per quanto attiene alla protezione dei dati.
- Il Fornitore adotta le misure di sicurezza di cui all’art. 32 GDPR, coerenti con i controlli del SGSI di cui all’Art. 8, e tratta i dati esclusivamente all’interno dell’Unione Europea.
- I dati di registrazione e i log di accesso alle API sono trattati dal Fornitore in qualità di titolare, secondo l’informativa disponibile su [● URL informativa privacy].
- Eventuali violazioni di dati personali (data breach) sono gestite e notificate nei termini degli artt. 33 e 34 GDPR.
Art. 10 Licenza dei dati e proprietà intellettuale
- I dati esposti dalle API Open Data sono rilasciati con licenza [● es. CC BY 4.0 / IODL 2.0], con obbligo di attribuzione della fonte secondo le modalità indicate nella Documentazione, in conformità al D.Lgs. 36/2006 e ss.mm.ii. e alle linee guida nazionali sulla valorizzazione del patrimonio informativo pubblico.
- I dati esposti dalle API Riservate restano nella titolarità dell’Utilizzatore o dei soggetti conferenti, secondo quanto previsto dal contratto di servizio principale.
- La piattaforma Floora®, il marchio, la Documentazione, gli schemi delle API e il software restano di esclusiva titolarità di ERA Soluzioni Srl. Nessuna disposizione dei presenti Termini comporta cessione di diritti di proprietà intellettuale.
- È vietato l’uso del marchio Floora® o di ERA Soluzioni in modo da suggerire approvazione o affiliazione, salvo autorizzazione scritta.
Art. 11 Responsabilità e manleva
- Il Fornitore eroga le API con la diligenza professionale richiesta e nei limiti dei livelli di servizio di cui all’Art. 7. Per le API Open Data il servizio è fornito “così com’è”, senza garanzia di completezza, tempestività o idoneità a uno scopo specifico dei dati.
- Il Fornitore non è responsabile dei danni derivanti da uso improprio delle API, da malfunzionamenti delle applicazioni client dell’Utilizzatore, da causa di forza maggiore o da fatto di terzi.
- L’Utilizzatore manleva il Fornitore da pretese di terzi derivanti dalla violazione dei presenti Termini o dall’uso illecito delle API e dei dati.
- Eventuali limitazioni di responsabilità non si applicano nei casi di dolo o colpa grave, né ove inderogabili per legge.
Art. 12 Sospensione, modifiche e cessazione
- Il Fornitore può sospendere in tutto o in parte l’accesso alle API per motivi di sicurezza, manutenzione urgente, ordine dell’autorità o violazione dei presenti Termini.
- Le modifiche non sostanziali alle API (retro-compatibili) sono comunicate tramite la Documentazione e il changelog. Le modifiche sostanziali (breaking change) e la dismissione di versioni sono comunicate con preavviso minimo di 5 giorni lavorativi, secondo la politica di versionamento indicata nella Documentazione.
- Il Fornitore può aggiornare i presenti Termini; le modifiche sono pubblicate su questa pagina con indicazione della data di efficacia e, per gli Utilizzatori contrattualizzati, comunicate ai referenti indicati in contratto. L’uso delle API successivo alla data di efficacia costituisce accettazione.
- Alla cessazione del contratto di servizio, le Credenziali sono revocate; restano fermi gli obblighi di restituzione o cancellazione dei dati previsti dal contratto e dal DPA.
Art. 13 Legge applicabile e foro competente
I presenti Termini sono regolati dalla legge italiana. Per ogni controversia relativa all’interpretazione, esecuzione o validità dei presenti Termini è competente in via esclusiva il Foro di Treviso, fatta salva la giurisdizione del giudice amministrativo ove prevista per gli Utilizzatori pubblici e ogni diversa previsione contenuta nel contratto di servizio principale.
Art. 14 Contatti e segnalazioni di sicurezza
| Canale | Recapito |
|---|---|
| Supporto tecnico API | assistenza@floora.it |
| Segnalazioni di sicurezza e vulnerabilità | dpo@erasoluzioni.it |
| Protezione dei dati personali (DPO/privacy) | gdpr@erasoluzioni.it |
| PEC | amministrazione@pec.erasoluzioni.it |
Le segnalazioni di vulnerabilità sono gestite secondo il principio della divulgazione responsabile (coordinated vulnerability disclosure).
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.